Carlos Serrão

as minhas notas e página pessoal…

A opinião da OWASP sobre segurança da informação (versão uncut)

| 0 comments

A revista Semana Informática, uma das publicações portuguesas na área das Tecnologias de Informação, convidou a Open Web Application Security Project (OWASP) a participar numa entrevista, no âmbito de um dossier sobre segurança da informação que publicou recentemente , na edição n.º 959, correspondente à semana compreendida entre os dias 22 e 28 de Janeiro de 2010.

Com o objectivo de valorizar o conteúdo das respostas, e validar as asserções no contexto Português, para este artigo a OWASP resolveu um conjunto de especialistas na área da segurança da informação, nomeadamente, o Professor Carlos Serrão (docente do ISCTE-IUL e líder do capítulo português da OWASP), Dinis Cruz (evangelista da OWASP e membro da board do OWASP) e Miguel Almeida (consultor independente de segurança da informação).

As respostas dadas às questões colocadas pela Semana Informática, deram origem a um extenso artigo de opinião, o qual, por razões de espaço não foi possível colocar no dossier que estava a ser preparado pela revista.

Porque achamos que essa mesma entrevista, na sua versão integral transmite um pouco aquilo que é o estado actual do mercado da Segurança de Informação em Portugal, resolvemos agora, com a autorização da Semana Informática e da própria OWASP publicar essa mesma entrevista na integra, e sem qualquer tipo de corte editorial.

É um pouco extenso, mas penso que a leitura vale a pena.

SI: Os desafios que se colocam à segurança de informação são crescentes, com os ataques informáticos a intensificarem-se e e exigências dos reguladores a aumentar. Pensam que as empresas estão conscientes da necessidade de investirem nesta área?

Os sinais indicam-nos que não, que não existe uma consciência clara e generalizada na empresas Portuguesas, sobre a necessidade de investir na segurança da informação e, em particular, na componente da segurança aplicacional.

Se analisarmos a dimensão do mercado Português orientado para a segurança aplicacional (que, de uma forma geral, reflecte a dimensão da procura), verificamos que é um mercado pequeno, composto por um conjunto reduzido de empresas e consultores individuais, que fornecem serviços relacionados com a segurança.

A dimensão da comunidade Portuguesa da OWASP – a sua pequena dimensão – é também um indicador do grau de consciência para esta problemática, uma vez que a OWASP atrai, tipicamente, as empresas que procuram reforçar a segurança do seu sistema de informação e também, naturalmente, as empresas que oferecem serviços que vão ao encontro dessa necessidade, i.e., as empresas de serviços de segurança.

Um outro sinal importante, que nos indica o grau de maturidade neste mercado, é o facto de encontrarmos debates nos fóruns de segurança que, na sua maioria, são focados nos aspectos que concernem a componente de segurança ao nível das redes (referimo-nos, por exemplo, a debates sobre firewalls, sistemas de detecção de intrusão (IDS), cifra de dados e mecanismos de autenticação forte). Embora estes temas sejam importantes, no contexto da segurança da informação, são temas que, neste momento, já deviam estar amadurecidos e consolidados nas organizações. Os temas mais importantes, na fase em que nos encontramos hoje, têm que ser, inevitavelmente, os processos de segurança e a segurança das aplicações, temas que estão, num modelo de segurança por camadas, alguns níveis acima dos que (ainda) são debatidos em Portugal.

Por outro é importante salientar a falta de profissionais de segurança que estejam especificamente formados na componente da segurança aplicacional. Nas Universidades em Portugal é difícil encontrar unidades curriculares integradas em licenciaturas ou em programas de mestrado que lidem em particular com as especificidades da segurança de informação ao nível aplicacional. As próprias unidades curriculares mais vocacionadas para a engenharia de software, abordam apenas superficialmente esta problemática da segurança ao nível do desenvolvimento aplicacional. Isto acaba invariavelmente por se reflectir na qualidade das aplicações e sistemas de software que são produzidos no mercado, por estes profissionais com poucas preocupações a nível de segurança.

Igualmente, a pressão competitiva que é colocada no mercado do desenvolvimento de aplicações e sistemas acaba por levar a que estas preocupações de segurança aplicacional possam ser descuradas em detrimento de outras características mais sexy do software, e que efectivamente vendem.

Finalmente, não podemos deixar de referir a possibilidade de haver empresas e agências governamentais que estejam, actualmente, a contratar serviços de segurança a empresas estrangeiras. No entanto, a experiência mostra-nos que, quando os sinais indiciam que não existe um foco sobre a segurança, acabamos por verificar que, de facto, não existe!

SI: Essa consciência existe certamente de forma diferenciada consoante a dimensão das empresas. Em que estado de maturidade se encontram as PMEs?

O estado de maturidade dos processos e mecanismos de segurança nas PMEs, pela nossa experiência, pode ser caracterizado numa palavra: imaturo. Porquê? Porque a segurança dos sistemas de informação, nestas organizações, desde a componente de redes até às aplicações, é entendida como um problema técnico que deve ser endereçado pelos departamentos de informática e, nesse contexto, é endereçado com uma firewall na ligação à Internet e sistemas antivírus nos servidores e postos de trabalho. A segurança, actualmente, não pode estar limitada a estas duas componentes.

No contexto da segurança aplicacional é importante que a mesma seja considerada como uma prioridade desde o primeiro dia por toda a equipa que estará envolvida no desenvolvimento da solução, enquadrada por um forte apoio da organização.

É importante referir, no entanto, que o foco na segurança da informação, em particular no vector da segurança aplicacional, depende mais de factores externos do que, na verdade, da dimensão das organizações – uma empresa estará mais sensível a estes temas, e fará investimentos mais significativos, sempre que:

  • for vítima de um ataque, ou verificar que um dos seus concorrentes directos foi vítima de um ataque;
  • estiver enquadrada num conjunto de empresas que têm que estar em conformidade com exigências legais ou standards industriais (por exemplo, standards como a PCI);
  • os seus clientes exigirem, explicitamente ou implicitamente, a garantia de segurança nas transacções ou a protecção da sua informação e, em particular, se alguns clientes apresentarem queixas relacionadas com eventuais problemas de segurança que tenham identificado e que, assim, mostrem a sua intenção de terminar a utilização dos serviços.

Existe um outro aspecto que é necessário salientar. Na maior parte das vezes, o tecido das PME nacionais é acima de tudo comprador de soluções e sistemas de software, e raramente abraça desenvolvimento próprio. Isto leva-nos a colocar a seguinte questão: quais são as garantias que determinada PME tem que o software que adquire foi efectivamente desenvolvido tendo em conta preocupações de segurança aplicacional? Quem lhe garante isso?

SI: E qual é a “maturidade” da Administração Pública nesta área?

No que concerne aos sistemas de informação da Administração Pública, pensamos que é importante considerarmos que existem, de facto, vários organismos autónomos, responsáveis por partes dos sistemas que são na verdade, independentes. Ou seja, por outras palavras, não devemos considerar, nesta matéria, uma representação da Administração Pública como uma entidade única mas sim, pelo contrário, um conjunto de entidades independentes.

Dito isto, e respondendo directamente à pergunta, a verdade é que, de facto, não temos informação que nos permita aferir, com rigor, a maturidade da segurança na Administração Pública. Porquê? Porque não existe informação, tanto quanto julgamos saber, que apresente indicadores sobre o estado da segurança destes organismos e instituições do Estado Português. Contudo, tendo por base o modelo de organização que referimos, parece-nos legítimo levantar como hipótese, que a maturidade da segurança de cada um dos sistemas de informação seja, por extrapolação, equivalente à que podemos encontrar nas PMEs, salvaguardando, por uma questão estatística, alguns organismos que tenham um grau de maturidade mais elevado que a média, para satisfazer as suas necessidades específicas de segurança.

Convém no entanto realçar que a falta de informação e transparência sobre o nível de segurança de algumas das aplicações e sistemas de software que a maior parte dos cidadãos portugueses são obrigados por lei a usar no seu relacionamento com a Administração Pública (por exemplo, com a Administração Fiscal), podem colocar em sério risco a integridade e a segurança dos dados de empresas e indivíduos que os utilizam.

SI: A gestão de identidades e a utilização de sistemas de autenticação forte ainda não estão tão disseminadas como seria de desejar. Qual a vossa percepção da situação nas empresas portuguesas?

A resposta a esta pergunta tem que ser dividida em duas partes, nomeadamente, no vector da gestão de identidades, por um lado e, por outro lado, no vector da autenticação forte.

Em relação à gestão de identidades, que visa endereçar o problema da gestão de múltiplos identificadores e autorizações, num conjunto alargado de sistemas e aplicações internas, tem vindo a ser feito um esforço, nas organizações de maior dimensão, no sentido de melhorar os processos de gestão de acessos a estes recursos.

Visto de outra perspectiva, e considerando que a gestão de identidades procura resolver, em simultâneo, o desafio da gestão de autorizações – um tema de segurança – e o problema da complexidade da gestão de identidades em inúmeras aplicações – um tema relacionado com processos e custos muito directos em recursos humanos para suportá-los – torna-se fácil compreender o retorno do investimento nesta área. No entanto, é importante referir que, pelas mesmas razões, só as organizações de grande dimensão, que têm um sistema de informação muito complexo, sentem esta necessidade e, claro, podem investir nesta componente.

Em relação à autenticação forte, devemos considerar dois tipos de organizações: as financeiras (ou relacionadas directamente com as instituições financeiras), e todas as outras organizações. Em relação às primeiras, existe claramente uma evolução no sentido da adopção de mecanismos de autenticação forte, utilizados internamente, e pelos seus clientes, em aplicações disponíveis na Internet. Em relação aos demais, o que podemos observar é muito diferente: existem algumas empresas que investem nestes mecanismos para reforçar a autenticação dos colaboradores nos acessos remotos à empresa mas, para além desta utilização – pequena – não existe um reforço visível dos mecanismos de autenticação forte utilizados as aplicações via Internet. Ou seja, a autenticação dos seus clientes continua a depender, exclusivamente, da apresentação de passwords – um mecanismo muito fraco que pode, no curto prazo, dar azo a fugas de informação confidencial e operações ilegítimas que, se acontecerem, podem pôr em causa a confiança dos clientes e, no limite, a viabilidade destas empresas.

SI: Como podem as empresas proteger-se nestes cenários que são também cada vez mais equacionados como formas de reduzir custos?

O grande problema da Segurança de Informação é de que não vende – ou vende pouco. Os clientes muitas das vezes estão mais preocupados com os aspectos mais funcionais e menos preocupados com outros aspectos menos visíveis – a segurança cai nesta segunda categoria. Por existir esta dificuldade, e como já foi referido acima, as empresas de desenvolvimento investem menos na segurança, e os clientes não se preocupam muito com a mesma, assumindo que a aplicação ou sistema de software que adquirem é perfeitamente seguro.

No entanto, este é claramente um aspecto que terá que mudar. As empresas têm que investir mais na segurança dos seus sistemas de informação, em particular na componente da segurança aplicacional, e devem começar, por um lado, a exigir qualidade e certificação de segurança dos produtos fornecidos e, por outro lado, a responsabilizar os fornecedores de sistemas e aplicações pela (in)segurança dos seus produtos e serviços.

A segurança aplicacional não acontece por acaso; não é suficiente perguntar “O seu produto é seguro?” nem “A aplicação que estãoa desenvolver irá garantir a segurança?” porque, como é óbvio, a resposta nunca será diferente de “Sim, a segurança está assegurada”.

A título de exemplo, para as organizações que procurem reforçar a segurança das suas aplicações, a OWASP tem um conjunto de recursos que podem utilizar, gratuitamente, para ir ao encontro dessa necessidade. São exemplos:

  • OWASP Legal Contract
  • OWASP Top 10
  • OWASP Open SAMM
  • OWASP Testing Guide ,
  • OWASP Code Review Guide
  • OWASP Developer Guide
  • OWASP ESAPI
  • OWASP WebScarab – Security testing tool
  • OWASP WebGoat – Security learning tool

SI: As pessoas (colaboradores das empresas) são muitas vezes considerados o elo mais fraco das políticas de segurança da informação. Que medidas podem as empresas tomar para se protegerem numa altura em que a Web 2.0 está cada vez mais entrosada nos hábitos?

R: É um facto reconhecido por todos: as pessoas ainda são o elo mais fraco na segurança. Dito isto, parece-nos importante endereçar este problema segundo três vectores, nomeadamente, (a) através de campanhas de sensibilização e formação sobre segurança (e.g. ensinar-lhes que não devem, por exemplo, seguir e activar todas as referências que lhes apresentam por email, nem instalar programas que não sejam fidedignos), (b) reforçar os controlos técnicos de segurança dos sistemas e aplicações, e finalmente, (c) melhorar os processos de gestão da segurança, começando pela revisão das políticas de segurança, e incluindo processos gestão e monitorização dos activos de informação.

No caso particular da segurança aplicacional, é importante frisar que as aplicações e os ambientes mais seguros e resilientes são aqueles que, desde a sua concepção, são desenhados de acordo com o princípio do ‘privilégio mínimo’, ao nível da arquitectura, da composição, e da codificação dos módulos aplicacionais. Neste paradigma, os privilégios e autorizações atribuídos aos utilizadores são restringidos ao mínimo que, por necessidades funcionais das suas tarefas, seja suficiente para poderem executar operações e aceder à informação que for estritamente necessária. Este modelo apresenta características de segurança muito fortes, em oposição àquele que se vulgarizou nos últimos anos, no qual os utilizadores tinham privilégios e autorizações equivalentes aos administradores dos sistemas e aplicações.

Uma das razões que nos leva a afirmar que esta problemática tem que ser endereçada rapidamente, é a nossa percepção que o estado da (in)segurança tem tendência a agravar-se porque, com a passagem de inúmeras aplicações para o modelo web e, no futuro mais próximo, para modelos de computação na nuvem (cloud computing), a informação e as aplicações estarão intrincadamente interligadas e, por consequência, a complexidade das soluções irá crescer exponencialmente. A complexidade, como todos reconhecemos, é um dos factores principais que contribuem para a dificuldade em garantir a segurança da informação.

SI: Quais são na sua opinião os maiores riscos que as empresas enfrentam para proteger a sua informação em 2010?

R: Considerando que tem havido um esforço, reconhecidamente, no sentido de reforçar os controlos antivírus, os filtros de comunicações, e as actualizações de segurança dos sistemas, pensamos que, por essa via, as organizações limitaram o risco de algumas classes de ataques. No entanto, como nem todas endereçaram a componente aplicacional de uma forma adequada, pensamos que existe o risco – real – de serem vítimas de ataques através de vulnerabilidades em aplicações web (ataques personalizados ou automáticos, e.g., através de worms que utilizam SQL Injection). Estes ataques podem ter por resultado a quebra de confidencialidade da informação, operações ilegítimas, indisponibilidade dos serviços, etc.

Note-se que ainda existem muitas empresas que não sabem, quando falamos dos activos de informação dos seus clientes, (a) onde estão localizados, (b) quem tem acesso a esses activos, nem (c) se alguma vez foram comprometidos. É igualmente importante referir que, como não existem regras contratuais que obriguem à publicação de falhas de segurança, não existe informação pública que permita, por um lado, alertar os clientes para a eventual exposição dos seus dados nem, por outro lado, impulsionar o reforço activo dos controlos de segurança da organização, nem dos seus concorrentes, naturalmente.

O problema que as empresas irão enfrentar em 2010 e, provavelmente, em 2011 também, é a mudança do foco dos criminosos. O modelo de negócio tradicional do cibercrime tem sido, nos últimos anos, o spam (suportado por vírus e botnets) e a extorsão (igualmente suportada por botnets, que provocam ataques de negação de serviço – DDoS). No entanto, os criminosos têm vindo a focar a sua atenção nos activos das empresas, nomeadamente, nos activos financeiros e na própria informação. As empresas Portuguesas podem tornar-se presas fáceis para organizações criminosas, que já têm modelos de funcionamento profissional, e que têm competências que lhes permitem, de forma eficiente e com grande eficácia, desenvolver, testar e distribuir aplicações maliciosas que têm, por comparação com as aplicações comerciais que utilizamos diariamente, uma qualidade equiparável às que são realizadas pelas melhores empresas de software do mundo.

Em muitas empresas, a segurança não tem sido posta em causa porque, simplesmente, não têm sido alvo de um número significativo de atacantes. No caso particular das instituições financeiras, o facto é que é difícil, de facto, movimentar grandes somas de dinheiro por vários bancos em todo o mundo.

SI: Quais são as actividades que a OWASP tem vindo a desenvolver e que iniciativas tem previstas para 2010?

R: A OWASP está no epicentro da segurança das aplicações web no mundo, onde as figuras mais importantes e com maior contributo nesta área estão, de alguma forma, ligadas ou directamente envolvidas com o trabalho que é realizado na organização.

Em 2010, a OWASP pretende continuar a desenvolver esforços no sentido de:

  • (a) consciencializar as pessoas e as organizações para a necessidade da segurança aplicacional;
  • (b) desenvolver ferramentas, documentação e guias para entidades que estejam empenhadas em reforçar a segurança das suas aplicações; e
  • (c) aumentar o número de eventos da comunidade, dentro e fora da OWASP.

Alguns tópicos em destaque para 2010:

  • Nova versão da OWASP Top 10;
  • Nova versão da OWASP ESAPI;
  • Múltiplas conferências OWASP em todo o mundo (em 2009 foram realizadas 17);
  • Múltiplas reuniões das Delegações (Chapters) OWASP em todo o mundo (em 2009 foram realizadas mais de 100);
  • Continuação do trabalho com os Governos, nomeadamente, a continuação das quatro ideias nucleares que foram propostas na conferência IBWAS: “A OWASP desafia os governos mundias a reforçar a segurança aplicacional” (ver o documento em Português*, Inglês ou Castelhano);
  • Realização da IBWAS’10 que se irá realizar em Portugal e que irá reunir mais uma vez a Academia e a Indústria na discussão desta problemática e apresentação de soluções;
  • OWASP Season of Code 2010, (uma nova versão, com nova arquitectura do OWASP Summer of Code 2008);
  • Múltiplas actividades de encontro com a indústria, lideradas pelo OWASP Industry Committee e pelo OWASP Connections Committee;
  • Novos materiais para formação e trabalho directo com múltiplas universidades em todo o mundo (liderado pelo OWASP Education Committee);
  • Reorganização e re-categorização dos projectos OWASP, visando torná-los mais orientados e prontos para ser utilizados pelas empresas (liderado pelo OWASP Projects Committee).

Gostaríamos também de ter mais envolvimento do Governo Português, da Academia, e da Indústria, nas actividades propostas pela OWASP, uma vez que existem oportunidades, neste contexto, para reforçar a segurança dos sistemas de informação, em colaboração estreita entre todas estas entidades.

A nossa recomendação vai no sentido de se considerar a segurança aplicacional como um vector prioritário e estratégico na segurança da informação e, assim, sugerimos que as organizações atribuam os recursos e a atenção necessários a estes temas para que, no futuro, Portugal possa ser um dos líderes mundiais nesta disciplina, tal como o fez há séculos atrás noutras áreas. Portugal tem os recursos com o talento necessário para contribuir para o reforço da segurança e a protecção dos activos de informação. Esta capacidade, se for utilizada e desenvolvida, pode transformar-se numa fonte de riqueza para o País, através da prestação de serviços para todo o mundo.

Finalmente, a questão que se coloca e que é, sem sombra de dúvida, a mais importante, é a seguinte: Portugal vai esperar que o castelo de cartas se desmorone ou, pelo contrário, vai assumir um papel activo e evitar o colapso?

Conferência IBWAS – Cinco ideias nucleares

  1. Desafiamos os Governos a trabalhar com a OWASP no sentido de aumentar a transparência na segurança de aplicações web, particularmente no que respeita aos sistemas financeiros, de saúde e todos os outros onde as questões da privacidade e confidencialidade da informação são cruciais;
  2. A OWASP procurará colaborar com os Governos mundiais no sentido de desenvolver recomendações para a incorporação de requisitos específicos de segurança nas aplicações e desenhar procedimentos de certificação adequados à selecção e aquisição governamental de software;
  3. A OWASP oferecerá a sua assistência para clarificar e modernizar as leis de segurança informática, por forma a contribuir para que os Governos, cidadãos e organizações possam tomar decisões informadas sobre segurança;
  4. A OWASP pedirá aos Governos que encorajem as empresas na criação de standards de segurança de aplicações que, quando utilizados, aumentarão a protecção contra quebras de segurança que podem potencialmente expor informação confidencial e permitir transacções fraudulentas gerando, assim, consequentes responsabilidades legais;
  5. A OWASP estará disponível para trabalhar com os Governos regionais e nacionais no sentido de criar
  • RSS
  • Twitter
  • Buzz
  • LinkedIn
  • Flickr