As 10 mancadas que os administradores de sistemas mais cometem

As 10 mancadas que os administradores de sistemas mais cometem

“Faça o que digo, não o que faço”: Frequentemente os erros cometidos pelos administradores de sistemas chegam a ser piores que aqueles feitos por usuários. 

Problemas ligados a segurança não são meramente técnicos – Eles falha-segurancasão causados por pessoas… E neste caso, estamos falando de especialistas, não de usuários.

Pesquisadores da Intermedia’s 2015 Insider Risk Report chegaram a conclusão que os profissionais de informática cometem as maiores falhas de segurança da informação, como: compartilhar senhas/logins, reutilizar password de redes sociais no ambiente de trabalho, e também ceder credenciais de admin para outros.

Essa postura irresponsável por parte do profissional, traz sérios riscos de: phishing, malware, e outros tipos de ataques.

Aqui estão as 10 brechas deixadas pelos próprios especialistas de Segurança:

1. Uso da credencial de Admin a toda hora

Quando você se loga como admin, você tem o controle de absolutamente tudo em suas mãos. O que é extremamente perigoso, pois se alguém roubar sua credencial, poderá deitar e rolar no sistema, como se fosse o administrador do mesmo.

Crie uma conta com menos privilégios para se logar com mais frequência e apenas utilize a credencial de administrador em casos especiais.

2. Rodar scripts de terceiros

Instalar aplicações de terceiros no Linux é outra prática comum e extremamente perigosa. Tudo que o profissional precisa fazer é copiar e colar um código, e pronto, todas ações a partir daí podem ser executadas com privilégios de administrador. Segue um exemplo do que estamos falando:

sudo -v && wget -nv -O- https://xxx/xxx/linux-installer.py | sudo python -c “import sys; main=lambda:sys.stderr.write(‘Download failedn’); exec(sys.stdin.read()); main()”

Esse script dá privilégios a um item hospedado sabe-se lá aonde, podendo até mesmo rodar Python localmente. Não faça isto em hipótese alguma!

No Windows, o mesmo pode acontecer ao se rodar PowerShell scripts de origem duvidosa…

Mesmo que você confie na fonte, jamais assuma esse risco. Sempre verifique o script primeiro antes de colocá-lo para funcionar nos sistemas da sua empresa.

3. Rodar serviços com privilégios na Raiz

Aplicações nunca devem rodar na Raiz (Root). Crie contas com privilégios específicos para cada aplicação e serviço que for rodar em sua máquina.

4. Reutilização de senhas

Vá em frente, banque o cabeça-dura… A gente sempre ouve sobre os perigos de se reutilizar senhas para acesso a sites, sistemas e aplicações. E os especialistas em TI não estão livre disso.

Recentemente, houve um ataque desconhecido ao pessoal do Mozilla que afetou mais de 50 áreas críticas de um banco de dados. Isso porque um funcionário com conta de administrador reutilizou a senha de um outro site, e esta ficou exposta numa brecha que havia por lá.

Muitas vezes servidores contam com senhas fracas ou repetidas de outros lugares. Isso é um prato cheio para invasores, que quando percebem a repetição do uso da senha, multiplicam os prejuízos causados por esta falha.

Em vez de configurar a mesma senha de root em todas as máquinas, administradores de sistemas devem optar por usar um arquivo de chave. Cada servidor deve ter um arquivo de chave pública e a estação de trabalho do administrador de sistemas teria a chave privada associada com a chave pública. Desta forma, o administrador de sistemas pode acessar todas as máquinas que foram implantados na rede, mas um atacante não seria capaz de efetuar login sem uma chave válida. E não há nenhuma senha para interceptar.

5. Compartilhar contas de admin

Contas de administrador – tais como o acesso aos bancos de dados e administrador portais – são frequentemente compartilhadas dentro de uma empresa. Em vez de configurar o ambiente para que os administradores solicitem privilégios elevados quando necessário, estas contas de administrador são partilhadas à toa. Isso é pedir para ter problemas.

O ideal é haver contas distintas: uma para raiz e outras para cada administrador. As contas de administrador não devem começar com os mais altos níveis de acesso – o administrador pode pedir direitos especiais de acesso ao trabalhar em tarefas especializadas. Os pesquisadores da Intermedia descobriram que 32% dos profissionais de TI têm dado as suas credenciais de login e senha para outros funcionários.

Não é só ruim pelo fato de não saber exatamente quem está usando as contas de administrador, mas pior, as senhas são raramente atualizadas quando um administrador deixa a empresa. Ou seja, um ex-empregado revoltado pode causar danos com impunidade. A pesquisa da Intermedia constatou que um em cada cinco profissionais de TI disseram que iriam acessar informações da empresa depois que eles deixassem seus trabalhos. Políticas de mudança de senha não são apenas para os usuários finais. O administrador também tem a obrigação de fazer isto periodicamente.

6. Esquecer de reorganizar os códigos após fazer determinada tarefa

Ao trabalhar em determinado código, você executar vários truques e técnicas para encontrar e corrigir o problema. Administradores com pressa podem esquecer e deixar as coisas em desordem – e abrir possíveis brechas por conta disto.

Você pode ter aberto as portas no firewall, por exemplo, quando você tentou descobrir por que o pedido não estava respondendo. Uma vez que a correção é no lugar, você precisa voltar e fechar essas portas antes que possam ser utilizados por invasores. Da mesma forma, se você desligou o SELinux porque estava interferindo na solução de problemas, lembre-se de reativá-lo novamente.

Quando for solucionar problemas, mantenha um backup, para depois você poder restaurar as configurações para as configurações originais – exceto para mudanças que você realmente precisem ser mantidas.

7. Descuido com os arquivos de log

Os arquivos de log são úteis, especialmente para solução de problemas, porque eles permitem que você veja o que está acontecendo de forma segmentada. Quando você não precisar mais desses arquivos, descarte-os. A última coisa que você vai querer fazer é disponibilizar arquivos de log contendo informações que podem ser úteis para criminosos virtuais.

Então fique atento, sempre acompanhe seus arquivos de logs e saiba o tipo de informação contida em cada um deles.

8. Armazenar senhas em arquivos de texto simples

Quando há tantas senhas para gravar, é tentador anotá-las em um arquivo de texto. Todo mundo conhece alguém com esse hábito. Porém, isso é um presente para os invasores, no âmbito corporativo.

Se as senhas devem ser gravadas em um arquivo – como credenciais de banco de dados para uma aplicação – configure as permissões de arquivo para restringir quem pode visualizar o conteúdo do arquivo.

9. Deixar contas em desuso ainda ativas

As vezes ao instalamos um software de avaliação e, depois de testar, o removemos. Porém, as contas que foram adicionadas como parte da instalação ainda ficam esquecidas no sistema. Evite isso. Pessoas mal intencionadas podem explorar contas esquecidas como essas, especialmente se elas guardarem suas senhas padrão.

Para as contas que precisam permanecer no sistema, mas não serão utilizadas daqui para frente, desative-as.

10. Marcar bobeira com atualizações

A regra de ouro: Instalar atualizações de segurança assim que elas estiverem disponíveis (backup dos sistemas afetados em primeiro lugar, é claro). Muitos servidores são comprometidos simplesmente porque determinado patch essencial nunca foi instalado.

“É melhor prevenir do que remediar”. Manter uma rotina de atualizações em relação a isto, é muito melhor que perder dias para solucionar problemas derivados de ataques que podiam muito bem ser evitados com a simples atualização de um patch.

Sabemos que atualizações podem depender da permissão de seus superiores. Se um de seus gestores impede que um sistema seja atualizado, explique-o os riscos que estão em jogo.

Não poupe esforços quando o assunto é Segurança da Informação.

A Segurança da Informação ajuda a manter pessoas indesejáveis distantes do seu negócio. Pode haver boas razões para não executar o antivírus ou firewall em uma determinada estação de trabalho ou servidor, por exemplo, mas essas situações são raras.

Considere que vários tipos de malware DDoS estão atualmente fazendo as rondas, infectando servidores Web Linux porque empresas não se atentam para a proteção de seus dados. Rotinas de segurança devem ser implantadas para manter todos os usuários – gerentes, funcionários, administradores de sistemas, e outros indivíduos com privilégios especiais – a salvo de ataque.

Mantenha o sistema das máquinas o mais limpo possível. Remova os aplicativos que você não está usando para que você não tenha contas esquecidas ou ferramentas na máquina em desuso.

Algumas ferramentas de segurança pode ajudá-lo a ver o que está acontecendo na rede. Use Nmap para verificar se há portas abertas que podem ter sido deixadas durante uma sessão de solução de problemas. Verifique quais máquinas estão desatualizadas, e resolva isto.

As ferramentas estão lá para lhe dizer o que está errado e dar-lhe a oportunidade de correção antes que um invasor se aproveite disso. Mas toda a tecnologia de segurança no mundo não é o bastante se os administradores de sistemas não seguirem as regras básicas, e repassá-las para todos outros usuários de uma empresa.

Artigo original (em inglês): link

Blog SegInfo – Segurança da Informação – Tecnologia – Notícias, Artigos e Novidades
http://feedproxy.google.com/~r/seginfo/~3/rJzsPB-NDZw/

Anúncios

Microsoft oferece ferramenta que identifica sistemas inúteis

Microsoft oferece ferramenta que identifica sistemas inúteis

http://computerworld.com.br/sites/beta.computerworld.com.br/files/news_articles/redes.jpg
Companhia apresentou uma oferta de PUA (potentially unwanted applications) alinhada a suas ofertas de produtos de segurança

RSS Tema
http://computerworld.com.br/microsoft-oferece-ferramenta-que-identifica-sistemas-inuteis

SegInfocast #24 – Os efeitos de degradação e indisponibilidade em suas redes, sistemas e aplicações

SegInfocast #24 – Os efeitos de degradação e indisponibilidade em suas redes, sistemas e aplicações

Copia-de-seginfo-cast-novoSegInfocast #24 – Faça o download aqui.

Paulo Sant’anna recebe Raphael Machado, da área de Pesquisa, Desenvolvimento e Inovação da Clavis, para uma conversa sobre o serviço de Teste de Desempenho, desenvolvido pela Clavis, e que ajuda empresas e organizações a avaliarem os efeitos de degradação e indisponibilidade em suas redes, sistemas e aplicações em decorrência de cenários de sobrecarga.

Segundo o Raphael, “qualquer organização que dependa de recursos computacionais para executar suas atividades é um potencial interessado em um Teste de Desempenho”. O entrevistado identifica, ainda, “dois tipos de organização que valorizam demais estes testes de desempenho, que são os bancos — na verdade, instituições do sistema financeiro, em geral — e as empresas de varejo — ou seja, as empresas que atuam no comercio eletrônico, atendendo ao grande público”, explicando, ainda, por que estas organizações valorizam tanto estes testes.

Outro aspecto interessante, discutido na entrevista, é a diferença entre os cenários de sobrecarga ditos “legítimos”, causados por usuários de um serviço ou recurso computacional, e os cenários de sobrecarga “maliciosos”, decorrentes de um cenário de ataque. Raphael explica, ainda, os desafios particulares envolvidos na reprodução de cada um dos tipos de cenários de sobrecarga, durante a execução de um Teste de Desempenho. Segundo o entrevistado, “os cenários legítimos de sobrecarga, por serem causados por humanos, possuem padrões complexos e imprevisíveis”, o que representa um enorme desafio na modelagem dos “robôs” que reproduzem estes cenários, inclusive, com demandando uma interação entre a equipe que realiza o Teste de Desempenho e a equipe de desenvolvimento da aplicação testada. Já os cenários “maliciosos” baseiam-se na reprodução de “padrões simples e conhecidos”, mas em uma escala tão elevada que demanda uma enorme infraestrutura, o que traz enormes desafios em termos de monitoramento e gerenciamento dos testes.

Raphael conclui a entrevista falando um pouco sobre o mercado, sobre a relativa falta de oferta de serviços qualificados de testes de segurança, e sobre o caminho trilhado pela Clavis para oferecer estes serviços, com forte ênfase em pesquisa, inclusive contando com o apoio decisivo de órgãos de fomento como a Finep e o CNPq.

SegInfocast #24 – Faça o download aqui.

Blog SegInfo – Segurança da Informação – Tecnologia – Notícias, Artigos e Novidades
http://feedproxy.google.com/~r/seginfo/~3/P2YTCHzkb_Y/

Hackers aumentam ataques a sistemas de saúde, revela pesquisa da KPMG

Hackers aumentam ataques a sistemas de saúde, revela pesquisa da KPMG

http://computerworld.com.br/sites/beta.computerworld.com.br/files/news_articles/healthcare_saude_medicina.jpg
Relatório indica que metade dos executivos de TI na vertical se sente preparado para prevenir ofensivas, que podem colocar em risco dados de pacientes

RSS Tema
http://computerworld.com.br/hackers-aumentam-ataques-sistemas-de-saude-revela-pesquisa-da-kpmg

Hackers aumentam ataques a sistemas de saúde, revela pesquisa da KPMG

Hackers aumentam ataques a sistemas de saúde, revela pesquisa da KPMG

http://computerworld.com.br/sites/beta.computerworld.com.br/files/news_articles/healthcare_saude_medicina.jpg
Relatório indica que metade dos executivos de TI na vertical se sente preparado para prevenir ofensivas, que podem colocar em risco dados de pacientes

RSS Tema
http://computerworld.com.br/hackers-aumentam-ataques-sistemas-de-saude-revela-pesquisa-da-kpmg-0

Hackers russos usaram o Twitter para atacar sistemas dos Estados Unidos

Hackers russos usaram o Twitter para atacar sistemas dos Estados Unidos

Hackers russos estão usando programas de malware escondidos em imagens do Twitter para transmitir comandos e roubar dados de redes de computadores nos Estados Unidos – informaram esta semana pesquisadores em segurança da informação.

Um relatório da empresa de segurança FireEye examinou as técnicas de ocultação usadas por estes grupos de hackers que supostamente seriam patrocinados pelo governo russo. “Através de uma variedade de técnicas, da criação de um algoritmo que gera diariamente nomes de usuários no Twitter até a integração de comandos dentro das fotos, os desenvolvedores criaram uma ferramenta particularmente eficaz”, informou a FireEye em comunicado divulgado na quarta-feira (29).

Especialistas em segurança já haviam relacionado esses hackers baseados na Rússia com esforços para penetrar nas redes da Casa Branca e de outras instituições dos Estados Unidos. A FireEye informou que este grupo, apelidado APT29, provavelmente é financiado pelo governo russo e tem estado em atividade desde pelo menos o final de 2014.

O relatório informou que esta ferramenta de ataque, chamada “Hammertoss”, gera e busca diariamente diferentes nomes de usuário do Twitter e tenta se misturar ao tráfego normal das mensagens. Os hackers inserem códigos maliciosos nas imagens geradas em tuítes, o que lhes permite roubar dados ou acessar os computadores que abrem estas imagens.

Esta técnica “atrapalha a capacidade dos protetores das redes de identificar quais contas do Twitter são utilizadas para atacar”, afirmou o relatório. Também impede “diferenciar o tráfico malicioso da atividade legítima”. “Isso torna a Hammertoss uma poderosa porta de entrada para um dos grupos maliciosos mais fortes que já observamos”.

Plantão – Segurança – INFO

Hackers atacam sistemas e impedem que aviões decolem na Polônia

Hackers atacam sistemas e impedem que aviões decolem na Polônia

http://computerworld.com.br/sites/beta.computerworld.com.br/files/news_articles/aviao_fila.jpg
Companhia aérea LOT Polish Airlines foi obrigada a cancelar 100 voos no domingo (21/06) em Varsóvia

RSS Tema
http://computerworld.com.br/hackers-atacam-sistemas-e-impedem-que-avioes-decolem-na-polonia