Suas aplicações são seguras?

Conheça a Conviso!

Exposição de Dados em Segurança nas Nuvens

Este artigo também disponível em versão pdf no Scribd.

 

Introdução

Perguntas sobre segurança na nuvem e viabilidade do armazenamento de informações críticas em serviços baseados na web foram levantadas após um incidente que envolveu o Twitter [1] e o Google Apps [2], onde um cracker obteve e distribuiu mais de 300 documentos confidenciais, relativos ao Twitter, que estavam armazenados nos aplicativos do Google [3].

De acordo com o analista do Gartner, John Pescatore [4], os clientes devem lembrar que o Twitter e a maioria dos aplicativos do Google, até 18 meses atrás, foram desenvolvidos para o compartilhamento de informações e não para proteger as informações e evitar que elas sejam transferidas. Com a recente oferta de software que rodam na nuvem, é comum surgirem dúvidas sobre que software deve ou não ser hospedado na web ou se no futuro todo software estará instalado somente na grande rede.

Um exemplo recente foi o cancelamento da prova do Exame Nacional do Ensino Médio (ENEM). Segundo o Jornal Estado de São Paulo [5], uma falha do Instituto Nacional de Estudos e Pesquisas Educacionais (INEP) permitiu acesso livre aos dados pessoais de 12 milhões de inscritos nas últimas três edições do Exame.

O que é mais grave é que, ao ser avisado pelo Jornal, o INEP afirmou que os dados seriam acessados apenas pelas instituições de ensino, mediante identificação e senha. Isto é, aparentemente, não foi feito nenhum teste, pois, se tivessem sido realizados testes básicos, a falha teria sido facilmente identificada. Seguindo ainda essa teoria, o que poderia ter sido feito era tratar a segurança da informação como um processo, considerar todas as dimensões e ter um profissional com experiência nesta prática como parte da equipe do projeto com a autonomia e autoridade adequadas [6].

Ensinando Privacidade

Quando falamos de privacidade, o que nos preocupa de imediato são as milhares de câmeras que nos seguem onde quer que estejamos, o sinal do celular que registra em que regiões da cidade estamos, é o acesso indevido aos nossos dados armazenados nos órgãos do governo, bancos e nas empresas com as quais transacionamos e tudo onde tem nossa informação. Porém, precisamos aprender que privacidade começa com a atitude de cada pessoa. Nestes últimos dias têm sido divulgadas notícias onde as pessoas não cuidam da sua privacidade de forma adequada e sofrem conseqüências.

O primeiro caso conta que dois adolescentes, de livre e espontânea vontade, se colocaram à frente da câmera do computador, se conectaram na TwitterCam e começaram a trocar carícias íntimas e se exoborem em cenas próximas ao sexo explícito. Em pouco tempo, além dos assistentes on line, milhares de pessoas viram as cenas em site de divulgação de filmes. Como são menores de idade, irão receber punição cabível, mas, em função das regras da nossa sociedade, a garota é quem está sofrendo mais e segundo reportagens, a família pensa em mudar de cidade. Ainda em seu blog, Edison Fontes, CISM, CISA, chega a uma conclusão de que é necessário ensinar privacidade. “Precisamos ensinar às pessoas que não podemos colocar a culpa nos outros e na imprensa por divulgar notícias que foram geradas pelas próprias pessoas”.

Realmente existe Segurança nas Nuvens?

Um dos maiores riscos da computação em nuvem é o desconhecido, já que muitos fornecedores são empresas relativamente novas ou oferecem serviços em nuvem há pouco tempo. “Cada companhia é diferente, começando por quanto cada uma investe em segurança, com base em tamanho e crescimento e também na sofisticação do grupo de gerenciamento”, diz Cakebread, ex-Salesfroce. Mark Nicolett, vice-presidente de pesquisas da Gartner, relata que o foco dos fornecedores está, em primeiro lugar, em suas capacidades principais, como backup de dados ou entrega de aplicativos para Recursos Humanos: “A segurança é, geralmente, o último componente adicionado à uma nova tecnologia, e em computação em nuvem não foi exceção”[6].

A Computação nas Nuvens ou Cloud Computing é considerada uma evolução natural da computação atual e onde, a cada dia, empresas investem em ritmo crescente nesta tecnologia. Uma das principais vantagens é a virtualização de produtos e serviços computacionais, proporcionando uma redução dos altos custos com tecnologia e infra-estrutura local, além disso, as empresas ganham praticidade e versatilidade, pois os serviços são obtidos de maneira mais fácil e transparente [7]. Abaixo segue um vídeo demonstrativo e ilustrativo de Segurança nas Nuvens, abordando alguns temas conhecidos da web:

 

Conclusões

Caso ainda se pergunte se vale a pena expor seus dados em sites de relacionamento e meios de comunicação, vale do ponto de vista profissional, como é o caso do LinkedIn [9]. Nele você monta um currículo online, onde pode ter uma rede de amigos onde possa compartilhar informações profissionais e fazer indicações para o mercado de trabalho. Fontes como essas são válidas, porém deve-se manter o mínimo de segurança possível para não expor informações privadas de sua empresa e de si próprio.

A Segurança da Informação é um bem necessário e todos devem manter-se antenados. Já com a Segurança nas Nuvens, é preciso uma abordagem e segurança diferentes, referenciando sempre que os dados e aplicativos que são utilizados estão expostos na web, onde todos podem ter contato e estão mais vulneráveis a perdas e furtos. Ou seja, não basta ao usuário se preocupar em onde ele vai acessar esses dados (Lan Houses ou Cafés), e sim em como é tratado esse tipo de informação, se ele se preocupa em como isso é confidencial (no caso do seu login e senha), na integridade dos dados (vazar informações confidenciais em um site de relacionamentos) e da disponibilidade relacionada (assegurar que apenas as pessoas que tem acesso possam visualizar suas informações).

Referências

[1] http://www.twitter.com

[2] http://www.google.com/apps

[3] http://www.ipnews.com.br/voip/infra-estrutura/seguranca/invas-o-do-twitter-e-do-google-apps-levanta-questoes-sobre-seguranca-em-nuvem

[4] http://convergenciadigital.uol.com.br/cgi/cgilua.exe/sys/start.htm?infoid=20210&sid=15

[5] http://www.itweb.com.br/blogs/blog.asp?cod=58

[6] http://www.itweb.com.br/noticias/index.asp?cod=62822

[7] http://www.fatecjp.com.br/revista/art-ed02-001.pdf

[8] http://www.youtube.com/watch?v=8RMWO9JxZjA&feature=related

[9] https://www.linkedin.com

Sobre o Autor

André Kos atua com informática desde 2003, acumulando experiência em consultoria e processos de Help Desk. Iniciou suas atividades na Conviso IT Security em 2008, onde trabalha como Gerente de Projetos, responsável por coordenar as atividades da equipe de consultoria e a troca de conhecimento com o Conviso Security Labs.

Originalmente postado no Blog da Conviso Application Security – Siga-nos no Twitter @conviso Google+

Tags

Deixe um comentário

topo
%d blogueiros gostam disto: