Qual o computador mais seguro do mundo ?

June 12, 2009 5 minutos de leitura

Qual é o computador mais seguro do mundo ? Muitos irão dizer que o computador mais seguro do mundo é aquele que está desligado de uma rede, ou até mesmo, desligado totalmente. Por não estar trafegando dados, logicamente, ele não vai poder ser roubado pelos criminosos digitais.

Este sem dúvida, é um dos erros que nós, SysAdmins e Arquitetos de Segurança da Informação cometemos. A falsa certeza de que estamos totalmente seguros.

Erro sim, porque a resposta certa é: não existe computador seguro. Sim, porque mesmo quando este computador está desligado de uma rede, existe uma outra máquina, muito mais “insegura” e “fácil” de ser invadida.

Sim, esta máquina respira, raciocina, mas mesmo assim, através de algumas técnicas muito interessantes pode sem dúvida, ser a maior arma para quem quer invadir uma rede, ou até mesmo tomar controle de alguma máquina para um fim qualquer.

Esta máquina se chama SER HUMANO. Sim, aquela camada esquecida do modelo OSI. Aquela parte totalmente esquecida pelos projetistas de interfaces, que consegue achar um botão perigoso até no projeto mais minimalista.

Ou seja, esta camada esquecida do projeto, que sempre vai nos causar problemas quando menos esperarmos.

É por causa desta camada esquecida do modelo OSI, que não existe sistema ou computador seguro. Se lembra daquele computador desligado da rede ou até desligado da tomada que fez parte da introdução deste texto ?

Um bom profissional da área de invasão ( um cracker ) irá conseguir numa boa fazer alguém ir lá e ligar a máquina.

Tenhamos como exemplo clássico a famosa secretária do chefe. Em geral são pessoas que tem um ótimo tratamento com o público, mas são literalmente, analfabetas em tecnologia. Aquele tipo de pessoa que colocar um negrito no Word é um mistério esotérico.

Assim, esta mesma pessoa, contém, em sua máquina, informações extremamente preciosas, que podem sim, servir de arma para algum criminoso virtual, ou até aquele que está tentando levantar informações para a concorrência.

Por estar muito perto da Diretoria, em geral, estas mesmas secretárias acabam conseguindo alçar direitos de acesso um pouco maiores que o normal. E quer saber aonde está o furo do seu projeto ?

Quando você abre esta exceção, você literalmente tem um backdoor humano pronto a ser acessado por quem quer que seja.

Uma arma clássica para este fim, é o famoso MSN. Um cara esperto, irá ressaltar que a moça é uma beldade e que gostaria de conhecê-la melhor. Mostrará ser conhecedor de informática e lhe dar alguma dicas interessantes de como operar o computador.

Um belo dia, ele mandará um arquivo legal para a moça ( às vezes com a desculpa que ele irá resolver o problema da máquina em questão ) , e ganhará acesso completo a máquina. Dali, como é uma máquinas com alguns privilégios, ele vai ganhar acesso a rede.

E com isto, ele terá como conseguir fazer o que bem entender em toda a rede …

Resumindo, entenderam porque esta camada é tão crítica ? Ela literalmente joga no chão qualquer investimento em segurança, se o seu projeto não levar em conta a política, tão natural nas pequenas e médias empresas.

Sim, porque nas pequenas e médias empresas, a figura do CSO não existe. Existe o cara que cuida da segurança. Este coitado, em geral, está nas camadas mais baixas do ecossistema empreserial, sendo ele sempre açoitado por qualquer gerente e/ou pessoa que tenha um pouco mais de poder na empresa.

Assim, os maiores erros de projetos de segurança estão em empresas deste tipo. Pois ali, a política é o meio para chegar a um fim, que é o de manter-se dentro daquela estrutura empresarial.

Eu não vejo grandes possibilidades de se mudar isto. É intrínseco ao processo. Mas podemos sem dúvida, tentar sanar um pouco este tipo de coisa com treinamento, desde a camada mais baixa, até a camada mais alta do ecossistema.

A grande missão do Analista de Segurança da Informação hoje é tentar proteger o seu usuário, não com ferramentas de segurança, como firewalls e antivírus, mas com treinamento, e principalmente, educação digital.

O único patch para a burrice humana que existe é este. Se você treina o seu usuário e mostra para ele que ele é parte de todo o processo de segurança da empresa, ele se tornará o seu maior aliado, lhe mandando e falando possíveis problemas pelos quais está passando.

Ao invés de dizer ao usuário que ele foi bôbo ao abrir um executável, diga para ele que aquele arquivo que ele abriu pode causar um grande problema a rede, e inclusive, parar o seu trabalho e de toda a empresa.

Massageie o ego do cara, lhe falando que ele é parte do processo, e com a ajuda dele a empresa será mais segura.

Ou seja, use a Engenharia Social para lhe ajudar e não lhe atrapalhar.

Garanto que, por fim, este mesmo usuário, apesar de ter o aval do chefão, irá lhe perguntar se aquele acesso que ele está pegando, não pode causar algum problema no andamento do processo inteiro, que é a segurança do negócio da empresa.

Com talvez este pequeno ganho, analistas que estão em pequenas e médias empresas poderão se sentir um pouco mais seguros.

Mais seguros porque quando o cara que conversa com a Secretária no MSN pedir para ligar aquela máquina do diretor que está desligada, ela primeiramente vai perguntar ao responsável pela rede se pode fazer aquilo.

E finalmente, aquela máquina, desligada, vai sim, ser segura. Não porque está desligada da rede … mas porque, o elemento humano, já não mais vai ser o elemento nocivo de sua rede.

Devemos lembrar sempre que sua segurança deve ser medida sempre pelo elo mais fraco da corrente. E todas as organizações pequenas e médias, hoje, são falhas no quesito humano.

Ainda quero voltar mais para frente neste assunto, mas acho que isto já serve como um pequeno elemento introdutório, sobre a camada mais problemática dos projetos de segurança da informação hoje.

Lógico, tenham em mente que os exemplos aqui citados foram altamente simplórios e podem não bater com a sua realidade. Mas, você sim, continua tendo o mesmo problema que qualquer um. Seu usuários 🙂