Níveis e Comportamentos para Segurança da Comunicação

Em sua Quarta e última edição do Tema Segurança da Comunicação, a Fale Olá concluirá:

Nível C – Com que eficiência o sistema que transmite o dado garante a segurança prevista?

Presente na vida das pessoas a internet hoje é, para muitos, a própria vida em questão.

Difícil não imaginar como vivíamos antes sem ela, o difícil é acreditar que ele resolve de fato nossas vidas, seja por facilidades do dia-a-dia, por oportunidades de conhecer lugares com precisão antes mesmo de ir, encontrar amigos antigos, fazer amizades, encontrar pessoas com mesma afinidade e comportamento que o seu, manter contato constante com amigos, família e pessoas distantes, acessar a notícia mais rápidos que a própria notícia, educação a distância, fórum de discussão, serviços bancários, compras e pesquisa de preço, verificar opiniões sobre diversos produtos ou serviços, filmes, produção independente e vídeos pessoas, programações culturais, declarações e serviços públicos, agendamentos para passaporte, jogos e muito mais.

gato dormindo sobre notebook — É Difícil Imaginar a nossa vida antes da Internet…

Nos tempos de hoje, o pré-requisito para abertura de uma empresa é:

Apresentar o produto na internet, e se possível vender o produto através deste meio. Empresa que utilização a internet como principal meio de atividade, são hoje as mais valiosas e poderosas em qualquer seguimento.

Um estudo feito pela FORBES aponta que as 50 maiores empresas do mundo, estão divididas em 5 grandes Grupos, sendo:

1º Setor Bancário Asiático

2º Energia

3º Telecomunicações

4º Tecnologia em Software: Responsável por movimentar 21,5% da economia do Mundo.

OBS: O maior PIB do Mundo, o Americano, aponta US$ 17.937 Trilhões em 2015, sendo 79,8% em serviços, onde 34,12% desta fatia estão relacionados a Tecnologia. Isso significa que Estados Unidos movimentou US$ 785 Bilhões em 2015, sendo US$ 278 Bilhões diretamente ligados a Internet. Segundo o site suapresquisa.com

5º Montadoras

No entanto a pesquisa vai além, todos grupos tem a Internet com a Primeira ou Segunda estrutura de Gestão que movimenta a fonte principal de geração de capital.

Isso significa que uma empresa do setor Bancário depende 85% da internet para movimentar seus serviços, uma Empresa de energia 30%, Telecomunicações 92%, Tecnologia de Software 73% e Montadoras 42%.

A conclusão é direta, a Rede interligada mudou a forma com que pessoas e empresas trabalham e vivem, e sabendo disso o Governo de Vários Países estão cada vez mais favoráveis a incentivar a movimentação deste seguimento.

Segundo a nossa consultora em economia Débora Alves já existe um campo de estudo econômico voltado para este novo cenário, trata-se da Economia da Informação.

Hoje a Fale Olá depende 98% da Internet para executar serviços vinculadas a seus clientes.

Infelizmente em um universo promissor existe o conteúdo nativo de violação de conteúdo.

Sendo eles os mais diversos, como: Publicação de conteúdo impróprio ou ofensivo, contanto de pessoas mal-intencionadas, furto de certificação pessoais, furto de dados, invasão de privacidade, dificuldade de exclusão de publicações impróprias, dificuldade de detectar e expressar sentimentos, manter sigilo, uso excessivo, plágio e violação de direitos autorais e outros.

criança no computador

Também em relação aos riscos no uso da Internet é o de você achar que não corre riscos, supondo que não há o interesse em utilizar o seu computador (ou quaisquer outros dispositivos passíveis de invasão) ou achar que está camuflado entre os computadores conectados à Internet. Graças a este tipo de pensamento vários atacantes exploram essa vulnerabilidade, pois, ao se sentir seguro, você pode achar que não precisa se prevenir.

O que pode resultar em que o seu equipamento fique indisponível e/ou tendo a confidencialidade e a integridade dos dados nele armazenados prejudicada. Além disto, seu dispositivo pode se tornar um “zumbi virtual” sendo usado para a prática de atividades maliciosas como, por exemplo, hospedar dados fraudulentos, lançar ataques contra outros computadores (e assim esconder a real identidade e localização do hacker/cracker), propagar códigos maliciosos e disseminar spam.

Edward Snowden Edward Joseph Snowden analista de sistemas, ex-administrador de sistemas da CIA e ex-contratado da NSA, afirma que de cada 10 equipamentos eletrônicos no mundo 7 estão sendo monitorados e invadidos por alguma agencia de espionagem ou Malware de intenção furtiva.

Se você tem 1 Desktop, 1 Tablet, 1 Celular, 1 Notebook, 1 SmartTV, tenha certeza, 2 desses dispositivos estão sendo usados neste exato momento para uma ação que você nem está percebendo, ou pior, você não autorizou.

Gadgets

Com a ciência de alguns dos riscos competentes ao uso de computadores, smartphones, tablets, dentre outros e da própria Internet. Reconhecemos que não é possível deixar de usar estes recursos, porém, a proteção não pode ser negligenciada.

Assim como buscamos cuidar da nossa segurança pessoal diariamente (trancar os acessos ao sair de casa, utilizar cercas, cadeados e senhas, atentos para o que acontece ao nosso redor, no universo das conectividades a atenção não deve ser menor. Segundo a cartilha de segurança do CERT.BR (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil. Existem alguns pré-requisitos básicos antes de utilizar algum serviço na web:

Identificação: permitir que uma entidade se identifique, ou seja, diga quem ela é.

Autenticação: verificar se a entidade é realmente quem ela diz ser.

Autorização: determinar as ações que a entidade pode executar.

Integridade: proteger a informação contra alteração não autorizada.

Confidencialidade ou sigilo: proteger uma informação contra acesso não autorizado.

Não repúdio: evitar que uma entidade possa negar que foi ela quem executou uma ação

Disponibilidade: garantir que um recurso esteja disponível sempre que necessário.

O documentário Hackers, produzido pela Discovery Channel mostra que apenas 2 números de um relógio podem Gerar Bilhões de Dólares em dias, sendo para perda de uma multinacional ou ganho para outros.

A cartilha do CERT ainda aponta algumas situações que geralmente são consideradas de uso abusivo:

Compartilhamento de senhas;
Divulgação de informações confidenciais;
Envio de boatos e mensagens contendo spam e códigos maliciosos;
Envio de mensagens com objetivo de difamar, caluniar ou ameaçar alguém;
Cópia e distribuição não autorizada de material protegido por direitos autorais;
Ataques a outros computadores;
Comprometimento de computadores ou redes.

E orienta que utilizar ferramentas antimalware (antivírus, antispyware, antirootkit e antitrojan), embora considere que as definições “do que é o quê” dentre os programas maliciosos depende de cada fabricante e muitos códigos mesclam as características dos demais tipos tornando-as pouco claras.

É recomendável também o uso de um Firewall pessoal, protegendo o computador de acessos não autorizados, gerenciando as portas de entrada e saída de dados.

Porém, se o seu equipamento já estiver infectado com algum agente destes acima, a funcionalidade do seu firewall não é tão eficaz, e sempre existem brechas a serem exploradas como uma backdoor ou falha de criptografia. Não havendo ajustes que podem ser realizados no firewall pessoal.

Djalma Sousa

Djalma Sousa é Professor especialista em segurança digital e Diretor de Tecnologia da Fale Olá Telecom

Com que precisão a transmissão é segura?

Níveis e comportamentos para segurança da comunicação

Em sua quarta edição do tema Segurança da Comunicação, a Fale Olá concluirá:

Nível B – Com que precisão a transmissão é segura?

O uso da criptografia vem se tornando cada vez mais popular ao longo dos tempos. Presente no celular, nos clientes de e-mail e redes sociais, ela se distancia cada vez mais do seu princípio restrito a instituições financeiras, órgãos governamentais e militares para manter o sigilo de informações confidenciais

O nosso contato com ela está intimamente ligado a manter a nossa privacidade, e a segurança de nossos bens, como informações bancárias, cartões de crédito, logins de perfis virtuais e etc…

Origem e definição de Criptografia

Originada a partir da fusão dos termos gregos “Kryptós” (Escondido/oculto) e “gráphein” (Escrever/Pintar com a mão) ela pode ser entendida em algo como “Ocultar Escrita”. Vale ressaltar que a criptografia, no entanto, a criptografia não cuida em esconder a informação em si, mas sim, o seu significado. Ela é qualquer meio usado para codificar uma informação de forma que a interpretação de outrem que não seja(m) o(s) destinatário(s) não seja possível.

Da Vinci Criptex — Criptex atribuído a Da Vinci – CC Wikipédia

Ao longo dos séculos várias formas de codificação foram utilizadas para manter o sigilo de comunicações militares e governamentais aumentando em variedade e complexidade sendo adaptadas pouco a pouco por empresas e pelas pessoas em geral.

No ramo digital, mais especificamente, da computação a criptografia trabalha sob o conceito de chaves criptográficas (algoritmos pré-definidos em conjunto de bits usados para codificar e decodificar informações).

Iniciados utilizando apenas um algoritmo de codificação, os primeiros métodos criptográficos poderiam ser facilmente burlados se algum intruso interceptasse a chave, isso levou a técnicas mais aprimoradas, onde um emissor, com o mesmo algoritmo, enviar informações para diversos receptores, cada um com uma chave diferente.

Maior a chave, maior a segurança

Chave de 64 bits, 128 bits? O que são esses termos afinal?

Basicamente, quanto mais bits, mais segura é a chave. Utilizando um algoritmo com uma chave de oito bits existem 256 chaves possíveis de decodificação. Devido ao sistema binário em que operam os sistemas “0” (desligado) e “1” (ligado), temos então 2 opções de informação. Elevando essas 2 opções a oitava potência chegamos a 256.

Gerando um número maior de combinações, a decifração torna-se cada vez mais difícil. Tentar descobrir a chave por tentativa e erro (força bruta) torna-se cada vez mais inviável.

Claro. Não existe criptografia 100% segura, a cada nova técnica desenvolvida, hackers, crackers, especialistas de segurança e até concorrentes se debruçam sobre falhas e brechas para quebrar as chaves de proteção.

Qual o grau de uso que a transmissão e o conteúdo da comunicação exigem criptografia?

Segundo o Portal especializado PC World, atualmente, são quatro principais objetivos do uso de comunicação cifrada:

Quais são os meios para se garantir que a informação possui o acesso somente para quem ela é destinada?

A Fale Olá cria no Box da Empresa uma arquitetura de 128bits em SDN para aos CODEC’s de ULaw e ALaw em uma seleção de Codec’s Autorizados, tudo dentro de uma Autenticação SIP, com um servidor de transmissão que está sempre hospedado no Cliente.

Desta forma, qualquer saída e entrada de dados ou voz, sempre terá um ponto de partida e chegada seguro dentro do absoluto controle do Cliente.

Essa foi a ColunaTEC desta semana e finalizamos Nível B – Com que precisão a transmissão é segura?

Comportamentos para Segurança da Comunicação.

Em sua terceira edição do Tema Segurança da Comunicação, a Fale Olá concluirá:

Nível A – Com que exatidão a comunicação é segura?

Quando se fala em segurança, devemos ter uma boa noção das características pelas quais será feita a segurança para posteriormente executá-la. Os projetos de engenharia que a Fale Olá desenvolve ao conhecer o cenário corporativa do cliente, se iniciam justamente no termo SEGURANÇA DO PROTOCOLO.

Conhecer de forma fundamental o comportamento dos protocolos é imprescindível para entregar uma tecnologia objetiva e funcional, sem flutuação de dados empíricos ou até mesmo arestas para má excussão das aplicações que irão compor o Sistema Operação da Fale Olá.

Respondendo as perguntas e citando os protocolos:

Quais são os meios para se garantir que a informação possui o acesso somente para quem ela é destinada?

Qual o grau de sigilo que o conteúdo da comunicação exige?

A Fale Olá cria na empresa um cenário onde a voz não é terminada por dados e mesmo assim, aproveitamos todos os recursos de gestão que a telefonia digital dispõem com total segurança.
Veja como:
Assim como os dados a voz utiliza protocolos para ser transmitida, com a diferença dos Codec’s para serem interpretados.

Exemplo: Ligações VOIP x VOIP geralmente são boas em qualidade e segurança, porém quando usamos VOIP para terminar ligações entre as Concessionarias STFC sofremos com voz metalizada, atraso de resposta entre outros.
Isso por que, o VOIP parte geralmente de um roteamento que está configurado em TCP sem as regras específicas dos Codec’s de voz, quando na verdade deveria estar configurado em UDP.

Enquanto o TCP se preocupa com a conexão e a chegada correta dos dados no destino, o UDP por ser mais simples, não tem a mesma preocupação, portanto, ele não verifica o recebimento dos dados pelo destino (também não possui o serviço de reenvio), não ordena as mensagens, ou seja, elas vão sendo agrupadas conforme vão chegando, não controla o fluxo de informações e não verifica a integridade dos dados para o destino. As possibilidades do destino não receber os dados são várias, como por exemplo: perder os dados, duplicar os dados ou agrupar de forma errada.

Essa simplicidade do UDP pode parecer, à primeira vista, um pouco estranha e provavelmente um leigo diria:

“Se existe um protocolo como o TCP, que garante a chegada correta dos dados no destino. Para que usarmos o UDP?”

A resposta é fácil: “Porque se o protocolo é simples, ele também é menor, então devemos ver isto como ganho de velocidade na transmissão e recepção de dados, algo que nos dias atuais se torna cada vez mais importante.”

É claro que em muitas das vezes, o pacote pode não chegar ao destino, mas também devemos avaliar que só valerá a pena enviar pacotes utilizando o UDP quando estes forem pequenos, neste caso menor que 512KB. Ou seja, não será em uma transferência de arquivos, como em um download usual, que será recomendado a utilização do UDP como “meio de transporte”. Uma outra característica importante do UDP e neste ponto, semelhante ao TCP é que ele se baseia em portas para a troca de informações, desta forma, é atribuída uma porta ao destino e uma porta a origem, sendo este o cenário ideal para o VOIP Trafegar.

Já que VOIP transmite abaixo de 380 KB, a empresa deveria usar protocolo UDP, apontado para as portas “5060” e “5080”, porém a segurança da voz sempre será “0%” com esse Protocolo.

Como essa informação descrita chegamos à conclusão que o VOIP além de depender de QoS do link de dados da concessionária, ele necessita de protocolos de baixo nível de segurança.

Para garantir acesso direto ao destino e sigilo do conteúdo, com total clareza de voz e usando os recursos da gestão da telefonia digital, uma força tarefa é criada especificamente para esse fim.

Errado

1º Passo –Jamais terminar voz através de link de dados compartilhados.
2º Passo – Jamais utilize UDP, TCP, TFTP, SNMP, DHCP, DNS como protocolos roteados.
3º Passo – Jamais atribua portas de entrada e saída para terminar a voz.
4º Passo – Jamais utilize uma Rota VOIP confidencial ou restrita, por mais que o preço seja atrativo, esteja certo de que suas conversas estarão abertas em vários locais.
5º Passo – Jamais compre Rota ByPass VOIP.

Certo

1º Passo – Tenha o controle total do Servidor que termina a voz da sua empresa.
2º Passo – Utilize os Codec’s como meio de transmissão, assim a voz sairá digital e terá total segurança.
3º Passo – Faça EDTHtrank com as aplicações Linux.
4º Passo – Utilize as Operadoras como meio de terminação.
5º Passo – Para economizar é preciso investir em equipamento de ponta, gestão e monitoramento constante, treinamentos e principalmente, pessoas com qualificação constante.

Essa foi a ColunaTEC desta semana e finalizamos Nível A, com que exatidão a comunicação é segura?

Achou complicado? Os termos e siglas estão difíceis de entender? Procure a Fale Olá, temos uma equipe pronta para orientar e desenvolver a melhor solução atendendo estes e outros requisitos para sua empresa!

Djalma Sousa é Professor especialista em segurança digital e Diretor de Tecnologia da Fale Olá Telecom

Níveis e Comportamentos para Segurança da Comunicação

A maior rede social de texto aberto do Mundo o Whatsapp, promoveu a atualização de seu sistema, trazendo recursos relevantes de segurança criptografada ponta-a-ponta.

Essa rede social já identificou que a comunicação híbrida de dados realmente veio para ficar e evoluir. A praticidade da interação é um recurso que pessoas de diversos meios sociais estão buscando, sendo para fins profissionais, familiares, relacionamento e outros estão se adaptando a esse universo.

E para garantir essa essência natural do Homem, o Whatsapp assegurou a segurança de seus usuários.

A última ColunaTEC destacou a importância de Nível de segurança ideal para a Comunicação entre pessoas, sendo dados, texto e Voz.

Retomando esse conceito iremos pontuar o tema Nível de Segurança:

Nível A – Com que exatidão comunicação é segura?

Quais são os meios para se garantir que a informação possui o acesso somente para quem ela é destinada? Qual o grau de sigilo que o conteúdo da comunicação exige? Estas perguntas devem ter respostas concisas em todo o seu contexto, ou seja, esta garantia deve constar tanto na segurança física (acesso a equipamentos, monitoramentos, etc) quanto na parte lógica/virtual (nível de acesso por perfil de usuário/senhas de login, entre outros);

Nível B – Com que precisão a transmissão é segura?

Quais as garantias que o conteúdo da comunicação não possui nenhuma violação ou chances de ser corrompido? Em todo o seu ciclo de vida previsto (emissão, transmissão, recepção), existem meios que possam assegurar que o conteúdo se mantém fiel ao seu estado original? Existe possibilidades de que as informações sejam interceptadas e utilizadas de maneira indevida? Esse ponto também deve ser atendido em todos os patamares (físicos e virtuais);

Nível C – Com que eficiência o sistema que transmite o dado garante a segurança prevista?

O que garante que os dados estarão disponíveis para as suas pontas de interesse que tem o direito de acesso a estes conteúdos? Com todos os requisitos de segurança observados acima. Como prevenir que os acessos legítimos não sejam interrompidos ou prejudicados por medidas de segurança?

Nas próximas semanas abordaremos cada nível individualmente. Não perca!