O GURU ESTAVA ERRADO! Estar 100% seguro é possível e viável!

Transcrição

1 O GURU ESTAVA ERRADO! Estar 100% seguro é possível e viável! DANIEL ZILLI 1ª edição

2

3 SUMÁRIO Agradecimentos...05 Prefácio...06 Introdução...07 Capítulo Único Segurança Física Softwares Servidor Linux Servidor Windows Estação Windows Pessoas...17 Conclusão...19 Apêndice A...21 Feedback...23

4

5 AGRADECIMENTOS Desta vez não vou agradecer ninguém da família e muito menos da comunidade. Quero dizer o meu muito obrigado a todos os professores de todos os níveis que incentivam e apóiam o software livre. Ser professor é um dom (que alguns não possuem, mas ainda assim dão aula) e uma profissão que merece muito respeito. Parabéns a todos os professores!

6 PREFÁCIO Escrever esse pequeno livro sobre segurança foi um tremendo desafio. Isso porque escrever sobre um assunto já tão exposto como segurança e ainda colocar a cara para bater indo contra todos dizendo que existe segurança 100%, não é fácil. Desafio gostoso e que valeu à pena. Mas para que isso acontecesse foi preciso quebrar alguns paradigmas. Caminhando para o lado contrário dos atuais livros de segurança, O GURU ESTAVA ERRADO! é um livro de fácil leitura, objetivo, pequeno e muito prático. Aqui não tem enrolação ou enchimento de lingüiça só para ganhar páginas. Você poderá por imediatamente em prática o que aprendeu no livro; isso graças ao formato e a maneira que o mesmo se encontra. Os conhecimentos apresentados nesse livro são fruto da minha experiência nas empresas e muita leitura. Estou muito contente com o resultado do livro e espero ter conseguido passar a você leitor uma nova noção sobre o que é segurança e como devemos trabalhar com ela.

7 INTRODUÇÃO Fugindo dos livros de segurança de quinhentas e poucas páginas, este é um livro totalmente prático, do tipo de levar junto para o trabalho e seguir as instruções de uso. Alguns podem até vir dizer que são puras receitas de bolo, mas eu prefiro dizer que são uma metodologia para implantação de segurança. Mas para que tudo ocorra bem, vamos esclarecer algumas coisas e quebrar os primeiros paradigmas. Segurança não é um produto e sim um processo. A segurança de uma organização não depende apenas de um fator, mas sim de vários. Segurança estática é segurança morta! Segurança não é firewall! O firewall é apenas um dos componentes usados para segurança...apenas um! Lembre-se disso. A segurança não pode ser complicada! Quanto mais você complica maior a chance de algo sair errado, além de dificultar a posterior manutenção (a menos que seja isso que a pessoa queira: fazer algo que ninguém entenda para que somente ela possa dar manutenção). A filosofia Unix K.I.S.S (keep it simple stupid) diz tudo! Simplicidade não significa baixa qualidade. Tente sempre fazer as coisas simples, mas com eficiência. A melhor maneira de trabalhar com segurança é de forma preventiva. Existem várias razões para nos preocuparmos com segurança, conforme aviso da NIC BR Security Office. Algumas das ações que uma pessoa malintencionada pode fazer se conseguir dominar o seu computador são: utilizar seu computador em alguma atividade ilícita, para esconder sua real identidade e localização. utilizar seu computador para lançar ataques contra outros computadores. utilizar seu disco rígido como repositório de dados. meramente destruir informações (vandalismo). disseminar mensagens alarmantes e falsas. ler e enviar s em seu nome. propagar vírus de computador. furtar números de cartões de crédito e senhas bancárias. furtar a senha da conta de seu provedor, para acessar a Internet fazendo-se passar por você. furtar dados do seu computador, como por exemplo informações do seu Imposto de Renda.

8 Quem faz a segurança é você e não aplicativos ou fórmulas mágicas. Não acredite que um único programa irá lhe deixar seguro. Você é o responsável, não se esqueça disso. Por último, estar 100% seguro é possível e viável. A grande pergunta que se deve fazer não é se estou realmente seguro, mas sim por quanto tempo estou seguro? Tempo é a palavra-chave. Após aplicar tudo que leu nesse livro, você poderá estar 100% seguro, mas daí vem a questão, por quanto tempo? Aí meu caro colega, ninguém no mundo pode responder. Você pode ficar seguro por 10 segundos ou uma semana. Tudo vai depender da descoberta de novas falhas, vulnerabilidades ou funcionários mal intencionados. Por isso que insisto: segurança é um processo constante e você deve estar sempre atento e atualizado, caso contrário, de nada valeu o seu esforço. Para começar o que interessa, dividi em três partes bem simples a abordagem sobre segurança de uma organização. Abordando esses três pontos, teremos então a segurança dos nossos sonhos. Segurança Física Diz respeito a tudo que envolve hardware e o ambiente de trabalho. Software Envolve tudo que diz respeito a softwares. Desde aplicativos básicos até ao sistema operacional. Pessoas Toda e qualquer intervenção humana é tratada aqui.

9 CAPÍTULO ÚNICO

10

11 1. SEGURANÇA FÍSICA Na sua grande maioria o alvo principal das tentativas de ataques e invasões são os servidores de uma organização. Por estarem geralmente conectados 24 horas na internet, tornam-se alvos óbvios e de fácil acesso. Já que são eles que estão na mira, vou dar uma atenção especial ao abordar esse assunto. Do que adiantam todas as máquinas atualizadas, sistema operacional sem vírus e um belo de um firewall funcionando se o servidor fica numa mesa onde qualquer um tem acesso à ele? A segurança física é muito importante e deve fazer parte da cultura de uma organização. Começaremos aqui os passos para uma segurança 100%. Eis os passos para a segurança física: 1. O servidor não é estação de trabalho! Não use o servidor para ficar navegando sem rumo na internet ou fazer trabalho de aula. O servidor só tem uma função: servir serviços. 2. O servidor deve ficar isolado das estações de trabalho. O acesso físico ao servidor deve ser restrito. Muitas das brechas de segurança encontradas nas corporações, são culpa das próprias corporações, já que essas brechas dizem respeito ao próprio ambiente de trabalho, onde políticas de portas abertas; escritórios sem paredes determinam que os seus servidores fiquem expostos a visitantes. Quero dizer com isso que o lugar ideal do servidor é ficar trancado numa sala climatizada e a chave dessa sala deve pertencer somente ao chefe do CPD, gerente de TI, diretor de informática...etc. Entendeu? Somente o chefe ou alguém de confiança deve ter acesso a essa sala. 3. Previna-se! Deve existir um esquema de recuperação dos dados na organização caso acidentes, roubo ou catástrofes aconteçam. Faça isso ou se pergunte porquê???? depois! 4. Nada adianta deixar o servidor trancado se as mídias de backup ficam para o lado de fora. O backup deve ficar junto ao servidor ou num outro lugar seguro. 5. A rede deve possuir um sistema de no-break e ser estabilizada com energia de qualidade. 6. O cabeamento deve ser de qualidade e feito por quem entendo do assunto. Os cabos de rede devem ser protegidos contra exposição (não ficar esparramado pela sala). 7. Armários com informações sigilosas devem permanecer trancados e isolados. 8. Fitas, relatórios e outras mídias com informações sigilosas que não têm mais uso devem ser destruídos e não apenas jogados fora. 9. Caso queira, você pode ser paranóico e retirar o teclado e monitor do servidor ou usar esses equipamentos especiais de trava. 10. Senha no setup da máquina também é uma boa idéia. 11. Identifique todas as pessoas que entram em sua organização. Crachá neles!!

12 Mas uma empresa não vive só de servidores, temos também em seus parques tecnológicos as chamadas estações de trabalho, que nada mais são do que o computador que usamos para trabalhar no dia a dia. Algumas restrições físicas podem ser feitas para aumentar a segurança, e são elas: 12. O passos 3,4,5,6 e 10 também devem ser aplicados nas estações. 13. Retirar de todas as estações o drive de disquete e cdrom. Faço isso por várias razões. Se sua empresa está conectada em rede, você não vai precisar usar o disquete ou cdrom para copiar arquivos. Caso você venha acessar disquete ou cdrom de fora (enviado por clientes, fornecedores...) deixe os drives em uma única máquina, e de preferência na do chefe. Você com isso evita que pessoas malintencionadas ou por ingenuidade venham trazer programas maliciosos ou vírus para dentro da empresa, sem contar com a possibilidade de roubo de informações.

13 2. SOFTWARES No capítulo passado escrevi sobre o acesso físico do servidor e os cuidados que devemos ter ao escolher o seu lugar. Vamos então agora para o prato principal, os softwares. Para ficar bem claro, dividi as explicações entre servidor e estações de trabalho. 2.1 Servidor Linux 14. As pessoas têm por costume ou falta de competência, fazer a instalação padrão ou completa dos sistemas, não importando se o que instalou vai ser usado ou não. Ao instalar o sistema operacional do servidor, instale somente o necessário. Não instale nada que você ou os serviços que rodarão no servidor não vão usar. Uma dica é fazer a instalação mínima e depois ir acrescentando os softwares que serão necessários ou requisitados pelos serviços. 15. Desabilite todos os serviços que não estão sendo usados. Por padrão quando você instala o Linux nas mais diversas distribuições, vários serviços são habilitados por padrão como ssh, httpd, ftp. O ideal é desabilitar tudo e somente com a necessidade ir liberando os serviços requeridos. Caso o uso desse serviço seja apenas temporário, não se esqueça de desabilitar após o uso. 16. Este passo é muito importante! Atualize sempre seu sistema. Algumas distribuições fazem isso automaticamente outras não, por isso esteja sempre atento aos updates da sua distribuição. Você pode fazer isso assinando boletins de aviso sobre atualizações que algumas distribuições possuem ou visitando diariamente seu repositório. Lembre-se: um sistema atualizado é um sistema seguro. 17. Passe e use um antivirus para assegurar que não exista nem um hóspede indesejado na sua máquina. A F-PROT e a Panda têm ótimas soluções freeware para Linux. 18. Não acumule todas as funções em um só servidor. Colocar banco de dados, servidor de web, mail, proxy e firewall em um só servidor é suicídio. Separe as aplicações conforme o tamanho e uso. Banco de dados num servidor, web e noutro e firewall e squid em outro. Eu sei que isso representa mais gastos, mas é mais seguro. 19. Recompilar o kernel com somente drives e funções que o servidor precisa também é uma valiosíssima dica. E já que você vai mexer no kernel mesmo, que tal aplicar um patch de segurança? Existem vários patches de segurança na net. Sugiro ou Esses patches trarão um aumento de segurança significativa ao sistema. Mas use somente um desses dois, jamais os dois juntos. 20. Fuja do óbvio. A menos que você realmente precise de software específicos, uma solução inteligente é usar programas alternativos aos líderes de mercado. Quanto mais usado é um programa, mas visado ele fica. Sua organização quer usar um servidor DNS? Então em vez de se afundar na complicação e buracos do Bind que tal usar o DJBDNS? Além de muito mais simples é mais seguro. Caso precise de um simples servidor http e acha o apache complicado e grande, tente

14 então o Monkeyd. Existem centenas de programas alternativos e de qualidade (confira esse aspecto antes de fazer qualquer troca), faça uma busca no e descubra esse novo mundo. 21. Instale um firewall. Faça regras de firewall claras e objetivas. 22. Controle o acesso! Através do squid faça controle de acesso sobre o conteúdo e serviços que os usuários terão direito. Se o funcionário precisa apenas do , para que liberar acesso http para ele? 23. Desabilite a resposta do ping do seu servidor. Seu servidor não precisa ficar respondendo ping(a menos se esse recurso seja necessário para a organização ou terceiros), já que este é o primeiro comando que se dá para se iniciar um ataque. Para desabilitar o ping apenas inclua no seu arquivo rc.local a seguinte linha: echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all 24. Você também pode obscurecer alguns dados dos serviços que rodam no seu servidor. Hoje em dia muitos tipos de scans feitos por cracker/newbies/curiosos estão a procura de serviços vulneráveis, baseados justamente na versão retornada pelos daemons. No apêndice B tem um link para um artigo sobre o assunto. 25. Criptografia. Você pode criptografar tudo! Desde o sistema de arquivos até as transmissões de dados. Mas cuidado para não perder a useabilidade. Um estudo de viabilidade precisa ser feito antes. 26. Só exponha o sistema à Internet após completar todos os procedimentos de segurança. 2.2 Servidor Windows Se infelizmente você é da geração clique, tem medo de teclado e gasta um bom dinheiro que não é seu, então provavelmente você usa Windows como servidor. Para esse mal, algumas das possíveis soluções são: 27. Mude com urgência para o Linux. 28. A verdade dói...mas não existe segurança 100% com o Windows. 29. Ao instalar o sistema operacional, instale somente o necessário. Não instale nada que você ou os serviços que rodarão no servidor não vão usar. 30. Não acumule todas as funções em um só servidor. 31. Recompile o kernel com somente os drives e funções que o servidor precisa...te peguei! :-) 32. Instale um firewall. 33. A primeira coisa a se fazer num sistema operacional Windows é passar/instalar/atualizar um antivirus. Recomendo os freewares Free-Av (

15 av.com ) e o AVG ( ). Não que eu seja contra o Norton ou Mcfaee, mas é que eles são pesados demais. 34. Desabilite todos os serviços que não estão sendo usados. 35. Agora faça todas as atualizações de segurança do sistema operacional disponíveis. 36. Limite o número de contas no sistema. Desabilite contas desnecessárias e duplicadas para um mesmo usuário. 37. Renomeie a conta "administrador". Isso evita pelo menos que a grande maioria dos atacantes novatos tentem se logar facilmente utilizando a conta de administrador do sistema operacional. 38. Desabilite as portas que não se encontram em uso. 39. Utilize sempre o sistema de arquivos NFTS. 40. Se você deseja um nível de segurança maior, habilite o EFS (Encrypted File System) em seu servidor. 41. Crie uma conta de usuário restrito para o uso diário. 42.Somente quando realmente necessário utilizar a conta de administrador. 43. Definir permissões somente de leitura para o grupo de usuários. 44. Obrigue seu usuários a gravarem documentos apenas no servidor. 2.3 Estação Windows Como infelizmente a grande maioria das estações de trabalho ainda usam o Windows, focarei os passos a seguir nessa plataforma. 45. Se a melhor escolha que é o Linux não é possível, então mude com urgência para o Windows 2000 ou XP. O Windows 98 é uma peneira só. 46. Repita os passos 29,32,33 e Desinstale tudo que o funcionário não use no trabalho seu do dia-a-dia, isso inclui icq, kazaa, menssenger, cad, corel, jogos, etc. O funcionário tem que entender que o computador é uma ferramenta de trabalho, assim como a pá é para o pedreiro e o giz para o professor. O funcionário não tem que ficar misturando coisas pessoais com o trabalho. Isso não é bom e sempre dá problemas. 48. Jamais... eu escrevi JAMAIS..utilize o Internet Explorer ou E MUITO MENOS o Outlook. Troque os dois pelo Mozilla ou Firebox e Thunderbird respectivamente. Somente com essa troca, a incidência de vírus ira diminuir significativamente. 49. Um último aviso! As mídias de instalação e backup do Windows devem estar

16 livres de vírus e programas maliciosos. Não adianta você formatar sua máquina se o seu cd de instalação vem com vírus junto. Acredite ou não, isso é mais comum do que se imagina, principalmente se o cd é pirata.

17 3. PESSOAS Chegamos no calcanhar de Aquíles da segurança: o ser humano. Querendo ou não, somos o elo mais fraco da segurança e isso precisa ser trabalhado para que possamos minimizar os riscos, e uma das maneiras de fazer isso é através da política de segurança. É imprescindível que a organização possua uma política de segurança. Essa política serve para que todas as possíveis ameaças sejam minimizadas e combatidas eficientemente pela equipe de segurança responsável. Um exemplo muito bom de uma política de segurança voltada para usuário encontra-se no site do Humberto S Sartini (Apêndice A). Algumas regras para o reforço dessa política são listadas a seguir: 50. Treinamentos e conscientização sobre segurança são muito importantes também. Fica difícil você querer cobrar segurança de um funcionário se ele nem sabe ao certo o que é isso. 51. Não fornecer dados pessoais, números de cartões e senhas através de contato telefônico. 52. Ficar atento a s ou telefonemas solicitando informações pessoais. 53. Jamais acessar sites ou links recebidos por ou presentes em páginas sobre as quais não se saiba a procedência. 54. Sempre que houver dúvida sobre a real identidade do autor de uma mensagem ou ligação telefônica, entrar em contato com a instituição, provedor ou empresa para verificar a veracidade dos fatos. 55. Elaborar sempre uma senha que contenha pelo menos oito caracteres, compostos de letras, números e símbolos. 56. Jamais deixe uma senha em branco. 57. Nunca utilizar como senha seu nome, sobrenome, números de documentos, placas de carros, números de telefones, datas que possam ser relacionadas com você ou palavras constantes em dicionários. 58. Utilizar uma senha diferente para cada serviço. 59. Alterar a senha com freqüência. 60. Não escrever a senha num papel e o deixar debaixo do teclado, na mesa ou grudado no monitor. 61. Para quem trabalha ou quer trabalhar com segurança ou simplesmente o abacaxi sobrou para você, a palavra-chave para uma constante segurança é atualização. Você precisa se atualizar sempre. Sugiro selecionar alguns sites de segurança e visitar no mínimo três vezes ao dia. Agora atenção! É imprescindível assinar um newsletter. Assinando um ou mais newsletters de qualidade você estará recebendo em seu mail as últimas notícias sobre segurança, além das últimas vulnerabilidades e avisos de segurança das mais variadas empresas. Por isso se ligue!

18

19 CONCLUSÃO Todo e qualquer computador deve passar pelos passos descritos no livro, não importando se o computador é do presidente ou o controlador de relógio ponto. Para uma segurança 100% todos devem fazer sua parte. Isso porque enquanto a gente perde tempo com essa coisa de segurança tem um monte de caras tentando nos prejudicar, para não escrever outra coisa. A busca da segurança desejada ao ambiente de trabalho deve ser feita de forma simples e eficaz. Insisto nisso porque só existem duas maneiras de se ter acesso a um computador. De forma legítima ou ilícita. A forma legítima é quando você acessa um sistema através da forma convencional, apresentando um login e senha. A foram ilícita é quando você explora falhas e vulnerabilidades do sistema e/ou ambiente de trabalho. Não existem fórmulas ou ataques mágicos. Ou você tem acesso legítimo ou explora uma falha, é assim que funciona. O grande trabalho que temos é minimizar ou zerar as falhas (conhecidas) do sistema e treinar nossos funcionários contra engenharia social e descuidos no uso da informação. Somente com conscientizarão e constante atualização, é que estaremos sempre um passo a frente dos nossos inimigos. Obrigado pela leitura! Abraços, Daniel Zilli

20

21 APÊNDICE A Alguns links selecionados para você ficar ainda mais por dentro do mundo da segurança. Centros de atendimento à incidentes Centro de Atendimento à Incidentes de Segurança (CAIS-RNP) Centro de Emergência em Segurança da Rede Tchê (CERT-RS) NIC BR - Grupo de Segurança SACC - Setor de Apuração de Crimes por Computador (Polícia Federal) sacc@nic.br Portais de segurança Security Focus SecForum Linux Security SecurityDocs Documentação e publicações Humberto S Sartini Cartilha de Segurança para Internet Linuxman.pro.br RFCs about "Security" Rede nacional de pesquisa

22 Dranch's HomePage - Linux: A -REAL- O/S Outros Obscuridade Tom Dunigan's collection of links Computer and Network Security Reference Index

23 FEEDBACK Gostou do livro? Tem alguma dúvida, sugestão ou crítica? Quer me ajudar a fazer a próxima edição? Para qualquer uma das perguntas acima entre em contato comigo. A sua opinião é muito importante. daniel@zilli.gulinuxsul.org Site: