A falha generalizada da segurança (?)

porto 22 @ 27.11.06 · 0 comentário(s) ·

Num artigo de opinião sobre o estado da segurança (Security Absurdity: The Complete, Unquestionable, And Total Failure of Information Security), Noam Eppel descreveu, em Maio, um cenário Dantesco e acusou a comunidade de profissionais desta área de assistirem, impávidos e serenos, ao desenrolar do assalto generalizado e bem sucedido do cybercrime global.

Ao longo dos últimos meses, a análise foi alvo de inúmeros comentários e contra-análises cujo resultado foi agora apresentado pelo próprio Noam, num artigo intitulado Community Comments & Feedback to Security Absurdity Article.

Pessoalmente, penso que os pontos identificados são válidos e esta reflexão deve ser aproveitada como base para definir os vectores que têm que ser endereçados no futuro. Não creio que estejamos a perder a guerra e, ao nível das organizações e dos produtores de software, há já algum tempo que se verifica o aumento da consciencialização, o reforço dos controlos e a inflexão das atitudes.

Mas estas mudanças, embora necessárias, não são suficientes: o elo mais fraco, na minha opinião, continua a ser mal endereçado. Não existem ainda acções de formação e consciencialização adequadas para preparar as pessoas para as novas batalhas electrónicas. É imperativo investir nesta área (!)

(Os artigos referidos têm muita qualidade e a sua leitura é, naturalmente, recomendada!)

Passwords

porto 22 @ 19.11.06 · 2 comentário(s) ·

(Desde o inicio decidi escrever neste espaço exclusivamente em Português. No entanto, este apontamento também está disponível em Inglês para ser facilmente compreendido pela minha amiga V.K. – “A Helénica”. Penso que será útil… ; )

Since the beginning I decided to write in this space exclusively in Portuguese. However, this annotation is also available in English to be easily understood by my friend V.K. – “The Hellenic”. I think it will be useful… ; ) )

É um facto irrefutável: as passwords continuam a ser o mecanismo de eleição para comprovar a nossa identidade online. Apesar de já existirem, há muitos anos, formas alternativas e mais seguras para autenticar uma entidade, a facilidade de utilização e o custo reduzido têm sido, desde sempre, os factores mais importantes na selecção deste controlo e, naturalmente, têm conduzido à rejeição de outros mecanismos em favor das passwords.

Neste contexto, dado o valor dos recursos que supostamente protegem, seria natural esperar que as chaves escolhidas fossem especialmente complexas e difíceis de adivinhar. No entanto, apesar da sua importância, os testes de campo confirmam que, duma forma geral, as pessoas optam por definir chaves muito simples, e.g. “123456” ou “qwerty”, que são facilmente adivinhadas ou decifradas (através, por exemplo, de programas que utilizam dicionários ou, no limite, percorrem muitas possibilidades num espaço de chaves limitado – mas que é, na maioria dos casos, suficiente).

Tal como já sugeri noutro apontamento, existem várias formas de definir e gerir passwords. Nesta nota vou focar a atenção numa das técnicas que, sendo simples de usar, permite gerar chaves mais fortes que são, ainda assim, facilmente memorizáveis. A construção faz-se da seguinte forma:

1. Começamos por escolher uma frase que tenha algum significado especial e que, por consequência, seja facilmente memorizável. Apenas para este exemplo, escolhi uma citação de Helen G. : “Aquele que riu por último não percebeu”.

2. Em seguida, seleccionamos e juntamos a primeira letra de todas as palavras da frase escolhida. Neste exemplo, as letras seleccionadas de Aquele que riu por último não percebeu” irão formar a sequência: Aqrpúnp.

3. Finalmente, embora esta sequência já seja muito melhor que as chaves mais comuns, podemos acrescentar alguma pontuação e/ou alguns dígitos para aumentar a sua complexidade. Sem comprometermos a facilidade de memorização, podemos adicionar, por exemplo, um par de parêntesis, aspas, dígitos ou uma mistura de cada: (Aqrpúnp), “Aqrpúnp2, …

Et voilà! Conseguimos construir uma password que é, em simultâneo, muito mais forte e fácil de memorizar: não temos que nos lembrar dos caracteres; basta-nos pensar na frase. E ao fim de pouco tempo torna-se instintivo.

***** **** *** ** *

It’s an irrefutable fact: passwords are still the elected mechanism to prove our identity online. Although there are already, for many years now, alternate and more secure ways to authenticate an entity, the ease of use and the low cost have been, since forever, the most important factors in the selection of this control and, naturally, this has lead to the rejection of other mechanisms in favour of passwords.

In this context, given the value of the resources that they supposedly protect, it would be natural to expect that the chosen keys would be specially complex and hard to guess. However, despite their importance, field tests confirm that, in general, people opt to define very simple keys, e.g. “123456” or “qwerty”, that are easily guessed or deciphered (using, for instance, programs that use dictionaries or, at the most, go through many possibilities in a limited key space – but which is, in the majority of cases, enough).

As I already suggested in another annotation, there are several ways to define and manage passwords. In this note I’ll focus my attention in one of the techniques which, although simple to use, enables the generation of stronger keys that are, still, easy to remember. The construction is done as follows:

1. We start by choosing a phrase that has some special meaning and that, by consequence, is easily remembered. Solely for this example, I chose a quotation by Helen G. : “He who laughed last didn't get it”.

2. Next, we select and join together the first letter of all the words in the chosen phrase. In this example, the selected letters fromHe who laughed last didn't get it” will form the sequence: Hwlldgi.

3. Finally, though this sequence is already much better than the more common keys, we may add some punctuation and/or a few digits to increase its complexity. Without compromising the ease to memorize, we may add, as an example, a couple of parenthesis, quotations marks, digits or a mix made of each: (Hwlldgi), “Hwlldgi2, …

Et voilà! We managed to define a password that is, simultaneously, much stronger and easy to remember: we don’t have to remember the characters; it’s enough to think of the phrase. And in a very short time it becomes second nature.

Actualizações diversas, verificações antivírus/spyware e cópias de segurança

porto 22 @ 15.11.06 · 0 comentário(s) ·

Adivinharam: chegou novamente o dia de actualizarmos as máquinas com as novas correcções do Windows e do Office.

Vale a pena aproveitar o momentum e, já agora, actualizarmos também os outros programas que temos instalados e que, infelizmente, são muitas vezes negligenciados e contêm, também eles, diversas falhas de segurança. Assim, devemos verificar também se temos as versões actualizadas dos seguintes programas, utilizando as suas próprias opções de actualização ou, em alternativa, indo directamente à fonte (se os utilizarmos, claro): Acrobat Reader, Firefox, iTunes / QuickTime, MSN Messenger, Opera, Skype, Thunderbird, WinRAR e WinZip (esta lista não é exaustiva; é apenas um exemplo. Na verdade, todas as aplicações que estiverem instaladas devem ser verificadas).

Para além das actualizações dos programas, têm que ser igualmente actualizadas as assinaturas antivírus e antispyware. Em princípio, cada um dos programas tem um mecanismo de actualização automática. No entanto, é importante garantir que estão efectivamente configurados e actualizados. Depois da actualização, devemos executar um teste exaustivo a todos os discos para garantir a ausência de bicharada : )

Finalmente, depois de tudo arrumado e como estamos nesta actividade de manutenção, devemos aproveitar a oportunidade para gravar os nossos documentos mais importantes num CD ou DVD para que, se acontecer algum problema com o computador, possamos restaurá-los.

Comunidade ISMS PT

porto 22 @ 14.11.06 · 0 comentário(s) ·

Outro espaço sobre segurança de sistemas de informação que merece destaque: Comunidade ISMS PT. O que é? Na sua apresentação,

"A Comunidade Portuguesa de Segurança da Informação é formada por um grupo de gestores e profissionais de segurança orientados para a protecção da informação nas organizações.

Partilhando uma visão que os actuais desafios da segurança se colocam mais no domínio da gestão que no tecnológico, esta comunidade preconiza como resposta a estes desafios, a adopção de práticas de gestão da segurança nas organizações. Neste âmbito, esta Comunidade defende a criação de um sistema de gestão de segurança da informação, de acordo com as normas internacionais de segurança ISO 27000 (substitui a ISO 17799 e BS 7799).

Com base nesta orientação fundadora, a Comunidade adoptou como designação em inglês a expressão Information Security Management System Portugal ou apenas ISMS PT. Titulo presente no URL deste site http://www.ismspt.blogspot.com/.

Como colectividade, a Comunidade Portuguesa de Segurança da Informação ou apenas ISMS PT está aberto a todos os gestores de segurança e interessados nesta temática. (...)"

Recomenda-se a visita (!)

Windows Vista Security Guide

porto 22 @ 12.11.06 · 0 comentário(s) ·

Acabado de sair do prelo, o Windows Vista Security Guide é o documento de referência para a instalação e configuração segura da nova plataforma Microsoft. Apesar de ser dirigido a uma audiência mais técnica – para quem a sua leitura é imprescindível – apesar disso, pode ser consultado por todas as pessoas que, mesmo não sendo especialistas, sintam alguma curiosidade pelo tema. Está disponível em http://www.microsoft.com/technet/windowsvista/security/guide.mspx

Projecto de lei [Brasileiro] quer controlar acesso à internet

porto 22 @ 6.11.06 · 2 comentário(s) ·

Na Folha de S. Paulo, na secção de Informática pode ler-se:

Projeto quer controlar acesso à Internet: A Comissão de Constituição e Justiça do Senado [Brasileiro] votará, na próxima quarta-feira, um projeto de lei que obriga a identificação dos usuários da internet antes de iniciarem qualquer operação que envolva interatividade, como envio de e-mails, conversas em salas de bate-papo, criação de blogs, captura de dados (como baixar músicas, filmes, imagens), entre outros. (…) “

A gestão do equilíbrio entre os controlos de segurança e a liberdade individual é um exercício difícil (!) Duma forma geral, apesar de visarem o reforço da segurança, os controlos introduzem novas barreiras que podem, por um lado, limitar as actividades livres e legitimas e, por outro lado, reduzir o direito universal à privacidade.

Em face desta dicotomia, a introdução de medidas de segurança tem que ser sustentada por uma análise de risco que pondere, no mínimo, (a) a probabilidade e o impacto da concretização das ameaças que visam controlar, (b) a eficácia dessas novas medidas, (c) o custo financeiro e social da sua implementação e (d) o impacto a médio/longo prazo nos direitos e garantias dos cidadãos.

Uma medida que, claramente, pretende eliminar o anonimato na utilização da Internet, falha imediatamente num vector: pela dimensão global da rede, e pelas suas características intrínsecas, é impossível limitar a transmissão de dados ao espaço das comunicações autenticadas, i.e. será sempre possível ultrapassar os controlos, e.g. através de canais encobertos através de outro país – sendo assim, dificilmente existirão controlos eficazes.

Neste contexto, onde a eficácia dos controlos levanta, no mínimo, sérias dúvidas, e considerando que a satisfação dos requisitos de autenticidade implica necessariamente a monitorização sistemática, valerá a pena introduzir este sistema?

As políticas de segurança das empresas e a privacidade individual

porto 22 @ 3.11.06 · 0 comentário(s) ·

Numa coluna de opinião na SecurityFocus, Mark Rasch escreveu um texto muito interessante sobre o tema da privacidade individual no contexto empresarial: balanceando a privacidade dos colaboradores e a necessidade de segurança interna duma organização, até onde podem ir os controlos? Em face da lei vigente e das regras estabelecidas por cada empresa, quais são os direitos efectivos? (Para a empresa e para o individuo, claro (!))

Com o reforço [imprescindível!] dos controlos de segurança, este tema ganha especial importância porque, naturalmente, a fronteira entre o que é válido e o que é ilegítimo tem que estar bem definida. E ser conhecida e aceite por todos os intervenientes.

Este debate ainda não ganhou dimensão em Portugal mas, muito provavelmente, irá ser objecto de [grande?] discussão ao longo dos próximos anos. Para reflexão: Employee Privacy, Employer Policy.