A segurança é um processo. Pode-se aplicar o processo seguidamente à rede e a empresa que mantêm e, dessa maneira, melhorar a segurança dos sistemas. Se não iniciar ou interromper a aplicação do processo, sua segurança será cada vez pior, à medida que surgirem novas ameaças e técnicas.

A segurança deverá ser proporcional ao valor de que se está protegendo. Parte desse valor é realmente um valor; outra parte é o trabalho necessário para restabelecê-lo uma parte mais sutil é o trabalho que permitirá confiar em sua rede novamente.

1.1. Conceitos Básicos

O termo segurança é usado com o significado de minimizar a vulnerabilidade de bens (qualquer coisa de valor) e recursos. Vulnerabilidade é qualquer franqueza que pode ser explorada para se violar um sistema ou as informações que ele contém.

A segurança está relacionada à necessidade de proteção contra o acesso ou manipulação, intencional ou não, de informações confidenciais por elementos não autorizados, e a utilização não autorizada do computador ou de seus dispositivos periféricos. A necessidade de proteção deve ser definida em termos das possíveis ameaças e riscos e dos objetivos de uma organização, formalizados nos termos de uma política de segurança.

1.2. Ameaças e Ataques

Uma ameaça consiste em uma possível violação da segurança de um sistema. Algumas das principais ameaças às redes de computadores são:

• Destruição de informação ou de outros recursos;
• Modificações ou deturpação da informação;
• Roubo, remoção ou perda de informação ou de outros recursos;
• Revelação de informação;
• Interrupção de serviços.

As ameaças podem ser classificadas como acidentais ou intencionais, podendo ambas serem ativas ou passivas. Ameaças acidentais são as que não estão associadas à intenção premeditada. Por exemplo, descuidos operacionais e bugs de software e hardware. A concretização das ameaças intencionais variam desde a observação de dados com ferramentas simples de monitoramento de redes, a ataques sofisticados baseados no conhecimento do funcionamento do sistema. A realização de uma ameaça intencional configura um ataque.

Ameaças passivas são as que, quando realizadas, não resultam em qualquer modificação nas informações contidas em um sistema, em sua operação ou em seu estado. Uma estação que processa todos os quadros que recebe em uma rede local (incluindo os que não são a ela endereçados) é um exemplo de realização de uma ameaça passiva. Uma realização de ameaça ativa a um sistema envolve a alteração da informação contida no sistema, ou modificações em seu estado ou operação. Uma estação de uma rede em anel que não retransmite mensagens quando deveria fazê-lo (ela não é a responsável pela retirada da mensagem do anel) é um exemplo de realização de uma ameaça ativa.

Como já mencionamos, a materialização de uma ameaça intencional configura um ataque. Alguns dos principais ataques que podem ocorrer em um ambiente de processamento e comunicação de dados são os seguintes:

• Personificação (masquerade): uma entidade faz-se passar por outra. Uma entidade que possui poucos privilégios pode fingir ser outra, para obter privilégios extras.
• Replay: Uma mensagem, ou parte dela, é interceptada, e posteriormente transmitida para produzir um efeito não autorizado. Por exemplo, uma mensagem válida, carregando informações que autenticam uma entidade A, pode ser capturada e posteriormente transmitida por uma entidade X tentando autenticar-se no sistema (possivelmente personificando a entidade A).
• Modificação: o conteúdo de uma mensagem é alterado implicando em efeitos não autorizados sem que o sistema consiga detectar a alteração. Um exemplo seria a troca do conteúdo da mensagem “Aumentar o salário de José da Silva para R$100,00” para “Aumentar o salário de José da Silva para R$1.000,00”.
• Recusa ou Impedimento de Serviço: ocorre quando uma entidade não executa sua função apropriadamente ou atua de forma a impedir que outras entidades executem suas funções. Uma entidade pode utilizar essa forma de ataque para suprimir as mensagens, por exemplo, direcionadas à entidade encarregada da execução do serviço de auditoria de segurança. Outro exemplo de utilização dessa forma de ataque é a geração de mensagens com o intuito de atrapalhar o funcionamento de algoritmos de roteamento.
• Ataques Internos: ocorrem quando usuários legítimos comportam-se de modo não autorizado ou não esperado.
• Armadilhas(trapdoor): ocorre quando uma entidade do sistema é modificada para produzir efeitos não autorizados em resposta a um comando (emitido pela entidade que está atacando o sistema) ou a um evento, ou seqüência de eventos, predeterminado. Um exemplo desse ataque seria a modificação do processo de autenticação de usuários para dispensar a verificação da senha, em resposta a uma combinação de teclas específicas, por exemplo “Ctrl-Alt-U”, ou a um evento do tipo “hora do sistema = 23:35:00”.
• Cavalos de Tróia: nesse ataque, uma entidade executa funções não autorizadas, em adição às que está autorizada a executar. Um procedimento de login modificado, que, além de sua função normal de iniciar a sessão de trabalho dos usuários, grava suas senhas em um arquivo desprotegidos, é um exemplo de Cavalo de Tróia.

2. Pensando como defensor

A segurança não é uma tecnologia. A tecnologia soluciona problemas de física e de engenharia. São processos replicáveis, cujas avaliações suficientemente cuidadosas, projetos bem planejados e estes exaustivos permitem eliminar muitos problemas e torná-los inteiramente confiáveis.

No desenvolvimento da segurança, alguns dos componentes são pessoas, ou podem ser pessoas desonestas, inteligentes, que mentem, enganam e roubam Também podem ser pessoas confiáveis, honestas, prestativas, que são brilhantes e trabalham bastante, mas as vezes ficam exaustas e não compreendem todas as implicações do que estão vendo ocorrer. Em qualquer automatização de um processo, trabalhamos essencialmente para excluir do sistema o componente humano, com a finalidade de evitar essas qualidades variáveis. É preciso que o aço de uma fábrica apresente a mesma boa qualidade nos dias em que os trabalhadores estão de mau ou de bom humor. A automatização permite que isso ocorra.

3. O processo de segurança

Afirmamos que segurança não é uma tecnologia. Não é possível comprar um dispositivo que torne sua rede segura, assim como não é possível comprar ou criar um software capaz de tornar seu computador seguro. A falácia dessas promessas se baseia na implicação de a segurança ser um estado que pode se alcançar. Isso não é possível. A segurança é a direção em que se pode viajar, mas nunca chegando de fato ao destino.

Outro fato importante da segurança é o fato de não ser estática. De muitas maneiras, o trabalho do mercado de segurança na Internet é semelhante a tentar subir uma escada rolante infinita que desce. Você poderá correr alguns degraus acima e então parar para recuperar o fôlego; após descanso, descobrirá que a escada rolante o levou para baixo até o mesmo ou além do ponto do inicio. Para se manter no mesmo nível, será preciso um esforço contínuo. Para avançar e conseguir maior segurança, será necessário um esforço ainda maior. E, como e uma escada rolante, não basta a quantidade de esforço; o esforço precisará ser realizado na direção correta.

4. Segurança de Pessoal

A segurança é um problema que envolve pessoas e não tecnologia. Portanto, é preciso cuidado com as pessoas que ingressam na empresa. Já consideramos essa questão em relação ao próprio grupo de segurança, mas o que deverá ser relevante para o restante da empresa?

Habilidade, motivação e oportunidade são as condições necessárias´para o sucesso de um ataque. O pessoal da empresa, sejam funcionários ou contratados por empreitada, membros do grupo de segurança ou trabalhadores de outros departamentos da empresa, são os mais favorecidos em termos de habilidade e oportunidade. Se qualquer um deles tiver a motivação necessária, poderá ser muito perigoso para a segurança da rede.

Uma parte da tarefa de manter a segurança da rede envolve a adequação das políticas de segurança de pessoal, visando minimizar ameaças potenciais. É conveniente estabelecer as seguintes metas para a política de segurança de pessoal:

Contrate pessoas que não representam uma ameaça imprópria.

Conscientize os funcionários de que a segurança é levada a sério.

Providencie um plano capaz de lidar, de uma maneira completa e eficaz, com as questões inevitáveis de pessoal.

Essa parte do trabalho do gerente de segurança não costuma ser fácil. Ao entrar na sala do diretor de recursos humanos com uma lista de reivindicações, provavelmente será recebido com incredulidade, raiva ou insultos, mas raramente com cooperação. O departamento de RH já tem uma porção de coisas com que se preocupar e não precisa de mais confusão por algum maluco com paranóia de segurança.

Modificar a política de RH da empresa para satisfazer às metas de segurança é um verdadeiro teste para a percepção adotada pela administração em relação ao conceito de segurança como um processo dentro da empresa. Por isso, é preciso começar de cima para baixo.

4.1. Questões Administrativas

Em algum momento durante o exercício do cargo de responsável pela segurança e preocupado com as questões relacionadas ao pessoal da empresa, será necessário fazer algo como entrar na sala de um gerente poderoso na empresa e dizer que ele não pode contratar o brilhante jovem engenheiro que ele selecionou pessoalmente, porque representará um sério risco à segurança. Provavelmente, o gerente se sentirá muito insatisfeito.

Não é algo que se deva fazer sem um motivo justo, mas, quando for preciso, faça-o para valer. Portanto, é muito importante manter todos os seus alvos alinhados com seus superiores e a administração da empresa antes e levar adiante tamanho desafio.

4.2. Processo de Contratação

O processo de decidir sobre a contratação ou não de alguém e como exatamente integrar essa pessoa à empresa constitui o tipo de situação em que se encontram as melhores oportunidades para eliminar problemas e estabelecer expectativas corretas. É melhor evitar problemas de segurança de pessoal não contratando pessoas que possam causá-los, porém é difícil determinar com exatidão quais pessoas são com certeza confiáveis. Para complicar, existem muitas leis relativas aos métodos de contratação de funcionários. A definição de uma política de admissão segura e legal é algo que o gerente de segurança de computadores poderá recomendar, mas que não deverá implementar sem a análise e o treinamento necessário. O papel da segurança no processo de contratação é muito importante durante a realização de entrevistas e nos primeiros meses de trabalho do funcionário.

4.3. Processo de Entrevista

Suponha que a empresa queira contratar um engenheiro para trabalhar na rede. É a coisa mais natural do mundo fornecer ao candidato informações sobre a rede e as várias tarefas envolvidas. Além disso, é bastante comum o candidato visitar toda a empresa. Tudo isso é uma parte normal do processo de entrevista, mas também representa uma ameaça à segurança da rede. Um intruso inteligente é capaz de aprender muito ao passear por uma sala com muitas máquinas em funcionamento. Freqüentemente as máquinas exibem rótulos contendo informações importantes, como endereços da rede. Geralmente, as paredes exibem diagramas da rede.

4.4. Verificação de Referência

Um conjunto de verificação de referência pode fornecer muitas informações sobre uma possível contratação. Essas verificações são relativamente baratas, mas podem ser demoradas, o que é o seu maior problema. Em um mercado de trabalho competitivo, se uma oferta for retardada por causa de uma verificação e referência, a empresa poderá perder a oportunidade de fazer a oferta em tempo, porém a recompensa da espera será a eliminação de vários problemas importantes antes que aconteçam. Defina níveis de verificação de referências de acordo com os níveis de sensibilidade dos cargos para os quais serão feitas as contratações. Uma verificação rigorosa será conveniente para o pessoal da segurança, os administradores de sistemas e os funcionários com acesso a máquinas críticas. Uma verificação média será aplicada aos funcionários técnicos sem acesso crítico e aos funcionários com acesso a informações comerciais de caráter confidencial. Uma verificação rápida será suficiente para funcionários em cargos não-sensíveis. Entretanto, lembre-se de que os funcionários são promovidos e transferidos. O assistente que passou por uma verificação rápida no ano passado poderá ser promovido a administrador de sistemas no ano seguinte. Portanto, qualquer verificação deverá ser suficientemente rigorosa para proporcionar a confiança adequada a respeito de qualquer função que determinada pessoa poderá desempenhar na empresa. A seguir são apresentadas as áreas a serem abrangidas:

• Verificação de identidade: A pessoa é o que afirma ser? Mora no local que indicou como sua residência?
• Verificação de emprego: Esta pessoa trabalhou em todas as empresas listadas em seu currículo?
• Verificação de referências: O que suas referências relatam sobre a pessoa? As referências realmente são quem a pessoa afirma ou são parentes e amigos disfarçados?
• Questões de execução legal: Alguma prisão, inquérito ou condenação?
• Questões financeiras: Esta pessoa tem problemas financeiros? É um forte candidato a subornos por causa desse tipo de problema?

É necessário obter e registrar a permissão do candidato para a realização da verificação de referências. Os candidatos que não têm nada a esconder consentirão prontamente; os casos difíceis desistirão, por saberem que não serão aprovados.

4.5. Critérios para Aceitação / Recusa

As questões relacionadas a referências podem ser muito sensíveis. É necessário saber quais critérios podem ser utilizados para recusar uma oferta de emprego, além do que os critérios e o processo precisam ser documentados muito cuidadosamente. Se houver alguma ação legal contra as verificações de referências, a exatidão de sua documentação, a clareza de critérios e o grau de acordo com o qual são aplicados os critérios serão a sua salvação. Portanto, defina uma política de pessoal, dispondo, de maneira simples e clara, o que acontecerá se os candidatos fracassarem em relação a determinados aspectos da verificação de referências e procure sempre agir de acordo.

4.6. Condições de Contratação

Após fazer ma oferta de trabalho a alguém, poderá exigir que o candidato atenda a certas condições antes de ser autorizada sua contratação. Geralmente, essas condições estão relacionadas a assuntos de RH, mas você poderá aplicar suas próprias condições. Por exemplo, é um excelente momento para fazer com que as pessoas leiam e assinem que leram parte da política de segurança que é relevante para eles. A política de uso aceitável também deverá ser lida e assinada nesse momento, além de qualquer acordo de não-divulgação ou acordos sobre informações proprietárias.

4.7. Período Probatório

Como regra geral, os funcionários, principalmente aqueles que terão acesso sensível, não deverão ter acesso pleno em seus primeiros dias de trabalho. Um período probatório permite ao novo funcionário se acostumar com o ambiente e aprender os truques e detalhes dos sistemas em que trabalhará, sem qualquer perigo de destruir informações sensíveis ou danificar sistemas acidentalmente. O período probatório também proporciona ao grupo de segurança a chance de observar se o novo funcionário tenta obter acesso sensível antes de ser permitido, o que constitui um bom sinal de dificuldades futuras.

4.8. Problemas com Funcionários

Existem várias escolas de pensamento sobre a melhor forma de se lidar com violações da política de segurança de uma empresa pelos funcionários. Alguns apóiam o procedimento de advertir severamente na primeira vez e demitir na segunda vez. É uma política razoavelmente justa, mas, para quem pretende abusar da confiança que lhe é atribuída, em essência isso significa a possibilidade de cometer uma infração como bônus.

Outras políticas incluem a demissão imediata, o que coloca o responsável pela segurança na posição desagradável de recomendar a demissão do principal vendedor, por exemplo, por uma infração de segurança, exatamente quando a empresa tenta desesperadamente alcançar as metas de vendas do trimestre.

A política que parece funcionar melhor apresenta estes pontos fundamentais:

• Uma política de uso e de segurança apropriada e formulada com clareza, a qual todos os funcionários lêem e com a qual concordam explicitamente em obedecer. Essa política deverá prever penalidades claras para tipos específicos de ações, sendo sempre penalidades significativas e não apenas repreensões verbais. A política deverá ser justa e exigir algum esforço para ser violada;
• Um conselho de análise de incidentes, cujos membros decidem se o funcionário e ou não culpado por determinada infração;
• A aplicação da penalidade prevista na política, de acordo com a infração.

Quando a política é formulada de uma maneira razoável, difícil de ser violada acidentalmente e aplicada universalmente, não por um indivíduo, mas por um grupo, geralmente as pessoas que quiserem violá-la serão descobertas rapidamente e tratadas com justiça. Aqui o perigo está na execução seletiva da política. Nesse clima, as pessoas talvez sintam que poderão fugir a punição e assim estarão mais propensas a atravessar os limites proibidos pela política.

4.9. Processo de Demissão

Às vezes, apesar de uma política excelente, torna-se necessário que alguém deixe a empresa por causa de um problema de segurança. Em outras situações, alguém é demitido por motivos não relacionados à segurança, mas trata-se de um funcionário com acesso especial à rede. É extremamente importante uma política clara para lidar com os aspectos da segurança da rede relacionados ás demissões.

Uma política para o término do acesso apresenta estas características:

• Desativação rápida e universal do acesso;
• Mecanismo para os funcionários demitidos recuperarem ou excluírem informações pessoais existentes na rede, sem colocar em isco a segurança da rede;
• Meios para convencer, de maneira educada, mas com firmeza, o funcionário demitido de que seria uma tolice tentar algum abuso adicional à rede.

O modo exato como estes critérios deverão ser executados dependerá significativamente dos departamentos de RH e jurídico, que deverão participar da definição da política. O caso em que a política de demissão deverá funcionar adequadamente é aquele em que um funcionário vital e com acesso especial precisa ser demitido de acordo cm a política de segurança, mas o gerente considera que o funcionário ainda precisa manter algum nível de acesso durante algumas semanas. Se a sua política for capaz de lidar com essa situação e a administração apoiar sua solução, você estará pronto para ser bem-sucedido na maioria dos casos.

4.10. Processo para Pedidos de Demissão

Lidar com um pedido de demissão é, em princípio, um processo semelhante ao de uma demissão, exceto pelo fato de, na demissão, o elemento de surpresa estar trabalhando a seu favor na maior parte do tempo. No caso do pedido de demissão, o funcionário demissionário tem a vantagem da surpresa. Para este caso, a habilidade para cortar o acesso rapidamente não é tão importante quanto a habilidade de identificar o que o funcionário fez durante as últimas semanas. Se o funcionário demissionário pretendia causar problemas de segurança, estes já devem estar acontecendo no momento em que você toma conhecimento do pedido de demissão.

Como o pedido de demissão costuma ser uma surpresa, haverá uma pressão adicional para permitir que os funcionários demissionários continuem com acesso por algumas semanas e uma boa política deverá ter meios para lidar com essa questão de maneira eficaz.

4.11. Contratados

As políticas que envolvem contratados por empreitada costumam se basear no conceito de níveis aceitáveis de risco. O relacionamento entre o contratado e a empresa é diferente do que ocorre com um funcionário, porque as responsabilidades e privilégios do contratado são definidos de uma forma mais explícita e normalmente se restringem a um único trabalho específico, enquanto o funcionário poderá trabalhar em muitos cargos durante a sua permanência na empresa. Por esse motivo, a definição de níveis de acesso para contratados pro empreitada poderá ser bastante direta na maioria das áreas, pois é possível ser mais exigente com um contratado em termos de acordos de não-divulgação e documentos legais do que normalmente com funcionários. Por causa disso, pode-se selecionar um nível efetivo de proteção que permita aceitar o risco de colocar contratados na maioria das funções pouco ou moderadamente sensíveis. Para as funções de alta sensibilidade, é preciso equilibrar a necessidade de um contratado e o potencial do compromisso referente a informações proprietárias.

5.Segurança física

A segurança física é uma parte importante da segurança global da rede, mas é um dos aspectos mais malcompreendidos da segurança de rede. Com muita freqüência, a imagem associada à segurança física e semelhante àquela mostrada no filme Missão: Impossível, no qual uma equipe de agentes se infiltra furtivamente em um centro de computadores, escalando paredes com apoios à base de sucção, ultrapassando grades de alarme a laser e pendurando-se no teto para escapar de sensores ultra-sensíveis instalados no chão. Muito emocionante e tudo isso apenas para ter acesso a um monitor e a um teclado que qualquer desenvolvedor teria desabilitado quando todas as precauções de segurança fossem ativadas, mas que no filme continuam ligados.

Se você está em um tipo de negócio no qual espera que espiões com capuzes pretos tentem entrar pelos enormes dutos de ventilação, provavelmente dispõe de fontes para aprender sobre projetos de segurança física completamente diferentes deste livro e também mais apropriadas.

5.1. Quais São as Ameaças?

A grande maioria enfrenta várias ameaças às redes, que são bem menos coloridas, mas são muito mais problemáticas e ocorrem todos os dias, como as seguintes:

• Funcionário manipulando indevidamente o equipamento;
• Acesso impróprio às fitas de backup;
• Desconexão acidental do equipamento de produção;
• Sobrecarga do circuito de energia pelo acréscimo de um equipamento não-previsto;
• Falta de energia;
• Danos causados por água;
• Roubo.

As ameaças mais perigosas e prejudiciais também podem ser as mais prosaicas. Um amigo começou uma empresa de comércio eletrônico de Internet, na cidade de São Francisco. Depois de muito trabalho, conseguiu uma entrevista com uma importante empresa de cartão de crédito na cidade de Nova York. Ele e seus sócios planejaram com muito cuidado uma apresentação, porque uma boa demonstração de sua tecnologia permitiria a aprovação do negócio e eles dispunham de pouco tempo. A pessoa que os receberia era conhecida como mal-humorada, mas conquistar sua simpatia renderia um negócio no valor de milhões. Decidiram chegar cedo à sala do encontro e montar todo o equipamento para que pudessem testar e solucionar qualquer problema. Tudo funcionou com perfeição e eles conseguiram se conectar com os servidores que estavam no pequeno escritório em São Francisco. Infelizmente, no mesmo momento em que eram ao Grande Homem em Nova York, o proprietário do edifício do escritório de São Francisco deixava que pintores entrassem na sala das máquinas. Os pintores moveram as mesas para o lado, colocaram lençóis sobre os equipamentos e desconectaram os cabos de alimentação para facilitar o às paredes. Quando chegou à hora da demonstração em Nova York, o software, que funcionara perfeitamente momentos antes, ficou completamente congelado. O Grande Homem tinha outros compromissos e foi embora antes que algo pudesse ser feito para superar o problema. O negócio de vários milhões de dólares desapareceu tão depressa quanto o Grande Homem.

O Projeto de qualquer rede de produção deve incluir providências para administrar as questões de segurança física. Muitas dessas questões são controladas por outras pessoas responsáveis pelo projeto do ambiente de computadores, mas um bom desenvolvedor de segurança de rede assegurará que alguém tenha cuidado dessas questões corretamente. Além disso, os desenvolvedores da segurança física da rede deverão levar em consideração estas questões:

• Controle do acesso às salas de máquinas;
• Níveis de acesso às áreas de alta segurança nas salas de máquinas;
• Registro de acesso e de recuperação de registros;
• Administração de visitantes;
• Questões de segurança e de prevenção contra incêndios, relacionadas ao acesso seguro às instalações.

5.2. Fundamentos da Segurança Física

Algumas das questões da segurança física, como incêndios e emergências, ultrapassam o escopo deste livro. Outras questões, como o controle de acesso, serão examinadas em um alto nível, mas caberá a você preencher os detalhes como um exercício.

Como desenvolvedor de uma rede segura, sua meta é a criação de níveis de proteção capazes de sustentar a política de segurança e proporcionar uma proteção razoável contra as ameaças que o preocupam. É muito comum exagerar a segurança física e preocupar-se apenas com questões pouco realistas, portanto, lembre-se dessa tendência e procure evitá-la. A segurança física também costuma ser cara e, por isso, às vezes existe uma tendência para reduzir bastante os custos e eliminar a proteção de que você precisa.

Um bom modelo para a segurança física é conhecido como o modelo cebola ou a solução em níveis. Uma representação poderá ser semelhante à Figura 8.1. O gradiente de segurança está definido, cobrindo tudo que vem do mundo externo para a parte mais interna da segurança, além de transições (A, B, C, D) estabelecidas para cobrir a passagem do rotocolo de um nível para o outro. Um exemplo simplificado dessa organização na forma da política e apresentado a seguir.Um modelo real tende ser muito mais complicado do que uma “simples” cebola e deve ser parecido com a Figura 8.2 (às vezes chamado modelo de dente de alho por pessoas que gostam de cozinhar). Após a construção de um modelo desse tipo, é preciso fazer com que as instalações atendam ao modelo: projete as instalações de uma forma que torne extremamente difícil atravessar de um nível para outro com a utilização de algum meio que não seja um dos permitidos explicitamente.

Figura 1: Modelo da cebola para segurança física

Estruturar as instalações talvez seja mais difícil do que se possa suspeitar. Por exemplo, poderá haver um leitor de crachás na porta de entrada da sala de máquinas, permitindo o ingresso apenas de pessoas específicas. Até aqui, tudo está perfeito. Agora, arrume uma escada de mão e erga um bloco do teto ao lado de fora da sala de máquinas. Subindo pela passagem no teto, será possível erguer outro bloco e descer até a sala de máquinas sem precisar de um crachá? Neste caso, existe um modo para fazer a transição que não foi considerado em sua política ou na construção. É possível erguer um bloco do piso e arrastar-se da sala de máquinas até a sala da segurança? Então existe outro modo. Alguém fora do prédio poderá esperar que um funcionário saia por uma porta trancada, pegar a porta antes que se feche e entrar em uma “parte segura” do prédio? Então ainda existe outro modo.

Figura 2: Modelo de dente de alho para a segurança física

Em sua maior parte, os desenvolvedores de segurança de rede não cuidam sozinhos desse tipo de problema. Existem empresas e projetistas de instalações cuja especialidade é o controle de acesso. Porém, no caso de empresas de porte pequeno a médio pretendendo construir instalações razoavelmente seguras, costuma haver uma verba disponível para a construção, mas não para consultores caros. Assim, o desenvolvedor de segurança de rede freqüentemente se envolve com problemas desse tipo de alguma maneira, informando uma especificação ao consultor especializado ou fazendo de fato o projeto de segurança física em algum nível.

Como desenvolvedor, portanto, sua responsabilidade consiste em pensar cuidadosamente no que deseja e tentar desenvolver um projeto razoável, capaz não apenas de impedir que as pessoas cruzem os limites (tão forte quanto for necessário para cada limite), mas também de detectar que alguém está tentando atravessar um nível sem autorização (com uma probabilidade relacionada á importância desse limite.

5.3. Um Pouco de Exagero

As questões de segurança física parecem impressionar mas às pessoas do que as questões referentes à segurança de computadores. Sugerem que se construa uma fortaleza (a segurança física que se compreende facilmente para apontar soluções) ou consideram haver pouco ou nenhum motivo para as medidas de segurança realizadas em um sistema de computadores sejam bastante reais e impliquem despesas reais para sua implementação e teste, não são tão tangíveis para a maioria das pessoas como uma grande parede de concreto ou uma porta com leitor de cartões.

Por exemplo, considere a transição de entrada e saída da área de MIS/TI descrita na seção anterior. É possível construir o limite perfeitamente, com paredes do piso real até o teto real, sem deixar nenhuma passagem suficiente para alguém atravessá-la, e detectores a laser sobre o teto falso para reconhecer sempre que um bloco do teto for erguido. Porém, as paredes provavelmente serão construídas com um material que não resistirá a uma alavanca ou marreta. Isso significa que deverá repensar o projeto e erguer paredes de concreto ou aço? A resposta será provavelmente não. Caso considere haver boas chances de ocorrer um ataque daquele tipo ou o objeto a ser protegido na sala for tão valioso que não possa correr riscos, use todos os meios possíveis para tornar as paredes mais fortes. Na maioria dos casos, entretanto, bastará projetar proteções contra pessoas que agem às escondidas; é muito pouco provável que alguém da sala ao lado do departamento de contabilidade leve uma marreta para conseguir atravessar as paredes da sala de máquinas.

5.4. Backup

Uma importante preocupação da estratégia de segurança física deverá ser o backup. O backup adequado será sua salvação, se ocorrer algo muito sério, mas os backups também apresentam vários perigos. Considere algo muito importante de sua propriedade intelectual, que exigiu muito tempo e dinheiro para guardar em sua rede. Poderá ser inacreditavelmente difícil invadir a rede pela Internet e conseguir acesso ao sistema principal no qual se encontram essas informações. Talvez seja realmente impossível roubar uma cópia das informações pela Internet, porque você realizou um trabalho muito bom em seu projeto de rede. Entretanto, se um visitante em uma excursão pela empresa tiver a chance de roubar um cartucho de fita de quatro milímetros (um pouco maior do que uma caixa-de-fósforo) com o backup completo da máquina principal, colocando-o no bolso e saindo sem que o roubo seja descoberto, toda a segurança da rede será em vão. Ou, se o funcionário de salário mínimo que executa os backups para você, estiver a serviço de um concorrente e pegar “emprestado” uma fita, copiá-la e devolvê-la antes de alguém perceber sua falta, a segurança da rede passará a ter uma grande brecha.

Pensar patologicamente sobre o sistema de backup é uma iniciativa muito compensadora e não algo que se deva menosprezar. Todos sempre falam da importância do backup, mas poucas empresas o fazem realmente bem. Algumas perguntas que devem ser levadas em consideração:

• Os backups são realizados regularmente?
• São executados corretamente?
• Os backups são utilizáveis?
• Como os backups são armazenados no local? São vulneráveis a roubos casuais? Quem poderia roubá-los?
• Existe uma forma sistemática de constatar se uma fita de backup foi roubada?
• É difícil localizar uma fita de backup específica que está armazenada no local? Qual foi a última vez em que essa capacidade foi testada?
• Como os backups são armazenados fora do local?
• Quem pode enviar ou requisitar fitas armazenadas fora do local? O que acontece se essa pessoa não estiver disponível?
• O que assegura que as fitas enviadas para fora do local estão inacessíveis a qualquer pessoa que não pertence à empresa?
• Quanto tempo é necessário para recuperar uma fita armazenada fora do local? Existem procedimentos para uma recuperação de emergência vinte e quatro horas por dia? Quem precisa autorizar a recuperação de emergência?
• Se ocorrer um desastre importante, os principais backups necessários para restabelecer o serviço no local estão armazenados fora do local ou em outro lugar?
• Que objeto ou conhecimento, se houver, além da posse física da fita, é necessário para restabelecer os arquivos da fita? Quem controla esse objeto ou conhecimento? Existe alguma possibilidade de essa pessoa abusar do controle? O que acontecerá se a pessoa não estiver disponível?

5.5. Navegação de Serviço

Costuma ser bastante instrutivo pensar patologicamente sobre as medidas de segurança física. Por exemplo, considere as seguintes perguntas:

• Que acesso você terá às áreas essenciais (sala de máquinas, áreas de segurança, áreas de armazenamento de fitas), se o sistema de controle de acesso por crachás não estiver ativo?
• Que acesso você terá a essas áreas durante uma interrupção do fornecimento de energia?
• Que acesso a essas áreas é necessário fornecer durante um treinamento contra incêndios, colocando em risco a segurança da rede?
• Existem chaves mecânicas para as portas seguras? Quem tem acesso a essas chaves? Como é registrado o uso das chaves?

Uma boa maneira para lidar com algumas dessas perguntas consiste em equiparar as portas com dispositivos contra incêndio, que permitem abris as portas sem uso de energia elétrica, mas fazem soar bem alto um alarme alimentado por uma bateria. Dessa maneira, é possível projetar o sistema para “falhar com segurança” no caso de um problema no fornecimento de energia (permanecendo bloqueado), mas as equipes de emergência ainda terão uma forma óbvia de chegar à sala, se necessário, e você também. Lembre-se de que é preciso dispor de um modo razoavelmente seguro para redefinir esse alarme, se algum dia for necessário. Não teria sentido usar um dispositivo contra incêndio e, em seguida, ser capaz de desativar o alarme. Uma chave especial ou algo semelhante deverá ser necessário.

A situação a ser evitada é o cenário clássico do cinema, em que uma mudança secundária do sistema de controle de acesso de repente tranca as pessoas do lado de fora da sala em que a rede pode ser monitorada e controlada. A menos que você esteja defendendo algo que represente risco de vida, essas precauções serão uma boa forma de causar problemas e complicações desnecessárias em suas instalações.

5.6. Energia Elétrica

Quando era estudante de faculdade e trabalhava no centro de computação da Universidade Carnegie Mellon, aprendi uma lição sobre energia que não foi ensinada pelo departamento de engenharia elétrica da minha escola. Estava trabalhando no problema de uma aula, usando um dos terminais conectados ao sistema principal de computadores dos alunos (um Teletype ASR-33, conectado a um IBM 360/67, para você ter idéia de há tempo isso aconteceu). Os Teletypes eram terminais eletromecânicos, que funcionavam fazendo muito barulho. Seus teclados eram bastante duros e eu estava tendo dificuldades com o meu. Cheguei ao final da linha que estava digitando e apertei a tecla RETURN com bastante força. Nesse exato momento, houve um ESTRONDO muito alto!!! Todas as luzes se apagaram e os Teletypes travaram.

Por um momento, quis saber se foi minha culpa por ter usado tanta força. Então, alguém perto da janela gritou que um guindaste tinha virado lá fora. Todos correram até a janela para ver. No vale atrás do prédio de ciências havia um enorme guindaste que estava sendo usado para desmontar uma antiga estrutura de metal e liberar o espaço para outra construção. Aparentemente o solo cedeu sob um dos lados do guindaste que inclinou e tombou, rompendo vários cabos elétricos na queda. Depois descobrimos que a universidade havia projetado cuidadosamente o prédio de ciências para ter duas fontes de alimentação de emergência redundantes de subestações diferentes, permitindo que o prédio continuasse com as atividades normais, caso uma das fontes de alimentação fosse interrompida. Uma boa idéia, mas infelizmente as duas fontes de alimentação eram transportadas pelos mesmos postes cujos cabos foram cortados na queda do guindaste.

Alguns momentos depois que vi o guindaste, um dos engenheiros do centro de computação chegou correndo à sala de terminais e me chamou para acompanhá-lo. Depois de um segundo, percebi o porquê e saí correndo atrás dele. O IBM 360 usava uma unidade de disco chamada 2514. Os 2514 tinham o tamanho de uma pequena lavadora de roupa e usavam pacotes de discos removíveis que armazenavam alguns megabytes (o que era muito naquela época). Os pacotes de discos eram pilhas de pratos magnéticos com pouco mais de 30,5 cm de diâmetro, empilhados um sobre o outro com menos de 1,5 cm de espaço entre os pratos. Quando se precisava de um determinado conjunto de arquivos, montava-se o pacote de discos em uma unidade e, como o pacote girava a uma taxa de rotação formidável, era possível ver as cabeças de disco se movimentando sobre os pratos. As cabeças flutuavam em uma bolsa de ar a uma minúscula fração de centímetros sobre o prato para realizar a leitura e gravação no pacote. De vez em quando, algo acontecia e uma das cabeças de disco batia direto no prato, fazendo um ruído horrível e destruindo as cabeças, o pacote e ás vezes a própria unidade. A sala de computadores teve dúzias dessas unidades de disco em execução em determinado momento, contendo valiosos dados científicos e administrativos. A sala de máquinas parecia uma enorme lavanderia muito movimentada, com operadores montando e desmontando pacotes de discos, à medida que o computador solicitava um novo pacote.

Constatamos que os discos 2514 apresentavam um problema. Um sistema à base de molas era encarregado de retirar as cabeças quando ocorresse interrupção do fornecimento de energia, mas não era um sistema completamente confiável. Se o disjuntor do circuito estourasse, cortando a alimentação abruptamente, era preciso examinar a máquina para ter certeza de que ocorrera a retração das cabeças. Normalmente, as cabeças se retratam, mas às vezes não. Quando o fornecimento de energia era cortado, a energia rotacional armazenada no disco mantinha-o girando e fornecia uma bolsa de ar para as cabeças durante cerca de 15 minutos. Assim, havia tempo para usar uma ferramenta especial fornecida pela IBM e retrair manualmente as cabeças antes que se chocassem no prato, destruindo os discos, cabeças e tudo mais.

Naquele momento, percebi que a energia havia sido cortada abruptamente em todas as unidades ao mesmo tempo. O tempo avançava e a sala de máquinas ficava três andares abaixo, onde ficavam as salas de todos os engenheiros, algo literalmente “underground”.

Corremos pelas escadas, somente para descobrir outro problema. A universidade teve a sabedoria de equipar toda a escadaria com iluminação alimentada por um sistema de emergência. O sistema de emergência centralizado e baseado em um gerador, entrando em funcionamento imediatamente após um blecaute, pareceu bem mais barato do que a iluminação alimentada por baterias. Porém, o sistema nunca havia sido testado e não funcionou. Encontramos as escadas inteiramente às escuras. Nossas caixas de ferramentas com as lanternas estavam no laboratório ao lado da sala de máquinas. Percorremos os degraus, tateando o caminho e contando os andares. Quando chegamos ao andar correto, seguimos as paredes da escadaria até a porta da sala de máquinas.

Cada um tentava encontrar pelo tato a chave da sala de máquinas em seu chaveiro, até que alguém finalmente conseguiu abrir a porta e passamos pelas prateleiras de fitas na direção do laboratório. Os operadores, que momentos antes estavam ocupados cuidando do mainframe gigante, estavam sentados na escuridão pensando no que fazer. Tateando, encontramos uma lanterna no laboratório e, a partir de então, tudo ocorreu muito depressa. Rapidamente examinamos cada unidade, verificando que algumas cabeças estavam retraídas e que precisavam ser reposicionadas em outras. Depois de vários e repetitivos exames, ainda tensos, ouvimos cada unidade parando lentamente até que todos os discos pararam de girar à medida que passava o salvador período de quinze minutos. Quando a sala ficou em silêncio, não havíamos ouvido nenhum barulho de cabeça arrastando ou quebrando e só então tivemos certeza de que chegamos a tempo.

Aprendi várias lições valiosas nesse incidente, lições que me são úteis desde então:

• Um sistema redundante deverá ser redundante em todos os níveis, inclusive no roteamento físico de cabos, sempre que possível;
• Não se saberá se os sistemas de segurança, como as luzes de emergência, funcionarão a menos que sejam testados;
• É muito melhor testá-los com antecedência do que descobrir que não funcionam quando se precisa deles;
• Coisas sem sentido acontecem, até quando se supõe que sejam impossíveis, portanto, coloque o equipamento de segurança em um lugar onde consiga encontrá-lo até na escuridão;
• Sistemas considerados capazes de “falhar com segurança” nem sempre funcionam assim. Suponho que funcionarão corretamente, mas teste-os de qualquer maneira.

Existem várias perguntas que você poderá fazer a si próprio se pensar de maneira patológica em relação aos sistemas de energia. A seguir são apresentadas algumas boas perguntas:

• Quais sistemas deverão ter baterias de emergência?
• Por quanto tempo as baterias fornecem energia? Como é possível determinar isso em meio a uma crise?
• Os computadores têm baterias de emergência. E os monitores?
• O que acontecerá quando acabar a energia da bateria?
• É necessário um gerador?
• Quantos sistemas críticos estão no mesmo circuito? O cabo de alimentação é o mesmo?
• Sistemas considerados redundantes compartilham o mesmo circuito de energia?
• O controle de acesso e outros sistemas “falham de maneira segura” ou “falham de maneira imprevisível”? O que fazer em cada caso?
• Quando foi realizado pela última vez um treinamento contra desastres? Ou quando as baterias de emergência foram testadas?

Em determinado local que ajudei a projetar, costumava conduzir clientes e visitantes em uma excursão pelas instalações e terminava parte da excursão desligando o disjuntor principal da sala de máquinas. Os sistemas zumbiam em toda a rede, alimentados por baterias. Sempre assegurava a mim e aos visitantes que o sistema era tão bom, que permitia fazer essa demonstração. Não é necessário realizar tal proeza durante uma excursão normal, mas avalie o quanto está perto (ou longe) da capacidade de fazer algo semelhante e pense no que poderá fazer para melhorar.

5.7. Telefones

Uma das maiores preocupações da vida de qualquer gerente de segurança de rede é o modem analógico. A ampla implementação da Internet em várias empresas começou a reduzir sua onipresença, mas os modems analógicos conectados às máquinas desktop oferecem uma habilidade sem precedentes para os atacantes invadirem a rede. Considere o seguinte cenário.

Um engenheiro, com um prazo final apertado, deseja trabalhar em casa. Solicitar uma permissão demora muito e, de qualquer maneira, ele está muito ocupado para solicitá-la. Ele acaba lembrando que a pessoa da pequena sala ao lado da sua tinha uma linha de fax antes de ser transferida para outro departamento. Como está desocupada, o engenheiro entra furtivamente na saleta e constata que a linha ainda está ativa. Ele traz de casa um modem barato e o conecta à linha de fax e ao PC em sua mesa de trabalho. Durante as duas semanas seguintes, ele trabalha no escritório durante o dia e, a noite, usa em casa um conhecido programa de “controle remoto” para PC. Como somente ele sabe sobre a linha, imagina estar seguro e não define uma senha para o acesso de controle remoto.

Ele conclui o projeto em tempo e decide tirar umas semanas de férias para espairecer. Esquece-se de desligar o modem antes de partir.

Se isso tivesse acontecido em sua empresa, agora haveria um modem permitindo o acesso não-autenticado à sua rede de engenharia e esperando apenas ser descoberto. Um amigo, que é um sujeito bom e respeitado, ligou pessoalmente para a maioria (logo serão todos) dos números de telefones existentes nos códigos de área 415, 408, 510, 707, 925 e 650 (área do vale do silício e da bacia de São Francisco), simplesmente para verificar como respondiam, O número de sistemas críticos abertos e sem autenticação encontrados foi surpreendente. Eram conexões de manutenção para roteadores, aplicativos de controle remoto como o descrito no exemplo anterior, sistemas pertencentes à polícia e ao corpo de bombeiros – a lista continua sem parar. Seu trabalho era realizado com software comumente disponível e um par de modems em um computador barato. Isso pode ser feito facilmente por outras pessoas e certamente já ocorreu. A seguir são apresentadas as perguntas a que você deverá responder em relação ao uso de telefone/modem em sua empresa.

• Existe uma política declarada em relação ao acesso via modem de/para as máquinas da sua rede?
• O pessoal responsável pelas instalações de telecomunicações está consciente dessa política?
• Um funcionário pode solicitar uma linha analógica capaz de receber chamadas sem o conhecimento do departamento de segurança?
• Existe um sistema diferente, bem controlado e monitorado para eliminar a necessidade desse tipo de modem desktop, sempre que possível?
• O seu sistema de monitoração perceberia a tentativa de rastreamento do número de telefone da empresa?
• Como saber se não existe um modem conectado à sua rede?
• Alguma vez foi realizado o rastreamento telefônico dos números atribuídos à sua empresa, à procura de algum modem em autorização?

5.8. Registro do Controle de Acesso e Análise do Registro

Sua empresa desenvolveu um sistema maravilhoso para administrar os crachás utilizados para permitir a circulação das pessoas pelos vários setores das instalações. Entretanto, como acontece na maioria das empresas, esse sistema é executado por outro setor da empresa e não pelo departamento responsável pela segurança da rede. Por outro lado, qualquer falha do sistema poderá afetar a segurança da rede e, portanto, existem boas razões para pensar patologicamente nisso e fazer algumas perguntas:

• Como os registros do sistema de controle de acesso são coletados?
• Como os registros são acompanhados?
• São registradas as tentativas que não foram bem-sucedidas?
• Quem pode alterar a política de controle de acesso para um usuário?
• Qual aprovação é necessária?
• O sistema de controle de acesso consegue diferenciar um funcionário autorizado e outra pessoa que apenas usa o crachá do funcionário?
• Existem formas para uma verificação cruzada da entrada em locais sensíveis (como uma gravação de vídeo)?