<p> </p>
<p><img src="images/artigos/2016/AKER_2.jpg" border="0" width="65" height="83" style="float: left; margin: 5px;" /></p>
<p><span style="font-size: 12.16px; line-height: 1.3em;">A empresas terão de manter inventários das senhas e credenciais de privilégio. É preciso abandonar o modelo velho de chaves baseadas no teclado QWERTY.</span><span style="font-size: 12.16px; line-height: 1.3em;"> </span><span style="font-size: 12.16px; line-height: 1.3em;"> <br /><br /></span>Parte considerável dos investimentos no combate à vulnerabilidade dos sistemas informacionais escorre pelo ralo devido à falta de políticas de controle de identidades e credenciais de privilégio que dão acesso a dados, aplicações e serviços em diferentes níveis estratégicos.</p>
<p>O problema vai muito além da alardeada proliferação de senhas criadas pelo usuário final, e que frequentemente permanecem ativas (pelo menos para algumas aplicações) mesmo depois do desligamento profissional do seu respectivo criador.</p>
<p>O descontrole mais grave envolve aquelas permissões que dão status de administrador ou autoridade hierárquica. Este tipo de credencial é gerado, em parte, para suprir necessidades do comando empresarial, afetando um pequeno número de gestores, o que as torna mais fáceis de gerenciar.</p>
<p>Mas a expressiva maioria das permissões de privilégio é representada por chaves de finalidade técnica (frequentemente passageira), criadas para assegurar acesso pontual a partes sensíveis do sistema.</p>
<p>É grande o número de senhas produzidas nas corporações para viabilizar tarefas corriqueiras, como a configuração de um periférico ou a ativação de regras de negócio, e que são usadas por anos a fio, quando deveriam ter sido eliminadas e substituídas imediatamente após a utilização a que se destinavam.</p>
<p>Há ainda uma infinidade de credenciais de privilégio embutidas em aplicações que viabilizam sua interelação com outras entidades da rede ou do ambiente de software.</p>
<p>Tais senhas de aplicação são fixadas no instante da integração do sistema e muitas vezes esquecidas ou até ignoradas pelas equipes responsáveis.</p>
<p>O alto risco de tudo isto se dá pelo fato de que a posse de uma única destas chaves por um agente interno ou externo mal intencionado pode criar as condições para se alterar ou vasculhar toda a extensão do ambiente operacional, inclusive propiciando a captura do acervo de senhas disponíveis independentemente de seu nível.</p>
<p>Um estudo da CiberArk concluiu que entre empresas norte-americanas que dispõem de CIO e profissionais dedicados à segurança, nada menos que 86% se consideram vulneráveis a ataques praticados para a obtenção dessas credenciais de privilégio. </p>
<p>A situação, com certeza, é bem pior no Brasil, onde apenas 50% dos órgãos de governo e das empresas estatais dispõem de um profissional de segurança digital, segundo dados contidos no Mapa Estratégico da Defesa Cibernética publicado pelo Ministério da Defesa.</p>
<p><span style="font-size: 12.16px; line-height: 1.3em;">Entre os fatores mais críticos, descritos em estudos sobre o tema, está justamente a incapacidade das empresas em criar inventários fidedignos de suas senhas e identidade de acesso, o que impede o estabelecimento de qualquer controle sobre seu ciclo de vida ou sobre o nível atual de legitimidade de seus portadores.</span></p>
<p>Em um documento publicado no site da Lieberman Software com o sugestivo título "Como manter a NSA fora do alcance dos seus sistemas"a multinacional se reporta a seis recomendações de segurança criadas pela própria NSA (Agência Nacional de Segurança dos EUA) para as empresas do governo norte-americano e que bem poderiam ser seguidas pelas corporações brasileiras.</p>
<p>A primeira é a de não permitir o acionamento remoto de qualquer tipo de ação que dependa de credencial de privilégio, medida que cumpre o ideal de restringir a vulnerabilidade apenas ao agente interno sobre o qual o controle deve se ampliar substancialmente.</p>
<p>Esse controle ampliado é expresso em todas as demais recomendações, como a de criar restrições de validade das credenciais, apenas para sistemas específicos, sem que um agente isolado possa navegar ao longo de todas as áreas ou fazer uso indiscriminado dos serviços.</p>
<p>O ponto central, a meu ver, é o que expressa a urgência pela adoção de múltiplas autenticações, tendo em vista os problemas de gestão associados à eficiência crescente dos ataques hackers "de força bruta".</p>
<p><span style="font-size: 12.16px; line-height: 1.3em;">Isto se faz, por exemplo, través do emprego combinado de senhas com dispositivos "token", ou pela exigência de resposta a questões de ordem pessoal (seu aniversário de casamento, o nome do filho mais velho) ou a requisição de junção de partes de senhas randômicas, distribuídas entre dois ou mais indivíduos no instante da solicitação do acesso.</span></p>
<p><span style="font-size: 12.16px; line-height: 1.3em;">Com o atual nível de universalização dos smartphones dotados de recursos como câmera, scanner, microfone, Bluetooth, etc, é bem provável que aplicações de segurança de acesso comecem a explorar tais recursos, por exemplo, combinando a senha de acesso com uma leitura do "selfie" do usuário, ou conferindo sua posição geográfica (você está mesmo na empresa?) através da aplicação GPS no momento exato da requisição.</span></p>
<p>Em casos extremos (como risco de terrorismo), pode-se estabelecer o cruzamento entre a posição GPS do indivíduo com seu nível de permissão de acesso, levando-se em consideração variáveis dinâmicas de acesso, como data e hora da requisição associada ao perfil do usuário.<span style="font-size: 12.16px; line-height: 1.3em;"> </span></p>
<p>Quaisquer que sejam as soluções ou padrões culturais escolhidos, o fato é que o modelo de senha, em voga desde os primórdios da predominância do chamado teclado QWERTY, já se tornou um "mamão com açúcar" e uma garantia de sucesso fácil para os atacantes profissionais. Ao ao mesmo tempo, a sua gestão confusa e ultrapassada tende a transformar a credencial de privilégio em um instrumento de ameaça em mãos do usuário interno malicioso, inclusive o terceirizado ou aquele que pulou para a concorrência.</p>
<p>A questão da gestão e do modelo do emprego de senhas e credenciais de privilégio vai se tornando, portanto, um ponto crucial para a indústria de segurança. E pode ser que, nos próximos anos, as estatísticas dos grandes players da área passem a priorizar o enfoque sistemático do problema, deixando em segundo plano aqueles monótonos relatórios que tratam da infantilidade e inutilidade das senhas "fáceis de memorizar", como a fatídica "123456", que são empregadas pelas grandes <em>massas globais de usuários.</em></p>
<p><em>(*) Especialista em segurança de TI, Segurança Web e defesa cibernética e cofundador e CEO da Aker Security Solutions.</em></p>
<p> </p>
<p>http://itportal.com.br/images/artigos/2016/AKER_2.jpg</p>
