APRESENTAÇÃO E INTRODUÇÃO
Este post proposto por Fabiano Lopes e Ênio Almeida objetiva apresentar o tema SEGURANÇA NA NUVEM.
Uma notícia divulgada pela BSA há cerca de 6 meses atrás é de certa temeridade: As políticas de segurança adotadas pelo Brasil o faz ficar em último lugar nesta questão num rankeamento em que foi agrupado 24 países.
A Computação em Nuvem já faz parte do cotidiano da maioria dos usuários de computador. Numa tradução literal é um conceito de internet simples, mas que muda a forma de como armazenamos, processamos e compartilhamos os dados.
Uma notícia divulgada pela BSA há cerca de 6 meses atrás é de certa temeridade: As políticas de segurança adotadas pelo Brasil o faz ficar em último lugar nesta questão num rankeamento em que foi agrupado 24 países.
A Computação em Nuvem já faz parte do cotidiano da maioria dos usuários de computador. Numa tradução literal é um conceito de internet simples, mas que muda a forma de como armazenamos, processamos e compartilhamos os dados.
Tendo uma boa conexão de internet, não é necessário ter um computador com softwares específicos e espaço em HD dedicado para a criação de documentos, armazenamento de arquivos e edição de mídias por exemplo. Ao que parece,
teremos computadores cada vez menos “infestados” de softwares. Usaremos cada vez mais os aplicativos Web, que ficarão mais e mais sofisticados. Nossos pcs, notebooks e tablets servirão apenas como suporte para acessa-los. Apesar de suas inúmeras vantagens, a computação em nuvem também possui suas deficiências. Neste post de Segurança na Nuvem, descreveremos os principais riscos e soluções. Ao longo do post são apresentados aspectos importantes como o aprofundamento da questão da privacidade, os principais tipos de ataques em nuvem, pontos que podem ser explorados por pessoas mal-intencionadas e as atitudes recomendadas para quem
deseja contratar um serviço.
Por ser uma infra-estrutura compartilhada por n usuários, onde a informação é processada longe do local em que é visualizada e manipulada por terceiros, a computação em nuvem se torna um atrativo em especial para os hackers.
Pesa ainda o fato de que com um ataque bem sucedido, muitos usuários podem ser prejudicados ao invés de um ataque direcional.
RISCOS EMINENTES
Conservar todos os seus dados na nuvem parece bastante encantador, principalmente quando vemos os benefícios relacionados ao custo e a manutenção de servidores.
Contudo, ao tirar proveito dessas regalias, aceitamos alguns riscos inerentes ao processo. Alguns deles podem ser minimizados ou até mesmo anulados se nos informarmos o suficiente. Outros, todavia, ainda não possuem uma solução satisfatória ou não são tão graves. Esses riscos serão explanados abaixo:
Vá com calma ao se aventurar em uma nuvem pública !!!
*LIMITAÇÃO DE GOVERNANÇA: O usuário pode ficar sem saber como estará sendo feito alguns processos como backup, armazenamento, medidas de segurança, etc. O
ideal é que o SLA (Acordo de Nível de Serviço) seja transparente, objetivo e claro para que os usuários saibam de que forma estarão protegidos e o que será de sua responsabilidade ou não.
*CONEXÂO CONSTANTE: O ponto fraco da nuvem é a instabilidade da internet. Se a conexão cair, toda a produtividade ficará comprometida, por isso, é recomendado
contratação de um serviço de banda larga veloz e, se possível, um segundo fornecedor para ter outra opção de acesso caso a primeira conexão falhe. Esse problema pode parecer um pouco distante, já que se escolhermos um grande provedor como Google, Amazon ou RedeHost essa situação não ocorre frequentemente. No entanto, não é impossível, há exemplos para se preocupar: Em 2009, o Gmail ficou fora do ar por duas horas e em 2008 o Amazon ficou fora do ar por oito horas, prejudicando inúmeros usuários que necessitavam de suas contas até mesmo para realizar transações e negócios.
*APRISIONAMENTO NA NUVEM: Este é o problema de falta de portabilidade de dados entre os provedores. Caso o usuário tenha contratado um serviço em uma empresa e depois deseje sair, não necessariamente conseguirá importar todos os seus dados para a nova empresa contratada. Acontece isso pois cada provedor oferece o seu próprio conjunto de APIs para o usuário programar. Isto é um problema, pois ao se querer mudar de provedor, pode ser muito trabalhoso e dispendioso em matéria de tempo. A melhor maneira para evitar desagradáveis surpresas é já criar uma estratégia de saída antes de contratar um provedor.
*PROTEÇÃO DOS DADOS: Este ponto pode ser considerado o mais sensível quando se discute Computação em Nuvem. Confiança é a palavra-chave para este modelo
funcionar. O usuário precisa acreditar que o provedor de serviço está engajado em proteger seus dados de exposição não autorizada, seja passando por auditorias de segurança de tempos em tempos ou oferecendo informações detalhadas de como seus dados serão utilizados e para quais propósitos.
*VULNERABILIDADES DAS NUVENS: A nuvem tem sido uma das tecnologias mais comentadas desde a Web 2.0. Como qualquer outra tecnologia, a nuvem é vulnerável a ataques mal intencionados. Embora a maioria dessas vulnerabilidades pese principalmente sobre os ombros do provedor na nuvem, o cenário de ameaça de interceptação de conta ou de serviço é algo compartilhado entre o provedor e o cliente. Assim como ocorre com qualquer serviço de TI, há vulnerabilidades de segurança que os invasores procuram na nuvem. Quanto mais os profissionais de TI ficam conscientes dessas vulnerabilidades e como resolvê-las, mais segura se torna a nuvem. É necessário fazer uma avaliação ao contratar seu provedor na nuvem.
*SEQUESTRO DA CONTA: Assim como a perda e o vazamento de dados, o sequestro da conta também é uma consequência dos problemas de vulnerabilidade da nuvem somada à distração ou ingenuidade do usuário. O ataque mais conhecido, phising, normalmente provê ao atacante alguma senha do usuário e partir desta o hacker passa a ter o domínio da conta e pode utilizá-la para atacar outros usuários, descobrir outras senhas e informações, enviar informações falsas, entre outros. Em 2007 na empresa Salesforce um dos seus empregados foi enganado por um ataque de phishing, expondo sua senha aos atacantes. Com isso, os hackers puderam descobrir informações importantes, como clientes do serviço, e passaram a enviar
faturas falsas para os mesmos.
*PERDA OU VAZAMENTO DE DADOS: É a consequência da falta de proteção dos dados e das vulnerabilidades das nuvens. No artigo, "Data Leakage Prevention and Cloud Computing", KPMG LLP diz, "Quando os dados estão em uma nuvem pública, sua implementação organizacional de DLP não tem mais valor para ajudar a proteger a confidencialidade desses dados. E, sua organização não tem controle direto sobre a confidencialidade de seus dados em uma nuvem pública nos modelos de entrega Software como serviço (SaaS) ou Plataforma como serviço (PaaS)."
Em uma época em que o Health Insurance Portability and Accountability Act de 1996 (HIPAA) e Payment Card Industry Data Security Standard (PCI DSS) exigem que as organizações levem a proteção dos dados a sério, o que você pode fazer para impedir o vazamento de dados na nuvem?
Recorrer aos produtos de prevenção de vazamento de dados existentes no mercado parece ser a melhor solução. No entanto, esses produtos têm mais como objetivo garantir a integridade e disponibilidade dos dados, não protegê-los. Além disso, provavelmente essas soluções não são implementadas em qualquer ambiente no qual você não controla a infraestrutura.
A prevenção, em vez disso, é o que protege os sistemas que hospedam e transportam dados.
Antes de qualquer coisa, o provedor na nuvem deve empregar um alto nível de criptografia quando o assunto é manipular seus dados tanto em armazenamento quanto em trânsito. Você também deve executar etapas a fim de assegurar que exista um acordo de nível de serviço assinado entre sua organização e o provedor de serviço na nuvem, definindo claramente as funções e responsabilidades da
proteção dos dados na nuvem. Como parte desse acordo, certifique-se de que o provedor de serviço na nuvem limpe a mídia persistente antes de liberá-la no pool.
Outra etapa DSS é se certificar de que exista um firewall de aplicativo da web configurado apropriadamente, para proteger aplicativos baseados na web contra diversos ataques.
Antes de se comprometer com qualquer provedor de SaaS, o departamento de TI de uma organização precisa discutir o nível de proteção usado para proteger o software baseado na web. Se tiver permissão, execute testes de penetração em quaisquer aplicativos usados por sua empresa.
Finalmente, é possível executar etapas internamente para
se proteger contra vazamento de dados na nuvem, mas isso envolve uma mudança nas políticas relacionadas aos dados. As organizações que temem o vazamento de dados devem
ter políticas que classificam os dados e fornecem normas sobre como lidar com os diferentes níveis de dados. Resumindo, alguns dados não servem para serem
armazenados na nuvem.
A PRIVACIDADE
Atenção: Este é um ponto preocupante.
Hospedar dados nas nuvens traz inúmeras vantagens e desvantagens como já foi mostrado até aqui. O ponto mais crítico desse assunto é a questão da privacidade, afinal o usuário está confiando a terceiros as suas informações. Como garantir que seus dados serão confidenciais? Que a empresa terceirizada para guardá-los não irá utilizá-los posteriormente para outros fins? Ou sofrer um ataque e possibilitar o acesso de indivíduos estranhos e não
autorizados?
A estratégia de segurança da Amazon é o chamado XEN HYPERVISOR, para realizar virtualizações . Nesta técnica, o sistema operacional da máquina virtual interage com o monitor da máquina virtual (VMM), onde somente as instruções sensíveis são interpretadas neste e as outras
são repassadas ao hardware. O resultado pode ser interpretado como uma virtualização de hardware, aumentando a segurança da separação entre o sistema operacional convidado e o VMM.
A abordagem que apresenta o maior potencial é a que envolve a criptografia de dados-propõe uma solução baseada em uma arquitetura capaz de executar diversos aplicativos simultaneamente, cada um em uma área dedicada de um coprocessador à prova de adulteração (tamper-proof). A chave dessa solução é que a arquitetura é capaz de rodar lado a lado programas privados e aplicativos normais, como se fossem caixas separadas.
Dessa maneira, podemos ter para um mesmo serviço diferentes níveis de configuração e segurança. Nesse esquema, propõe o conceito de "Privacidade como Serviço" (Privacy as a Service, Pass), onde uma empresa terceirizada confiável, diferente da empresa provedora de serviço, fica responsável pela configuração criptográfica dos coprocessadores. Todo usuário, ao se cadastrar na empresa, ganha uma chave pública e outra privada. E para cada programa criado pelo usuário, chaves específicas são criadas para o mesmo. Fica a cargo da empresa configurar os coprocessadores com as respectivas chaves.
Soluções em torno dessa abordagem ainda são incipientes, técnicas atuais consomem bastante banda e são lentas. No entanto, com o crescimento da demanda por essa área, com
o surgimento de coprocessadores criptográficos de código aberto e o aumento das pesquisas e investimentos, ela tende a se desenvolver para soluções mais práticas que possam ser adotadas em larga escala .
TIPOS E CONSEQUÊNCIAS DOS ATAQUES
Abaixo falarei de alguns tipos de ataques que um invasor costuma escolher. As consequências dos ataques na maioria das vezes é se auto beneficiar de algum modo.
*ATAQUE DoS: Para efetuar um DoS (ataque de negação de serviço), pode ser empregado o fato de o protocolo TCP necessitar de uma resposta do cliente para estabelecer a conexão. Neste ataque vários pedidos de sincronização (SYN) são feitos pelo atacante ao servidor que responde com um sinal. O atacante não responde novamente ao servidor, fazendo com que este consuma memória e
processamento esperando por uma resposta. Um exemplo aplicado à computação em nuvem seria fazendo uso da fácil escalabilidade de um serviço. O que é normalmente uma vantagem, se mal intencionado, pode sobrecarregar não só
os recursos alocados para aquele serviço como para os outros usuários que compartilham da estrutura. O dono do sistema atacado, caso tenha contratado o modelo pague-o-que-usar, ainda terá de arcar com os custos extras. Ou seja, irá prejudicar quem contratou o serviço, pois este tipo de ataque fará consumir maior tráfego e acontecendo isto, o consumidor irá gastar mais $$$.
*ATAQUE DDoS: Há também o DDoS (ataque distribuído de negação de serviço), onde um computador, chamado de mestre, comanda vários outros computadores, conhecidos como zumbi. Uma maneira de se realizar um DDoS é sequestrar um servidor e desabilitar todos os serviços de web, exigindo um resgate para habilitá-los novamente.
*ATAQUE MAN IN THE MIDDLE (homem no meio): Ataque cujo objetivo é colocar o atacante entre dois pontos, como um elemento transparente. Dessa maneira, um usuário crê que está conversando diretamente com outro quando na verdade o atacante é que recebe a informação e a repassa. Consequências desse ataque é a leitura dos dados e até mesmo a alteração dos mesmos ao repassá-los. Assim, um
atacante pode descobrir as credenciais para se logar em um serviço de computação em nuvem. Uma variante desse ataque é o man-in-the-mailbox, onde o intruso se coloca como receptor de mensagens de e-mail para enviar arquivos maliciosos ou descobrir senhas, relatórios e outras informações privilegiadas enviadas por funcionários de corporações. Em 2009, a Google teve seus sistemas atacados. Os hackers aproveitaram uma falha do Microsoft Internet Explorer para praticá-lo e então entrar nos servidores da empresa.
*INJEÇÃO DE CÓDIGO: Ato cujo objetivo é inserir pedaços de código no servidor. Se usado como ataque, o código mal-intencionado pode alterar um banco de dados injetando SQL, roubar informações pessoais, ou até mesmo instalar malware no computador do usuário ou no servidor. O intuito do malware é permanecer despercebido, ocultando-se ativamente ou simplesmente não se fazendo notar em um
sistema conhecido pelo usuário. Um malware instalado em uma nuvem, por exemplo, pode infectar as outras instâncias da nuvem ou os usuários que requisitarem seus serviços.
MEDIDAS DE SEGURANÇA
Tomar medidas de segurança antes de contratar um serviço é muito importante: possuem o objetivo de minimizar o risco tomado por uma empresa ou usuário ao contratar um serviço. Em geral, elas tentam maximizar a transparência entre contratado e contratante para que fique claro para ambas as partes o nível de segurança oferecido pelo provedor.
Um acordo de nível de serviço (SLA) deve ser assinado por ambas as partes de modo a definir as responsabilidades de cada um e os termos e condições para uma eventual quebra de contrato.
Verifique se a empresa é de confiança, pois 77% dos vazamentos envolvendo propriedade intelectual ocorrem por causa de ataques vindos de dentro da própria empresa. Colocar suas informações em empresas reconhecidas diminui a probabilidade de vazamento, tanto por uma parte mal intencionada da empresa como por ataques externos, já que elas investem bem mais em segurança e infra-estrutura.
Dar importância maior aos seus dados sensíveis, pois dependendo do valor que eles representam pode ser uma boa ideia contratar um modelo privado ou comunitário,
onde todos os usuários são conhecidos. Apesar de mais caro, proporciona uma segurança a mais.
Considerar as implicações legais é uma medida de segurança. Muitos provedores de serviço possuem seus datacenters espalhados pelo mundo. É importante saber
a localidade de onde seus dados estarão guardados, pois, as leis do país também serão aplicadas aos dados. Isso pode se tornar um problema se o país possui leis inadequadas à segurança de dados privados.
Descubra a política de backup do seu provedor. Jamais use dedução. Não deduza que ele será capaz de restaurar todos os seus dados e serviços sem antes verificar com o próprio servidor.
Concluindo, guardar dados em nuvens, utilizar nuvens para usar aplicativos é uma realidade atual. Certamente irá se desenvolver cada vez mais, com o advento de novas tecnologias que surgirão. Pensar na segurança destes dados confiados a terceiros é basicamente questão de vida. Uma perda de dados na nuvem pode ser irreparável, se a política de segurança do provedor não for eficiente.
Este foi mais um post,
Desejo um bom dia pra você
Forte abraço,
Fabiano Lopes - 20 de novembro - 17:52
Nenhum comentário:
Postar um comentário
GOSTOU? NÃO GOSTOU? TEM ALGO IMPORTANTE A ACRESCENTAR?
Comente, seu comentário é importante !