Este documento apresenta uma edição da revista eletrônica Antebellum da ISSA Brasil, contendo artigos sobre segurança da informação. Os tópicos incluem o Padrão de Segurança de Dados do Setor de Cartões de Pagamento, vulnerabilidades em pontos de venda, conformidade com normas de segurança e privacidade no monitoramento digital.
1. ANTEBELLUM006
Março e Abril de 2009
Payment Card Industry
Data Security Standard
As Vulnerabilidades no POS
Para inglês ver?
Conformidade: por onde começar?
ISO/IEC 15.408 não é para desenvolvimento seguro
E ainda:
Terceirização: Uma análise do ponto de vista de Segurança da Informação
Microsoft Forefront Threat Management Gateway (TMG)
Segurança da Informação em Tempos de Crise
Você está preparado para o CISSP?
Segurança no Windows 7
A Privacidade como Limitador do Monitoramento Digital
ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 1
2. ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 2
3. Carta do Presidente
Por Anchises M. G. de Paula
O ano passado foi marcado por muitas realizações da ISSA Brasil e o ano de 2009 não vai ser diferente. Em
2008 participamos ativamente do dia-a-dia dos profissionais de segurança da informação através de diversas
atividades, como os ISSA Days mensais, o Grupo de Estudos CISSP e com o apoio a diversos eventos de
destaque como o CNASI, o GRC Meeting, o CertiForum, o You Shot Sheriff, entre outros. Criamos o ISSA
Brasil Awards e lançamos a revista Antebellum, com cinco edições digitais e um número impresso. Essas atividades só foram possíveis
com o apoio de diversas empresas líderes no segmento de Segurança da Informação.
Para este ano estamos planejando focar ainda mais nossas ações nos associados, para trazer um maior valor agregado a associação e
mais benefícios, como serviços e conteúdos relevantes ao seu desenvolvimento profissional.. Queremos que os associados ativos da ISSA
sejam nossa prioridade e, por isso, ao mesmo tempo que criamos novas atividades e trazemos mais benefícios, decidimos que vamos
restringir algumas atividades exclusivamente para os profissionais que acreditam na associação e participam dela. Acredito que 2009
será o ano marcado pelo forte impacto da crise econômica no mercado e no nosso dia-a-dia, mas ao mesmo tempo pela crescente
valorização da segurança da informação pelas empresas. A profissionalização do cyber crime e as demandas regulatórias estão
pressionando fortemente as empresas, que já estão sensíveis a necessidade de investimento em segurança e de mão de obra especializada
na área.
Na ISSA, 2009 será marcado pela preocupação com o associado e por ações inovadoras. Esta é a nossa primeira edição temática da
Antebellum, e também já começamos produzindo uma versão dela impressa, graças ao apoio da CLM, uma empresa que tem nos
apoiado frequentemente. Esta edição será distribuída em nossos encontros. A escolha do PCI como tema central também não poderia
ser mais propícia. Por uma infeliz coincidência, no começo deste ano foi divulgado aquele que pode ser o maior roubo de cartões de
crédito em toda a história, ocorrido na empresa Heartland, a sexta maior processadora de transações financeiras dos Estados Unidos.
Esse incidente pode chegar a milhões de dados capturados através de sniffers instalados em servidores comprometidos.
Porém, a Heartland era certificada PCI, o que motivou alguns questionamentos sobre a eficácia da certificação. A resposta pode ser
aquela famosa frase de que nenhuma solução é 100% segura. O PCI é uma forma de garantir que um conjunto mínimo de controles e
processos existem, mas ele, por si só, jamais conseguirá proteger contra todas as potenciais ameaças as quais uma organização está
exposta. Esse é o dilema do profissional de SI: temos que nos proteger de todos os possíveis ataques existentes ou que venham a ser
inventados, enquanto ao “hacker” basta encontrar uma única brecha.
Sobre a ISSA ‣ Diretor de Eventos: Wagner Elias
‣ Diretor Financeiro, Parcerias e Relacionamento: Dimitri Abreu
A ISSA® (Information Systems Security Association) é uma
organização internacional sem fins lucrativos formada por ‣ Diretor Jurídico: Dr. Renato Opice Blum e Dr. Rony Vainzof
profissionais de segurança da informação. Ela promove eventos (suplente)
educacionais, publicações e a interação entre os profissionais,
‣ Diretor da Regional Sul: Eduardo V. de Camargo Neves
proporcionando ganhos de conhecimento, troca de experiências e
evolução na carreira de seus associados. O Capítulo São Paulo foi ‣ Secretario: Paulo Teixeira
criado em 2003 e está atualmente em sua terceira gestão, eleita em
2008, com os seguintes Officers:
Como se associar
‣ Presidente: Anchises Moraes G. de Paula A associação é sempre feita através do site da ISSA Internacional,
onde está disponível o formulário de inscrição on-line. Para se
‣ Vice-Presidente: Willian Okuhara Caprino
associar, vá no menu “Join ISSA” e escolha a opção “Join Now”. É
‣ Diretor de Comitês: Rodrigo Montoro importante lembrar que, no momento da inscrição, deve-se indicar
que deseja fazer parte do capítulo local (“Chapter Brasil-SP”) para
‣ Diretor de Comunicação: Fernando Fonseca e Lucimara Desiderá
usufruir dos benefícios oferecidos aqui no Brasil, além daqueles
(suplente)
oferecidos pela ISSA Internacional, que podem sempre ser
‣ Diretor de Educação e Conteúdo: Ronaldo C. de Vasconcellos verificados em nosso web site.
ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 3
4. Antebellum 006
Nesta Edição
Noticias do Mercado
...........................................................................................................................................................................Página 06
Para inglês ver?
....................................................................................................................................................................................Página 07
Vulnerabilidades em POS
................................................................................................................................................................. Página 09
Conformidade: por onde começar?
................................................................................................................................................... Página 12
Terceirização: Uma análise do ponto de vista de Segurança da Informação
.................................................................................... Página 14
ISO/IEC 15.408 não é para desenvolvimento seguro
..................................................................................................................... Página 16
Microsoft Forefront Threat Management Gateway (TMG)
............................................................................................................. Página 19
Segurança da Informação em Tempos de Crise
............................................................................................................................... Página 22
Você está preparado para o CISSP?
................................................................................................................................................. Página 23
Segurança no Windows 7
................................................................................................................................................................. Página 24
A Privacidade como Limitador do Monitoramento Digital
............................................................................................................. Página 26
Atividades da ISSA
........................................................................................................................................................................... Página 27
Off Line: o Lado Relax da Segurança
............................................................................................................................................. Página 29
Worst Cases
....................................................................................................................................................................................... Página 31
de caso para publicação. O material deverá ser inédito e o autor
Antebellum
assumir o compromisso de manter a publicação restrita a
A Revista Eletrônica Bimestral da ISSA Brasil | Edição 006, janeiro
Antebellum pelo período de 60 dias, após o qual poderá
e fevereiro de 2009
disponibilizar para o público em geral. Os interessados deverão
Expediente enviar o material para conteudo@issabrasil.org.
‣ Editor: Eduardo Vianna de Camargo Neves
‣ Revisão: Anchises Moraes
Disclaimer
As informações apresentadas nesta revista não foram submetidas a
‣ Jornalista Responsável
um teste formal e não devem ser interpretados como soluções. As
‣ Cristina Turnes, MTb DF 4341/83, Contatos pelo site opiniões expressas não refletem a opinião da ISSA ou ISSA
www.ctcom.com.br Capítulo Brasil. Os nomes de produtos e marcas registradas são de
propriedade de seus respectivos donos. Todas as fotos são de arquivo
Submissão de Material
pessoal dos autores, quando não especificado em contrário.
Convidamos a todos para contribuir com a comunidade de
Segurança da Informação submetendo artigos, tutoriais ou estudos
ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 4
5. Carta do Editor questionamento de sua eficiência como controle estabelecido são
apresentados para que cada um tire suas conclusões.
A próxima edição está sendo preparada, e pretendemos abordar
Por Eduardo Vianna de Camargo Neves
um tópico que ganha mais e mais importância no cenário
mundial: a segurança de aplicações. Além do próprio PCI
Caros Leitores,
Council ter o Payment Application Data Security Standard -
O assunto PCI é um grande mistério para a maioria dos veja a matéria da Jennia Hizver questionando - existem
profissionais da nossa área, não pode ser complicado, o que não organizações em todos os setores que trabalham para aplicar
é, mas pelo fato de que é um padrão que tem sido aplicado com controles que reduzam as perdas decorrentes da exploração de
sucesso nos mercados norte-americano e europeu há alguns vulnerabilidades tão presentes na mídia especializada como o
anos, e na América Latina tem tentado entrar pelo menos desde Cross Site Scripting e o SQL Injection.
2007 sem sucesso. Apesar de algumas empresas estarem
Tentaremos ainda trazer entrevistas com profissionais que
alinhados aos seus controles - especialmente filiais de
trabalham neste mercado, já maduro no exterior, há alguns anos,
multinacionais - não tenho visto grande pressão explícita das
e apresentar artigos técnicos e gerenciais na mesma proporção.
operadoras de cartão para que a sua implementação seja
Estamos esperando a sua contribuição para esta próxima
maciça. Ainda assim, o assunto tem crescido aos poucos no
Antebellum, mande seus artigos e trabalhos para
nosso mercado, e há quem aposte que 2009 é o ano em que o
revista@issabrasil.org e mostre a cara dos especialistas em
PCI DSS e suas variantes irão aportar com força na rotina das
segurança de aplicação do Brasil.
empresas brasileiras.
Por enquanto, aproveite mais essa edição feita especialmente
Esta edição aborda alguns pontos de vista sobre o padrão, onde
para vocês. Até a próxima e tenha uma boa leitura.
matérias que vão do entendimento da sua aplicação ao
ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 5
6. Notícias do Mercado
Por Equipe Podcast I Shot the Sheriff
DNSSEC verifica mensagens DNS com assinaturas digitais.
O que aconteceu
Segundo o Registro.br, desde 15/01/2009 o serviço DNSSEC está
disponível para todos os domínios abaixo do .br. Link em http://
Seu código é seguro? tinyurl.com/8zhgot
A empresa norte-americana de processamento de cartões de crédito,
iPhone Culpado?
Heartland Payment Systems, sofreu uma brecha no ano passado,
Homem culpa falha no iPhone por traição. Um tópico aberto no
que pode ter sido o maior vazamento de dados deste mercado. A
fórum da Apple relata um incidente inusitado. Uma mulher, que
causa? De acordo com a matéria, um software malicioso dentro da
suspeita estar sendo traída por seu marido, queria saber: uma falha
rede de dados, que capturava os dados dos cliente e ... você pode
poderia ter sido responsável pelo envio de uma foto pornográfica de
imaginar o que acontecia. Link em http://tinyurl.com/8mnjb5
seu marido a outra mulher? No tópico aberto, Susan queria tirar a
Vídeos do YSTS 2.0 dúvida e saber se seu marido estava falando a verdade. No
Os vídeos das palestras apresentadas no evento YSTS 2.0 estão desespero, o homem afirmara inclusive ter visitado um técnico da
agora disponíveis on line em http://tinyurl.com/9ly4pc. Apple Store para confirmar a existência da falha que, segundo ele,
anexou a foto a um e-mail, endereçou a outra mulher e armazenou
Ataque contra a NASA a mensagem na pasta de "itens enviados". Entre as respostas, a
A NASA sempre foi uma espécie de alvo de aspirantes a hackers, maioria declarava o óbvio: Susan estava sendo traída. Alguns a
mas dessa vez o ataque pode ser muito mais perigoso, uma vez que aconselharam a procurar um advogado, outros mais curiosos
utilizou um malware para o roubo de informações específicas sobre buscavam saber mais sobre o caso. E alguns usuários tentavam
o Ônibus Espacial, enviando para um computador em Taiwan. Link salvar a pele do acusado de traição, dizendo já terem visto a falha...
em http://tinyurl.com/5h4re8. Link em http://tinyurl.com/6n2yvx
Adeona Acha GHH
Adeona é o primeiro sistema Open Source designado para ajudar a Para combater a busca de informações sobre os alvos durante antes
localizar um notebook roubado mas que não depende de uma de ataques pela Internet, o Google lançou o Google Hack
empresa ou serviço centralizado. Focado em privacidade, o sistema Honeypot. Veja como funciona em http://tinyurl.com/2ovmsq.
promete que somente o dono do notebook (ou um agente por ele
designado) pode saber do paradeiro do equipamento. Link em Os “Tweets” do mal?
http://tinyurl.com/6jfgdd Primeiro foi o efeito Slashdot que derrubava web sites pequenos,
que teve suas variações como o Efeito Digg e Efeito TechCrunch. A
Mais sobre Open Id bola da vez é o passarinho azul? Veja em http://tinyurl.com/
OpenId é um padrão de autenticação já utilizado por mais de avdl9o.
27.000 sites web. Este site se propõe a explicar como este padrão
funciona e por que utiliza-lo. Link em http://openidexplained.com How we hacked ShmooCon
O título da chamada fala por si só. Veja como foi feito em http://
DNSSEC tinyurl.com/b9amn9.
O DNS é o sistema que transforma endereços IPs em nomes,
facilitando a interação entre computadores e seres humanos. Com O que a NSA acha do Skype?
mais de 30 anos, o padrão tem se mostrado cada vez mais frágil e A notícia tem todos os ingredientes de teoria da conspiração, mas
vulnerável a ataques, como os divulgados amplamente em 2008. O está em http://tinyurl.com/a9hn2n.
ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 6
7. Para inglês ver
Por Carlos Cabral
Dentre as muitas expressões que sempre estão na boca do povo empresas que visito é a de que estas
brasileiro, uma em especial possui uma relação estreita com a forma acreditam que possuem total
pela qual nosso povo se relaciona com normas e regulamentações: soberania sobre a sua atuação no
trata-se do famoso "para inglês ver". Esta expressão é usada desde a mercado. De que o ciclo que envolve
época em que a Inglaterra, detentora de forte influência em nossa fornecedores, empresa e cliente possui
política, pressionava o governo brasileiro no sentido da libertação total controle.
dos escravos.
Embora isto possa ser óbvio para a maioria dos leitores desta revista,
Por sua vez, as autoridades brasileiras emitiam decretos que em tese alguns representantes de empresas brasileiras ainda não entendem
atendiam à pressão inglesa, mas que, no entanto possuíam pouco que basta olhar de uma maneira mais geral para o mercado dos dias
efeito prático. Na maioria das situações dava-se um "jeitinho" e tudo de hoje para entender que este é atualmente formado por diversas
permanecia como estava. A situação dos escravos somente foi redes de dependência nas quais os "papéis" de fornecedores e
resolvida por completo a partir do momento em que esta condição clientes se misturam e as vezes os primeiros chegam a ter influência
política se tornou insustentável. De lá para cá, muito se legislou e nos rumos do segundo . Esta é uma das características presentes no
ainda nos deparamos com indícios de que muitas regulamentações que Thomas Friedman chama "mundo plano". Quando passamos a
sejam elas padrões, leis ou normas, são mesmo só "para inglês ver" e analisar o fluxo de informações que trafegam nestas redes de
que o "jeitinho brasileiro" infelizmente é o que domina nossa vida dependência o cenário fica ainda mais complexo. Por isso hoje
na prática. torna-se necessário a estas empresas não somente se concentrar nos
limites de suas paredes, mas sim colocá-la no contexto de um
Entretanto, também não é de hoje que alguns setores do mercado se
sistema complexo de dependências.
esforçam no sentido de definir e respeitar determinadas regras,
reconhecendo que esta atitude deve ser inerente à competitividade. Outra pedra no caminho para a aderência ao PCI DSS é que o
Desta forma, apesar de todas as dificuldades, muitas companhias padrão exige um nível de organização e padronização de processos
brasileiras vem adequando seus ambientes a diversos padrões ou sobre os quais não existe qualquer dedicação em boa parte do
normas com o objetivo de entrar (ou se manter) no jogo do mercado, principalmente quando olhamos para o varejo, um dos
mercado. setores-alvo do padrão. Ter uma gestão dos assuntos de segurança
da informação nestas empresas também é um aspecto ao qual
O PCI DSS, padrão do qual muito se têm falado no mercado de
geralmente é dedicado pouca ou nenhuma atenção.
segurança e que é o assunto desta edição da Antebellum, encontra
em sua aplicação nas empresas do Brasil um cenário complexo de Por último, e em minha opinião a dificuldade mais importante à
desigualdade envolvendo empresas com tamanhos diversos e em aderência do PCI DSS no Brasil, é o elevado nível de informalidade
lugares com os mais variados níveis de maturidade no que tange ao que contamina a vida corporativa. De acordo com o antropólogo
uso de tecnologia e gestão de segurança da informação. De modo Roberto DaMatta a incidência do "jeitinho" pode ser encontrada
geral, entendo que a sua implementação neste cenário possui a em diversos países do mundo, mas somente no Brasil este
mesma proporção de dificuldades e oportunidades. comportamento se torna um valor, de maneira que aquele que
resolve as coisas com "jeitinho" é o "malandro" e o que respeita as
Dificuldades
"regras do jogo" é o otário. Desta forma, quando olhamos para a
As dificuldades residem basicamente na parte ruim daquilo que forma pela qual nossos políticos lidam com as questões do estado,
formou o mercado brasileiro: o pensamento antiquado segundo o estas se tornam somente um reflexo da maneira que vivemos em
qual uma empresa é soberana em sua atuação no mercado; A baixa sociedade. No que se refere à aderência a normas e padrões,
dedicação nos assuntos que envolvem organização, padronização de sobretudo ao PCI DSS, não é possível ter vários pesos e várias
processos e gestão dos assuntos de segurança; A vida corporativa medidas: é preciso estar de acordo com os controles e aqui o
baseada em acordos e maneiras informais de conduzir o trabalho. "jeitinho brasileiro" não pode ser aplicável.
Tenho conhecido muitas empresas em minha jornada com o
Oportunidades
objetivo de fomentar a conformidade ao PCI DSS no Brasil e um
Mas nem tudo está perdido. A aderência ao PCI DSS não é a
pensamento com o qual muitas vezes tenho me deparado nas
solução para todos os males, mas pode ajudar as empresas a
ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 7
8. curarem feridas abertas há muito tempo. O padrão compreende a através do uso dos mecanismos legais da democracia. No entanto,
visão na qual os dados de portador de cartão podem ser trafegados, quando falamos de padrões de mercado, estes geralmente "pegam"
processados ou armazenados em uma estrutura complexa que quando alcançam um forte apelo ao ganho financeiro no qual sua
contemple as redes de dependência presentes no mercado atual. Por aderência resultará, ou por conta das sanções a serem impostas no
contemplar este tipo de estrutura, a adequação ao padrão obriga caso da não aderência.
todos os atores da cadeia a estarem em conformidade, o que eleva o
Acredito que o PCI DSS é um padrão que "pega" porque tenho
nível de segurança do mercado como um todo.
visto diversos esforços no mercado na busca da aderência. Estes
Atualmente nosso país vive uma situação econômica inédita na qual, esforços têm vindo de empresas que já possuem uma cultura na qual
embora o mundo esteja em crise, o crescimento possui números a disciplina de conformidade faz parte da realidade. Elas estão
nunca vistos antes. Para mantermos o ritmo é necessário que as empurrando os seus fornecedores também à conformidade e penso
empresas se organizem e sabemos que quanto mais uma empresa se que em breve esta onda chegará até as companhias menores.
organiza, mais ela reduz os seus custos e dinamiza sua atividade, o Entendo também que o PCI DSS não pode ser um padrão "para
que proporciona aos seus executivos um horizonte mais favorável a inglês ver" por que seu ciclo de vida não se manifesta somente em
boas decisões. Se o motivador desta organização for um padrão de uma relação na qual um órgão cria as regras, outro adequa o
segurança reconhecido internacionalmente, todo o ciclo envolvendo ambiente e outro audita.
redução de custos, dinamismo e proteção dos ativos se fecha, de
Existe outro ator na figura do adquirente que faz a gestão dos
maneira a colocar a empresa em pé de igualdade na competição
resultados e motiva todas as entidades envolvidas (estabelecimentos,
internacional. Em outras palavras, a aderência ao PCI DSS pode ser
data centers, fornecedores de soluções de pagamento, etc.) a estarem
um dos fatores de modernização de uma companhia, não deixando
de acordo com o padrão e a manter o bom nível das análises. Os
nada a dever à concorrência internacional em um cenário tão
Relatórios de Conformidade ou ROCs tendem a assumir cada vez
conturbado, mas com tantas oportunidades ao mercado brasileiro
mais o papel de uma certidão de que uma entidade trata os dados
quanto o atual.
de portador de cartão de acordo com padrões internacionalmente
Existem aqueles que dizem que o "jeitinho" e este elevado nível de reconhecidos.
informalidade presentes em nossa sociedade são os pais da
Somente sinto falta de uma divulgação do padrão ao cidadão
criatividade internacionalmente reconhecida do brasileiro. Esta
comum, portador de cartão e maior interessado no tratamento de
afirmação pode até ser verdadeira e a criatividade do brasileiro é,
suas informações com segurança, mas penso que isto será uma
em minha o opinião, não só o que torna nossa cultura uma das mais
conseqüência óbvia na medida em que as empresas forem se
ricas do mundo, mas o que nos torna mais adaptáveis às mais
certificando.
diversas situações.
Referências Bibliográficas
No entanto, quando olhamos para a gestão de segurança nas
‣ FRIEDMAN, Thomas L.. O Mundo é Plano: Uma Breve
empresas, sabemos que o número de vulnerabilidades é diretamente
História do Século XXI. 2. ed. Rio de Janeiro: Objetiva, 2005.
proporcional ao da adoção de exceções aos processos oficiais. Diante
das potencialidades da tecnologia disponível hoje e da concorrência ‣ DAMATTA, Roberto. Carnavais, Malandros e Heróis: Para uma
que vivemos no mercado, a rigidez nos processos pode ser o que Sociologia do Dilema Brasileiro. Rio de Janeiro: Rocco, 1981.
determina a vida ou morte de uma empresa. Não pode ser algo Sobre o Autor
suscetível a informalidade.
Carlos Cabral, MCSO, possui treze anos de experiência na área de
O que "pega" tecnologia sendo que há sete se dedica à área de Segurança da Informação.
Assim como o "para inglês ver" é uma exclusividade do povo Atualmente coordena o Programa PCI para Estabelecimentos Comerciais da
brasileiro dizer que tem "lei que pega e lei que não pega". Em tese, Redecard que tem o objetivo de motivar os estabelecimentos credenciados na busca
lei não foi feita para "pegar" e sim para ser cumprida ou refutada pela conformidade ao PCI DSS. Também é sociólogo formado pela Escola de
Sociologia e Política de São Paulo.
Em 2009 as ferramentas e guias recomendados pelo PCI DSS estarão ao alcance
do público brasileiro para discussão, contribuição e evolução. Aguarde, em breve
o OWASP Application Security CPLP.
ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 8
9. Vulnerabilidades em POS
Por Jennia Hizver
As aplicações embarcadas em equipamentos utilizados nos Pontos caso, qualquer pessoa com
de Venda (Point of Sale, POS) processam e armazenam dados de acesso ao arquivo de script
cartões, sendo componentes críticos nas redes de autorização de poderia ler o código fonte, fazer
pagamentos. Ao reconhecer que as aplicações em POS são alvos as alterações e obter as
altamente prováveis para hackers maliciosos, o Payment Card informações do portador do
Industry Security Standards Council (PCI Council) introduziu os cartão.
processos de certificação conhecidos como Payment Application
Este exemplo mostra claramente como a aderência ao PA-DSS pode
Data Security Standard (PA-DSS).
ser atendida, e ainda assim a aplicação ficar vulnerável quando a
O processo de certificação requer um nível mínimo de segurança em lógica utilizada no desenvolvimento permite que dados críticos
todas as aplicações de POS, garantindo que as especificações fiquem armazenados em um script. Utilizar linguagens de
definidas no padrão estejam aplicadas e funcionando como programação baseadas em script é geralmente uma péssima escolha
deveriam para então serem caracterizadas como “testing for no desenvolvimento de aplicações relacionadas ao processamento de
positives”. Entretanto esta abordagem não garante a resiliência de informações de cartão de crédito, uma vez que elas não requerem
uma determinada aplicação quando atacada. Para ilustrar essa compilação prévia para serem processadas, e ainda mantêm o
premissa, duas aplicações validadas como aderentes ao PA-DSS código fonte armazenado como “clear text”.
(referenciadas neste artigo como Aplicação A e Aplicação B) foram
Linguagens compiladas (como C/C++) são muito mais eficazes em
randomicamente selecionadas de uma lista disponível no web site do
evitar ataques de “code tampering” e deveriam ser uma escolha
PCI Council.
natural para este tipo de aplicação. Basear a escolha da linguagem
A análise dessas aplicações demonstrou que vulnerabilidades críticas no conforto e conhecimento específico do time de desenvolvimento
existem ainda que todos os requisitos do PA-DSS tenham sido mostra um processo de risk management bastante imaturo. Escolher
atendidos. As vulnerabilidades incluem falhas na proteção contra a linguagem adequada para a finalidade de uma aplicação deve ser
ataques reais que podem ser feitos com baixo ou nenhum um aspecto de segurança pensando nos primeiros momentos do
investimento, ou seja, o que realmente acontece quando um processo de desenvolvimento.
componente é exposto em um ambiente potencialmente hostil.
Análise da Aplicação B
Análise da Aplicação A Uma técnica comum para se entender como uma aplicação não
Um ataque de “code tampering”, que causa uma alteração no documentada funciona é a engenharia reversa. Linguagens
funcionamento original da aplicação, foi empregado contra a compiladas oferecem muito mais segurança contra ataques de “code
Aplicação A. Este tipo de ataque foi possível porque o fabricante se tampering” como explicado no exemplo anterior, porém, ainda
equivicou ao avaliar o impacto que poderia acontecer à partir da assim são vulneráveis à ataques que usem engenharia reversa.
escolha da linguagem de código utilizada na segurança do seu
A engenharia reversa é definida como um processo para identificar a
produto.
lógica de uma aplicação sem acesso e uso do código fonte. A
A análise inicial da Aplicação A determinou que ela foi disponibilidade de diversas ferramentas de suporte para esta prática,
implementada como uma Aplicação HTML (HTA). Aplicações somada a grande quantidade de cursos que ensinam as técnicas
HTA são escritas utilizando códigos de HTML estático e DHTML relacionadas, tornaram-na um método comum para ataques. Um
dinâmico e são armazenadas como “clear text scripts”. Para ficar hacker utilizando engenharia reversa pode ver as instruções de uma
aderente aos requerimentos do PA-DSS, a Aplicação A foi aplicação durante a sua execução, e aprender como o
desenhada para prevenir a exibição e armazenamento de dados do funcionamento ocorre e o relacionamento com os demais
portador do cartão por “data masking”, onde vários caracteres componentes. Para impedir este tipo de ataque, técnicas de
originais são substituídos por textos como “*”. “obfuscation” foram desenvolvidas.
Entretanto, um atacante com acesso ao código fonte poderia “Obfuscation” é um processo que modifica os binários e dificulta a
facilmente modificar o texto para forçar a Aplicação A a armazenar análise e extração do código fonte sem prejudicar o funcionamento e
e exibir o texto claro, sem a aplicação de “data masking”. Neste desempenho da aplicação. Apesar dessa medida preventiva ser
ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 9
10. adotada em vários setores como uma prevenção contra a engenharia ‣ Failure Mode inseguro: Ao se deparar com uma falha que não
reversa, os fabricantes de aplicações para POS não a utilizam em tenha sido endereçada na arquitetura da aplicação, o POS pode
seus produtos. Para ilustrar a importância deste problema, o falhar e expor dados sensíveis, como os do portador do cartão.
algoritmo de criptografia utilizado na Aplicação B foi alvo de ‣ Exposição de dados em memória: Atacantes com acesso físico
engenharia reversa depois de determinarmos que a aplicação não direto ao POS podem ler dados sensíveis que ficam armazenados
usava “code obfuscation”, o que tornou o processo de cripto análise na memória dos equipamentos.
muito mais rápido.
Conclusão
A análise revelou que a aplicação utilizou um algoritmo proprietário
Um processo de “penetration testing” pode identificar e minimizar a
de criptografia para mascarar os dados do portador do cartão com
probabilidade de exploração de várias vulnerabilidades existentes
uma cifra extremamente simples de ser quebrada. Este algoritmo
em POS e suas aplicações, possibilitando a implementação de
ofereceu pouca proteção contra ataques de criptografia, permitindo
recomendações de melhoria e a consequente redução do nível de
que um atacante comprometesse os dados armazenados e tivesse
risco. Isso já é um requisito para as aplicações web que tenham a
acesso às informações do cartão de crédito. A aplicação falhou
certificação PA-DSS, uma vez que hackers maliciosos usam
porque a arquitetura utilizada para o seu desenho não considerou
exatamente a mesma abordagem. Entretanto, não existem
medidas de proteção no código binário, além de usar bases para a
requerimentos definidos para as aplicações instaladas em terminais
criptografia inadequadas. Nada disso foi detectado durante o
utilizados nos POS.
processo de certificação ao PA-DSS.
Entretanto, não existe tal requerimento para aplicações de POS
No mínimo, rotinas de missão crítica, tais como os algoritmos de
instaladas em computadores (que trabalham como terminais POS),
criptografia, poderiam ter sido protegidos em uma camada de
embora eles sejam igualmente vulneráveis. Assim, penetration
mecanismos contra engenharia reversa para reduzir essas
testing devem fazer parte de toda auditoria PA-DSS para descobrir
vulnerabilidades. Especialistas em penetration test podem
as vulnerabilidades na segurança do software. Isto é extremamente
determinar quando essas medidas deve ser implementadas em uma
útil para fornecer um bom entendimento sobre como o software
aplicação de POS. É uma questão de definir o modelo de segurança
opera sob ameaça, como mostrado na análise das aplicações A e B.
adequado.
O exercício descrito neste artigo demonstra que a compliance com o
As Falhas mais Associadas com POS PA-DSS pode potencialmente fornecer uma falsa sensação de
Além do “code tampering” e engenharia reversa, existem outras segurança, o que traz questionamentos sobre as limitações do
vulnerabilidades comuns que podem ser identificadas na maioria das processo de validação do PA-DSS. Para verificar o verdadeiro status
aplicações utilizadas em POS. de segurança de uma aplicação, o artigo propõe que todaas as
‣ Tratamento inadequado de dados sensíveis: Senhas e chaves de aplicações de POS devem ser analisadas por penetration test
criptografia são rotineiramente incluídas (embedded) no código durante o processo de validação. Esta análise profissional de
como “hard-coded text strings” e podem ser extraídas à partir de segurança irá percorrer um longo caminho para garantir que as
ataques contra a rede de dados. aplicações validadas são resistentes a ataques no ambiente do
mundo real.
‣ Criptografia mal aplicada ou inexistente: A inexistência de
criptografia nos dados transmitidos dentro de redes de dados Sobre a Autora
internas pode ser explorada por um atacante. Outro ponto é a Jennia Hizver, CISSP, CCSP, é gerente no Technical Security Services Group
captura de dados sensíveis quando transmitidos desta forma, o da VeriSign. É graduada em Matemática Aplicada, Mestre em Ciência da
que pode ser feito com uma série de ferramentas de “sniffing” Computação e doutoranda em Segurança da Informação. Está envolvida com
preparadas especificamente para coletar e enviar dados de um segurança por vários anos, nos setores financeiro, farmacêutico e de
POS para outra localidade. telecomunicações. Seus focos são segurança de software, penetration testing e
design de redes seguras. Pode ser contatada em jhizver@verisign.com.
Anuncie para um público diferenciado e com poder de decisão.
Escreva para revista@issabrasil.org e descubra como é simples e
eficiente colocar o seu produto em nossas páginas. Antebellum, a
um ano a revista eletrônica bimestral da ISSA Brasil.
ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 10
11. ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 11
12. Conformidade: por onde começar?
Por Fábio Juliano Dapper
O padrão de segurança de dados da indústria de cartões de padrão não esteja tão perto do que você
pagamento chegou e já causa algumas dores de cabeça para as imaginava. Crie um plano de ação para
empresas que por exigência de negócio precisam estar em atender as recomendações de forma que
conformidade com ele. Para as empresas deste segmento que até fique claro para cada área envolvida o seu papel neste processo,
então não seguiam as boas práticas de segurança da informação, esclareça as dúvidas sobre interpretações divergentes dos requisitos e
muitas vezes desconhecem por completo as normas da família ISO padronize a documentação utilizada para consulta.
27000, a caminhada para ficar em conformidade poderá ser longa e
Algumas traduções na documentação oficial do PCI Council deixam
trabalhosa.
um pouco a desejar tanto que na versão 1.2 do padrão, PIN Block
Se a empresa não sabe por onde começar ou não possui equipe foi traduzido como Bloqueio de PIN. Avalie se sua infra-estrutura
interna com conhecimentos suficientes do padrão, é recomendável a consegue atender os requisitos mais complexos como a seção 3 que
contratação de uma consultoria especializada. No Brasil, algumas trata da proteção dos dados do portador de cartão e procure se
empresas já estão certificadas pelo Council para prestar este serviço, informar melhor sobre controles compensatórios, talvez você
apesar de não ser uma exigência. Esta empresa irá fazer uma análise consiga utilizá-los em algumas situações. Apenas tome cuidado para
do seu ambiente e verificar qual o GAP para os requisitos do PCI os itens em que nem os controles compensatórios poderão te ajudar,
DSS. O custo para a execução desta atividade vai depender de como a proibição do armazenamento de dados de autenticação
alguns fatores como o tamanho do ambiente onde os dados do confidenciais após autorização.
portador de cartão estão sendo processados, armazenados ou
A necessidade de investimento em novas tecnologias pode ser algo
transmitidos. Entenda por tamanho do ambiente, o número de
que não estava previsto no seu orçamento, mas que poderá se tornar
sistemas envolvido em todo o fluxo de transação de cartão e não
à medida que você comece a atender as exigências. O padrão se
fique surpreso se durante a análise de GAP, outros sistemas sejam
manteve neutro em relação a fornecedores e soluções, então cabe a
incluídos no escopo da atividade, afinal documentar processos não é
empresa avaliar o que melhor atende as suas necessidades e ao seu
o ponto forte de muitas empresas.
bolso. Pesquise as soluções disponíveis no mercado e pondere bem
Outro fator importante além do investimento na contratação da sobre a necessidade de se investir na compra de software
consultoria é o envolvimento necessário das áreas de negócio que proprietário ou na utilização de softwares open source. Avalie bem
conhecem o ambiente analisado, pois não há consultor que consiga as alternativas e não se precipite em sair gastando todo aquele
fazer milagres se não houver a participação de quem realmente budget aprovado a muito custo com o seu diretor.
conhece o negócio, seja através do fornecimento de documentações,
Apesar de o padrão focar bastante em aspectos muito técnicos como
disponibilidade de tempo para a realização de entrevistas e o apoio
segmentação da rede, criação de DMZ, controle de acesso físico,
de quem está pagando a conta.
criptografia e rede sem fio, alguns necessitam bastante atenção como
Além do mais, o processo de análise de GAP deve ser conduzido na revisão de processos e documentações. O requisito 12 trata
sempre no sentido de informar às pessoas que esta atividade é uma especificamente sobre a manutenção de uma política de segurança
possibilidade de melhoria das suas atividades e dos controles da da informação que atenda a todos os requisitos exigidos e também
empresa, não leve adiante a idéia de que isso é uma auditoria, afinal sobre a necessidade de gerenciamento de risco e incidentes.
este é o pior momento para esconder a sujeira para debaixo do
A revisão da política de segurança deve ser um trabalho realizado
tapete. Acredite, muita gente tem receio de enfrentar uma auditoria
com bastante atenção para que se reflita o que realmente está sendo
e pode acabar omitindo alguma informação importante. Procure
exigido, pois agora o ponto crítico a ser observado é o ambiente dos
acalmar as pessoas!
dados do portador de cartão. A ISO 27002 continua sendo uma
O resultado final de todo este trabalho deverá ser uma ótima referência com recomendações, mas lembre-se de que quando
documentação com observações e recomendações para todo o falamos em PCI DSS, o que antes era recomendação, agora passa a
ambiente analisado e que servirá de ponto principal para a criação ser exigência. A política de Segurança da Informação deverá atingir
de um plano de ação. Convoque uma reunião com as partes tanto funcionários como prestadores de serviço.
interessadas e apresente os resultados, esclareça as dúvidas e
À medida que sua equipe interna comece a se habituar a tudo que
prepare-se para trabalhar bastante se o índice de aderência ao
está envolvido na adequação das exigências do PCI DSS, é possível
ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 12
13. que algumas atividades possam ser executadas sem o apoio de com o que é exigido. Então se organize, faça um bom planejamento
consultores. Uma boa fonte para ajudar nas atividades é o e mãos à obra.
questionário de auto-avaliação disponível no site do PCI Council.
Sobre o Autor
Para finalizar, lembre-se de que mesmo que ainda não existam datas Fábio Juliano Dapper é graduando no curso Superior em Segurança da
confirmadas pelas bandeiras de cartões sobre o prazo para a Informação pela Unisinos, possui 10 anos de experiência em Tecnologia da
adequação ao PCI DSS, é sempre recomendável não deixar tudo Informação, destes, 4 em Segurança da Informação. Se especializou através de
para depois. Aplicar controles talvez não seja seu maior problema, algumas certificações como LPIC-2 e Cisco CCNA. É Analista de Segurança da
mas pense em como você os manterá ao longo do tempo de acordo Informação na empresa GetNet Tecnologia trabalhando com gestão de risco e
projetos envolvendo o PCI DSS. Ele pode ser contatado em fjdapper@gmail.com.
Conviso Application Hardening
A sua tranqüilidade através da garantia de manutenção de um
nível de risco aceitável para as suas aplicações corporativas.
A segurança de aplicações é um campo relativamente novo no Brasil, mas que deveria ser considerado estratégico
pelas empresas frente ao novo comportamento dos crackers que buscam explorar vulnerabilidades conhecidas nesta
camada para cometer crimes contra as empresas e cidadãos. Através do entendimento das suas necessidades de
negócio e a forma como suas aplicações são desenvolvidas e administradas, podemos elaborar soluções adequadas
especificamente para a sua empresa com o Conviso Application Hardening.
Combinamos ferramentas de análise com mais de 10 anos de experiência em segurança e desenvolvimento para
prestar serviços de alta qualidade e entregar recomendações de melhoria que funcionam e estão em uma linguagem
que você entende.
Opções de Abordagem do Conviso Application Hardening
๏ Planejamento de Segurança para Aplicações, atuando
diretamente no Secure Development Life Cycle.
๏ Revisão de Código para busca de vulnerabilidades através de code
coverage e fuzzy.
Conviso IT Security
๏ Auditoria de Aplicações através de pen-test específico para o Rua Conselheiro Laurindo 600 Sala 1513
cenário onde os seus negócios são desenvolvidos. 80060-903, Curitiba, PR
T. (41) 3075.3080 F. (41) 3075.3001
www.conviso.com.br
http://www.convisosec.com/app_hardening
ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 13
14. Terceirização
Uma análise do ponto de vista de Segurança da Informação
Por Kenia Carvalho
As empresas estão cada vez mais considerando a terceirização e hoje, é possível mensurar seu valor e
nos processos de Tecnologia da Informação e tecnologias em principalmente, protegê-la, assim como
geral. Muitas dessas organizações têm um alto grau de os ambientes e os equipamentos
expectativa em relação ao serviço prestado e aos benefícios desta utilizados para o seu processamento. A
parceria, porém não há uma preocupação quanto à qualidade e à Segurança da Informação é um termo
segurança das informações manipuladas pelas empresas terceiras. que se refere essencialmente à proteção
A evolução na área de Tecnologia da Informação também tem dos ativos de uma empresa ou pessoas.
contribuído para o crescimento da terceirização. A confidencialidade é garantir que as informações sejam
acessadas somente por indivíduos autorizados pelo proprietário
Muitos produtos e serviços se tornaram homogêneos e de amplo
da informação; a integridade é garantir que as informações não
consumo, permitindo assim, dentre outros proventos, a
sejam alteradas sem autorização de seu proprietário e a
possibilidade de redução de custos, melhoria da tecnologia e da
disponibilidade, é garantir que as informações estejam
qualidade de serviços através de fornecedores externos. Neste
disponíveis quando seu proprietário ou usuário necessitar. Estes
sentido, a terceirização contribui para redução no custo dos
são os principais atributos que orientam a análise, o
recursos humanos e operacionais, e pode propiciar maior
planejamento e a implementação da segurança para as
flexibilidade na adequação desses recursos às metas estratégicas
informações.
das empresas.
A Gestão da Terceirização
Terceirização no Segmento Financeiro
Os profissionais da área de Segurança da Informação,
Ao analisarmos o segmento financeiro, observamos que este,
conhecidos como Information Security Officers ou Chefe de
devido às fortes pressões regulatórias, acaba por possuir
Segurança da Informação, têm como maior desafio gerenciar
preocupação diferenciada sobre o tema Segurança da
riscos, antecipar as dificuldades e prever o máximo de variáveis
Informação. Nesse contexto, a Resolução 3.380 do Banco
que possam ameaçar a continuidade dos negócios. Essas
Central do Brasil, publicada em 29 de junho de 2006, e outras
atribuições se intensificam quando falamos da adoção de
normas do mercado financeiro, pois as Instituições Financeiras
terceirização em assuntos relativos à segurança.
são precursoras das melhores práticas de segurança da
informação, são referência para outros segmentos corporativos. Quando se fala em Segurança da Informação e Terceirização é
essencial que haja bom senso e, portanto, seja considerado o
Hoje no Brasil as Instituições Financeiras devem atender esta
porte da empresa prestadora de serviço e o nível de risco dos
Resolução que prevê a implantação de área de Gerenciamento
processos transferidos ao Terceiro.
de Risco Operacional e que determina que os serviços
terceirizados relevantes para o funcionamento da instituição A classificação da informação e a análise de risco são a base para
também devem ser monitorados, bem como os demais processos implementação de controles adequados em qualquer processo de
da organização. Serviços terceirizados relevantes vão desde a tecnologia. É importante mencionar que muitas empresas
compensação de cheques, processamento do SPB (Sistema prestadoras de serviços não consideram os requisitos legais e
Brasileiro de Pagamento), Centro de Processamento de Dados regulatórios do seu segmento e principalmente aqueles relativos
(Data Centers), redes de caixas eletrônicos, processadoras de aos seus clientes. Tanto para o contratante e contratado, é
cartões de débito e crédito até o desenvolvimento de softwares e importante:
utilização de aplicativos comercializados por terceiros.
‣ Definir de forma clara o escopo de serviço que será prestado
Com a implementação de tais Normas e Regulamentações, o ou contratado;
mercado de Tecnologia da Informação deve iniciar um trabalho ‣ Definir o grau de criticidade das informações que envolvem o
de gestão da terceirização, para tornar-se mais competitivo e serviço prestado ou contratado;
atender às exigências de seus clientes, especialmente se estes
‣ Mensurar o risco (baixo/médio/alto) o qual a empresa poderá
forem instituições financeiras. A Tecnologia da Informação é a
ser exposta, considerando recursos necessários para execução
sustentação dos negócios das empresas - sejam privadas ou
públicas – o maior bem que uma empresa possui é a informação,
ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 14
15. do serviço contratado, tais como: pessoas, processos, implementação de controles de segurança da informação
hardwares, softwares, dados e materiais. alinhados aos padrões e requisitos da empresa.
‣ Definir e executar, quando necessário, ações emergenciais, O provedor deve demonstrar, através de evidências, a sua
visando proteger os dados ao qual a empresa se comprometeu capacidade de atender aos requisitos de desempenho
a proteger ou é obrigada por Lei a proteger. especificados pelo cliente, e este deve realizar monitoramento
Diante da responsabilidade pela segurança de suas informações periódico das atividades do provedor de serviços, para verificar
e, principalmente pelas informações de seus clientes, ambas as se os controles implementados operam adequadamente e
empresas devem criar uma área de controles internos ou cumprem seus objetivos. É importante considerar o escopo do
contratar uma empresa externa especializada em Segurança da serviço que será prestado e elaborar formalmente itens de
Informação, para avaliar os controles internos de seus Acordo de Nível de Serviços (SLA) que contemplem a
fornecedores, gerenciando os riscos que esta atividade disponibilização de métricas que atendam com eficácia as
proporciona. Em todo processo de gestão de segurança da medidas de segurança da informação e cláusulas de melhoria
informação, alguns aspectos devem ser considerados: todos os continua. A elaboração de um contrato para este tipo de
processos devem ser documentados; ter o apoio da alta prestação de serviços deve ser realizada pela área jurídica e
administração; ser um processo dinâmico, contínuo e auditado, e envolver a área comercial e de negócios das empresas
ter uma análise de riscos consistente. participantes.
A terceirização dos serviços de tecnologia trouxe diversos
O que está sendo feito
benefícios, porém como em todo negócio, este vêm
Hoje no mercado algumas instituições financeiras já executam
acompanhado de riscos. Todos os riscos que este tipo de
avaliação de segurança da informação em seus provedores de
parceria traz podem ser identificados, tratados e monitorados
serviços, fazendo a gestão de riscos ao negócio e obtendo um
pela empresa contratante. Este procedimento proporciona
nível razoável de conforto sobre a integ ridade,
maturidade nos negócios e contribui para o sucesso dos
confidencialidade e disponibilidade dos dados acessados,
objetivos das empresas. A implementação da prática de
armazenados, manipulados e processados externamente.
Segurança da Informação no âmbito de uma organização
Considerando o cenário atual, a competição existente na
compreende uma seqüência de ações importantes e
economia globalizada leva as empresas a reduzir custos e
indispensáveis e estas devem ser estendidas aos prestadores de
aprimorar a eficiência dos serviços; uma das ações que
serviços.
contribuiu e ainda contribui para este objetivo é a terceirização
de serviços de tecnologia. O sucesso está diretamente relacionado com a postura dos
executivos e funcionários da contratante e da contratada.
Os prestadores de serviços apresentam a terceirização como
Ambas as empresas devem realizar o gerenciamento,
uma parceria em que todos os lados ganham, embora este
manutenção e atualização constante das práticas de Segurança
objetivo seja positivo e atingível, só é possível através de um
da Informação. Em função da crise global vem acontecendo
processo de contínua gestão de relacionamento, que considere e
uma redução dos orçamentos e investimentos na área de TI e
supere as divergências existentes. Afinal, cliente e provedor de
Segurança da Informação, e as empresas estão adotando
serviços são duas entidades distintas, cada uma com diferentes
posturas conservadoras em relação aos custos. Por isso mesmo é
visões e objetivos estratégicos.
importante considerar que a segurança da informação deve ser
Algumas empresas selecionam prestadores de serviços e consistentemente analisada durante o processo de terceirização
negociam contratos sem ter uma clara compreensão de seus de serviços, pois somente assim haverá condições de se avaliar
objetivos de negócios e da importância da qualidade de serviços os ganhos reais, qualitativos e quantitativos, decorrentes deste
de tecnologia. O resultado provável será a frustração, tanto em negócio.
relação ao atendimento dos requisitos estratégicos, quanto em
relação à eficiência operacional e a redução de custos. Sobre a Autora
Kenia Carvalho é especialista em Segurança da Informação, pós-graduada
Mais que um simples contrato pelo ITA, e possui 14 anos de experiência em TI com 3 em Segurança da
Por este motivo, o processo de terceirização de serviços de Informação. Atualmente trabalha na Área de Segurança da Informação de uma
tecnologia requer que a empresa contratante tenha definido instituição financeira internacional, responsável pela gestão de avaliações de
claramente os procedimentos adequados de seleção e de segurança da informação em fornecedores de serviços, tendo mais de 50 empresas
contratação de fornecedores. É preciso considerar nos contratos avaliadas em seu currículo. Pode ser contatada através do e-mail:
o comprometimento dos fornecedores com a qualidade e com a cristina_kenia@yahoo.com.br.
ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 15
16. ISO/IEC 15.408
Não é para desenvolvimento seguro
Por Wagner Elias
Começar um artigo com um título negando uma afirmação conjunto de práticas que garantem
amplamente divulgada é praticamente um convite a discussões que o princípio de S³+C será
intermináveis entre os que defendem uma abordagem ou outra, o garantido durante o processo de
que nós conhecemos como flamewar. Mas fique tranquilo, meu desenvolvimento de software. Mas o
interesse é simplesmente esclarecer um equívoco que vem sendo que é o S³+C? S³+C é (Segurança
repetido amplamente por anos. E quando falamos em PCI-DSS um no projeto, Segurança por padrão,
assunto recorrente é a segurança em desenvolvimento de software, Segurança na Implementação + Comunicação). Veja o que a
momento extremamente oportuno para esclarecer e acabar com este Microsoft descreve sobre esta classificação:
equívoco.
‣ Segurança no projeto: o software deve ser esboçado, projetado e
A ISO/IEC 15.408 (Commom Criteria), é um conjunto de critérios implementado de modo a proteger a si mesmo e às informações
para avaliação de segurança de um software. Esta avaliação é feita que ele processa, bem como resistir a ataques.
através de perfis de proteção e níveis de garantia de avaliação. Com ‣ Segurança por padrão: no mundo real, nenhum software pode ser
base nestes critérios, laboratórios credenciados e capacitados irão perfeitamente seguro, portanto os projetistas devem prever a
avaliar produtos e determinar que nível de garantia de segurança o presença de falhas na segurança. Para diminuir os danos causados
produto será acreditado. quando invasores detectam essas falhas remanescentes, o estado
Então como se pode afirmar que a ISO/IEC 15.408 não é para padrão do software deve promover a segurança. Por exemplo, o
desenvolvimento seguro? Simples, ela não fornece nenhum tipo de software deve operar com o mínimo necessário de privilégios, e
processo, sistema de gestão e/ou guia para implementação de todos os serviços e recursos que não sejam amplamente
qualquer controle para garantir a segurança de uma aplicação, necessários devem vir desativados por padrão ou ser acessíveis
apenas critérios para avaliar qualquer sistema, produto de somente a um pequeno grupo de usuários.
segurança. ‣ Segurança na implantação: O software deve vir acompanhado de
ferramentas e guias para ajudar os usuários finais e/ou
Quem procura boas práticas para desenvolvimento seguro deve se
administradores a usá-lo com segurança. Além disso, as
orientar por práticas como o SDL (Security Development Lifecycle)
atualizações devem ser fáceis de serem implantadas.
da Microsfot ou o CLASP (Comprehensive, Lightweight Application
Security Process) da OWASP (Open Web Application Security ‣ Comunicação: os desenvolvedores de software devem estar
Project). Estas práticas irão lhe fornecer diversos recursos que irão preparados para a descoberta de falhas na segurança do produto e
possibilitar que você implemente um processo que irá aumentar a devem se comunicar de forma aberta e responsável com os
qualidade e segurança das suas aplicações. usuários finais e/ou administradores para ajudá-los a tomar
medidas preventivas (tais como a instalação de patches ou o uso de
SDL (Security Development Lifecycle) medidas paliativas).
O SDL é o grande responsável por um aumento considerável na
segurança das aplicações desenvolvidas pela Microsoft. O SDL é um
Figura 1: Estrutura do SDL proposta pela Microsoft
ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 16
17. CLASP (Comprehensive, Lightweight Application ‣ CLASP Best Practices: Apresenta um conjunto de sete melhores
Security Process) práticas para o desenvolvimento seguro, que vão das análises de
O CLASP tem como propósito ser uma metodologia leve de fácil segurança até a definição e administração de métricas.
integração com um modelo tradicional de desenvolvimento de ‣ 24 Atividades CLASP que podem ser direcionadas para o modelo
software. Ela fornece recursos e está organizada pelos seguintes de segurança desejado, atendendo não só as boas práticas mas
componentes: abordagens para SOX e COBIT.
‣ CLASP Views: Apresenta cinco perspectivas de alto nível que são ‣ CLASP Resources (incluindo CLASP “Keywords”), que crescem a
detalhadas em atividades que podem ser aplicadas dentro do cada nova edição do projeto.
processo de desenvolvimento: Concepts View, Role-Based View, ‣ CLASP Taxonomy, que é integrada aos demais projetos do
Activity-Assessment View, Activity-Implementation View e OWASP e adotada por empresas e organizações do mercado.
Vulnerability View.
A base para implementação da CLASP são suas visões, as visões se
interagem e são suportadas pelos outros componentes. Este
processo atende a todas as necessidades de um processo de
segurança em desenvolvimento de software e atende as diversas
demandas associadas a segurança no desenvolvimento de software.
Conclusão
Com esta rápida abordagem sobre as duas principais referências em
implementação de processos de segurança em desenvolvimento,
podemos observar que a ISO/IEC 15.408 pode ser um objetivo a
ser alcançado, critérios a serem atendidos, mas nunca irá lhe
orientar, fornecer recursos que, servirão de base para a
implementação do mesmo.
A segurança adequada de uma aplicação varia de acordo com o
Figura 2: Estrutura do CLASP comportamento, posicionamento e dinâmica de diversos
componentes e relacionamentos que vão muito além do que está
escrito em uma norma. Atingir este resultado requer uma
metodologia dinâmica, alinhada ao que vem ocorrendo no mercado
e que seja capaz de estabelecer melhorias na mesma velocidade que
as vulnerabilidades são descobertas. Este é o papel de opções como
o Microsoft SDL e o CLASP, use-as e fique seguro.
Referências
‣ http://www.commoncriteriaportal.org/
‣ http://msdn.microsoft.com/en-us/library/ms995349.aspx
‣h t t p : / / w w w. o w a s p. o r g / i n d e x . p h p /
Category:OWASP_CLASP_Project
Sobre o Autor
Wagner Elias, CBCP, SANS GIAC GHTQ , CobiT Foundation, ITIL
Foundation, Atua na área de Tecnologia da Informação há mais de 10 anos,
tendo acumulado larga experiência em projetos de Segurança da Informação no
Brasil e exterior. É co-fundador e sócio da Conviso IT Security, onde atua como
Gerente de Pesquisa e Desenvolvimento, responsável pela elaboração de
metodologias, gerenciamento de pesquisas em vulnerabilidades e soluções de
proteção de informações e gerenciamento das equipes de consultores. Foi
responsável pela fundação do capítulo Brasil do OWASP e é Diretor de Eventos
do capítulo São Paulo da ISSA.
Figura 3: Bases de interações do CLASP
ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 17
18. ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 18
19. Microsoft Forefront Threat Management Gateway (TMG)
A Nova Geração do Firewall da Microsoft agora disponível em Beta 2
Por Yuri Diógenes
Antes de falar sobre o TMG Beta 2 é importante mencionar que a perímetro passa a ter um papel
Microsoft ano passado já havia lançado uma versão deste produto fundamental para prevenir ataques do
porém com menos funcionalidade (bem menos na realidade). Esta mundo externo, porém é preciso muito
versão foi chamada de TMG MBE (Medium Business Edition) e foi mais que isso tendo em visto que ataques internos ainda são a
lançada principalmente para fazer parte do EBS (Essential Business maioria.
Server).
Inspeção de Rede
O TMG MBE já está em RTM e disponível no mercado, se você O TMG Beta 2 traz um conjunto de funcionalidades que vão além
quiser ler mais sobre algumas funcionalidades desta versão reveja o do fator chave da proteção de perímetro. Através de uma nova
artigo que escrevi para TechNet Magazine de Fevereiro de 2009 em funcionalidade chamada Network Inspection System (NIS) o TMG
parceria com Jim Harrison e Mohit Saxena (ambos co-autores do Beta 2 traz funcionalidade de um IPS (Intrusion Prevention System)
livro de TMG que estamos escrevendo para Microsoft Press). Você através do uso do protocolo GAPA (Generic Application-Level
pode ler este artigo na edição online da revista. Protocol Analyzer), criado pela Microsoft Reseach.
O TMG Beta 2 tornou-se disponível para o público externo no dia 6
de Fevereiro de 2009, após a espera que parecia imensa, esta versão
traz um amadurecimento do produto e um novo conjunto de
funcionalidades que tornam o TMG um produto robusto para
segurança de perímetro. O objetivo deste artigo é mostrar as
principais novidades da versão Beta deste produto.
Além da Segurança de Perímetro
Estudos mostram que usuários em geral demoram em média 50 dias
para atualizar seu computador com patches de segurança. Este
número cai em um ambiente corporativo devido a políticas de
segurança e gerenciamento centralizado para distribuição de patch.
Porém ainda há uma janela entre o patch ser lançado e ser
efetivamente instalado. Nesta janela o grande risco é que a
vulnerabilidade já foi anunciada e na maioria das vezes já existem
mecanismos para explorar tal vulnerabilidade. A segurança de
Figura 2: Alterando o modo de resposta de uma vulnerabilidade
Esta funcionalidade vai permitir que o TMG bloqueie tráfego que é
considerado malicioso com base no conjunto de assinaturas
disponível no produto. Tais assinaturas serão recebidas do Microsoft
Update e a medida que novas vulnerabilidades são anunciadas e
assinaturas testadas, o TMG será capaz de fazer tais intervenções.
Isso permite com que a janela de vulnerabilidade seja mitigada
através desta inspeção preventiva. Na Figura 1 temos a interface do
Figura 1: A tela inicial do NIS no TMG Beta 2 NIS que é parte do TMG Beta 2.
ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 19
20. Na tela do NIS temos as vulnerabilidades que podem ser Além disso, o TMG Beta 2 também permite que clientes
organizadas por categoria ou por outros parâmetros. O padrão do utilizando o TMG Client (também conhecido como Firewall
TMG Beta 2 é que todas as vulnerabilidades conhecidas pelo NIS Client) sejam notificados que o tráfego está sendo inspecionado.
estejam configuradas em modo que ela seja apenas detectada. A A figura 4 mostra a janela de configuração da inspeção HTTPs:
vantagem deste modo é que você poderá analisar através dos logs o
quão saudável está sua rede antes de colocar em produção
(alterando o modo para Bloquear). Nas propriedades de uma
vulnerabilidade no NIS é possível ver mais detalhes e alterar o modo
de resposta como apresentado na Figura 2.
O TMG Beta 2 utiliza o Update Center para fazer atualizações de
definições do NIS. O intervalo de verificação de novas atualizações é
configurado como padrão nesta versão Beta para 15 minutos,
conforme mostra a Figura 3.
Figura 4: janela de configuração da inspeção HTTPs
Inspeção de Malware
Figura 3: Update Center e as configurações de atualização de definições A propagação de pragas virtuais é algo extremamente presente
nos dias de hoje. Infelizmente ainda existem diversas empresas
Inspeção HTTPs que mantém máquinas des-assistidas, ou seja, sem uma
Com o aumento de acessos maliciosos usando entunelamento proteção efetiva contra malware.
SSL os dispositivos tradicionais não são capazes de inspecionar
O TMG Beta 2 faz uso de uma funcionalidade que foi
tráfego criptografado. O TMG Beta 2 traz uma nova
inicialmente lançada no TMG MBE chamada de Malware
funcionalidade que permite a inspeção de tráfego HTTPs. Ao
Inspection. Através desta funcionalidade pode inspecionar
receber o tráfego o TMG Beta 2 vai descriptografar,
tráfego e usar a engine do Antivírus Forefront para fazer o scan
inspecionar, com o uso de um outro certificado criptografar
de um tráfego HTTP. Desta forma mesmo as máquinas
novamente e então enviar o tráfego seguro para o cliente
desassistidas que tentarem acessar sites que contenham malware
interno que fez o acesso.
podem se beneficiar de uma segurança efetiva no perímetro.
É possível imaginar cenários onde o cliente está acessando um
Para este assunto recomendo a leitura do artigo “Monitoring
site que contém informações pessoais e sigilosas que não devem
Malware Through the Edge with Microsoft Forefront Threat
ser inspecionados.
Management Gateway” que escrevi para a coluna de Dica de
Um exemplo é o acesso a um site de Banco ou de uma Segurança do Mês (Novembro de 2008) da Microsoft.
instituição de saúde (que contenha registros do paciente) e não
Outra novidade do é capacidade de usar os recursos do
deve ser inspecionado sem avisar ao usuário ou em alguns casos
Exchange Edge Transport e Forefront Security Server for
(dependendo da legislação do país) sere inspecionado de forma
Exchange para fazer inspeção SMTP. Através desta integração
alguma.
de tecnologias o TMG Beta 2 é usado como repositório central
O TMG Beta 2 permite esta flexibilidade através da criação de para criação de regras Anti-Spam e tais regras são replicadas
uma lista de exclusão de sites que não devem ser inspecionados. para o Exchange Edge Transport e para o FSS para Exchange.
ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 20
21. É importante salientar que o Exchange Edge Transport já
Information
precisa estar instalado na máquina antes de instalar o TMG,
caso contrário você receberá a seguinte tela de alerta
durante a instalação do TMG:
Systems
As políticas de segurança SMTP são criadas na interface do
Security
Association
TMG através do uso das opções abaixo apresentadas em três
abas, sendo elas:
‣ E-Mail Policy: permite a configuração da publicação
SMTP e conectividade com o servidor SMTP interno.
‣ Spam Filtering: permite a configuração de filtro anti-
spam.
A comunidade global
‣ Virus and Content Filtering: permite a configuração de
antivirus, quantos engines serão usados para fazer o scan
SMTP (nesta versão beta até 5 podem ser usados para
SMTP) e filtro de conteúdo. para os profissionais de
Conclusão
Este artigo mostrou algumas das principais características de
Segurança da
segurança do TMG Beta 2, porém existem muito mais
funcionalidades a serem exploradas. Minha recomendação é
Informação
que você faça o download desta versão beta e comece a
testar. Neste site você pode encontrar não só o bits para
download mas também uma versão beta do “Deployment Você não está sozinho ...
Guide” do TMG Beta 2 que lhe auxiliará a fazer a
configuração inicial. Aproximadamente 10.000 membros em todo o
mundo
Sobre o Autor
Yuri Diogenes trabalha na Microsoft no Texas como Sr Security
Desenvolvimento profissional
Support Engineer do time de CSS Forefront Edge Security. É Conferências e Eventos
responsável por receber escalações de casos abertos para os produtos Descontos para associados
Forefront Edge (ISA/TMG), co-autor da coluna “Tales from the
Recursos sobre Segurança da Informação
Edge” no site da comunidade de Forefront Edge (http://
technet.microsoft.com/en-us/forefront/edgesecurity/bb687298.aspx) e
Desenvolvimento de carreira
também contribui com os artigos publicados no Blog do time de ISA/ Créditos (CPEs) para certificações
TMG (http://blogs.technet.com/isablog). Yuri também escreve no seu
blog pessoal (http://blogs.techenet.com/yuridiogenes) a respeito da sua
experiência com os produtos Forefront Edge. Atualmente Yuri Diogenes
está escrevendo um livro pela Microsoft Press em parceria com Jim
Harrison (http://www.isatools.org), Mohit Saxena (Líder Técnido do
time de Forefront Edge) e tendo como revisor técnico Thomas Shinder
(http://www.isaserver.org). O livro deverá ser lançado quando o
TMG estiver em versão final no mercado.
ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 21
22. Segurança da Informação
em Tempos de Crise
Por Lucas Donato
Contrariando a tendência a diminuir investimentos face à crise aquisições entre companhias. Segundo
econômica mundial, a necessidade de garantir a Segurança da Steven Katz, é neste período que
Informação segue crescente para a continuidade dos negócios, precisamos dar mais atenção para
para a conformidade com as regulações vigentes e para a proteção funcionários descontentes, que devido
aos dados da empresa e de parceiros de negócio. Nos gráficos da ao nível de acesso a informações privilegiadas, sempre consistiram,
Bovespa, mais uma queda é observada. No outro lado do mundo, naturalmente, em uma das principais ameaças à Segurança da
as bolsas asiáticas caem pelo temor dos investidores com o Informação de uma empresa. Não devemos esperar que, agora,
aumento das perdas e o Japão, segunda maior economia do este risco diminua.
mundo, poderá manter-se em recessão durante o início do
Pelo contrário. Conforme Katz, relatórios de controle de acesso e
próximo ano. Este cenário pessimista tornou-se rotina em todo o
atividades de usuários privilegiados devem ser mais monitorados
globo, desde Tóquio, passando por Wall Street e chegando no
do que nunca. E não só isso: a fusão de companhias envolve
Brasil.
mudanças significativas na infraestrutura tecnológica e na
Economistas e pesquisadores afirmam que a tendência é que, após estrutura de informações de uma empresa, não esquecendo, ainda,
o estouro da bolha imobiliária, as perdas agora sigam de políticas, procedimentos... a lista é longa. Nesta situação, a
aumentando. A preocupação em proteger-se do pior é realização de uma Análise de Risco é indispensável, contemplando
generalizada e atinge cada um de nós. Quadros de funcionários todas as mudanças no novo ambiente e o impacto oferecido na
são reduzidos, orçamentos são revistos, novos investimentos são Segurança da Informação da companhia.
praticamente eliminados. Em tempos de crise, é fundamental
Mais do que nunca, portanto, é fundamental continuar investindo
evitar perdas de receita não previstas. No entanto, o simples corte
naquilo que é mais crítico para a continuidade do negócio. E,
de gastos não protege as empresas contra perdas em pontos que
felizmente, é isso que tem ocorrido. Uma pesquisa realizada com
exigem processos contínuos de melhoria e monitoração. Quando a
executivos de mais de 50 países e divulgada em outubro pela Ernst
continuidade dos negócios está em jogo, a Segurança da
& Young apresentou que as corporações estão, de fato, aumentando
Informação entra em campo.
os investimentos na área de Segurança da Informação, com padrões
O não cumprimento de regulações como Sarbanes-Oxley, por internacionais de segurança sendo adotados cada vez mais no
exemplo, ocasiona prejuízos muitas vezes bem maiores do que a mercado. A pesquisa é corroborada, ainda, pelo (ISC)2 Global
adoção de controles adequados para assegurar que os três pilares Information Security Workforce Study, que revelou um paralelo
da Segurança da Informação sejam garantidos. Afinal, ninguém entre o ato de realizar uma análise dos riscos e o aumento da
pretende hoje em dia deixar de contar com uma solução de anti- confiança na organização. A chave para sobreviver à crise com
vírus, por exemplo. Em períodos assim, a freqüência de ataques menos arranhões está nas mãos das empresas onde a confiança
vaumenta substancialmente. Segundo a MessageLabs, houve um existe entre seus acionistas, onde a redução de custos ocorre sem a
significativo aumento do número de e-mails voltados para roubar redução da segurança, onde a continuidade dos negócios é encarada
dados e senhas dos internautas, em um tipo de ataque conhecido como a prioridade e onde a Segurança da Informação é tratada
como phishing scam. como um aliado indispensável para a redução das perdas que
ameaçam o presente e o futuro que virá.
Os criminosos estão aproveitando, e muito, o medo generalizado
ocasionado pela crise econômica que se espalhou em todo o Sobre o Autor
mundo. E não falamos só de phishing scam quando a ameaça vem Lucas Donato, consultor e sócio da e-trust, CISSP, graduado em Ciência da
pelo e-mail. O SPAM, outro fator de perda considerável de receita, Computação pela UFPel e pesquisador em Forense Computacional. Possui
pode ser contido em grande parte através de sólidos controles de experiência em Análise de Risco, Testes de Intrusão, Diagnósticos de
segurança. Em 2008 identificamos que para uma empresa Vulnerabilidades e Análises de Sistemas Críticos. Possui experiência em Resposta
multinacional com um quadro de aproximadamente 2.500 a Incidentes e Perícia Forense. Participou de projetos nos setores Financeiro,
funcionários, a economia oferecida por uma solução Anti-SPAM Energia, Governamental, TI, Oil and Gas, Saúde, entre outros. Pode ser
em um ano chegou na casa de quatrocentos mil dólares. contatado através do e-mail lucasdonato@gmail.com.
Fenômenos muito comuns nestes períodos turbulentos são fusões e
ANTEBELLUM: A REVISTA ELETRÔNICA DA ISSA BRASIL | EDIÇÃO 006, MARÇO E ABRIL DE 2009 | PÁGINA 22