ANTEBELLUM006
                                                                       Março e Abril de 2009




Payment Car...
ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 2
Carta do Presidente
Por Anchises M. G. de Paula



O ano passado foi marcado por muitas realizações da ISSA Brasil e o ano...
Antebellum 006
Nesta Edição
Noticias do Mercado
.............................................................................
Carta do Editor                                                  questionamento de sua eficiência como controle estabelecid...
Notícias do Mercado
Por Equipe Podcast I Shot the Sheriff




                                                            ...
Para inglês ver
Por Carlos Cabral


Dentre as muitas expressões que sempre estão na boca do povo            empresas que v...
curarem feridas abertas há muito tempo. O padrão compreende a          através do uso dos mecanismos legais da democracia....
Vulnerabilidades em POS
Por Jennia Hizver


As aplicações embarcadas em equipamentos utilizados nos Pontos         caso, q...
adotada em vários setores como uma prevenção contra a engenharia       ‣ Failure Mode inseguro: Ao se deparar com uma falh...
ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 11
Conformidade: por onde começar?
Por Fábio Juliano Dapper


O padrão de segurança de dados da indústria de cartões de      ...
que algumas atividades possam ser executadas sem o apoio de          com o que é exigido. Então se organize, faça um bom p...
Terceirização
Uma análise do ponto de vista de Segurança da Informação
Por Kenia Carvalho

As empresas estão cada vez mais...
do serviço contratado, tais como: pessoas, processos,             implementação de controles de segurança da informação
  ...
ISO/IEC 15.408
Não é para desenvolvimento seguro
Por Wagner Elias

Começar um artigo com um título negando uma afirmação   ...
CLASP (Comprehensive, Lightweight Application                       ‣ CLASP Best Practices: Apresenta um conjunto de sete ...
ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 18
Microsoft Forefront Threat Management Gateway (TMG)
A Nova Geração do Firewall da Microsoft agora disponível em Beta 2
Por...
Na tela do NIS temos as vulnerabilidades que podem ser                     Além disso, o TMG Beta 2 também permite que cli...
É importante salientar que o Exchange Edge Transport já



                                                               ...
Segurança da Informação
em Tempos de Crise
Por Lucas Donato

Contrariando a tendência a diminuir investimentos face à cris...
Antebellum - Conformidade, por onde começar?
Antebellum - Conformidade, por onde começar?
Antebellum - Conformidade, por onde começar?
Antebellum - Conformidade, por onde começar?
Antebellum - Conformidade, por onde começar?
Antebellum - Conformidade, por onde começar?
Antebellum - Conformidade, por onde começar?
Antebellum - Conformidade, por onde começar?
Antebellum - Conformidade, por onde começar?
Antebellum - Conformidade, por onde começar?
Upcoming SlideShare
Loading in …5
×

Antebellum - Conformidade, por onde começar?

2,235 views
2,166 views

Published on

Artigo publicado na revista eletrônica da ISSA Brasil.

0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
2,235
On SlideShare
0
From Embeds
0
Number of Embeds
19
Actions
Shares
0
Downloads
12
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Antebellum - Conformidade, por onde começar?

  1. 1. ANTEBELLUM006 Março e Abril de 2009 Payment Card Industry Data Security Standard As Vulnerabilidades no POS Para inglês ver? Conformidade: por onde começar? ISO/IEC 15.408 não é para desenvolvimento seguro E ainda: Terceirização: Uma análise do ponto de vista de Segurança da Informação Microsoft Forefront Threat Management Gateway (TMG) Segurança da Informação em Tempos de Crise Você está preparado para o CISSP? Segurança no Windows 7 A Privacidade como Limitador do Monitoramento Digital ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 1
  2. 2. ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 2
  3. 3. Carta do Presidente Por Anchises M. G. de Paula O ano passado foi marcado por muitas realizações da ISSA Brasil e o ano de 2009 não vai ser diferente. Em 2008 participamos ativamente do dia-a-dia dos profissionais de segurança da informação através de diversas atividades, como os ISSA Days mensais, o Grupo de Estudos CISSP e com o apoio a diversos eventos de destaque como o CNASI, o GRC Meeting, o CertiForum, o You Shot Sheriff, entre outros. Criamos o ISSA Brasil Awards e lançamos a revista Antebellum, com cinco edições digitais e um número impresso. Essas atividades só foram possíveis com o apoio de diversas empresas líderes no segmento de Segurança da Informação. Para este ano estamos planejando focar ainda mais nossas ações nos associados, para trazer um maior valor agregado a associação e mais benefícios, como serviços e conteúdos relevantes ao seu desenvolvimento profissional.. Queremos que os associados ativos da ISSA sejam nossa prioridade e, por isso, ao mesmo tempo que criamos novas atividades e trazemos mais benefícios, decidimos que vamos restringir algumas atividades exclusivamente para os profissionais que acreditam na associação e participam dela. Acredito que 2009 será o ano marcado pelo forte impacto da crise econômica no mercado e no nosso dia-a-dia, mas ao mesmo tempo pela crescente valorização da segurança da informação pelas empresas. A profissionalização do cyber crime e as demandas regulatórias estão pressionando fortemente as empresas, que já estão sensíveis a necessidade de investimento em segurança e de mão de obra especializada na área. Na ISSA, 2009 será marcado pela preocupação com o associado e por ações inovadoras. Esta é a nossa primeira edição temática da Antebellum, e também já começamos produzindo uma versão dela impressa, graças ao apoio da CLM, uma empresa que tem nos apoiado frequentemente. Esta edição será distribuída em nossos encontros. A escolha do PCI como tema central também não poderia ser mais propícia. Por uma infeliz coincidência, no começo deste ano foi divulgado aquele que pode ser o maior roubo de cartões de crédito em toda a história, ocorrido na empresa Heartland, a sexta maior processadora de transações financeiras dos Estados Unidos. Esse incidente pode chegar a milhões de dados capturados através de sniffers instalados em servidores comprometidos. Porém, a Heartland era certificada PCI, o que motivou alguns questionamentos sobre a eficácia da certificação. A resposta pode ser aquela famosa frase de que nenhuma solução é 100% segura. O PCI é uma forma de garantir que um conjunto mínimo de controles e processos existem, mas ele, por si só, jamais conseguirá proteger contra todas as potenciais ameaças as quais uma organização está exposta. Esse é o dilema do profissional de SI: temos que nos proteger de todos os possíveis ataques existentes ou que venham a ser inventados, enquanto ao “hacker” basta encontrar uma única brecha. Sobre a ISSA ‣ Diretor de Eventos: Wagner Elias ‣ Diretor Financeiro, Parcerias e Relacionamento: Dimitri Abreu A ISSA® (Information Systems Security Association) é uma organização internacional sem fins lucrativos formada por ‣ Diretor Jurídico: Dr. Renato Opice Blum e Dr. Rony Vainzof profissionais de segurança da informação. Ela promove eventos (suplente) educacionais, publicações e a interação entre os profissionais, ‣ Diretor da Regional Sul: Eduardo V. de Camargo Neves proporcionando ganhos de conhecimento, troca de experiências e evolução na carreira de seus associados. O Capítulo São Paulo foi ‣ Secretario: Paulo Teixeira criado em 2003 e está atualmente em sua terceira gestão, eleita em 2008, com os seguintes Officers: Como se associar ‣ Presidente: Anchises Moraes G. de Paula A associação é sempre feita através do site da ISSA Internacional, onde está disponível o formulário de inscrição on-line. Para se ‣ Vice-Presidente: Willian Okuhara Caprino associar, vá no menu “Join ISSA” e escolha a opção “Join Now”. É ‣ Diretor de Comitês: Rodrigo Montoro importante lembrar que, no momento da inscrição, deve-se indicar que deseja fazer parte do capítulo local (“Chapter Brasil-SP”) para ‣ Diretor de Comunicação: Fernando Fonseca e Lucimara Desiderá usufruir dos benefícios oferecidos aqui no Brasil, além daqueles (suplente) oferecidos pela ISSA Internacional, que podem sempre ser ‣ Diretor de Educação e Conteúdo: Ronaldo C. de Vasconcellos verificados em nosso web site. ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 3
  4. 4. Antebellum 006 Nesta Edição Noticias do Mercado ...........................................................................................................................................................................Página 06 Para inglês ver? ....................................................................................................................................................................................Página 07 Vulnerabilidades em POS ................................................................................................................................................................. Página 09 Conformidade: por onde começar? ................................................................................................................................................... Página 12 Terceirização: Uma análise do ponto de vista de Segurança da Informação .................................................................................... Página 14 ISO/IEC 15.408 não é para desenvolvimento seguro ..................................................................................................................... Página 16 Microsoft Forefront Threat Management Gateway (TMG) ............................................................................................................. Página 19 Segurança da Informação em Tempos de Crise ............................................................................................................................... Página 22 Você está preparado para o CISSP? ................................................................................................................................................. Página 23 Segurança no Windows 7 ................................................................................................................................................................. Página 24 A Privacidade como Limitador do Monitoramento Digital ............................................................................................................. Página 26 Atividades da ISSA ........................................................................................................................................................................... Página 27 Off Line: o Lado Relax da Segurança ............................................................................................................................................. Página 29 Worst Cases ....................................................................................................................................................................................... Página 31 de caso para publicação. O material deverá ser inédito e o autor Antebellum assumir o compromisso de manter a publicação restrita a A Revista Eletrônica Bimestral da ISSA Brasil | Edição 006, janeiro Antebellum pelo período de 60 dias, após o qual poderá e fevereiro de 2009 disponibilizar para o público em geral. Os interessados deverão Expediente enviar o material para conteudo@issabrasil.org. ‣ Editor: Eduardo Vianna de Camargo Neves ‣ Revisão: Anchises Moraes Disclaimer As informações apresentadas nesta revista não foram submetidas a ‣ Jornalista Responsável um teste formal e não devem ser interpretados como soluções. As ‣ Cristina Turnes, MTb DF 4341/83, Contatos pelo site opiniões expressas não refletem a opinião da ISSA ou ISSA www.ctcom.com.br Capítulo Brasil. Os nomes de produtos e marcas registradas são de propriedade de seus respectivos donos. Todas as fotos são de arquivo Submissão de Material pessoal dos autores, quando não especificado em contrário. Convidamos a todos para contribuir com a comunidade de Segurança da Informação submetendo artigos, tutoriais ou estudos ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 4
  5. 5. Carta do Editor questionamento de sua eficiência como controle estabelecido são apresentados para que cada um tire suas conclusões. A próxima edição está sendo preparada, e pretendemos abordar Por Eduardo Vianna de Camargo Neves um tópico que ganha mais e mais importância no cenário mundial: a segurança de aplicações. Além do próprio PCI Caros Leitores, Council ter o Payment Application Data Security Standard - O assunto PCI é um grande mistério para a maioria dos veja a matéria da Jennia Hizver questionando - existem profissionais da nossa área, não pode ser complicado, o que não organizações em todos os setores que trabalham para aplicar é, mas pelo fato de que é um padrão que tem sido aplicado com controles que reduzam as perdas decorrentes da exploração de sucesso nos mercados norte-americano e europeu há alguns vulnerabilidades tão presentes na mídia especializada como o anos, e na América Latina tem tentado entrar pelo menos desde Cross Site Scripting e o SQL Injection. 2007 sem sucesso. Apesar de algumas empresas estarem Tentaremos ainda trazer entrevistas com profissionais que alinhados aos seus controles - especialmente filiais de trabalham neste mercado, já maduro no exterior, há alguns anos, multinacionais - não tenho visto grande pressão explícita das e apresentar artigos técnicos e gerenciais na mesma proporção. operadoras de cartão para que a sua implementação seja Estamos esperando a sua contribuição para esta próxima maciça. Ainda assim, o assunto tem crescido aos poucos no Antebellum, mande seus artigos e trabalhos para nosso mercado, e há quem aposte que 2009 é o ano em que o revista@issabrasil.org e mostre a cara dos especialistas em PCI DSS e suas variantes irão aportar com força na rotina das segurança de aplicação do Brasil. empresas brasileiras. Por enquanto, aproveite mais essa edição feita especialmente Esta edição aborda alguns pontos de vista sobre o padrão, onde para vocês. Até a próxima e tenha uma boa leitura. matérias que vão do entendimento da sua aplicação ao ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 5
  6. 6. Notícias do Mercado Por Equipe Podcast I Shot the Sheriff DNSSEC verifica mensagens DNS com assinaturas digitais. O que aconteceu Segundo o Registro.br, desde 15/01/2009 o serviço DNSSEC está disponível para todos os domínios abaixo do .br. Link em http:// Seu código é seguro? tinyurl.com/8zhgot A empresa norte-americana de processamento de cartões de crédito, iPhone Culpado? Heartland Payment Systems, sofreu uma brecha no ano passado, Homem culpa falha no iPhone por traição. Um tópico aberto no que pode ter sido o maior vazamento de dados deste mercado. A fórum da Apple relata um incidente inusitado. Uma mulher, que causa? De acordo com a matéria, um software malicioso dentro da suspeita estar sendo traída por seu marido, queria saber: uma falha rede de dados, que capturava os dados dos cliente e ... você pode poderia ter sido responsável pelo envio de uma foto pornográfica de imaginar o que acontecia. Link em http://tinyurl.com/8mnjb5 seu marido a outra mulher? No tópico aberto, Susan queria tirar a Vídeos do YSTS 2.0 dúvida e saber se seu marido estava falando a verdade. No Os vídeos das palestras apresentadas no evento YSTS 2.0 estão desespero, o homem afirmara inclusive ter visitado um técnico da agora disponíveis on line em http://tinyurl.com/9ly4pc. Apple Store para confirmar a existência da falha que, segundo ele, anexou a foto a um e-mail, endereçou a outra mulher e armazenou Ataque contra a NASA a mensagem na pasta de "itens enviados". Entre as respostas, a A NASA sempre foi uma espécie de alvo de aspirantes a hackers, maioria declarava o óbvio: Susan estava sendo traída. Alguns a mas dessa vez o ataque pode ser muito mais perigoso, uma vez que aconselharam a procurar um advogado, outros mais curiosos utilizou um malware para o roubo de informações específicas sobre buscavam saber mais sobre o caso. E alguns usuários tentavam o Ônibus Espacial, enviando para um computador em Taiwan. Link salvar a pele do acusado de traição, dizendo já terem visto a falha... em http://tinyurl.com/5h4re8. Link em http://tinyurl.com/6n2yvx Adeona Acha GHH Adeona é o primeiro sistema Open Source designado para ajudar a Para combater a busca de informações sobre os alvos durante antes localizar um notebook roubado mas que não depende de uma de ataques pela Internet, o Google lançou o Google Hack empresa ou serviço centralizado. Focado em privacidade, o sistema Honeypot. Veja como funciona em http://tinyurl.com/2ovmsq. promete que somente o dono do notebook (ou um agente por ele designado) pode saber do paradeiro do equipamento. Link em Os “Tweets” do mal? http://tinyurl.com/6jfgdd Primeiro foi o efeito Slashdot que derrubava web sites pequenos, que teve suas variações como o Efeito Digg e Efeito TechCrunch. A Mais sobre Open Id bola da vez é o passarinho azul? Veja em http://tinyurl.com/ OpenId é um padrão de autenticação já utilizado por mais de avdl9o. 27.000 sites web. Este site se propõe a explicar como este padrão funciona e por que utiliza-lo. Link em http://openidexplained.com How we hacked ShmooCon O título da chamada fala por si só. Veja como foi feito em http:// DNSSEC tinyurl.com/b9amn9. O DNS é o sistema que transforma endereços IPs em nomes, facilitando a interação entre computadores e seres humanos. Com O que a NSA acha do Skype? mais de 30 anos, o padrão tem se mostrado cada vez mais frágil e A notícia tem todos os ingredientes de teoria da conspiração, mas vulnerável a ataques, como os divulgados amplamente em 2008. O está em http://tinyurl.com/a9hn2n. ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 6
  7. 7. Para inglês ver Por Carlos Cabral Dentre as muitas expressões que sempre estão na boca do povo empresas que visito é a de que estas brasileiro, uma em especial possui uma relação estreita com a forma acreditam que possuem total pela qual nosso povo se relaciona com normas e regulamentações: soberania sobre a sua atuação no trata-se do famoso "para inglês ver". Esta expressão é usada desde a mercado. De que o ciclo que envolve época em que a Inglaterra, detentora de forte influência em nossa fornecedores, empresa e cliente possui política, pressionava o governo brasileiro no sentido da libertação total controle. dos escravos. Embora isto possa ser óbvio para a maioria dos leitores desta revista, Por sua vez, as autoridades brasileiras emitiam decretos que em tese alguns representantes de empresas brasileiras ainda não entendem atendiam à pressão inglesa, mas que, no entanto possuíam pouco que basta olhar de uma maneira mais geral para o mercado dos dias efeito prático. Na maioria das situações dava-se um "jeitinho" e tudo de hoje para entender que este é atualmente formado por diversas permanecia como estava. A situação dos escravos somente foi redes de dependência nas quais os "papéis" de fornecedores e resolvida por completo a partir do momento em que esta condição clientes se misturam e as vezes os primeiros chegam a ter influência política se tornou insustentável. De lá para cá, muito se legislou e nos rumos do segundo . Esta é uma das características presentes no ainda nos deparamos com indícios de que muitas regulamentações que Thomas Friedman chama "mundo plano". Quando passamos a sejam elas padrões, leis ou normas, são mesmo só "para inglês ver" e analisar o fluxo de informações que trafegam nestas redes de que o "jeitinho brasileiro" infelizmente é o que domina nossa vida dependência o cenário fica ainda mais complexo. Por isso hoje na prática. torna-se necessário a estas empresas não somente se concentrar nos limites de suas paredes, mas sim colocá-la no contexto de um Entretanto, também não é de hoje que alguns setores do mercado se sistema complexo de dependências. esforçam no sentido de definir e respeitar determinadas regras, reconhecendo que esta atitude deve ser inerente à competitividade. Outra pedra no caminho para a aderência ao PCI DSS é que o Desta forma, apesar de todas as dificuldades, muitas companhias padrão exige um nível de organização e padronização de processos brasileiras vem adequando seus ambientes a diversos padrões ou sobre os quais não existe qualquer dedicação em boa parte do normas com o objetivo de entrar (ou se manter) no jogo do mercado, principalmente quando olhamos para o varejo, um dos mercado. setores-alvo do padrão. Ter uma gestão dos assuntos de segurança da informação nestas empresas também é um aspecto ao qual O PCI DSS, padrão do qual muito se têm falado no mercado de geralmente é dedicado pouca ou nenhuma atenção. segurança e que é o assunto desta edição da Antebellum, encontra em sua aplicação nas empresas do Brasil um cenário complexo de Por último, e em minha opinião a dificuldade mais importante à desigualdade envolvendo empresas com tamanhos diversos e em aderência do PCI DSS no Brasil, é o elevado nível de informalidade lugares com os mais variados níveis de maturidade no que tange ao que contamina a vida corporativa. De acordo com o antropólogo uso de tecnologia e gestão de segurança da informação. De modo Roberto DaMatta a incidência do "jeitinho" pode ser encontrada geral, entendo que a sua implementação neste cenário possui a em diversos países do mundo, mas somente no Brasil este mesma proporção de dificuldades e oportunidades. comportamento se torna um valor, de maneira que aquele que resolve as coisas com "jeitinho" é o "malandro" e o que respeita as Dificuldades "regras do jogo" é o otário. Desta forma, quando olhamos para a As dificuldades residem basicamente na parte ruim daquilo que forma pela qual nossos políticos lidam com as questões do estado, formou o mercado brasileiro: o pensamento antiquado segundo o estas se tornam somente um reflexo da maneira que vivemos em qual uma empresa é soberana em sua atuação no mercado; A baixa sociedade. No que se refere à aderência a normas e padrões, dedicação nos assuntos que envolvem organização, padronização de sobretudo ao PCI DSS, não é possível ter vários pesos e várias processos e gestão dos assuntos de segurança; A vida corporativa medidas: é preciso estar de acordo com os controles e aqui o baseada em acordos e maneiras informais de conduzir o trabalho. "jeitinho brasileiro" não pode ser aplicável. Tenho conhecido muitas empresas em minha jornada com o Oportunidades objetivo de fomentar a conformidade ao PCI DSS no Brasil e um Mas nem tudo está perdido. A aderência ao PCI DSS não é a pensamento com o qual muitas vezes tenho me deparado nas solução para todos os males, mas pode ajudar as empresas a ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 7
  8. 8. curarem feridas abertas há muito tempo. O padrão compreende a através do uso dos mecanismos legais da democracia. No entanto, visão na qual os dados de portador de cartão podem ser trafegados, quando falamos de padrões de mercado, estes geralmente "pegam" processados ou armazenados em uma estrutura complexa que quando alcançam um forte apelo ao ganho financeiro no qual sua contemple as redes de dependência presentes no mercado atual. Por aderência resultará, ou por conta das sanções a serem impostas no contemplar este tipo de estrutura, a adequação ao padrão obriga caso da não aderência. todos os atores da cadeia a estarem em conformidade, o que eleva o Acredito que o PCI DSS é um padrão que "pega" porque tenho nível de segurança do mercado como um todo. visto diversos esforços no mercado na busca da aderência. Estes Atualmente nosso país vive uma situação econômica inédita na qual, esforços têm vindo de empresas que já possuem uma cultura na qual embora o mundo esteja em crise, o crescimento possui números a disciplina de conformidade faz parte da realidade. Elas estão nunca vistos antes. Para mantermos o ritmo é necessário que as empurrando os seus fornecedores também à conformidade e penso empresas se organizem e sabemos que quanto mais uma empresa se que em breve esta onda chegará até as companhias menores. organiza, mais ela reduz os seus custos e dinamiza sua atividade, o Entendo também que o PCI DSS não pode ser um padrão "para que proporciona aos seus executivos um horizonte mais favorável a inglês ver" por que seu ciclo de vida não se manifesta somente em boas decisões. Se o motivador desta organização for um padrão de uma relação na qual um órgão cria as regras, outro adequa o segurança reconhecido internacionalmente, todo o ciclo envolvendo ambiente e outro audita. redução de custos, dinamismo e proteção dos ativos se fecha, de Existe outro ator na figura do adquirente que faz a gestão dos maneira a colocar a empresa em pé de igualdade na competição resultados e motiva todas as entidades envolvidas (estabelecimentos, internacional. Em outras palavras, a aderência ao PCI DSS pode ser data centers, fornecedores de soluções de pagamento, etc.) a estarem um dos fatores de modernização de uma companhia, não deixando de acordo com o padrão e a manter o bom nível das análises. Os nada a dever à concorrência internacional em um cenário tão Relatórios de Conformidade ou ROCs tendem a assumir cada vez conturbado, mas com tantas oportunidades ao mercado brasileiro mais o papel de uma certidão de que uma entidade trata os dados quanto o atual. de portador de cartão de acordo com padrões internacionalmente Existem aqueles que dizem que o "jeitinho" e este elevado nível de reconhecidos. informalidade presentes em nossa sociedade são os pais da Somente sinto falta de uma divulgação do padrão ao cidadão criatividade internacionalmente reconhecida do brasileiro. Esta comum, portador de cartão e maior interessado no tratamento de afirmação pode até ser verdadeira e a criatividade do brasileiro é, suas informações com segurança, mas penso que isto será uma em minha o opinião, não só o que torna nossa cultura uma das mais conseqüência óbvia na medida em que as empresas forem se ricas do mundo, mas o que nos torna mais adaptáveis às mais certificando. diversas situações. Referências Bibliográficas No entanto, quando olhamos para a gestão de segurança nas ‣ FRIEDMAN, Thomas L.. O Mundo é Plano: Uma Breve empresas, sabemos que o número de vulnerabilidades é diretamente História do Século XXI. 2. ed. Rio de Janeiro: Objetiva, 2005. proporcional ao da adoção de exceções aos processos oficiais. Diante das potencialidades da tecnologia disponível hoje e da concorrência ‣ DAMATTA, Roberto. Carnavais, Malandros e Heróis: Para uma que vivemos no mercado, a rigidez nos processos pode ser o que Sociologia do Dilema Brasileiro. Rio de Janeiro: Rocco, 1981. determina a vida ou morte de uma empresa. Não pode ser algo Sobre o Autor suscetível a informalidade. Carlos Cabral, MCSO, possui treze anos de experiência na área de O que "pega" tecnologia sendo que há sete se dedica à área de Segurança da Informação. Assim como o "para inglês ver" é uma exclusividade do povo Atualmente coordena o Programa PCI para Estabelecimentos Comerciais da brasileiro dizer que tem "lei que pega e lei que não pega". Em tese, Redecard que tem o objetivo de motivar os estabelecimentos credenciados na busca lei não foi feita para "pegar" e sim para ser cumprida ou refutada pela conformidade ao PCI DSS. Também é sociólogo formado pela Escola de Sociologia e Política de São Paulo. Em 2009 as ferramentas e guias recomendados pelo PCI DSS estarão ao alcance do público brasileiro para discussão, contribuição e evolução. Aguarde, em breve o OWASP Application Security CPLP. ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 8
  9. 9. Vulnerabilidades em POS Por Jennia Hizver As aplicações embarcadas em equipamentos utilizados nos Pontos caso, qualquer pessoa com de Venda (Point of Sale, POS) processam e armazenam dados de acesso ao arquivo de script cartões, sendo componentes críticos nas redes de autorização de poderia ler o código fonte, fazer pagamentos. Ao reconhecer que as aplicações em POS são alvos as alterações e obter as altamente prováveis para hackers maliciosos, o Payment Card informações do portador do Industry Security Standards Council (PCI Council) introduziu os cartão. processos de certificação conhecidos como Payment Application Este exemplo mostra claramente como a aderência ao PA-DSS pode Data Security Standard (PA-DSS). ser atendida, e ainda assim a aplicação ficar vulnerável quando a O processo de certificação requer um nível mínimo de segurança em lógica utilizada no desenvolvimento permite que dados críticos todas as aplicações de POS, garantindo que as especificações fiquem armazenados em um script. Utilizar linguagens de definidas no padrão estejam aplicadas e funcionando como programação baseadas em script é geralmente uma péssima escolha deveriam para então serem caracterizadas como “testing for no desenvolvimento de aplicações relacionadas ao processamento de positives”. Entretanto esta abordagem não garante a resiliência de informações de cartão de crédito, uma vez que elas não requerem uma determinada aplicação quando atacada. Para ilustrar essa compilação prévia para serem processadas, e ainda mantêm o premissa, duas aplicações validadas como aderentes ao PA-DSS código fonte armazenado como “clear text”. (referenciadas neste artigo como Aplicação A e Aplicação B) foram Linguagens compiladas (como C/C++) são muito mais eficazes em randomicamente selecionadas de uma lista disponível no web site do evitar ataques de “code tampering” e deveriam ser uma escolha PCI Council. natural para este tipo de aplicação. Basear a escolha da linguagem A análise dessas aplicações demonstrou que vulnerabilidades críticas no conforto e conhecimento específico do time de desenvolvimento existem ainda que todos os requisitos do PA-DSS tenham sido mostra um processo de risk management bastante imaturo. Escolher atendidos. As vulnerabilidades incluem falhas na proteção contra a linguagem adequada para a finalidade de uma aplicação deve ser ataques reais que podem ser feitos com baixo ou nenhum um aspecto de segurança pensando nos primeiros momentos do investimento, ou seja, o que realmente acontece quando um processo de desenvolvimento. componente é exposto em um ambiente potencialmente hostil. Análise da Aplicação B Análise da Aplicação A Uma técnica comum para se entender como uma aplicação não Um ataque de “code tampering”, que causa uma alteração no documentada funciona é a engenharia reversa. Linguagens funcionamento original da aplicação, foi empregado contra a compiladas oferecem muito mais segurança contra ataques de “code Aplicação A. Este tipo de ataque foi possível porque o fabricante se tampering” como explicado no exemplo anterior, porém, ainda equivicou ao avaliar o impacto que poderia acontecer à partir da assim são vulneráveis à ataques que usem engenharia reversa. escolha da linguagem de código utilizada na segurança do seu A engenharia reversa é definida como um processo para identificar a produto. lógica de uma aplicação sem acesso e uso do código fonte. A A análise inicial da Aplicação A determinou que ela foi disponibilidade de diversas ferramentas de suporte para esta prática, implementada como uma Aplicação HTML (HTA). Aplicações somada a grande quantidade de cursos que ensinam as técnicas HTA são escritas utilizando códigos de HTML estático e DHTML relacionadas, tornaram-na um método comum para ataques. Um dinâmico e são armazenadas como “clear text scripts”. Para ficar hacker utilizando engenharia reversa pode ver as instruções de uma aderente aos requerimentos do PA-DSS, a Aplicação A foi aplicação durante a sua execução, e aprender como o desenhada para prevenir a exibição e armazenamento de dados do funcionamento ocorre e o relacionamento com os demais portador do cartão por “data masking”, onde vários caracteres componentes. Para impedir este tipo de ataque, técnicas de originais são substituídos por textos como “*”. “obfuscation” foram desenvolvidas. Entretanto, um atacante com acesso ao código fonte poderia “Obfuscation” é um processo que modifica os binários e dificulta a facilmente modificar o texto para forçar a Aplicação A a armazenar análise e extração do código fonte sem prejudicar o funcionamento e e exibir o texto claro, sem a aplicação de “data masking”. Neste desempenho da aplicação. Apesar dessa medida preventiva ser ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 9
  10. 10. adotada em vários setores como uma prevenção contra a engenharia ‣ Failure Mode inseguro: Ao se deparar com uma falha que não reversa, os fabricantes de aplicações para POS não a utilizam em tenha sido endereçada na arquitetura da aplicação, o POS pode seus produtos. Para ilustrar a importância deste problema, o falhar e expor dados sensíveis, como os do portador do cartão. algoritmo de criptografia utilizado na Aplicação B foi alvo de ‣ Exposição de dados em memória: Atacantes com acesso físico engenharia reversa depois de determinarmos que a aplicação não direto ao POS podem ler dados sensíveis que ficam armazenados usava “code obfuscation”, o que tornou o processo de cripto análise na memória dos equipamentos. muito mais rápido. Conclusão A análise revelou que a aplicação utilizou um algoritmo proprietário Um processo de “penetration testing” pode identificar e minimizar a de criptografia para mascarar os dados do portador do cartão com probabilidade de exploração de várias vulnerabilidades existentes uma cifra extremamente simples de ser quebrada. Este algoritmo em POS e suas aplicações, possibilitando a implementação de ofereceu pouca proteção contra ataques de criptografia, permitindo recomendações de melhoria e a consequente redução do nível de que um atacante comprometesse os dados armazenados e tivesse risco. Isso já é um requisito para as aplicações web que tenham a acesso às informações do cartão de crédito. A aplicação falhou certificação PA-DSS, uma vez que hackers maliciosos usam porque a arquitetura utilizada para o seu desenho não considerou exatamente a mesma abordagem. Entretanto, não existem medidas de proteção no código binário, além de usar bases para a requerimentos definidos para as aplicações instaladas em terminais criptografia inadequadas. Nada disso foi detectado durante o utilizados nos POS. processo de certificação ao PA-DSS. Entretanto, não existe tal requerimento para aplicações de POS No mínimo, rotinas de missão crítica, tais como os algoritmos de instaladas em computadores (que trabalham como terminais POS), criptografia, poderiam ter sido protegidos em uma camada de embora eles sejam igualmente vulneráveis. Assim, penetration mecanismos contra engenharia reversa para reduzir essas testing devem fazer parte de toda auditoria PA-DSS para descobrir vulnerabilidades. Especialistas em penetration test podem as vulnerabilidades na segurança do software. Isto é extremamente determinar quando essas medidas deve ser implementadas em uma útil para fornecer um bom entendimento sobre como o software aplicação de POS. É uma questão de definir o modelo de segurança opera sob ameaça, como mostrado na análise das aplicações A e B. adequado. O exercício descrito neste artigo demonstra que a compliance com o As Falhas mais Associadas com POS PA-DSS pode potencialmente fornecer uma falsa sensação de Além do “code tampering” e engenharia reversa, existem outras segurança, o que traz questionamentos sobre as limitações do vulnerabilidades comuns que podem ser identificadas na maioria das processo de validação do PA-DSS. Para verificar o verdadeiro status aplicações utilizadas em POS. de segurança de uma aplicação, o artigo propõe que todaas as ‣ Tratamento inadequado de dados sensíveis: Senhas e chaves de aplicações de POS devem ser analisadas por penetration test criptografia são rotineiramente incluídas (embedded) no código durante o processo de validação. Esta análise profissional de como “hard-coded text strings” e podem ser extraídas à partir de segurança irá percorrer um longo caminho para garantir que as ataques contra a rede de dados. aplicações validadas são resistentes a ataques no ambiente do mundo real. ‣ Criptografia mal aplicada ou inexistente: A inexistência de criptografia nos dados transmitidos dentro de redes de dados Sobre a Autora internas pode ser explorada por um atacante. Outro ponto é a Jennia Hizver, CISSP, CCSP, é gerente no Technical Security Services Group captura de dados sensíveis quando transmitidos desta forma, o da VeriSign. É graduada em Matemática Aplicada, Mestre em Ciência da que pode ser feito com uma série de ferramentas de “sniffing” Computação e doutoranda em Segurança da Informação. Está envolvida com preparadas especificamente para coletar e enviar dados de um segurança por vários anos, nos setores financeiro, farmacêutico e de POS para outra localidade. telecomunicações. Seus focos são segurança de software, penetration testing e design de redes seguras. Pode ser contatada em jhizver@verisign.com. Anuncie para um público diferenciado e com poder de decisão. Escreva para revista@issabrasil.org e descubra como é simples e eficiente colocar o seu produto em nossas páginas. Antebellum, a um ano a revista eletrônica bimestral da ISSA Brasil. ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 10
  11. 11. ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 11
  12. 12. Conformidade: por onde começar? Por Fábio Juliano Dapper O padrão de segurança de dados da indústria de cartões de padrão não esteja tão perto do que você pagamento chegou e já causa algumas dores de cabeça para as imaginava. Crie um plano de ação para empresas que por exigência de negócio precisam estar em atender as recomendações de forma que conformidade com ele. Para as empresas deste segmento que até fique claro para cada área envolvida o seu papel neste processo, então não seguiam as boas práticas de segurança da informação, esclareça as dúvidas sobre interpretações divergentes dos requisitos e muitas vezes desconhecem por completo as normas da família ISO padronize a documentação utilizada para consulta. 27000, a caminhada para ficar em conformidade poderá ser longa e Algumas traduções na documentação oficial do PCI Council deixam trabalhosa. um pouco a desejar tanto que na versão 1.2 do padrão, PIN Block Se a empresa não sabe por onde começar ou não possui equipe foi traduzido como Bloqueio de PIN. Avalie se sua infra-estrutura interna com conhecimentos suficientes do padrão, é recomendável a consegue atender os requisitos mais complexos como a seção 3 que contratação de uma consultoria especializada. No Brasil, algumas trata da proteção dos dados do portador de cartão e procure se empresas já estão certificadas pelo Council para prestar este serviço, informar melhor sobre controles compensatórios, talvez você apesar de não ser uma exigência. Esta empresa irá fazer uma análise consiga utilizá-los em algumas situações. Apenas tome cuidado para do seu ambiente e verificar qual o GAP para os requisitos do PCI os itens em que nem os controles compensatórios poderão te ajudar, DSS. O custo para a execução desta atividade vai depender de como a proibição do armazenamento de dados de autenticação alguns fatores como o tamanho do ambiente onde os dados do confidenciais após autorização. portador de cartão estão sendo processados, armazenados ou A necessidade de investimento em novas tecnologias pode ser algo transmitidos. Entenda por tamanho do ambiente, o número de que não estava previsto no seu orçamento, mas que poderá se tornar sistemas envolvido em todo o fluxo de transação de cartão e não à medida que você comece a atender as exigências. O padrão se fique surpreso se durante a análise de GAP, outros sistemas sejam manteve neutro em relação a fornecedores e soluções, então cabe a incluídos no escopo da atividade, afinal documentar processos não é empresa avaliar o que melhor atende as suas necessidades e ao seu o ponto forte de muitas empresas. bolso. Pesquise as soluções disponíveis no mercado e pondere bem Outro fator importante além do investimento na contratação da sobre a necessidade de se investir na compra de software consultoria é o envolvimento necessário das áreas de negócio que proprietário ou na utilização de softwares open source. Avalie bem conhecem o ambiente analisado, pois não há consultor que consiga as alternativas e não se precipite em sair gastando todo aquele fazer milagres se não houver a participação de quem realmente budget aprovado a muito custo com o seu diretor. conhece o negócio, seja através do fornecimento de documentações, Apesar de o padrão focar bastante em aspectos muito técnicos como disponibilidade de tempo para a realização de entrevistas e o apoio segmentação da rede, criação de DMZ, controle de acesso físico, de quem está pagando a conta. criptografia e rede sem fio, alguns necessitam bastante atenção como Além do mais, o processo de análise de GAP deve ser conduzido na revisão de processos e documentações. O requisito 12 trata sempre no sentido de informar às pessoas que esta atividade é uma especificamente sobre a manutenção de uma política de segurança possibilidade de melhoria das suas atividades e dos controles da da informação que atenda a todos os requisitos exigidos e também empresa, não leve adiante a idéia de que isso é uma auditoria, afinal sobre a necessidade de gerenciamento de risco e incidentes. este é o pior momento para esconder a sujeira para debaixo do A revisão da política de segurança deve ser um trabalho realizado tapete. Acredite, muita gente tem receio de enfrentar uma auditoria com bastante atenção para que se reflita o que realmente está sendo e pode acabar omitindo alguma informação importante. Procure exigido, pois agora o ponto crítico a ser observado é o ambiente dos acalmar as pessoas! dados do portador de cartão. A ISO 27002 continua sendo uma O resultado final de todo este trabalho deverá ser uma ótima referência com recomendações, mas lembre-se de que quando documentação com observações e recomendações para todo o falamos em PCI DSS, o que antes era recomendação, agora passa a ambiente analisado e que servirá de ponto principal para a criação ser exigência. A política de Segurança da Informação deverá atingir de um plano de ação. Convoque uma reunião com as partes tanto funcionários como prestadores de serviço. interessadas e apresente os resultados, esclareça as dúvidas e À medida que sua equipe interna comece a se habituar a tudo que prepare-se para trabalhar bastante se o índice de aderência ao está envolvido na adequação das exigências do PCI DSS, é possível ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 12
  13. 13. que algumas atividades possam ser executadas sem o apoio de com o que é exigido. Então se organize, faça um bom planejamento consultores. Uma boa fonte para ajudar nas atividades é o e mãos à obra. questionário de auto-avaliação disponível no site do PCI Council. Sobre o Autor Para finalizar, lembre-se de que mesmo que ainda não existam datas Fábio Juliano Dapper é graduando no curso Superior em Segurança da confirmadas pelas bandeiras de cartões sobre o prazo para a Informação pela Unisinos, possui 10 anos de experiência em Tecnologia da adequação ao PCI DSS, é sempre recomendável não deixar tudo Informação, destes, 4 em Segurança da Informação. Se especializou através de para depois. Aplicar controles talvez não seja seu maior problema, algumas certificações como LPIC-2 e Cisco CCNA. É Analista de Segurança da mas pense em como você os manterá ao longo do tempo de acordo Informação na empresa GetNet Tecnologia trabalhando com gestão de risco e projetos envolvendo o PCI DSS. Ele pode ser contatado em fjdapper@gmail.com. Conviso Application Hardening A sua tranqüilidade através da garantia de manutenção de um nível de risco aceitável para as suas aplicações corporativas. A segurança de aplicações é um campo relativamente novo no Brasil, mas que deveria ser considerado estratégico pelas empresas frente ao novo comportamento dos crackers que buscam explorar vulnerabilidades conhecidas nesta camada para cometer crimes contra as empresas e cidadãos. Através do entendimento das suas necessidades de negócio e a forma como suas aplicações são desenvolvidas e administradas, podemos elaborar soluções adequadas especificamente para a sua empresa com o Conviso Application Hardening. Combinamos ferramentas de análise com mais de 10 anos de experiência em segurança e desenvolvimento para prestar serviços de alta qualidade e entregar recomendações de melhoria que funcionam e estão em uma linguagem que você entende. Opções de Abordagem do Conviso Application Hardening ๏ Planejamento de Segurança para Aplicações, atuando diretamente no Secure Development Life Cycle. ๏ Revisão de Código para busca de vulnerabilidades através de code coverage e fuzzy. Conviso IT Security ๏ Auditoria de Aplicações através de pen-test específico para o Rua Conselheiro Laurindo 600 Sala 1513 cenário onde os seus negócios são desenvolvidos. 80060-903, Curitiba, PR T. (41) 3075.3080 F. (41) 3075.3001 www.conviso.com.br http://www.convisosec.com/app_hardening ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 13
  14. 14. Terceirização Uma análise do ponto de vista de Segurança da Informação Por Kenia Carvalho As empresas estão cada vez mais considerando a terceirização e hoje, é possível mensurar seu valor e nos processos de Tecnologia da Informação e tecnologias em principalmente, protegê-la, assim como geral.  Muitas dessas organizações têm um alto grau de os ambientes e os equipamentos expectativa em relação ao serviço prestado e aos benefícios desta utilizados para o seu processamento. A parceria, porém não há uma preocupação quanto à qualidade e à Segurança da Informação é um termo segurança das informações manipuladas pelas empresas terceiras. que se refere essencialmente à proteção A evolução na área de Tecnologia da Informação também tem dos ativos de uma empresa ou pessoas. contribuído para o crescimento da terceirização. A confidencialidade é garantir que as informações sejam acessadas somente por indivíduos autorizados pelo proprietário Muitos produtos e serviços se tornaram homogêneos e de amplo da informação; a integridade é garantir que as informações não consumo, permitindo assim, dentre outros proventos, a sejam alteradas sem autorização de seu proprietário e a possibilidade de redução de custos, melhoria da tecnologia e da disponibilidade, é garantir que as informações estejam qualidade de serviços através de fornecedores externos. Neste disponíveis quando seu proprietário ou usuário necessitar. Estes sentido, a terceirização contribui para redução no custo dos são os principais atributos que orientam a análise, o recursos humanos e operacionais, e pode propiciar maior planejamento e a implementação da segurança para as flexibilidade na adequação desses recursos às metas estratégicas informações. das empresas. A Gestão da Terceirização Terceirização no Segmento Financeiro Os profissionais da área de Segurança da Informação, Ao analisarmos o segmento financeiro, observamos que este, conhecidos como Information Security Officers ou Chefe de devido às fortes pressões regulatórias, acaba por possuir Segurança da Informação, têm como maior desafio gerenciar preocupação diferenciada sobre o tema Segurança da riscos, antecipar as dificuldades e prever o máximo de variáveis Informação. Nesse contexto, a Resolução 3.380 do Banco que possam ameaçar a continuidade dos negócios. Essas Central do Brasil, publicada em 29 de junho de 2006, e outras atribuições se intensificam quando falamos da adoção de normas do mercado financeiro, pois as Instituições Financeiras terceirização em assuntos relativos à segurança. são precursoras das melhores práticas de segurança da informação, são referência para outros segmentos corporativos. Quando se fala em Segurança da Informação e Terceirização é essencial que haja bom senso e, portanto, seja considerado o Hoje no Brasil as Instituições Financeiras devem atender esta porte da empresa prestadora de serviço e o nível de risco dos Resolução que prevê a implantação de área de Gerenciamento processos transferidos ao Terceiro. de Risco Operacional e que determina que os serviços terceirizados relevantes para o funcionamento da instituição A classificação da informação e a análise de risco são a base para também devem ser monitorados, bem como os demais processos implementação de controles adequados em qualquer processo de da organização. Serviços terceirizados relevantes vão desde a tecnologia. É importante mencionar que muitas empresas compensação de cheques, processamento do SPB (Sistema prestadoras de serviços não consideram os requisitos legais e Brasileiro de Pagamento), Centro de Processamento de Dados regulatórios do seu segmento e principalmente aqueles relativos (Data Centers), redes de caixas eletrônicos, processadoras de aos seus clientes. Tanto para o contratante e contratado, é cartões de débito e crédito até o desenvolvimento de softwares e importante: utilização de aplicativos comercializados por terceiros. ‣ Definir de forma clara o escopo de serviço que será prestado Com a implementação de tais Normas e Regulamentações, o ou contratado; mercado de Tecnologia da Informação deve iniciar um trabalho ‣ Definir o grau de criticidade das informações que envolvem o de gestão da terceirização, para tornar-se mais competitivo e serviço prestado ou contratado; atender às exigências de seus clientes, especialmente se estes ‣ Mensurar o risco (baixo/médio/alto) o qual a empresa poderá forem instituições financeiras. A Tecnologia da Informação é a ser exposta, considerando recursos necessários para execução sustentação dos negócios das empresas - sejam privadas ou públicas – o maior bem que uma empresa possui é a informação, ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 14
  15. 15. do serviço contratado, tais como: pessoas, processos, implementação de controles de segurança da informação hardwares, softwares, dados e materiais. alinhados aos padrões e requisitos da empresa. ‣ Definir e executar, quando necessário, ações emergenciais, O provedor deve demonstrar, através de evidências, a sua visando proteger os dados ao qual a empresa se comprometeu capacidade de atender aos requisitos de desempenho a proteger ou é obrigada por Lei a proteger. especificados pelo cliente, e este deve realizar monitoramento Diante da responsabilidade pela segurança de suas informações periódico das atividades do provedor de serviços, para verificar e, principalmente pelas informações de seus clientes, ambas as se os controles implementados operam adequadamente e empresas devem criar uma área de controles internos ou cumprem seus objetivos. É importante considerar o escopo do contratar uma empresa externa especializada em Segurança da serviço que será prestado e elaborar formalmente itens de Informação, para avaliar os controles internos de seus Acordo de Nível de Serviços (SLA) que contemplem a fornecedores, gerenciando os riscos que esta atividade disponibilização de métricas que atendam com eficácia as proporciona. Em todo processo de gestão de segurança da medidas de segurança da informação e cláusulas de melhoria informação, alguns aspectos devem ser considerados: todos os continua. A elaboração de um contrato para este tipo de processos devem ser documentados; ter o apoio da alta prestação de serviços deve ser realizada pela área jurídica e administração; ser um processo dinâmico, contínuo e auditado, e envolver a área comercial e de negócios das empresas ter uma análise de riscos consistente. participantes. A terceirização dos serviços de tecnologia trouxe diversos O que está sendo feito benefícios, porém como em todo negócio, este vêm Hoje no mercado algumas instituições financeiras já executam acompanhado de riscos. Todos os riscos que este tipo de avaliação de segurança da informação em seus provedores de parceria traz podem ser identificados, tratados e monitorados serviços, fazendo a gestão de riscos ao negócio e obtendo um pela empresa contratante. Este procedimento proporciona nível razoável de conforto sobre a integ ridade, maturidade nos negócios e contribui para o sucesso dos confidencialidade e disponibilidade dos dados acessados, objetivos das empresas. A implementação da prática de armazenados, manipulados e processados externamente. Segurança da Informação no âmbito de uma organização Considerando o cenário atual, a competição existente na compreende uma seqüência de ações importantes e economia globalizada leva as empresas a reduzir custos e indispensáveis e estas devem ser estendidas aos prestadores de aprimorar a eficiência dos serviços; uma das ações que serviços. contribuiu e ainda contribui para este objetivo é a terceirização de serviços de tecnologia. O sucesso está diretamente relacionado com a postura dos executivos e funcionários da contratante e da contratada. Os prestadores de serviços apresentam a terceirização como Ambas as empresas devem realizar o gerenciamento, uma parceria em que todos os lados ganham, embora este manutenção e atualização constante das práticas de Segurança objetivo seja positivo e atingível, só é possível através de um da Informação. Em função da crise global vem acontecendo processo de contínua gestão de relacionamento, que considere e uma redução dos orçamentos e investimentos na área de TI e supere as divergências existentes. Afinal, cliente e provedor de Segurança da Informação, e as empresas estão adotando serviços são duas entidades distintas, cada uma com diferentes posturas conservadoras em relação aos custos. Por isso mesmo é visões e objetivos estratégicos. importante considerar que a segurança da informação deve ser Algumas empresas selecionam prestadores de serviços e consistentemente analisada durante o processo de terceirização negociam contratos sem ter uma clara compreensão de seus de serviços, pois somente assim haverá condições de se avaliar objetivos de negócios e da importância da qualidade de serviços os ganhos reais, qualitativos e quantitativos, decorrentes deste de tecnologia. O resultado provável será a frustração, tanto em negócio. relação ao atendimento dos requisitos estratégicos, quanto em relação à eficiência operacional e a redução de custos. Sobre a Autora Kenia Carvalho é especialista em Segurança da Informação, pós-graduada Mais que um simples contrato pelo ITA, e possui 14 anos de experiência em TI com 3 em Segurança da Por este motivo, o processo de terceirização de serviços de Informação. Atualmente trabalha na Área de Segurança da Informação de uma tecnologia requer que a empresa contratante tenha definido instituição financeira internacional, responsável pela gestão de avaliações de claramente os procedimentos adequados de seleção e de segurança da informação em fornecedores de serviços, tendo mais de 50 empresas contratação de fornecedores. É preciso considerar nos contratos avaliadas em seu currículo. Pode ser contatada através do e-mail: o comprometimento dos fornecedores com a qualidade e com a cristina_kenia@yahoo.com.br. ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 15
  16. 16. ISO/IEC 15.408 Não é para desenvolvimento seguro Por Wagner Elias Começar um artigo com um título negando uma afirmação conjunto de práticas que garantem amplamente divulgada é praticamente um convite a discussões que o princípio de S³+C será intermináveis entre os que defendem uma abordagem ou outra, o garantido durante o processo de que nós conhecemos como flamewar. Mas fique tranquilo, meu desenvolvimento de software. Mas o interesse é simplesmente esclarecer um equívoco que vem sendo que é o S³+C? S³+C é (Segurança repetido amplamente por anos. E quando falamos em PCI-DSS um no projeto, Segurança por padrão, assunto recorrente é a segurança em desenvolvimento de software, Segurança na Implementação + Comunicação). Veja o que a momento extremamente oportuno para esclarecer e acabar com este Microsoft descreve sobre esta classificação: equívoco. ‣ Segurança no projeto: o software deve ser esboçado, projetado e A ISO/IEC 15.408 (Commom Criteria), é um conjunto de critérios implementado de modo a proteger a si mesmo e às informações para avaliação de segurança de um software. Esta avaliação é feita que ele processa, bem como resistir a ataques. através de perfis de proteção e níveis de garantia de avaliação. Com ‣ Segurança por padrão: no mundo real, nenhum software pode ser base nestes critérios, laboratórios credenciados e capacitados irão perfeitamente seguro, portanto os projetistas devem prever a avaliar produtos e determinar que nível de garantia de segurança o presença de falhas na segurança. Para diminuir os danos causados produto será acreditado. quando invasores detectam essas falhas remanescentes, o estado Então como se pode afirmar que a ISO/IEC 15.408 não é para padrão do software deve promover a segurança. Por exemplo, o desenvolvimento seguro? Simples, ela não fornece nenhum tipo de software deve operar com o mínimo necessário de privilégios, e processo, sistema de gestão e/ou guia para implementação de todos os serviços e recursos que não sejam amplamente qualquer controle para garantir a segurança de uma aplicação, necessários devem vir desativados por padrão ou ser acessíveis apenas critérios para avaliar qualquer sistema, produto de somente a um pequeno grupo de usuários. segurança. ‣ Segurança na implantação: O software deve vir acompanhado de ferramentas e guias para ajudar os usuários finais e/ou Quem procura boas práticas para desenvolvimento seguro deve se administradores a usá-lo com segurança. Além disso, as orientar por práticas como o SDL (Security Development Lifecycle) atualizações devem ser fáceis de serem implantadas. da Microsfot ou o CLASP (Comprehensive, Lightweight Application Security Process) da OWASP (Open Web Application Security ‣ Comunicação: os desenvolvedores de software devem estar Project). Estas práticas irão lhe fornecer diversos recursos que irão preparados para a descoberta de falhas na segurança do produto e possibilitar que você implemente um processo que irá aumentar a devem se comunicar de forma aberta e responsável com os qualidade e segurança das suas aplicações. usuários finais e/ou administradores para ajudá-los a tomar medidas preventivas (tais como a instalação de patches ou o uso de SDL (Security Development Lifecycle) medidas paliativas). O SDL é o grande responsável por um aumento considerável na segurança das aplicações desenvolvidas pela Microsoft. O SDL é um Figura 1: Estrutura do SDL proposta pela Microsoft ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 16
  17. 17. CLASP (Comprehensive, Lightweight Application ‣ CLASP Best Practices: Apresenta um conjunto de sete melhores Security Process) práticas para o desenvolvimento seguro, que vão das análises de O CLASP tem como propósito ser uma metodologia leve de fácil segurança até a definição e administração de métricas. integração com um modelo tradicional de desenvolvimento de ‣ 24 Atividades CLASP que podem ser direcionadas para o modelo software. Ela fornece recursos e está organizada pelos seguintes de segurança desejado, atendendo não só as boas práticas mas componentes: abordagens para SOX e COBIT. ‣ CLASP Views: Apresenta cinco perspectivas de alto nível que são ‣ CLASP Resources (incluindo CLASP “Keywords”), que crescem a detalhadas em atividades que podem ser aplicadas dentro do cada nova edição do projeto. processo de desenvolvimento: Concepts View, Role-Based View, ‣ CLASP Taxonomy, que é integrada aos demais projetos do Activity-Assessment View, Activity-Implementation View e OWASP e adotada por empresas e organizações do mercado. Vulnerability View. A base para implementação da CLASP são suas visões, as visões se interagem e são suportadas pelos outros componentes. Este processo atende a todas as necessidades de um processo de segurança em desenvolvimento de software e atende as diversas demandas associadas a segurança no desenvolvimento de software. Conclusão Com esta rápida abordagem sobre as duas principais referências em implementação de processos de segurança em desenvolvimento, podemos observar que a ISO/IEC 15.408 pode ser um objetivo a ser alcançado, critérios a serem atendidos, mas nunca irá lhe orientar, fornecer recursos que, servirão de base para a implementação do mesmo. A segurança adequada de uma aplicação varia de acordo com o Figura 2: Estrutura do CLASP comportamento, posicionamento e dinâmica de diversos componentes e relacionamentos que vão muito além do que está escrito em uma norma. Atingir este resultado requer uma metodologia dinâmica, alinhada ao que vem ocorrendo no mercado e que seja capaz de estabelecer melhorias na mesma velocidade que as vulnerabilidades são descobertas. Este é o papel de opções como o Microsoft SDL e o CLASP, use-as e fique seguro. Referências ‣ http://www.commoncriteriaportal.org/ ‣ http://msdn.microsoft.com/en-us/library/ms995349.aspx ‣h t t p : / / w w w. o w a s p. o r g / i n d e x . p h p / Category:OWASP_CLASP_Project Sobre o Autor Wagner Elias, CBCP, SANS GIAC GHTQ , CobiT Foundation, ITIL Foundation, Atua na área de Tecnologia da Informação há mais de 10 anos, tendo acumulado larga experiência em projetos de Segurança da Informação no Brasil e exterior. É co-fundador e sócio da Conviso IT Security, onde atua como Gerente de Pesquisa e Desenvolvimento, responsável pela elaboração de metodologias, gerenciamento de pesquisas em vulnerabilidades e soluções de proteção de informações e gerenciamento das equipes de consultores. Foi responsável pela fundação do capítulo Brasil do OWASP e é Diretor de Eventos do capítulo São Paulo da ISSA. Figura 3: Bases de interações do CLASP ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 17
  18. 18. ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 18
  19. 19. Microsoft Forefront Threat Management Gateway (TMG) A Nova Geração do Firewall da Microsoft agora disponível em Beta 2 Por Yuri Diógenes Antes de falar sobre o TMG Beta 2 é importante mencionar que a perímetro passa a ter um papel Microsoft ano passado já havia lançado uma versão deste produto fundamental para prevenir ataques do porém com menos funcionalidade (bem menos na realidade). Esta mundo externo, porém é preciso muito versão foi chamada de TMG MBE (Medium Business Edition) e foi mais que isso tendo em visto que ataques internos ainda são a lançada principalmente para fazer parte do EBS (Essential Business maioria. Server). Inspeção de Rede O TMG MBE já está em RTM e disponível no mercado, se você O TMG Beta 2 traz um conjunto de funcionalidades que vão além quiser ler mais sobre algumas funcionalidades desta versão reveja o do fator chave da proteção de perímetro. Através de uma nova artigo que escrevi para TechNet Magazine de Fevereiro de 2009 em funcionalidade chamada Network Inspection System (NIS) o TMG parceria com Jim Harrison e Mohit Saxena (ambos co-autores do Beta 2 traz funcionalidade de um IPS (Intrusion Prevention System) livro de TMG que estamos escrevendo para Microsoft Press). Você através do uso do protocolo GAPA (Generic Application-Level pode ler este artigo na edição online da revista. Protocol Analyzer), criado pela Microsoft Reseach. O TMG Beta 2 tornou-se disponível para o público externo no dia 6 de Fevereiro de 2009, após a espera que parecia imensa, esta versão traz um amadurecimento do produto e um novo conjunto de funcionalidades que tornam o TMG um produto robusto para segurança de perímetro. O objetivo deste artigo é mostrar as principais novidades da versão Beta deste produto. Além da Segurança de Perímetro Estudos mostram que usuários em geral demoram em média 50 dias para atualizar seu computador com patches de segurança. Este número cai em um ambiente corporativo devido a políticas de segurança e gerenciamento centralizado para distribuição de patch. Porém ainda há uma janela entre o patch ser lançado e ser efetivamente instalado. Nesta janela o grande risco é que a vulnerabilidade já foi anunciada e na maioria das vezes já existem mecanismos para explorar tal vulnerabilidade. A segurança de Figura 2: Alterando o modo de resposta de uma vulnerabilidade Esta funcionalidade vai permitir que o TMG bloqueie tráfego que é considerado malicioso com base no conjunto de assinaturas disponível no produto. Tais assinaturas serão recebidas do Microsoft Update e a medida que novas vulnerabilidades são anunciadas e assinaturas testadas, o TMG será capaz de fazer tais intervenções. Isso permite com que a janela de vulnerabilidade seja mitigada através desta inspeção preventiva. Na Figura 1 temos a interface do Figura 1: A tela inicial do NIS no TMG Beta 2 NIS que é parte do TMG Beta 2. ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 19
  20. 20. Na tela do NIS temos as vulnerabilidades que podem ser Além disso, o TMG Beta 2 também permite que clientes organizadas por categoria ou por outros parâmetros. O padrão do utilizando o TMG Client (também conhecido como Firewall TMG Beta 2 é que todas as vulnerabilidades conhecidas pelo NIS Client) sejam notificados que o tráfego está sendo inspecionado. estejam configuradas em modo que ela seja apenas detectada. A A figura 4 mostra a janela de configuração da inspeção HTTPs: vantagem deste modo é que você poderá analisar através dos logs o quão saudável está sua rede antes de colocar em produção (alterando o modo para Bloquear). Nas propriedades de uma vulnerabilidade no NIS é possível ver mais detalhes e alterar o modo de resposta como apresentado na Figura 2. O TMG Beta 2 utiliza o Update Center para fazer atualizações de definições do NIS. O intervalo de verificação de novas atualizações é configurado como padrão nesta versão Beta para 15 minutos, conforme mostra a Figura 3. Figura 4: janela de configuração da inspeção HTTPs Inspeção de Malware Figura 3: Update Center e as configurações de atualização de definições A propagação de pragas virtuais é algo extremamente presente nos dias de hoje. Infelizmente ainda existem diversas empresas Inspeção HTTPs que mantém máquinas des-assistidas, ou seja, sem uma Com o aumento de acessos maliciosos usando entunelamento proteção efetiva contra malware. SSL os dispositivos tradicionais não são capazes de inspecionar O TMG Beta 2 faz uso de uma funcionalidade que foi tráfego criptografado. O TMG Beta 2 traz uma nova inicialmente lançada no TMG MBE chamada de Malware funcionalidade que permite a inspeção de tráfego HTTPs. Ao Inspection. Através desta funcionalidade pode inspecionar receber o tráfego o TMG Beta 2 vai descriptografar, tráfego e usar a engine do Antivírus Forefront para fazer o scan inspecionar, com o uso de um outro certificado criptografar de um tráfego HTTP. Desta forma mesmo as máquinas novamente e então enviar o tráfego seguro para o cliente desassistidas que tentarem acessar sites que contenham malware interno que fez o acesso. podem se beneficiar de uma segurança efetiva no perímetro. É possível imaginar cenários onde o cliente está acessando um Para este assunto recomendo a leitura do artigo “Monitoring site que contém informações pessoais e sigilosas que não devem Malware Through the Edge with Microsoft Forefront Threat ser inspecionados. Management Gateway” que escrevi para a coluna de Dica de Um exemplo é o acesso a um site de Banco ou de uma Segurança do Mês (Novembro de 2008) da Microsoft. instituição de saúde (que contenha registros do paciente) e não Outra novidade do é capacidade de usar os recursos do deve ser inspecionado sem avisar ao usuário ou em alguns casos Exchange Edge Transport e Forefront Security Server for (dependendo da legislação do país) sere inspecionado de forma Exchange para fazer inspeção SMTP. Através desta integração alguma. de tecnologias o TMG Beta 2 é usado como repositório central O TMG Beta 2 permite esta flexibilidade através da criação de para criação de regras Anti-Spam e tais regras são replicadas uma lista de exclusão de sites que não devem ser inspecionados. para o Exchange Edge Transport e para o FSS para Exchange. ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 20
  21. 21. É importante salientar que o Exchange Edge Transport já Information precisa estar instalado na máquina antes de instalar o TMG, caso contrário você receberá a seguinte tela de alerta durante a instalação do TMG: Systems As políticas de segurança SMTP são criadas na interface do Security Association TMG através do uso das opções abaixo apresentadas em três abas, sendo elas: ‣ E-Mail Policy: permite a configuração da publicação SMTP e conectividade com o servidor SMTP interno. ‣ Spam Filtering: permite a configuração de filtro anti- spam. A comunidade global ‣ Virus and Content Filtering: permite a configuração de antivirus, quantos engines serão usados para fazer o scan SMTP (nesta versão beta até 5 podem ser usados para SMTP) e filtro de conteúdo. para os profissionais de Conclusão Este artigo mostrou algumas das principais características de Segurança da segurança do TMG Beta 2, porém existem muito mais funcionalidades a serem exploradas. Minha recomendação é Informação que você faça o download desta versão beta e comece a testar. Neste site você pode encontrar não só o bits para download mas também uma versão beta do “Deployment Você não está sozinho ... Guide” do TMG Beta 2 que lhe auxiliará a fazer a configuração inicial. Aproximadamente 10.000 membros em todo o mundo Sobre o Autor Yuri Diogenes trabalha na Microsoft no Texas como Sr Security Desenvolvimento profissional Support Engineer do time de CSS Forefront Edge Security. É Conferências e Eventos responsável por receber escalações de casos abertos para os produtos Descontos para associados Forefront Edge (ISA/TMG), co-autor da coluna “Tales from the Recursos sobre Segurança da Informação Edge” no site da comunidade de Forefront Edge (http:// technet.microsoft.com/en-us/forefront/edgesecurity/bb687298.aspx) e Desenvolvimento de carreira também contribui com os artigos publicados no Blog do time de ISA/ Créditos (CPEs) para certificações TMG (http://blogs.technet.com/isablog). Yuri também escreve no seu blog pessoal (http://blogs.techenet.com/yuridiogenes) a respeito da sua experiência com os produtos Forefront Edge. Atualmente Yuri Diogenes está escrevendo um livro pela Microsoft Press em parceria com Jim Harrison (http://www.isatools.org), Mohit Saxena (Líder Técnido do time de Forefront Edge) e tendo como revisor técnico Thomas Shinder (http://www.isaserver.org). O livro deverá ser lançado quando o TMG estiver em versão final no mercado. ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 21
  22. 22. Segurança da Informação em Tempos de Crise Por Lucas Donato Contrariando a tendência a diminuir investimentos face à crise aquisições entre companhias. Segundo econômica mundial, a necessidade de garantir a Segurança da Steven Katz, é neste período que Informação segue crescente para a continuidade dos negócios, precisamos dar mais atenção para para a conformidade com as regulações vigentes e para a proteção funcionários descontentes, que devido aos dados da empresa e de parceiros de negócio. Nos gráficos da ao nível de acesso a informações privilegiadas, sempre consistiram, Bovespa, mais uma queda é observada. No outro lado do mundo, naturalmente, em uma das principais ameaças à Segurança da as bolsas asiáticas caem pelo temor dos investidores com o Informação de uma empresa. Não devemos esperar que, agora, aumento das perdas e o Japão, segunda maior economia do este risco diminua. mundo, poderá manter-se em recessão durante o início do Pelo contrário. Conforme Katz, relatórios de controle de acesso e próximo ano. Este cenário pessimista tornou-se rotina em todo o atividades de usuários privilegiados devem ser mais monitorados globo, desde Tóquio, passando por Wall Street e chegando no do que nunca. E não só isso: a fusão de companhias envolve Brasil. mudanças significativas na infraestrutura tecnológica e na Economistas e pesquisadores afirmam que a tendência é que, após estrutura de informações de uma empresa, não esquecendo, ainda, o estouro da bolha imobiliária, as perdas agora sigam de políticas, procedimentos... a lista é longa. Nesta situação, a aumentando. A preocupação em proteger-se do pior é realização de uma Análise de Risco é indispensável, contemplando generalizada e atinge cada um de nós. Quadros de funcionários todas as mudanças no novo ambiente e o impacto oferecido na são reduzidos, orçamentos são revistos, novos investimentos são Segurança da Informação da companhia. praticamente eliminados. Em tempos de crise, é fundamental Mais do que nunca, portanto, é fundamental continuar investindo evitar perdas de receita não previstas. No entanto, o simples corte naquilo que é mais crítico para a continuidade do negócio. E, de gastos não protege as empresas contra perdas em pontos que felizmente, é isso que tem ocorrido. Uma pesquisa realizada com exigem processos contínuos de melhoria e monitoração. Quando a executivos de mais de 50 países e divulgada em outubro pela Ernst continuidade dos negócios está em jogo, a Segurança da & Young apresentou que as corporações estão, de fato, aumentando Informação entra em campo. os investimentos na área de Segurança da Informação, com padrões O não cumprimento de regulações como Sarbanes-Oxley, por internacionais de segurança sendo adotados cada vez mais no exemplo, ocasiona prejuízos muitas vezes bem maiores do que a mercado. A pesquisa é corroborada, ainda, pelo (ISC)2 Global adoção de controles adequados para assegurar que os três pilares Information Security Workforce Study, que revelou um paralelo da Segurança da Informação sejam garantidos. Afinal, ninguém entre o ato de realizar uma análise dos riscos e o aumento da pretende hoje em dia deixar de contar com uma solução de anti- confiança na organização. A chave para sobreviver à crise com vírus, por exemplo. Em períodos assim, a freqüência de ataques menos arranhões está nas mãos das empresas onde a confiança vaumenta substancialmente. Segundo a MessageLabs, houve um existe entre seus acionistas, onde a redução de custos ocorre sem a significativo aumento do número de e-mails voltados para roubar redução da segurança, onde a continuidade dos negócios é encarada dados e senhas dos internautas, em um tipo de ataque conhecido como a prioridade e onde a Segurança da Informação é tratada como phishing scam. como um aliado indispensável para a redução das perdas que ameaçam o presente e o futuro que virá. Os criminosos estão aproveitando, e muito, o medo generalizado ocasionado pela crise econômica que se espalhou em todo o Sobre o Autor mundo. E não falamos só de phishing scam quando a ameaça vem Lucas Donato, consultor e sócio da e-trust, CISSP, graduado em Ciência da pelo e-mail. O SPAM, outro fator de perda considerável de receita, Computação pela UFPel e pesquisador em Forense Computacional. Possui pode ser contido em grande parte através de sólidos controles de experiência em Análise de Risco, Testes de Intrusão, Diagnósticos de segurança. Em 2008 identificamos que para uma empresa Vulnerabilidades e Análises de Sistemas Críticos. Possui experiência em Resposta multinacional com um quadro de aproximadamente 2.500 a Incidentes e Perícia Forense. Participou de projetos nos setores Financeiro, funcionários, a economia oferecida por uma solução Anti-SPAM Energia, Governamental, TI, Oil and Gas, Saúde, entre outros. Pode ser em um ano chegou na casa de quatrocentos mil dólares. contatado através do e-mail lucasdonato@gmail.com. Fenômenos muito comuns nestes períodos turbulentos são fusões e ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 22

×