Esteja realmente seguro.

Antecipe-se falhas futuras

Por Aylton (Abu) Souza, CISSP
A segurana oferece desafios hoje que as empresas em muitos casos simplesmente no estavam preparadas para enfrentar. Dia desses ao ouvir uma estria curiosa pela ensima vez (daquelas que reaparece de tempos em tempos com novos personagens, nova roupagem, etc), no pude resistir tentao de adapt-la para ilustrar parte desse desafio: Uma empresa de trens usa um sistema h muitos anos para contabilizar os passageiros: um contador manual na sada dos passageiros. O problema que dia aps dia o nmero no bate, sempre faltando dois tickets o que significava que dois passageiros tinham viajado de graa. Resolvem contratar um consultor de segurana, com carta branca para circular nos trens misturado aos passageiros e resolver o mistrio. Aps algumas anlises e toda sorte de ferramentas, ele percebe que um grupo de trs passageiros sempre est presente nas viagens onde se contabiliza a diferena. O tempo passa e, sem sucesso em sua empreitada para resolver o mistrio, ele apela a engenharia social. Faz amizade com o grupo suspeito, que conta a ele qual o truque. Quando o cobrador passa para recolher os bilhetes, os trs correm para o banheiro. Assim que o cobrador bate porta, os trs passam apenas um bilhete por baixo da porta e aguardam no banheiro at o cobrador se deslocar ao prximo carro. O consultor de segurana agora sabe qual a vulnerabilidade. Ele ri e no dia seguinte, observado pelo gerente que o contratou e est misturado aos passageiros, se junta ao grupo para testar o truque, documentar a vulnerabilidade e encerrar seu trabalho. Encontra o grupo que ensinou o truque. De repente, eles avisam que o cobrador vem vindo. O consultor se tranca no banheiro. Assim que ouve baterem porta, o consultor de segurana passa seu bilhete por baixo da porta. - est confirmada a vulnerabilidade - seu trabalho foi concludo com xito. Nesse ponto, pensa o consultor, o representante da empresa acaba de assistir a um show protagonizado pela magia da segurana. Exceto por um detalhe: Quem bateu porta no foi o cobrador, e sim o grupo que ensinou o truque ao consultor de segurana. Esse o desafio que vivemos na era da informao: No apenas devemos pensar em segurana desde a concepo dos processos de negcios, mas tambm devemos estar atentos dinmica a que nossos sistemas e processos esto expostos no dia a dia, evitando que facilidades, sejam tecnolgicas ou no, nos deixem sem o ticket do trem quando mais precisamos dele.

Disponvel em http://www.microsoft.com/brasil/msdn/Tecnologias/Seguranca/DesafiosSeguranca.mspx acessado em 2/04/2008