Início > Uncategorized > Medidas preventivas de segurança

Medidas preventivas de segurança

Recebi dois e-mails recentemente. Um elogiava a postagem de tópicos sobre segurança e outro reclamava o fato de eu dar mais ênfase para invasões e vulnerabilidades…
Tudo bem, aqui estão algumas recomendações de segurança. Nos próximos tópicos serão detalhados a parte técnica de cada item.
 
Assumir responsabilidades
Duas práticas comuns despertam o problema da responsabilidade em uma rede de computadores, corporativa ou doméstica. O compartilhamento de arquivos por vários usuários e a prática de trocar informações de contas (e senhas) entre os usuários. Trocar informações de login/senha devia ser desencorajado, senão proibido de vez. Para evitar que a pessoa se desloque até a sua sala para acessar um documento, o colega de trabalho cede a sua estação (que já está logada com a sua senha) para que ele utilize. Companheirismo? Coleguismo? Só que qualquer operação realizada, seja correta ou não, fica registrada na senha de quem amigavelmente cedeu o acesso. E nas listagens de relatórios, o seu nome é que vai aparecer. Quem será demitido? Você e não alguém que realmente fez algo errado. Aprendi na vida que, "quem é bonzinho só se ferra". Lembre-se disto antes de emprestar sua senha para alguém.
 
Ambiente rico em vulnerabilidades
Por maior que seja o nível de proteção da rede, uma estação aberta enquanto o funcionário foi tomar cafezinho, já era. No filme Missão Impossível, a agente colocou um purgante no cafezinho do responsável pela segurança do computador central da organização. O cara começou a passar mal e saiu para ir ao banheiro. Então o galã Tom Cruise desceu do teto e acessou o terminal que estava aberto, não estava bloqueado… Cena de filme apenas? Acontece mais do que você imagina na vida real.
Travar o computador quando sair, habilitar a proteção de tela com senha para 1 minuto, apagar o monitor de vídeo. Coisas simples que podem dificultar um pouco o acesso ao seu computador (e a rede de dados da empresa).
 
Gerenciamento de senhas
Existem administradores de rede que são no mínimo incompetentes. Criam senhas padronizadas. Como por exemplo, o nome do usuário acompanhado de três dígitos numéricos. Bastam 999 tentativas para que se descubra a senha de alguém, algo que qualquer computador faz em segundos. Não se recomenda a criação de senhas padronizadas até o primeiro acesso. Nesta janela alguém poderia se aproveitar da senha temporária e fazer com que se obtenha acesso a rede. E depois ainda volta a senha para a senha inicial, como se nada tivesse acontecido.
 
Acesso físico
Proteger as estações, notebooks, e demais equipamentos da rede é de vital importância. E isto inclui o servidor, os cabos de conexão e os switchs/hubs/roteadores. Quem não trabalha na área não pode imaginar o que se pode fazer quando temos acesso a um painel de switchs/hubs/roteadores na nossa frente. É mais ou menos como encontrar o pote de ouro no final do arco-íris sem precisar ir até o fim do arco-íris.
 
Pontos de acesso esquecidos
Se não tem um computador conectado, desligue! Ah, mas alguém pode trazer um notebook e querer se conectar… Tudo bem, quando isto acontecer, chame o técnico responsável. Deixar pontos de rede abandonados no prédio, especialmente em salas de reuníão e conferências, é deixar uma janela aberta para invasões (ou até para funcionários descontentes). Alguém pode se sentar na mesa de reunião, conectar o notebook, acessar tudo o que desejar, colocar tudo em um pendrive e sair pela porta da frente. Quando abordado, ainda pode ameaçar a pessoa, dizendo que "está finalizando um projeto importante que será apresentado para o diretor em uma reunião daqui a meia-hora e ela está atrapalhando…"
 
Pessoal que esteja sendo demitido
Após o susto inicial, o demitido pode se tornar um revoltado, e um revoltado, o pior inimigo da empresa. Pendrive, e-mails (acesso a Internet), CDs, DVDs, celulares com câmera, MP3 Players, MP4 Players, enfim, várias formas de armazenamento deveriam ser confiscadas de um funcionário que está prestes a sair da empresa. Aviso prévio é pedir para que a empresa seja alvo de pirataria, espionagem industrial, roubo de informações, sabotagem… Se vai ser demitido, que seja imediatamente. Depois a gente manda pelo Correios os seus arquivos pessoais.
 
Instalação de hardware não autorizado
Com a disseminação de dispositivos USB, instalar, configurar e alterar os dados em um computador (ou na rede) é muito fácil de ser realizado e muito difícil de ser monitorado. O arquivo XYZ foi copiado para a unidade G: do computador B154… E daí? A unidade G era um pen drive. Sabe lá de quem era aquele pendrive! Ah, mas estava na senha do CICLANO… Então culpemos o Ciclano. Foi ele! O computador registrou! E aqui estamos com a síndrome do bode espiatório. Se houver alguém para culpar, problema resolvido. E os arquivos que foram roubados??? Deixa pra lá, já culpamos alguém.
 
Política de visitantes
A segurança virtual não é nada sem segurança física, e vice-versa. A entrada de visitantes na empresa deve ser restrito ao extremo. Até o filhinho do diretor. Lembra que os maiores hackers do mundo são adolescentes e pré-adolescentes? Então, aquele pivete que gosta de Rebeldes pode sentar no micro do diretor da empresa (seu papaizinho) dizendo que vai "jogar joguinho", e enquanto isto, envia o que puder via e-mail/FTP, instala um sniffer (com autorização da senha do diretor, quem contestaria, não é mesmo), enfim, acaba com a empresa, e tudo para ele não passa de uma brincadeira…
 
Software de inventário e auditoria
Se você não sabe o que tem, como pode controlar? É preciso inventariar tudo na sua estrutura, desde cabos de rede e conectores sobresalentes, até softwares, mesmo os abandoneware (que nem são mais fabricados ou atualizados). Estar em dia com a receita federal? Não, identificar qualquer vulnerabilidade na sua estrutura.
 
Auditoria de sistemas
Faça uma conta de usuário comum, saia do CPD, sente-se em um terminal, e tente invadir seu servidor. Se conseguir, parabéns, você é um bom profissional (foi capaz de invadir um servidor). E também você é um incompetente, pois seu servidor tem vulnerabilidades que qualquer usuário comum pode explorar.
 
Privilégios excessivos
Quando um diretor aparece com um novo programa para instalar no computador e pede para o CPD, o que você faz? Vai até lá, instala e volta para o CPD? Ou promove a conta dele para privilégios de administrador? É mais fácil a segunda opção… E então você passa a ter alguém na rede com os mesmos poderes que você… E se alguém acessar o terminal deste diretor, certamente ele não bloqueia o micro a cada levantada da cadeira, não é mesmo…
 
Por enquanto é só…
Nos próximos posts eu detalho item a item sobre a implementação em sua rede.
Categorias:Uncategorized
  1. Claudia
    3 de agosto de 2007 às 15:37

    porque meu endereço de e-mail será banida em 5 dias, e nao quero que seja banida ok obrigada. claudia 

  1. No trackbacks yet.

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: