Biometria?

Primeira possível evidencia de protocolos de segurança para uso militar

Estava eu pesquisando e lendo sobre Biometria, quando me deparei com uma colocação muito interessante de Ross J. Anderson em seu livro “Security Engineering” no 15º Capítulo sobre Biometria, onde ele faz uma citação Bíblica, que está no livro de Juízes 12:5-6:

Porém tomaram os gileaditas aos efraimitas os vaus do Jordão; e sucedeu que, quando os fugitivos de Efraim diziam: Passarei; então, os homens de Gileade lhes diziam: És tu efraimita? E dizendo ele: Não; então, lhe diziam: Dize, pois chibolete; porém ele dizia: sibolete, porque o não podia pronunciar assim bem; então, pegavam dele e o degolavam nos vaus do Jordão; e caíram de Efraim, naquele tempo, quarenta e dois mil.

Anderson comenta que a ocasião acima pode ser a primeira evidencia de uso militar de protocolos de segurança, em que a autenticação depende de uma propriedade do ser humano (nesse caso foi o sotaque, nos dias atuais seria o reconhecimento de voz).

Biometria é a medição biológica, feita através da medição dos aspectos anatômicos individuais ou fisiológicos (geometria da mão ou impressão digital).

Por ser um eficiente mecanismo de segurança, atualmente a biometria é utilizada demasiadamente no setores públicos e privados, seja para autenticação de usuários em sistemas, controle de acesso físico, transações financeiras, entre outras. O processo de cadastramento, analise e validação é feito através da captura, extração e comparação das características humanas.

Principais Tipos de Biometria

Comportamental: Utilizado na identificação do comportamento humano que possibilita a identificação de pessoas pelo seu jeito de andar, por gestos ou até mesmo uma mania;

Facial: Utilizado muito na identificação de pessoas, não é uma medida intrusiva, que precisa de informações pessoais ou impressão digital. Basta uma serie de fotografias para propiciar a identificação;

Digital: Utilizado mundialmente, devido a segurança, baixo custo e não possuir barreiras culturais. A coleta pode ser feita por um dispositivos óptico (mais utilizado), capacitivo ou ultra-sônico;

Íris: Reconhecimento da íris, é julgada seis vezes mais segura que a biometria digital, por ser uma das melhores seu custo é alto;

Voz: Reconhecimento de voz, não é considerada confiável como a íris e a digital, pois não faz uma autenticação de voz, mas sim uma conversão da fala em texto (não tão simples assim) e comparada em um banco de dados. (conceito complicado e que está evoluindo).

O relato que achei interessante de Anderson, sobre a primeira possível evidencia despertou atenção sobre o assunto, pois sem nenhum recurso ou conhecimento tecnológico aqueles homens perceberam que cada individuo possui características únicas, esse é o ponto chave da biometria que vem sendo utilizada mundialmente e está em constante evolução. Um recurso para segurança eficiente e que não necessariamente tem opções apenas de alto custo. Suas vulnerabilidades e as dificuldades enfrentadas em sua implementação, são assuntos para um próximo artigo…

Referências

ANDERSON, Ross John. Security Engineering: A Guide to Building Dependable Distributed Systems. 2. ed. Indianapolis: Wiley Publishing, Inc, 2008. 1080 p.

Bíblia. Português. The Revival Bible. Tradução de Beth Dias, Clarice Tammerik, Fábio Lucas, Giuliana Niedhardt e Valéria Lamin. Rio de Janeiro: Editora Central Gospel Ltda, 2012. 2000 p.

O QUE é biometria?. Disponível em: <https://canaltech.com.br/seguranca/O-que-e-biometria/>. Acesso em: 02 mar. 2018.

SANTOS, Alfredo Luiz dos. Gerenciamento de Identidades: Segurança da Informação. Rio de Janeiro: Brasport, 2007. 192 p.

Confiabilidade nos Aspectos da Segurança da Informação

O que é a confiabilidade?

Qualidade daquele ou daquilo que é confiável; fiabilidade. (Michaelis – Dicionário Brasileiro da Língua Portuguesa)

Conforme Antonio, a Segurança da Informação é uma disciplina, ou seja, um determinado ramo do conhecimento, que se concentra na qualidade, que entende-se como a confiabilidade, da prestação de informações e no gerenciamento da continuidade das operações.

A confiabilidade que apontamos nesse artigo, refere-se ao CID que é abreviação para confidencialidade, integridade e disponibilidade. Também conhecido como a tríade em Segurança da Informação!

A tríade em Segurança da Informação

Figura 1 – A Tríade em Segurança da Informação

Seguindo esses critérios, é possível garantir a confiabilidade das informações.

Figura 2 – A Tríade em Segurança da Informação – Atributos Importantes

Atualmente é aplicado a Segurança da Informação dois atributos importantes, a Autenticidade e o Não-repúdio/Irretratabilidade. A seguir serão apresentados esses conceitos para melhor entendimento:

Atributos da confiabilidade das informações

•      Integridade: Garantir a exatidão da informação;

•      Confidencialidade: Garantir somente acesso autorizado às informações;

•      Disponibilidade: Garantir que a informação esteja sempre disponível;

•      Autenticidade: Garantir que a informação é autentica;

•      Não-repúdio ou Irretratabilidade: Garantir que o usuário não negue autoria ou alterações nas informações.

Assim sendo, todos estes atributos em conjunto e implementados em conformidade podem garantir a confiabilidade das informações.

Para estudar e trabalhar com a tríade, a princípio pode-se responder algumas questões como por exemplo:

•      Confidencialidade: Os usuários que não devem ter acesso aos dados/informações acessam de alguma forma esses dados/informações?

A partir do momento que os dados/informações podem ser acessados/alterados por um usuário que não deveria ter permissão, esses dados/informações já não são mais confidenciais;

•      Integridade: Os dados/informações podem ser modificados de alguma forma que não foi proposta?

Se os dados/informações em seu ciclo de vida sofrem uma alteração indeterminada por usuário sem permissão, esses dados/informações não são mais íntegros;

•      Disponibilidade: Os dados/informações estão acessíveis quando e como se propõem ser?

Quando os dados/informações não podem ser acessados por motivo de falha/interrupção na rede de dados ou nos dispositivos de hardware, esses dados não são mais disponíveis.

•      Autenticidade: Os usuários estão devidamente identificados (autenticados) permitindo o controle de acesso (autorização) aos dados/informações?

É possível verificar a autenticidade através de assinaturas e certificações digitais, que garante a originalidade dos dados/informações;

•      Não-Repúdio (Irretratabilidade): Os usuários podem negar autoria não autorizada a dados/informações e/ou acesso a sistemas sem permissão?

O não-repúdio é a garantia de que determinado usuário não pode negar ter acessado/alterado um dado/informação sem ter permissão, não tendo essa garantia, não obtemos a confiabilidade.

Figura 3 – Confiabilidade

Ou seja, para obter confiabilidade é necessário ter conformidade com esses cinco atributos. Os dados/informações devem ser íntegros, confidenciais, disponíveis, autênticos e que garantam a não negação de autoria.

Esses conceitos não são incompreensíveis, eles são trabalhados diariamente no nosso cotidiano, mesmo que muitos não os reconheçam. É importante empregar esses conceitos de forma consciente e efetiva no dia-a-dia, para uma melhor visão e identificar onde será aplicado os esforços. Ou seja, de forma que auxilie na detecção de componentes críticos, os esforços e recursos que valem a pena investir para correção dos problemas identificados.

Por que se preocupar?

Todos nós somos responsáveis pela Segurança dos dados/informações no ambiente de trabalho e devemos nos preocupar com elas respeitando três fatores:

Risco: trata-se do que está sendo impedido de acontecer;

Ameaça: trata-se de como o atacante faria para agir;

Vulnerabilidade: trata-se do que permitirá a ação.

Para obtermos confiança em um ambiente de trabalho, os elementos tecnológicos, processuais e humanos precisam estar seguros.

Elo mais fraco (Fator Humano): Este precisa ser conscientizado e treinado com frequência, pessoas mal-intencionadas por meio de engenharia social aproveitam-se da vulnerabilidade humana, através de uma falsa identidade, persuadindo pessoas para obtenção de informações privilegiadas e confidenciais para fins próprios;

Segurança e a Usabilidade: A segurança não se adéqua a facilidade de uso; porque na maioria dos casos o usuário para facilitar e agilizar as suas atividades, não se preocupa ou evita o uso dos mecanismos e/ou práticas de segurança. Um exemplo simples é a utilização da mesma senha para várias contas e/ou perfis, ou deixando salvas automaticamente que atualmente é uma funcionalidade dos navegadores.

O oponente: Os atacantes (cibercriminosos) são organizados, são especialistas no que fazem e em muitos casos conseguem o que querem;

Os mecanismos de segurança: O ideal é que o ambiente de trabalho possua serviços de resposta à incidentes e abusos, registro de logs. Os mecanismos de autenticação devem ser bem definidos para o efetivo controle de acesso. Recomenda-se o uso de criptografia para dados/informações que sejam transmitidas pela internet e/ou armazenadas localmente. Backup é importante para as organizações. Ferramentas antimalware, filtros antispam e firewalls.

As atualizações são imprescindíveis para que os mecanismos de segurança funcionem corretamente, é importante que o ambiente organizacional esteja em conformidade com as políticas de segurança, normas e padrões em vigor, como por exemplo a norma ISO 27001, além de muitos outros mecanismos disponíveis;

Licenças X Cracks/Ativadores: Sistemas ou softwares desatualizados e piratas, são alvos fáceis para pessoas mal-intencionadas. Quem garante que um Crack/Ativador não tenha uma Backdoor.

As Dez Leis Imutáveis de Segurança

  1. Se alguém mal-intencionado puder persuadi-lo a rodar o programa dele em seu computador, esse não será mais seu computador;
  2. Se alguém mal-intencionado puder alterar o sistema operacional de seu computador, esse não será mais seu computador.
  3. Se alguém mal-intencionado tiver acesso físico irrestrito ao seu computador, esse não será mais seu computador;
  4. Se você permitir que alguém mal-intencionado transfira programas para seu site, esse não será mais seu site;
  5. Senhas fracas são mais decisivas do que segurança forte;
  6. Uma máquina é apenas tão segura quanto o administrador é confiável;
  7. Dados criptografados são apenas tão seguros quanto a chave de descriptografia;
  8. Um scanner de vírus desatualizado é apenas um pouco melhor do que nenhum scanner de vírus;
  9. O anonimato absoluto não é prático, na vida real ou na web;
  10. A tecnologia não é um remédio para todos os males.

Ataques comuns

Figura 4 – Principais Ataques

As principais ameaças são invisíveis e estão em toda parte.

Exemplos

Sistema para prescrições médicas.

A integridade dos dados será mais crítica. Embora seja importante evitar que outras pessoas leiam quais medicamentos o paciente usa, também é importante que o paciente possa acessar esta lista para realizar a compra dos medicamentos.

Imagine se alguém mal-intencionado pudesse mudar o conteúdo do sistema (alterando a integridade), isso poderia levar a resultados que ameaçam a vida.

Visitar outras partes do mundo.

Ao visitar algumas partes do mundo, o indivíduo pode estar em risco substancial de contrair a malária. Isso ocorre porque a ameaça dos mosquitos é muito alta em algumas áreas, e quase certamente o indivíduo não é imune à malária.

Felizmente, é possível controlar a vulnerabilidade com medicação e tentar controlar a ameaça com o uso de repelente de insetos e mosquiteiros.

Com os mecanismos de controle em funcionamento contra a ameaça e a vulnerabilidade, é possível garantir que o risco não ocorra. Obtendo dessa forma a confiabilidade em Segurança da Informação.

E você, na sua opinião, o que é necessário para obter a confiabilidade em Segurança da Informação?

Referências

ANTONIO, Adriano Martins – Três fundamentos sobre segurança da informação que todo profissional precisa saber. Disponível em: <http://www.pmgacademy.com/pt/blog/artigos/tres-fundamentos-seguranca-da-informação>. Acessado em 19 de agosto de 2017.

Rede Segura – Network. Do original Hack Proofing Your Network – 2nd Edition.Copyright © 2002 da Editora Alta Books Ltda.

CERT.br – Cartilha de Segurança – Mecanismos de Segurança. Disponível em: <https://cartilha.cert.br/mecanismos/>. Acessado em 17 de fevereiro de 2018.

Mirai continua em atividade

Segundo artigo de Ramon de Souza no portal TecMundo, em 21 de outubro de 2016 ocorreu um ataque, que devido a sua proporção poderá entrar para a história, trata-se de um ataque de negação de serviço (DDoS), considerado o maior da história da computação e com rumores de ser o início da 1ª Guerra Mundial Cibernética.

O programa por traz de toda essa anarquia, nomeado como Mirai, foi desenvolvido por hackers com o intuito de invadir dispositivos de Internet das Coisas (IoT) vulneráveis e usa-los como uma botnet (rede de computadores infectados), transformando-os em um exército de zumbis maliciosos.

Esse exército está empregado em aplicar ataques DDoS em massa. Usado pela primeira vez no dia 30 de setembro de 2016, o Mirai infectou mais de 15 mil dispositivos IoT, sendo quase 7 mil câmeras de vigilância, estima-se que o ataque gerou um fluxo de dados de 1,5 Tbps, o que foi suficiente para derrubar o servidor do blog KrebsOnSecurity do jornalista Brian Krebs.

No dia 10 de outubro de 2016, Anna-senpai publicou o código fonte do Mirai no GitHub, para qualquer um usar, Kyle Owen, chefe de estratégia da empresa de segurança Flashpoint, após poucas horas do ataque de sexta-feira (21 de outubro de 2016) confirmou ser um ataque DDoS originado pelo Mirai.

Algumas semanas atrás o Blog de Engenharia Reversa (Reverse Engineering Blog), revelou uma vulnerabilidade no modem Eir D1000 que possibilitava ao atacante controle total do dispositivo, que poderia ser comprometido remotamente através da porta TCP (Transmission Control Protocol) 7547. Não demorou para que indivíduos mal-intencionados modificassem o código do Mirai para explorar essa vulnerabilidade. As portas TCP 23 e 2323 também são utilizadas com frequência.

No último final de semana, clientes da Deutsche Telekom, foram vítimas de um ataque mundial. A empresa relatou que o ataque não conseguiu afetar a maioria dos dispositivos alvos, mas causou problemas para 900.000 usuários. Para mitigar a vulnerabilidade, a empresa fez atualizações.

Embora esteja longe dos holofotes da mídia atualmente, o Mirai continua em atividade, como os cibercriminosos podem aumentar seu exército de zumbis facilmente e em uma velocidade que supera a segurança, poderemos ver muitas notícias em breve.

Para não fazer parte desse exército de zumbis, para não se tornar mais uma vítima, é necessário aplicar as atualizações de sistemas e softwares o mais rápido possível, alterar senhas padrões, adotar medidas e boas práticas de segurança.

Acompanhem o desenvolvimento do Mirai no IBM X-Force Exchange: The inside story on botnets

Referências

SUTHERLAND, Lyndon. Mirai Evolving: New Attack Reveals Use of Port 7547. Disponível em: <https://securityintelligence.com/mirai-evolving-new-attack-reveals-use-of-port-7547/>. Acesso em: 06 dez. 2016.

SOUZA, Ramon. Entenda porque a internet dos EUA foi massacrada nesta sexta-feira. Disponível em: <https://www.tecmundo.com.br/ataque-hacker/110871-entenda-internet-eua-massacrada-sexta-feira.htm>. Acesso em: 06 dez. 2016.

A Tecnologia sozinha não faz milagres em Segurança da Informação

Segundo Leonardo Moreira, diretor da Proof, não há dúvidas que as ferramentas de BA (Business Analytics) realizam um ótimo trabalho na área de SI (Segurança da Informação) possibilitando análises descritivas, preditivas e o apoio em tempo real na tomada de decisões.

Moreira ressalta ainda, a respeito de insights valiosos obtidos na gestão de Segurança da Informação por meio de elementos conceituais, porém importantes, como Big Data, análise comportamental e aprendizado de máquina.

Todavia, a tecnologia sozinha não faz milagres, ainda não existe uma solução que apresente resultados fascinantes para obter sucesso de forma mágica. Ferramentas de BA não podem substituir os sistemas tradicionais de segurança, muito menos pessoas que realizam esse trabalho.

Joseph Demarest, vice-diretor da ciberdivisão do FBI, afirma: “Você vai ser hackeado. Tenha um plano.” Como sabemos bem, não existe sistema completamente seguro, não é possível proteger completamente um dispositivo conectado à internet. Podemos tomar como exemplo o ciberataque massivo causado por um Ransomware intitulado como “WannaCry”, infectando máquinas, se propagando pelo mundo e sequestrando dados, confira aqui. A Microsoft já havia lançado um patch para correção da vulnerabilidade que foi explorada nessa ação, porem obviamente não foram aplicadas.

Atualmente torna-se necessário que os profissionais de SI sejam inteirados com uma boa dose de analise critica, sem serem pessimistas e nem otimistas, mas que trabalhem de forma proativa em defesa dos ativos corporativos, avaliando o ambiente organizacional, determinando os dados importantes, aplicando a PSI (Política de Segurança da Informação) e as medidas que visam proteger a informação da organização, garantindo assim a continuidade dos negócios, minimizando os danos e maximizando o retorno dos investimentos e as oportunidades de negócio, investindo em novas tecnologias disponíveis e testadas, investindo no fator humano e conscientizando toda a equipe, para minimizar o nível de exposição da organização.

Ainda segundo Moreira existem ferramentas de BA eficientes para análise e apoio a SI, porém não são suficientes, antes de iniciar um projeto é fundamental que as ferramentas sejam apuradas para escolher a ferramenta certa, Moreira também ressaltou a respeito de alguns serviços repetitivos como monitoramento e interpretação de alertas, que são desgastantes, e exigem pessoal dedicado e processos consistentes.

A área de SI possui diversas vertentes, não limitada à TI (Tecnologia da Informação), que reporta diretamente a diretoria da organização. No Brasil a SI está em alta, mas não são todas as empresas que investem em SI, devido ao alto custo das tecnologias, e também para manter profissionais preparados e processos bem definidos; existem casos que o gerente de TI é responsável pela segurança da rede, aplicações e dados da organização, em outros casos a SI é terceirizada.

O fator humano sempre foi o elemento mais importante e essencial, sabemos que não existe empresa sem pessoas e nenhuma tecnologia é totalmente autônoma. O ambiente de TI pode se ver livre de algumas tarefas devido ao aprendizado de máquina, mas sempre haverá a necessidade de configuração, analise e identificação de melhorias nesses sistemas.

Para que os profissionais de uma organização foquem em projetos mais complexos, uma opção usada por muitas empresas é a terceirização.

Não adianta apenas investir em tecnologia e não treinar seus funcionários, a SI é tão importante quanto qualquer outra área de uma organização, e sim, essa área necessita de investimento, em infraestrutura, em tecnologias, em princípios e diretrizes da PSI levantados pela organização, na conscientização e treinamento dos funcionários. Para tanto, existe uma ferramenta de gestão que tem como objetivo a melhoria continua dos processos, o ciclo PDCA (Plan-Do-Check-Act), que é aplicado para estruturar todos os processos do SGSI, é necessário enfatizar a importância de: entender os requisitos de SI de uma organização e da necessidade de estabelecer uma politica e objetivos; implementar e operar controles que gerenciem os riscos de SI de uma organização; monitorar e analisar criteriosamente o desempenho e a eficacia do SGSI; e melhorar continuamente baseando-se em medidas objetivas; dessa forma, é necessário planejar, fazer, checar e agir.