Segurança, um tema sempre actual!
Nas últimas semanas e nos mais diferentes tópicos aqui debatidos, o tema da Segurança tem surgido com alguma frequência. Num dos meus comentários prometi que iríamos dedicar um post só ao tema da Segurança. E aqui está ele!
A Segurança é um desafio para toda a indústria e que afecta todo e qualquer software existente. Todo! A razão para isto acontecer é simples: o software é feito por humanos e por isso não existe uma solução perfeita.
O que se tem verificado nos últimos tempos é que o software no geral tem mais qualidade, existe uma maior preocupação no código incluído, mais ferramentas para avaliar esse mesmo código e mais mecanismos de protecção e de actualização do software muito mais rápidos e eficientes.
Um outro avanço importante nesta área, é a formação e informação dos agentes que interagem com as tecnologias de informação. Sejam os programadores de aplicações, responsáveis dos sistemas ou mesmo o próprio utilizador.
Acho, por isso, incorrecto quando alguém defende a substituição de um software por outro, alegando questões relacionadas com segurança. Faz-me lembrar um evento que fui, relacionado com o tema da Fraude na Internet, organizado pela Direcção Geral do Consumidor. Nesse evento, um orador sugeriu que para resolver/melhorar a segurança dos utilizadores, o seu conselho era a substituição do Sistema Operativo Windows por outro alternativo. Não foi preciso esperar muito, para este orador ser chamado a atenção (para não dizer outra coisa) pelo responsável da Policia Judiciária (orador seguinte) que lhe disse que os sistemas eram ambos seguros e que um comportamento de risco compromete a segurança de qualquer software.
Estou totalmente de acordo com esta visão e uma boa forma de provar isso é dar outro exemplo: os Web servers. Fazendo uma pequena pesquisa no netcraft verificamos que 49% dos servidores Web utilizam Apache, enquanto 35% utilizam IIS (Microsoft). https://news.netcraft.com/archives/2008/05/06/may_2008_web_server_survey.html
Mas será que por o Apache ter um share tão elevado e existirem ataques deste tipo (https://www.secureworks.com/research/threats/linuxservers/?threat=linuxservers) o conselho é trocar de Web server e sistema operativo. De maneira alguma. O que é necessário é reforçar a segurança dessas máquinas de modo a que estas não sejam de novo comprometidas. Isto é apenas um exemplo, e a questão não é ser o Apache, podia ser uma base de dados, ou qualquer outra aplicação.
O que estou a tentar dizer é que, não faz qualquer sentido aconselhar a substituição de um software por outro quando não estamos devidamente protegidos e não tomamos acções preventivas.
O tema está lançado e as diferentes perspectivas são bem vindas...
Comments
Anonymous
January 01, 2003
Caro harakiri1976, Obrigado pelo seu comentário! Antes de tudo agradeço-lhe a chamada de atenção relativamente à forma correcta de escrever conselho. O artigo já foi devidamente corrigido. Percebo o que quer dizer e por isso é que eu não acho correcto que se façam comparações. Mas deixe-me dar-lhe uma outra perspectiva. Um computador isolado e sem estar ligado a nada é mais seguro, certo? Um software com um nível de complexidade elevado e que requer algum conhecimento mais especifico pode ser mais seguro, certo? Os exemplos que deu são bons e como deve também saber vários sistemas operativos estão envolvidos nessas “Fortalezas”. Quem fala desses pode falar de bancos ou outros órgãos cuja segurança é uma preocupação constante! A Segurança não é um valor absoluto e cada organização tem que fazer o balanceamento entre a facilidade de utilização que permite aos utilizadores trabalharem e a sua respectiva segurança.Anonymous
January 01, 2003
Bem, parece que o tema, afinal não teve a aderência que se previa! De certa forma fico satisfeito com este facto, já que parece existir um consenso relativamente ao tema lançado o que é bom para todos. A segurança deverá ser uma preocupação global e não deve ser utilizada de uma forma demagógica. Mas a segurança é um processo e novos desafios surgiram no futuro: os telemóveis com ligação à internet é um realidade nos dias de hoje, a tendência de colocar tudo na Web, o VOIP e as suas capacidades de colaboração são tudo temas que estarão na ordem do dia e que se tudo correr bem cá estaremos para comentar.Anonymous
January 01, 2003
The comment has been removedAnonymous
January 01, 2003
The comment has been removedAnonymous
January 01, 2003
The comment has been removedAnonymous
January 01, 2003
The comment has been removedAnonymous
January 01, 2003
Caro harakiri1976, "Eu ontem perdi um pouco o sentido de humor, confesso!...mas o futebol :)" Como eu o percebo! Apanhei um carga de nervos e aqueles 4 minutos finais foram terríveis! É a vida e jogámos bem, mas Portugal cometeu 3 erros... "Apesar de estarmos em lados diferentes da "barricada" queremos o mesmo, que é a secção à qual repliquei neste blog - segurança!" Eu não diria que estamos em lados diferentes. Eu diria que estamos do mesmo lado mas a jogar com chuteiras diferentes... "Temos pontos em comum mas visões distintas dos processos e da tecnologia." Concordo! "Lancei um pouco de "nevoeiro" no campo dos desktops :) Confesso! O Marcos acaba por se tornar engraçado. Não disse mas quis fazer parecer que TAMBÉM eram vulneráveis. Agora é a minha vez. Não disse mas quis fazer parecer :)" Estamos combinados :-)! "Brincadeiras à parte. É uma questão de escolha de um produto." É sim, senhor! É uma escolha que cada um de nós gosta de partilhar porque a fez! "Concordo em alguns aspectos. O "hierarquizado" também existe no modelo Open Source no meio daquele emaranhado, que parece um autêntico caos, de gente e distribuição de serviço, versões etc etc, mas...existe! Existe uma hierarquia própria. Mas eu percebo o que quer dizer e concordo consigo. Está a ver? Eu afinal não sou assim tão "teimoso" e concordo consigo em muitos aspectos :)" Nunca achei que fosse "teimoso" :-)! "Quando for a Lisboa terei o maior prazer em conhecê-lo pessoalmente :)" Cá ficarei à espera de uma visita! "Sempre com... humor, com os melhores cumprimentos, :)" É assim mesmo que se deve viver a vida! CumprimentosAnonymous
January 01, 2003
Completando um pouco o post inicial, os 3 princípios (processos, tecnologia e pessoas) acho que são fundamentais para assegurar uma boa capacidade de protecção e reacção. Acho que o equilíbrio entre a produtividade/funcionalidade e a segurança será o ponto ideal que cada organização ou utilizador deve encontrar!Anonymous
June 02, 2008
The comment has been removedAnonymous
June 03, 2008
The comment has been removedAnonymous
June 03, 2008
Caro MS, Correndo o risco de ser injusto, parece-me que há um conjunto de contribuintes do seu blog que só aparecem para defender a honra da MS ! JorgeAnonymous
June 03, 2008
The comment has been removedAnonymous
June 03, 2008
Eu acho que o o rdp tem toda a razão JorgeAnonymous
June 13, 2008
The comment has been removedAnonymous
June 17, 2008
Viva Marcos! O tema torna-se cada vez mais interessante e parece-me razoável - e oportuno! - que estejamos em discussão de ideias, oposição de opiniões porque é desta forma que o conhecimento avança. A História assim o demonstra... Vamos por partes... " Percebo o que quer dizer e por isso é que eu não acho correcto que se façam comparações. Mas deixe-me dar-lhe uma outra perspectiva. Um computador isolado e sem estar ligado a nada é mais seguro, certo? ", marcoss Certo! " Um software com um nível de complexidade elevado e que requer algum conhecimento mais especifico pode ser mais seguro, certo? ", marcoss Nim :) ...é um híbrido entre um NÃO e um SIM. Eu percebo o que quer dizer. Mas complexidade não significa necessariamente mais segurança digamos assim. Eu percebi que não foi exactamente isso que quis dizer, no sentido estrito mas, no sentido lato. Ou seja, um sistema mais complexo, mais elaborado e que requeira maior conhecimento, pode ser mais seguro - passo a redundância - ...pode. Mas não é exactamente na complexidade mas na maneira como esse mesmo sistema (software) é produzido, é auditorado (o código) que leva à Segurança em si. " Os exemplos que deu são bons e como deve também saber vários sistemas operativos estão envolvidos nessas “Fortalezas”. Quem fala desses pode falar de bancos ou outros órgãos cuja segurança é uma preocupação constante! ", marcoss É verdade. Estão envolvidos vários Sistemas Operativos (SO) nessas organizações. Eu não queria dar exemplos concretos, nem particularizar, mas vou ter de o fazer. É sim verdade que vários SO estão em sintonia nas "Fortalezas", como anteriormente lhes chamei, mas vejamos o exemplo concreto da ADOBE. A ADOBE tem instalado na maior parte dos seus Servidores de Firewall e Teste de Sistemas de Rede servidores OpenBSD (www.openbsd.org). É conhecido como um dos sistemas UNIX-like mais seguros do Mundo. Eles orgulham-se de ter apenas 2 falhas remotas (hipotéticas falhas ou vulnerabilidades!) num período de 10 anos. Levam a Segurança e Criptografia ao Extremo. São fanáticos. O código é constantemente auditorado por razões de segurança. Tudo o que "roda" em OpenBSD é encriptado. Até um simples ls (dir no DOS) é encriptado. O protocolo SSH, que a Micro$oft usa foi desenvolvido pelo OpenBSD por exemplo. Outro exemplo, ainda há bem pouco tempo a Micro$oft continuava com FreeBSD nos servidores da Hotmail. Porquê?..eficiência? bom controlo de tráfego? Segurança?...No meu caso em particular, uso GNU/Linux e há anos que não sei o que é um Vírus. Essa palavra felizmente não consta no meu vocabulário. Sempre fui extremamente cuidadoso com o software usado e na World Wide Web mas no Passado isso não foi suficiente com o anterior SO que usei. Estava protegido (supostamente...) com Antivirus, Firewall, etc, etc...não foi suficiente. Nem nunca é suficiente! Como diz Bruce Schneier, no seu livro "Applied Cryptography", "A Segurança não é um Produto mas um Processo". Estou apenas a relatar factos e alguns em nome pessoal. E da minha parte posso dizer que trocar do Software X para o software Y pode (FAZ) fazer diferença. Dou só mais um exemplo que nada tem a ver com segurança - ou porventura terá! - o meu antigo telemóvel era extremamente básico. Dava para telefonar, para enviar os 160 caracteres de uma SMS e pouco mais. Não tinha câmara, não podia enviar e/ou receber MMS's. Hoje em dia possuo não um topo de gama, mas um telemóvel de gama média, de uma marca que todos os Portugueses conhecem lá do norte da Europa. Tem montes de funcionalidades. É óptimo, bonito...e bloqueia, trava, que muitas vezes só tirando a bateria fora. Não é problema nenhum em particular. O Software já foi actualizado. Os telemóveis começaram a poder fazer o mesmo que se faz num computador. Os programas tornaram-me maiores, mais complexos, com inúmeras mais funcionalidades e por isso tornam-no...pior...a nível de desempenho obviamente. A segurança aqui destes últimos é relativa. Mas como é lógico, quanto mais "portas" um telefone tiver e mais "serviços" tal qual um PC tem, maior a probabilidade de falhas de segurança. Basta pensar que um sinal GSM que circula pelo "ar" pode facilmente ser decifrado por alguém mal intencionado que esteja à escuta (melhor "sniffering"). Cada vez mais usamos Redes e precisamos de Redes para comunicar. Para aceder ao Banco, para pagar a conta da Água e da Electricidade, para Viajar, etc, etc. Faz todo o sentido que essas Redes sejam seguras e os utilizadores que as "navegam" estejam igualmente seguros, até pela nossa própria segurança.. Cumprimentos, harakiri1976Anonymous
June 18, 2008
The comment has been removedAnonymous
June 19, 2008
The comment has been removedAnonymous
June 20, 2008
Caro Marcos, Eu ontem perdi um pouco o sentido de humor, confesso!...mas o futebol :) " Sempre com bom humor, desde que não haja ataques pessoais! " Eu não faço "ataques pessoais" :) Eu compreendo muito bem o seu papel e a atitude apaziguadora, serena e evangelista relativa à empresa na qual trabalha. Mas não é nada pessoal. Acredite!:) Apesar de estarmos em lados diferentes da "barricada" queremos o mesmo, que é a secção à qual repliquei neste blog - segurança! Temos pontos em comum mas visões distintas dos processos e da tecnologia. " (...) Se reparar não falei nos servidores Windows.” Bem…:-). Falou, falou, mas tem o cuidado de não o dizer directamente! Mas tudo bem, porque o que interessa é o conceito e não a particularização. " Lancei um pouco de "nevoeiro" no campo dos desktops :) Confesso! " Pronto! Agora é que perdi o meu bom humor! Mas quem é que disse isso? Onde é que está escrito ou implícito que eu disse que tal sistema era “assim tão vulnerável”? Se o harakiri1976 estivesse a ter esta conversa com o Marcos, um qualquer cidadão do mundo teria dito isto? Claro que não! Mas ok, faz parte! E eu estava a brincar em relação ao bom humor! " O Marcos acaba por se tornar engraçado. Não disse mas quis fazer parecer que TAMBÉM eram vulneráveis. Agora é a minha vez. Não disse mas quis fazer parecer :) Quanto ao outro Marcos cidadão do Mundo, teria dito exactamente o mesmo, se usasse um "produto" que eu usei outrora e se me tentasse provar que afinal não era assim tão "mau" :) Brincadeiras à parte. É uma questão de escolha de um produto. " O harakiri1976 acredita naquilo que quiser… O que eu acredito é que qualquer modelo tem vantagens e pontos a melhorar e como já disse nenhum deles é perfeito. O que lhe posso dizer é que tem havido uma aproximação dos dois modelos de desenvolvimento: o modelo “comercial” a aproximar-se do open source (comunidades) e o modelo open source a aproximar-se do comercial (mais estruturado e hierarquizado). " Concordo em alguns aspectos. O "hierarquizado" também existe no modelo Open Source no meio daquele emaranhado, que parece um autêntico caos, de gente e distribuição de serviço, versões etc etc, mas...existe! Existe uma hierarquia própria. Mas eu percebo o que quer dizer e concordo consigo. Está a ver? Eu afinal não sou assim tão "teimoso" e concordo consigo em muitos aspectos :) " Mas do Porto a Lisboa é um pulo e com certeza iria mudar a sua percepção relativamente aos “utilizadores” " Quando for a Lisboa terei o maior prazer em conhecê-lo pessoalmente :) Sempre com... humor, com os melhores cumprimentos, :) Subscrevo-me, harakiri1976