Sutilezas da segurança ? entrevista com Cássio Alcântara da Websense ? parte 1

Author Photo
10:10 am - 31 de dezembro de 2013

Ainda bem que existem cerca uma dúzia de empresas que se dedicam profunda e seriamente ao tema segurança. Dentro deste bem-vindo grupo encontra-se a Websense, empresa fundada em 1994 e sediada em San Diego, California que já atua no Brasil há alguns anos. Tive a oportunidade de conversar com Câssio Alcântara, gerente regional de vendas Brasil e nesta ocasião ele contou muito da empresa e das como deveríamos nos prevenir contra as inúmeras ameaças existentes. Foi uma conversa bem longa que me permitiu transcrever esta entrevista que apesar do tamanho ficou muito rica em casos, exemplos, dicas, etc.
 
Xandó : Cássio é um prazer poder conversar com você! Gostaria de saber sobre a origem da empresa, seus primeiros produtos, serviços, etc.
Cássio : Nós já temos muitos anos no mercado (quase 20). No começo nós éramos integradores, instalávamos firewall e antivírus. E nesta ocasião nós percebemos uma demanda crescente por ?classificação de conteúdo?. Havia muito conteúdo pornográfico aparecendo e as empresas não queriam que seus funcionários tivessem acesso a este tipo de conteúdo. Na ocasião nós desenvolvemos um produto que tinha apenas uma categoria, pornografia e nós fazíamos apenas o bloqueio de acesso. Com o crescimento da Internet foram surgindo necessidades de ampliar as categorias como e-commerce, Internet banking, etc. Atualmente nós temos 97 categorias para classificar conteúdo. Até o momento que a Internet tinha apenas conteúdo estático nós fazíamos esta classificação em nosso laboratório e enviámos periodicamente para nossos clientes esta base de dados (atualizações incrementais). Era mais simples porque a URL que o cliente enxergava era a mesma que nós também enxergávamos.
Xandó : Mas a Internet se tornou dinâmica, como foi atuar nesse contexto?
Cássio : Complicou porque aquilo que o cliente vê não é mais o que nós vemos em nosso laboratório. E com a chegada da Web 2.0 também chegaram as redes sociais. Nós vemos a rede social como uma Internet dentro da Internet. E hoje passamos por algo semelhante ao início da Internet quando ao entrarmos nas empresas podíamos constatar que algumas pessoas tinham acesso à Web e outras não e hoje a discussão é ?abro acesso para redes sociais ou não abro?? e ?se abro para quem??. Isso porque a imensa maioria das ferramentas existentes permanecem sendo filtros de URL e assim a opção é conferir acesso para alguém ou não e se abre o acesso abre completamente. Se você olhar a rede social como a Internet dentro da Internet lá dentro você vai ter páginas com uma imensa diversidade de conteúdo, páginas adultas, publicidade, violência, assuntos diversos inapropriados. Assim se certa ferramenta olha para a URL e apenas usa sua classificação, rede social, e bloqueia ou libera, ao liberar abre acesso a toda a diversidade de informações do tamanho de uma Internet. Assim não está sendo controlado o conteúdo. Nós temos como liberar o facebook, mas bloquear jogos, bem como uma pessoa pode ler publicações dos outros, mas não pode curtir nem comentar enquanto outra pode comentar. Temos grande granularidade na monitoração e controle.
Xandó : Isso me parece um problema bem, grande e não imagino como resolver! A Websense atacou e resolveu este problema?
Cássio : Nós pegamos toda essa inteligência e colocamos dentro de uma ?caixa? (um dispositivo), entregamos na porta do usuário (sua rede) e ele vira o Proxy da rede. Assim consigo fazer uma análise em tempo real a cada acesso na rede da empresa. Por exemplo eu faço um acesso a rede social, o sistema verifica se o Cássio pode acessar. Como pode ele é liberado para continuar. Mas neste exato momento o conteúdo dessa página da rede social é de teor adulto. Novamente o sistema é acessado para saber se o Cássio pode acessar conteúdo adulto.
Xandó : Então você consegue se valer daquela sua classificação de conteúdo, as tais 97 categorias que antes filtravam URLs para filtrar acessos dentro do contexto da rede social. É isso?
Cássio : Isso mesmo, como o conteúdo é dinâmico a categorização e análise é feita sobre cada página acessada independentemente da URL. Soluções tradicionais impõem barreiras de contenção como antivírus, firewall, etc. Independentemente do usuário que está acessando estas barreiras são fixas, estáticas. Barreiras fixas não funcionam mais para as empresas porque os interesse e necessidades são muito diversos. O marketing precisa ter uma visão e proteção, o financeiro outra, o chão de fábrica outra e assim por diante. Cada área (ou pessoas) precisam de barreiras com tamanhos variáveis enquanto no caso da barreira fixa alguns terão mais restrições do que deveriam e outras menos que podem afetar desde a produtividade de certa área (por limitar demais acessos) e principalmente aspectos de segurança. Isso tudo atuando em grupos de usuários ou até em alguns casos individualmente.
Xandó : Mas e do outro lado, os eventuais ataques que vem de fora para dentro, como lidar com isso?
Cássio : Antigamente os ataques também eram fixos. Um cenário era criado e este chegava a um imenso número de pessoas e alguns caiam. Hoje os ataques são direcionados. A pessoa recebe algo sobre um assunto que esperaria receber, mas é uma ameaça hoje conhecida como ?spear phishing?. Outro dia eu recebi um e-mail avisando que o sistema SEM PARAR (cobrança eletrônica de pedágio e estacionamentos) tinha começado a multar as pessoas e eu tinha sido multado e se quisesse ver a multa deveria clicar no link do e-mail. Outro exemplo, e-mails enviados supostamente em nome do LINKEDIN (rede social para networking profissional) com supostos links para convites ou mensagens de pessoas. Também farsa que aponta para link malicioso. Analisando friamente isso é um tráfego normal para um firewall, para um antivírus, etc. Só que você precisa ter uma ferramenta que olha para aquele link e analisá-lo em tempo real.
Xandó : Mas este tipo de ameaça não seria detectada na hora de chegada do e-mail com o link malicioso?
Cássio : Não. Alguns ataques fazem estes e-mails chegarem às caixas postais no domingo de tarde ou de noite. Neste momento o link apontado ainda não contém ameaça. Ele passa pelo firewall ou mesmo por algum sistema de AntiSpam ou de proteção do servidor de e-mails da empresa. Mas na madrugada da 2ª feira a ameaça é inserida naquela URL e todas as pessoas que clicarem, se não tiverem um sistema de proteção em tempo real correm o risco de serem infectadas ou invadidas.
Xandó : Impressionante a sutileza e sofisticação deste tipo de ataque!! Mas quem faz esta proteção? O appliance ou algum software cliente instalado nos computadores da empresa?
Cássio : Nosso appliance faz, de forma centralizada porque todos os acessos passam por ele. Nós classificamos todo e qualquer acesso que seja feito de dentro para fora da rede. Se você analisar com cuidado verá que um antivírus segura apenas entre 30% e 50% de todas as ameaças que estão na Internet. Os outros 50% são o que nós chamamos de ?ameaça do dia zero? que são ameaças baseadas em algo já conhecido que que já exista vacina. É algo como um script diferente rodando dentro de uma página que para o antivírus e o firewall é tráfego normal, mas nossa ferramenta vai olhar, analisa o comportamento da página e a partir disso descobre que aquilo é um ataque.
Xandó : Mas isso tira o mérito e a necessidade das outras soluções como firewall e antivírus?
Cássio : Não. Imagine que firewall, antivírus, antimalware são como vários portões que você põe na sua casa e têm sua importância. Mas essas ameaças modernas são como se alguém pegasse um envelope, conta uma história ?bonitinha? e pede dados pessoais e até número de cartão de crédito, passa por baixo de todos os seus portões, alguém lá do outro lado olha aquilo, cai nessa história, preenche os dados e devolve por debaixo da porta. E assim a informação foi embora para ser usada pelo atacante. Inclusive nossa ferramenta incorpora também recursos de DLP (Data Loss Prevention ? prevenção contra perda de dados) que é para evitar o sétimo estágio de um ataque que é o vazamento da informação.
Xandó : Juntando o cenário todo, imaginemos que o usuário clicou naquele link do e-mail do Linkedin que foi recebido ?limpo?, mas em algum momento se tornou malicioso. Nesta hora esta solução vai procurar aquela URL em um banco de dados existente ou vai fazer uma análise em tempo real?
Cássio : Ele faz as duas coisas. Ao olhar o banco de dados se encontrar referência à ameaça já bloqueia ali mesmo. Caso contrário ele parte para análise em tempo real usando mais de 10 mil analíticos presentes tanto no aspecto de classificação como segurança. Isso é algo tão importante para a segurança que em algum tempo não fará mais sentido usar cache porque o conteúdo muda tanto! Essa inteligência também se encontra em nossa solução de AntiSpam que aproveita este recurso de análise de Web para avaliar os links dos e-mails.
Xandó : Mas usuários devidamente conscientizados não deveriam ser capazes de evitar estes tipos de ameaças?
Cássio : Não existe usuário suficientemente preparado para lidar com os tais ?spear phishing? por serem ataques direcionados e o usuário esperar receber e-mails sobre aquele assunto. Um exemplo interessante, a pessoa se hospedou em certo hotel e recebe tempos depois uma propaganda deste hotel. Algum tráfego daquela pessoa se comunicando com foi interceptado, fizeram um e- mail de spam direcionado para ele (ou um grupo de pessoas com o mesmo tráfego). Como ele pode desconfiar que aquilo é um phishing e não abrir??
Xandó : Vou te contar uma história que tem a ver com isso que você está me falando. Há 2 anos eu recebi uma carta (papel) do Citibank. Eu tenho uma conta neste banco, conta que está parada, mas tenho a conta. A tal carta solicitava que um procedimento de recadastramento e confirmação dos dados fosse feito. Mas era algo complicado e chato, eu teria que preencher um formulário de próprio punho, etc. Deixei a carta de lado em uma gaveta para olhar isso depois. Uma semana mais tarde eu recebi um e-mail dizendo ?como nossos clientes relataram dificuldades no procedimento de reconfirmação dos dados nós criamos uma formulário que pode ser preenchido online e assim simplificar o processo?. Havia uma URL para ser clicada, e-mail com toda identidade visual do Citibank respeitada (bem como fora a carta). Eu já ia clicando para resolver o assunto da forma mais simples, mas como tinha um assunto ligado a cartão de crédito para resolver liguei para o banco e perguntei do tal recadastramento. ERA FALSO!!  Alguém deve ter se apropriado da relação clientes (ou parte deles) e teve o trabalho de mandar a carta antes, que seria o ?legitimador? do e-mail. Eu jamais teria acreditado de imediato no e-mail, mas com a carta antes… Olhe o que é um ataque direcionado!! Como pode ser sofisticado!!
Cássio : Este é o problema, a sofisticação ficou muito grande!! Você não pode contar com que o usuário descubra isso sozinho. Nossa ferramenta entra exatamente nesta zona nebulosa entre ser realidade ou não alguma informação que o usuário está recebendo e evitar que ele seja direcionado a locais potencialmente muito perigosos. Mesmo um usuário bem consciente, que passe o mouse por sobre a URL e veja que o endereço é estranho ou composto apenas por um endereço IP (um dos elementos que denuncia ? mas não o único), ao fazer este acesso por um smartphone ou tablet, não terá este recurso e portanto é mais facilmente iludido.
Xandó : Mas recursos de mobilidade são intrinsecamente menos seguros?
Cássio : Eu acho que as pessoas usam recursos de mobilidade de forma errada. Saem clicando em tudo. Eu uso mobilidade para ganhar tempo quando estou perdendo tempo: em um taxi, esperando um avião no aeroporto, em uma sala de espera de um médico… As pessoas usam o smartphone o dia todo, o tempo todo. Entram no elevador de suas casas já saem olhando os e-mails e clicando. Eu não uso este recurso para tirar o meu tempo de descanso e sim para ganhar tempo. E o que é pior, sem o nível de segurança que você teria em um computador dentro da empresa. Apesar de poucas pessoas analisarem links passando o mouse por cima isso ainda é melhor que dispositivos móveis.
Xandó : aquele tipo de ataque que visava apenas entrar e tomar conta, isso não existe mais, certo? O foco é obter ganho financeiro roubando informações ou dinheiro mesmo…

Cássio
: Com certeza!! Mas em pequena escala existem ataques muito diferentes. Recentemente um fulano invadiu um sistema de câmeras de segurança e assustava crianças falando palavrões. Ou o outro que conseguiu hackear alguns dos telões da Times Square em Nova Iorque. Também o caso do Japão onde criaram uma tampa de privada automatizada e alguns indivíduos descobriram um jeito de hackear a tal tampa e infernizar as pessoas. É importante contar estes casos porque o usuário comum fica pensando ?porque alguém iria querer invadir a minha máquina, o que tem lá de importante??. Eu pergunto, o que tem uma privada de importante? A resposta é simples, porque eles podem, tentam e por diversão ou para se mostrar, pelo prazer de fazer. E conseguem.

Xandó
: E o outro lado, dos ganhos financeiros?
Cássio : É assustador. Realmente o que se intenciona são os ganhos financeiros. Alguns montam redes Botnet (redes de computadores escravizados pelos hackers) que são vendidas para realizar ataques. Quando uma máquina é invadida e é colocado um keylogger (programa que captura tudo que é digitado e envia para o atacante) o que se deseja é capturar senhas de bancos e informações que possam render ganhos financeiros. Eles não querem mais se mostrar e sim entrar nos computadores e ficar lá quietinhos à espreita. Hoje isso é uma ?profissão?!!
Xandó : eu sei que existem aqueles que desenvolvem o malware, outros especializado em mandar o spam, outros que vendem informação capturada, os laranjas que recebem o dinheiro… É uma indústria criada para isso!
Cássio : Este lado evoluiu muito. Mas os recursos de segurança são quase os mesmos nos últimos dez anos. As pessoas acham que estão seguros com firewall e antivírus, mas não estão. Somente ataques de força bruta são contidos por estas medidas. Mas hoje em dia a invasão é na inteligência. Veja o seu próprio exemplo, ele te mandou uma carta e depois um e-mail para te convencer a entrar na história dele.

Xandó
: O que mais as pessoas deveriam dar atenção? Há outros tipos de fragilidades pouco consideradas?
Cássio : tempos atrás eu estava em um hotel, logo após um evento que fizemos. Conversando com uma pessoa da nossa assessoria de comunicação eu disse que ia mostrar algo para ela. Liguei o bluetooth do meu celular. Descobri que mulher tem mania de usar nome e sobrenome para identificar seu telefone. Em segundos eu achei os nomes completos de 4 mulheres em volta de mim. Pesquisei no Linkedin e achei seus dados logo na segunda tentativa. Vi a foto dela e logo já sabia quem era daquelas a minha volta. Vi que ela tinha estudado na FAAP trabalhava na empresa X. Procurei se ela tinha perfil no facebook. Não só tinha como estava com os dados abertos. Ela tinha feito o checkin informando que ela se encontrava em um treinamento exatamente naquele hotel. Imagine se eu chego para ela e falo ?fulana tudo bem com você? Você se lembra de mim? Nós estudamos na FAAP juntos! E você está trabalhando na empresa X, não é? Eu até liguei para lá e me falaram que você iria estar aqui na hora do almoço!?. Ela com certeza vai achar que realmente eu a conheço. Só ligando o bluetooth dentro as sala, veja o estrago que eu poderia ter feito com este punhado de informações facilmente colhidas! Este é um tipo de ataque que nenhuma ferramenta consegue bloquear, pois depende apenas e tão somente da pessoa não se expor em demasia.

Xandó
: Mas como minimizar estes riscos? Há alguma forma de controle ou monitoração de dispositivos móveis?
A reposta a esta pergunta e muitas outras estarão na segunda parte desta entrevista que será publicada em bem pouco tempo!!
A parte 2 desta entrevista já foi publicada e pode ser lida acessando este link.

Newsletter de tecnologia para você

Os melhores conteúdos do IT Forum na sua caixa de entrada.