(A empresas terão de manter inventários das senhas e credenciais de privilégio. É preciso abandonar o modelo velho de chaves baseadas no teclado QWERTY)
Por Rodrigo Jonas Fragola*
Parte considerável dos investimentos no combate à vulnerabilidade dos sistemas informacionais escorre pelo ralo devido à falta de políticas de controle de identidades e credenciais de privilégio que dão acesso a dados, aplicações e serviços em diferentes níveis estratégicos.
O problema vai muito além da alardeada proliferação de senhas criadas pelo usuário final, e que frequentemente permanecem ativas (pelo menos para algumas aplicações) mesmo depois do desligamento profissional do seu respectivo criador.
O descontrole mais grave envolve aquelas permissões que dão status de administrador ou autoridade hierárquica. Este tipo de credencial é gerado, em parte, para suprir necessidades do comando empresarial, afetando um pequeno número de gestores, o que as torna mais fáceis de gerenciar.
Mas a expressiva maioria das permissões de privilégio é representada por chaves de finalidade técnica (frequentemente passageira), criadas para assegurar acesso pontual a partes sensíveis do sistema.
É grande o número de senhas produzidas nas corporações para viabilizar tarefas corriqueiras, como a configuração de um periférico ou a ativação de regras de negócio, e que são usadas por anos a fio, quando deveriam ter sido eliminadas e substituídas imediatamente após a utilização a que se destinavam.
Há ainda uma infinidade de credenciais de privilégio embutidas em aplicações que viabilizam sua interelação com outras entidades da rede ou do ambiente de software.
Tais senhas de aplicação são fixadas no instante da integração do sistema e muitas vezes esquecidas ou até ignoradas pelas equipes responsáveis.
O alto risco de tudo isto se dá pelo fato de que a posse de uma única destas chaves por um agente interno ou externo mal intencionado pode criar as condições para se alterar ou vasculhar toda a extensão do ambiente operacional, inclusive propiciando a captura do acervo de senhas disponíveis independentemente de seu nível.
Um estudo da CiberArk concluiu que entre empresas norte-americanas que dispõem de CIO e profissionais dedicados à segurança, nada menos que 86% se consideram vulneráveis a ataques praticados para a obtenção dessas credenciais de privilégio.
A situação, com certeza, é bem pior no Brasil, onde apenas 50% dos órgãos de governo e das empresas estatais dispõem de um profissional de segurança digital, segundo dados contidos no Mapa Estratégico da Defesa Cibernética publicado pelo Ministério da Defesa.
Entre os fatores mais críticos, descritos em estudos sobre o tema, está justamente a incapacidade das empresas em criar inventários fidedignos de suas senhas e identidade de acesso, o que impede o estabelecimento de qualquer controle sobre seu ciclo de vida ou sobre o nível atual de legitimidade de seus portadores.
Em um documento publicado no site da Lieberman Software com o sugestivo título “Como manter a NSA fora do alcance dos seus sistemas”a multinacional se reporta a seis recomendações de segurança criadas pela própria NSA (Agência Nacional de Segurança dos EUA) para as empresas do governo norte-americano e que bem poderiam ser seguidas pelas corporações brasileiras.
A primeira é a de não permitir o acionamento remoto de qualquer tipo de ação que dependa de credencial de privilégio, medida que cumpre o ideal de restringir a vulnerabilidade apenas ao agente interno sobre o qual o controle deve se ampliar substancialmente.
Esse controle ampliado é expresso em todas as demais recomendações, como a de criar restrições de validade das credenciais, apenas para sistemas específicos, sem que um agente isolado possa navegar ao longo de todas as áreas ou fazer uso indiscriminado dos serviços.
O ponto central, a meu ver, é o que expressa a urgência pela adoção de múltiplas autenticações, tendo em vista os problemas de gestão associados à eficiência crescente dos ataques hackers “de força bruta”.
Isto se faz, por exemplo, través do emprego combinado de senhas com dispositivos “token”, ou pela exigência de resposta a questões de ordem pessoal (seu aniversário de casamento, o nome do filho mais velho) ou a requisição de junção de partes de senhas randômicas, distribuídas entre dois ou mais indivíduos no instante da solicitação do acesso.
Com o atual nível de universalização dos smartphones dotados de recursos como câmera, scanner, microfone, Bluetooth, etc, é bem provável que aplicações de segurança de acesso comecem a explorar tais recursos, por exemplo, combinando a senha de acesso com uma leitura do “selfie” do usuário, ou conferindo sua posição geográfica (você está mesmo na empresa?) através da aplicação GPS no momento exato da requisição.
Em casos extremos (como risco de terrorismo), pode-se estabelecer o cruzamento entre a posição GPS do indivíduo com seu nível de permissão de acesso, levando-se em consideração variáveis dinâmicas de acesso, como data e hora da requisição associada ao perfil do usuário.
Quaisquer que sejam as soluções ou padrões culturais escolhidos, o fato é que o modelo de senha, em voga desde os primórdios da predominância do chamado teclado QWERTY, já se tornou um “mamão com açúcar” e uma garantia de sucesso fácil para os atacantes profissionais. Ao ao mesmo tempo, a sua gestão confusa e ultrapassada tende a transformar a credencial de privilégio em um instrumento de ameaça em mãos do usuário interno malicioso, inclusive o terceirizado ou aquele que pulou para a concorrência.
A questão da gestão e do modelo do emprego de senhas e credenciais de privilégio vai se tornando, portanto, um ponto crucial para a indústria de segurança. E pode ser que, nos próximos anos, as estatísticas dos grandes players da área passem a priorizar o enfoque sistemático do problema, deixando em segundo plano aqueles monótonos relatórios que tratam da infantilidade e inutilidade das senhas “fáceis de memorizar”, como a fatídica “123456”, que são empregadas pelas grandes massas globais de usuários.
*Rodrigo Jonas Fragola é especialista em segurança de TI, Segurança Web e defesa cibernética. É Vice-Presidente de Segurança da Informação e Combate à Pirataria do Sindicato das Indústrias da Informação (SINFOR-DF); Diretor Adjunto de Segurança e Defesa da ASSESPRO-DF e cofundador e CEO da Aker Security Solutions.