Virtual Private Networks - VPN's

As VPN's são túneis virtuais criptografados entre pontos autorizados, criados através da Internet ou outras redes públicas ou privadas, para transferência de informações, de modo seguro, entre redes corporativas ou usuários remotos. A segurança é a primeira e a mais importante função da VPN. Uma vez que dados privados serão transmitidos pela Internet, que é um meio de transmissão inseguro, eles devem ser protegidos de forma a não permitir que sejam modificados ou interceptados.
Uma das grandes vantagens decorrentes do uso das VPN's é a redução de custos com comunicações corporativas, pois elimina a necessidade de links dedicados de longa distância, que podem ser substituídos pela Internet.
O uso de Redes Privadas Virtuais representa uma alternativa interessante na racionalização dos custos de redes corporativas oferecendo confidencialidade e integridade no transporte de informações por meio das redes públicas.
Outro serviço oferecido pelas VPN's é a conexão entre diferentes organizações (Extranets) por meio da Internet, além de possibilitar conexões dial-up criptografadas, que podem ser muito úteis para usuários móveis ou remotos, bem como para filiais distantes de uma empresa.

Sniffers

Sniffers são programas que possibilitam a monitoração de uma rede interna (LAN), como também, o tráfego da mesma. As informações que trafegam na rede são divididas em pacotes de dados que são, posteriormente, agrupados na máquina destinatária, mas que a mesma pode ser percebida por toda a rede.
A partir daí, se um sniffer estiver localizado dentro da rede, esperando o pedido de acesso a serviços, como recebimento de e-mails, acesso remoto ou transferência de arquivos, usarnames, senhas, documentos anexos de e-mails, onde a criptografia na maioria das vezes não é aplicada, pode ocorrer o risco de se transformarem públicos.

Segurança em e-mail

Quando o assunto é e-mail existem vários riscos, desde falsificação até contaminação por vírus. Mesmo sendo um meio extremamente eficiente de se trocar informações, cada vez mais vem surgindo diversas formas de burlá-lo e torná-lo um meio de propagação de malwares pela internet. O e-mail de uma empresa deve ser utilizado para propósitos comerciais, contudo, é utilizado para propósitos particulares, para fazerem spam, e outros fins que não os de negócio.

Outro aspecto que deve ser avaliado é o uso de Certificação Digital nos e-mails da empresa, evitando assim o não repúdio e garantindo a integridade não só da mensagem, mas dos arquivos em anexos. Existem empresas que monitoram o conteúdo dos e-mails enviados pelos seus funcionários para fins de auditoria ou investigação. As empresas esquecem de treinar e conscientizar os funcionários para resguardar o seu mais valioso produto, a informação, preocupando-se geralmente em treinar seus empregados para conseguirem melhores vendas e resultados.
Dada esta situação, as empresas devem acrescentar na política de segurança procedimentos para utilização do correio eletrônico e contramedidas e reportes necessários incluindo informações sobre: responsabilidades dos funcionários; utilização de técnicas de criptografia; orientações de quando não se deve utilizar o e-mail; proteção de anexos no e-mail e ataques ao e-mail.

IDS (Intrusion Detection System)

Os sistemas de detecção de intrusão são mecanismos de monitoramento capazes de perceber a ocorrência de um ataque ou comportamento anormal dos mesmos e produzir uma resposta. As respostas providas pelos IDS têm a função de alertar ao administrador do sistema ou ao administrador da rede de computadores da ocorrência de um ataque, como também uma tentativa de ataque. A diferença entre as duas situações é que na primeira, o ataque está em andamento podendo o atacante ter ou não sucesso, já no segundo caso o ataque já aconteceu e o atacante não obteve sucesso. Os IDS podem variar bastante com relação à forma como realizam o seu trabalho. Alguns atuam comparando a informação coletada com grandes bancos de dados buscando detectar uma assinatura de ataque conhecido e já documentado, outros procuram anomalias em relação às características definidas como normais para o sistema em relação ao tráfego, tipo de protocolo, tamanho de pacotes entre outras opções. Quando as evidências do ataque são localizadas, o IDS irá registrar o fato e acionar em seguida alarmes, respondendo à atividade suspeita desconectando um usuário da rede ou reprogramando o firewall para bloquear o tráfego da rede proveniente da fonte suspeita.

Um IDS deve ser monitorado após a sua implementação, bem como devem ser definidos procedimentos de como os responsáveis pela segurança devem agir. Nessa fase, deve-se atentar para falsos alarmes. Um potencial invasor, que saiba que a rede possua um IDS, provavelmente a sua primeira tática será provocar um alarme de invasão para que a atenção dos administradores de segurança se concentre nesse alarme, enquanto a verdadeira invasão estará ocorrendo em outro lugar.

Esteganografia

Esteganografia é a técnica de esconder uma mensagem dentro de uma outra, de maneira que só os usuários interligados possam perceber a presença da mesma. A palavra esteganografia é de origem grega, onde Stegano significa escondido e Grafia significa escrita ou desenho. Heródoto escreveu sobre um general que raspou a cabeça de um mensageiro, tatuou uma mensagem em seu couro cabeludo e deixou o cabelo crescer de novo antes de envia-lo ao destino. As técnicas modernas são conceitualmente as mesmas, apenas com uma largura de banda mais alta e uma latência mais baixa. Esteganografia é o ramo particular da criptologia (ciência que estuda técnicas de criptografia), fazendo com que a mensagem seja camuflada. Mas, existe uma grande diferença entre a criptografia e a esteganografia. A primeira oculta o significado da mensagem, fazendo com que ela se torne incompreensível a terceiros. A segunda oculta a existência da mensagem, fazendo com que ela passe despercebida. Um uso comum permite que os proprietários de imagens codifiquem mensagens secretas nessas imagens, declarando seus direitos de propriedade. Se tal imagem for roubada e colocada em um web site, o dono legal poderá revelar a mensagem esteganográfica no tribunal para provar a quem pertence a imagem. Essa técnica é conhecida como marca d’água. A esteganografia, pode também, servir para prejudicar outros usuários, como por exemplo: A distribuição de vírus e outros tipos de malwares camuflados em vários formatos de arquivos.

Segurança em Computação nas Nuvens

O maior desafio a ser enfrentado pela Computação nas Nuvens é a segurança. Para entender os potenciais riscos de segurança, as empresas devem fazer uma avaliação completa de um serviço de nuvem - começando com a rede, checando as operações do fornecedor e desenvolvendo o aplicativo em nuvem. Em um relatório do Gartner (2008, aput Brodkin, 2008), há um alerta para sete principais riscos de segurança na utilização de Computação nas Nuvens:
1. Acesso privilegiado de usuários. Dados sensíveis sendo processados fora da empresa trazem,
obrigatoriamente, um nível inerente de risco. Os serviços terceirizados fogem de controles “físicos, lógicos e de pessoal” que as áreas de TI criam em casa.
2. Compliance com regulamentação. As empresas são as responsáveis pela segurança e integridade de seus próprios dados, mesmo quando essas informações são gerenciadas por um provedor de serviços.
3. Localização dos dados. Quando uma empresa está usando o cloud, ela provavelmente não sabe
exatamente onde os dados estão armazenados. Na verdade, a empresa pode nem saber qual é o país em que as informações estão guardadas.
4. Segregação dos dados. Dados de uma empresa na nuvem dividem tipicamente um ambiente com dados de outros clientes. A criptografia é efetiva, mas não é a cura para tudo. “Descubra o que é feito para separar os dados,” aconselha o Gartner.
5. Recuperação dos dados. Mesmo se a empresa não sabe onde os dados estão, um fornecedor em cloud devem saber o que acontece com essas informações em caso de desastre.
6. Apoio à investigação. A investigação de atividades ilegais pode se tornar impossível em cloud
computing, alerta o Gartner. “Serviços em cloud são especialmente difíceis de investigar, por que o acesso e os dados dos vários usuários podem estar localizado em vários lugares, espalhados em uma série de servidores que mudam o tempo todo. Se não for possível conseguir um compromisso contratual para dar apoio a formas específicas de investigação, junto com a evidência de que esse fornecedor já tenha feito isso com sucesso no passado.”, alerta.
7. Viabilidade em longo prazo. No mundo ideal, o seu fornecedor de cloud computing jamais vai falir ou ser adquirido por uma empresa maior. Mas a empresa precisa garantir que os seus dados estarão disponíveis caso isso aconteça. “Pergunte como você vai conseguir seus dados de volta e se eles vão estar em um formato que você pode importá-lo em uma aplicação substituta,” completa o Gartner. A preocupação nesse aspecto fez com que a entidade Cloud Security Alliance (CSA) lançasse a segunda versão de um documento com orientações para segurança nas nuvens (www.cloudsecurityalliance.org)

Computação nas Nuvens

A Computação nas Nuvens ou Cloud Computing se refere, à ideia de utilizarmos, em qualquer lugar e independentemente de plataforma, as mais variadas aplicações atrás da Internet. Seu conceito ainda é nublado, mas conforme Santos e Meneses (2009) pode-se definir como a virtualização de produtos e serviços computacionais, ou seja, é uma maneira de armazenar todas as informações em servidores virtuais chamados de “nuvem”, onde há uma tendência mundial para este modelo, não necessitando de máquinas velozes com um grande potencial de hardware e sim de um simples computador conectado à Internet para rodar todos os aplicativos. A ideia de Computação nas Nuvens certamente não é uma novidade, mas a forma de implementá-la é um tanto inovadora. Grandes empresas estão investindo nessa nova tecnologia, onde atualmente destacam-se: Google, IBM, Amazon, Dell, HP e Microsoft.
Características da Computação nas Nuvens:
· Acesso à aplicações independente de sistema operacional ou hardware;
· O usuário não precisará se preocupar com a estrutura para execução da aplicação: hardware, backup, controle de segurança, manutenção, entre outros, ficam a cargo do fornecedor de serviço;
· Compartilhamento de dados e trabalho colaborativo se tornam mais fáceis, uma vez que todos os usuários acessam as aplicações e os dados do mesmo lugar;
· Dependendo do fornecedor, o usuário pode contar com alta disponibilidade, já que, se por exemplo, um servidor parar de funcionar, os demais que fazem parte da estrutura continuam a oferecer o serviço.
· Self-service sob demanda. Onde o usuário pode adquirir unilateralmente recurso computacional, como tempo de processamento no servidor ou armazenamento na rede na medida em que necessite e sem precisar de interação humana com os provedores de cada serviço.
· Amplo acesso. Os recursos são disponibilizados por meio da rede e acessados através de mecanismos padronizados que possibilitam o uso por plataformas thin ou thin client, tais como celulares, laptops e PDAs;
· Serviço medido. Sistemas em nuvem automaticamente controlam e otimizam o uso de recursos por meio de uma capacidade de medição. A automação é realizada em algum nível de abstração apropriado para o tipo de serviço, tais como armazenamento, processamento, largura de banda e contas de usuário ativas.