Há algumas semanas atrás eu fiz um artigo sobre o Heartbleed, denominado: “Quem tem medo do lobo mau”. Neste artigo, citei que o impacto dessa nova falha não seria tão relevante já que o SSL já vinha sendo explorado há tempos através de ataques como man-in-the-middle.
Algum tempo depois li uma reportagem em um site brasileiro de tecnologia, referenciando um jornal inglês, que dizia o seguinte: “Nova falha pior que o heartbleed descoberta no OpenSSL”. Claro, com a curiosidade devidamente alfinetada fui ler o artigo.
Não irei transcrever exatamente o que o texto dizia mas posso resumir: “nova falha no SSL foi descoberta somente agora pelos profissionais de segurança, mas já era explorada pelos hackers a mais de 10 anos através de ataques de intermediação do tráfego. Essa falha permite a captura das credenciais de um utilizador de sites seguros”
Confesso que tomei um choque ao ler o texto. Não conseguia acreditar no que estava ali. Existem diversas matérias, artigos, colunas, revistas especializadas, tópicos em fóruns, livros e apresentações sobre a técnica de Man in the middle no protocolo SSL (e não só nele, como no SSHv1, RDP, etc). O NYT mesmo citou essa técnica em sua reportagem de 2003 sobre os crimes cibernéticos no Brasil.
Isso nos leva a pensar? Por que esse conceituado jornal inglês divulgou a notícia como sendo uma descoberta espantosa que “passou despercebida” por muitos profissionais? Será que foi uma falha do jornalista? Será que a fonte consultada, um profissional da área de segurança, não era um cara muito atualizado? Infelizmente, na minha opinião, não é nada dessas coisas. É simples e pura teimosia de muitos profissionais ditos “especializados”.
Em 2004 e 2005 fui colunista em um site de segurança digital e escrevi alguns artigos sobre a técnica de man in the middle. Era muito comum receber comentários de especialistas em segurança afirmando que “é impossível quebrar a segurança e ler os dados de uma conexão HTTPS ; esse tal de MITM (man in the middle) é a maior bobagem… nunca funcionará.”.
Esse indivíduo reflete bem um grande abismo que vivemos hoje em relação ao conhecimento de segurança de redes… de um lado temos o conhecimento formal, científico, de artigos em revistas especializadas, dissertações e teses de grandes formadores de opinião. Também incluímos nesse conhecimento formal normas de segurança de organizações como a ISO e a ABNT. Qual o problema do conhecimento formal?
Primeiramente, não posso de maneira nenhuma criticar essa vertente do saber. Ela é extremamente importante e eu como professor universitário não poderia falar o contrário. Infelizmente o único problema do conhecimento científico é a velocidade em que ele é propagado. Tudo é pesquisado, testado, experimentado, revisado e só então publicado. Por esse motivo podem vir a acontecer bizarrices como o caso do man in the middle, que era uma técnica utilizada a quase 15 anos e muitos profissionais com doutorado na área não conheciam.
O que seria então o abismo que eu citei anteriormente? Como o mundo da segurança é muito dinâmico, novas falhas e técnicas surgem todos os dias, não podemos nos basear só nas normas e produções científicas. Temos que saltar o buraco e procurar publicações de sites e fóruns especializados no “underground”, aqueles que estão sempre publicando novas técnicas de ataque e metodologias de penetration test. Compre livros sobre o assunto e veja vídeos especializados… conhecer os problemas e métodos de ataque é tão importante para uma boa segurança quanto saber a ISO 27001.
O termo “segurança por obscuridade” citado no título desse artigo relaciona-se à aqueles que empregam cegamente as “receitas de bolo” das normas mas não possuem um conhecimento de verificar de forma ativa quais os problemas que a sua rede ou sistema possui, antes de seguir as boas práticas.
Parece estranho, certo? Afinal uma norma foi criada de forma a atender a todos os ambientes. Mas temos que levar em consideração a heterogeneidade dos ambientes que encontramos hoje. Nem sempre uma boa prática usada por uma empresa pode ser ideal para outra.
Gosto de usar um exemplo muito prático em meus treinamentos: a questão da senha. Por que devemos exigir do nosso usuário uma senha forte, que possua números, letras maiúsculas e minúsculas e caracteres especiais?
Vamos praticar segurança ativa e sair da obscuridade: primeiro, verifique o problema. Contra o que exatamente uma senha complexa desta protege? Apenas um tipo de ataque pode ser impedido: o de força-bruta, que é onde o atacante tenta todas as combinações possíveis de senha.
Ao analisar o seu ambiente, você implementa uma solução prática: após três tentativas incorretas a conta do usuário é bloqueada por 15 minutos. Isso praticamente vai inviabilizar o ataque de força-bruta (pois dificilmente a senha será descoberta em 3 tentativas).
Técnicas como farejamento do tráfego, uso de keyloggers e outras não são evitadas pela complexidade da senha. Apenas a força-bruta é.
Ou seja: por que exigir uma senha complexa e difícil de lembrar do seu usuário se você já impediu diretamente o método? A senha será inútil! Claro que há os casos do usuário usar 123 como password e essa ser descoberta na primeira tentativa, das três utilizadas antes do bloqueio.
Por que então não limitar apenas o tamanho? Exija uma senha mínima de 8 caracteres mas que pode ser só de letras ou números.
Meu ponto é: se você tiver o conhecimento prático das falhas, e descobrir exatamente onde e o que precisa ser protegido antes da aplicação das normas você está otimizando todas as suas soluções de segurança sem sacrificar o seu usuário e a usabilidade da corporação.
[Crédito da Imagem: Segurança por Obscuridade – ShutterStock]
Analista de vulnerabilidades, empresário, professor universitário e palestrante. Hacker Ético Certificado com 9 livros publicados sobre segurança digital. Email: mflavio@defhack.com LinkedIn: http://br.linkedin.com/in/mflavio2k/
You must be logged in to post a comment.
7:08:58 pm
Parabéns Marcos!!!!
Frequentemente nos deparamos com profissionais que ocupam cargos chaves nas empresas porque tem uma ou outra certificação, mas que na pratica deixa muito a desejar.
Grande abraço!!!!