Segurança da Informação: a falha do TI em alterar dados do ERP com comandos SQL

As empresas brasileiras, diariamente processam milhões de bytes em informação com os mais variados tipos de dados a serem armazenados nos bancos de dados existentes nas corporações. São utilizados inúmeros aplicativos de informática para gerenciar esse contingente todo de dados que são importantes tanto para o empresário como para o governo.

O mercado está repleto de soluções tecnológicas para suprir a necessidade de se armazenar e gerenciar um conteúdo cada vez mais importante para as atividades empresariais e para tanto, necessita acompanhar a evolução tecnológica garantido a integridade e a confiabilidade de seus sistemas de computadores, transparecendo cuidado e zelo para os clientes e acionistas.

Profissionais de TI são contratados todos os dias para conseguir manter esse ritmo de backup, desenvolvimento de sistemas, análise de vulnerabilidade dos aplicativos e outras funções bem específicas envolvendo banco de dados. Não se imagina mais uma empresa controlando os seus lançamentos contábeis nos históricos “livro caixa” ou algo semelhante. É necessário o uso da informática.

Passamos todo o tempo escutando que devemos criar senhas seguras para evitar um acesso não autorizado nos sistemas e assim, manter as informações confidenciais longe das pessoas que não precisam ter um acesso às informações sigilosas e que possam realizar alguma ação que traga prejuízo para a empresa.

Observamos nas empresas que os softwares de gerenciamento de informação, os conhecidos ERP (Enterprise Resource Planning) que são os sistemas integrados de gestão empresarial, não é qualquer usuário que consegue entrar no software e muito menos tem permissão livre para fazer o que bem entender na plataforma corporativa.

Normalmente, o responsável pelo setor de TI possui uma conta de acesso com permissões mais permissivas que uma conta de um usuário de qualquer outro setor. Entretanto, para efeito da premissa de Segurança da Informação, o responsável de TI deveria ter uma conta de acesso como usuário e sem permissão de alteração, inserção e muito menos conseguir deletar qualquer informação no banco de dados, através do sistema.

Não é função do TI ser usuário do sistema ERP. Na verdade, e esse ponto é muito difícil para que os empresários tenham em mente, é que o TI não faz parte do grupo de pessoas que precisam trabalhar no ambiente do ERP. TI não é usuário de ERP. No máximo é o setor de apoio para a empresa, digamos: Setor de TI é SUPORTE!

Entretanto, cansei de observar grandes gestores da informática recebendo solicitação de departamentos internos na empresa para fazer um “favor” em determinados casos, facilitando a vida dos verdadeiros usuários do ERP. Isso deveria ser crime!

O motivo dessa opinião é que como já disse, o TI não é usuário do sistema, e sim, é apoio. Na segurança da informação, deve existir um mecanismo para identificar as mudanças que ocorrem no banco de dados tais como um log, que fica registrado qual o usuário que alterou uma informação no banco de dados, que dia, que horas, motivo e outras informações importantes para contribuir para uma possível auditoria no futuro.

Contudo, profissionais de TI gostam de demonstrar que tem o “poder” na mão e realizam a façanha de usar as aptidões de SQL (quando o banco de dados é possível ser alterado por sql) e realiza as devidas alterações dos dados conforme solicitação de terceiros. Dessa forma, essa mudança de informação diretamente no banco fere o princípio da inviolabilidade, confidencialidade, integridade e autenticidade.

Uma pergunta que é necessário fazer: qual o sentido de existir um login e uma senha para acesso ao ERP e que cada login tem as suas permissões estabelecidas para configurar o que o usuário pode ou não pode fazer dentro do sistemas corporativo se é mais fácil burlar essas regras pedindo ao setor de TI que faças as alterações cujo usuário comum não pode?

As informações gravadas no banco de dados não são de autoria do pessoal de TI. Eu disse autoria. Não se discute a responsabilidade para atender o princípio da disponibilidade. O que eu tento levantar é que, mesmo tendo um DBA na empresa, ele não altera as informações gravadas pelos usuários. No máximo ele cuida da manutenção do banco de dados, quanto a sua estrutura, índices das tabelas e um possível “roll back” quando ele mesmo erra um comando de manutenção no banco.

Se um DBA que é o especialista em banco de dados não deve alterar os dados inseridos no banco, qual a razão para que os meros mortais em tecnologia o devem fazer?

Nesse caso, eu simplesmente vejo que o sistema ERP não tem mais a segurança devida pois se o setor de TI pode alterar as informações gravadas no banco, como confiar que uma determinada informação foi registrada por um usuário e posteriormente não foi alterada?

Até a próxima!

Anúncios

Como a Esteganografia pode ajudar a evitar a ação do Anonymous em divulgar informações confidenciais

A idade pré-histórica, onde remetemos a figura do “homem das cavernas”, foi um momento crucial e importante que reflete nos dias de hoje. As “invenções” criadas naquela época, utilizando ferramentas rudimentares para a caça e a pesca, nos permitiu avançar e poder hoje, fazendo um paralelo rudimentar das ideias, ter acesso a tecnologia que inventou o celular, aviões e a internet.

Desde esse tempo histórico, já sabemos que os nossos antepassados faziam desenhos nas cavernas para gravar os momentos daquela época, usando os pigmentos rudes disponíveis no meio ambiente que permitiam gravar figuras de mamutes, renas e outros animais existentes e que eram vistos diariamente.

Essas figuras, em uma primeira análise, representam meramente as figuras de animais que eram encontrados no meio ambiente. Mas pode haver um outro significado ou alguma intenção na “mensagem” (figura) não entendível que o “homem das cavernas” gostaria de transmitir a humanidade futura através das figuras.

Nos dias atuais, existem algumas técnicas forense para que um indivíduo possa transmitir diversos documentos digitais importantes usando arquivos de áudio, figuras e outros formatos para “mascarar” a aparência do documento, o qual chamamos de Esteganografia.

A Esteganografia é uma técnica que permite ocultar um texto ou documento sigiloso dentro de outro arquivo, que pode ser uma imagem, música, vídeo ou mesmo em outros textos. O seu objetivo é garantir que a mensagem oculta inserida em outro arquivo digital, consiga chegar ao seu destino sem que ninguém perceba que existe arquivo inserido em uma foto, por exemplo.

Seu computador irá abrir a imagem utilizada no processo e o usuário vai enxergar somente uma foto, nada mais do que isso. Mas na verdade, com a esteganografia, o destinatário vai realizar o processo inverso feito na origem do envio da imagem e assim, subtrair os documentos que estão interligados na imagem, concretizando a ocultação e a transmissão de informação sigilosa de forma tranquila e sem levantar suspeitas.

Desse modo, eu fico analisando qual o motivo que os órgãos públicos não adotam essa medida para transitar na internet, mensagens confidenciais e sigilosas, garantindo que em nenhum servidor no meio da transmissão, vá copiar os dados confidenciais e compartilhar com o grupo Anonymous.

Seria uma forma interessante de manter armazenado no computador das autoridades públicas, somente arquivos de imagens (bandeira do Brasil, do Estado, do Município, da bandeira do Partido Político, enfim… somente figuras) e dentro de cada figura constarão os dados sigilosos, protegidos com senha, obviamente, que só permita desfazer a esteganografia mediante o uso de uma senha.

Assim, mesmo que o computador seja “invadido” por hacker, aqueles que não tiverem conhecimento da técnica de esteganografia, não vão desconfiar das imagens estenografadas, que na verdade, são documentos importantes. Vale ressaltar que isso é uma ideia pois a dificuldade de se colocar em prática é quando ocorrer a necessidade de se pesquisar um determinado documento que se encontra armazenado no computador da autoridade pública. Pesquisar que imagem?

E você, já usou a técnica de esteganografia em algum momento?

Até a próxima!

A Fibra Óptica e a Formiga: uma relação proibida

Antigamente, no meados da década de 90, as conexões de rede nas universidades federais americanas tinham uma taxa de transferência entre os computadores em torno de alguns KB/s (Kilobyte por segundo) e para a época, era uma velocidade fantástica que atendia as necessidades do momento.

Atualmente, com o desenvolvimento da tecnologia e o surgimento da internet de forma comercial, observamos em algumas redes de computadores uma taxa de transferência de dados na casa dos GB/s (Gigabyte por segundo) e até em TB/s (Terabyte por segundo), o que não me surpreende pois a tendência é termos uma rede com grande capacidade de transferência de dados a cada dia que se passa.

O mercado disponibiliza uma enorme gama de equipamentos e ativos de rede para proporcionar uma melhor qualidade no sinal dos dados transmitidos e recebidos, permitindo uma performance considerável e trazendo inúmeros benefícios com um custo aceitável.

Dependendo da tecnologia empregada, pode-se usar os cabos UTP de categoria 6 para distâncias curtas (conforme recomendação técnica para cabeamento estruturado) que não ultrapassem 100 metros entre os ativos de rede pois distâncias acima desse patamar, não existe a garantia da qualidade do sinal. Para locais mais distantes, a opção é utilizar os cabos de fibra óptica, que podem levar o sinal de rede por quilômetros de distância.

Não vou entrar no mérito se a melhor fibra é a do tipo monomodo ou multimodo, apenas retratar que podemos usar a infraestrutura desejável conforme as condições do ambiente e do poder de investimento que a empresa pode realizar, sendo esses fatores os determinantes na escolha da tecnologia utilizada.

Uma situação, em especial, eu tive o prazer (nesse caso o desprazer) de ter contato com um caso muito interessante que quase nenhum profissional de TI imagina que um dia possa acontecer. Normalmente, lançamos a fibra óptica de um ponto a outro, dentro das respectivas canaletas, calhas, conduítes e qualquer outro tipo de meio para suportar a fibra óptica e após as devidas fusões na fibra, o backbone entre ativos de rede vai funcionar perfeitamente.

Entretanto, para minha surpresa, recebi um chamado do pessoal da Guarda Patrimonial Portuária informando que 10 câmeras IP de CFTV tinham parado de funcionar misteriosamente, sem nenhum fator aparente. Analisando o software de monitoramento, a equipe de analistas de suporte já tinha detectado a queda do sinal dessas câmeras e já estavam acionando a equipe de elétrica quando a guarda entrou em contato com o setor de tecnologia.

Entrei no “circuito” para checar o que estava acontecendo e o pessoal da elétrica informou que as câmeras no local estavam ligadas, com o led acesso de cada uma delas que indicava que as câmeras IP estavam sendo energizadas normalmente com a voltagem apropriada. Deduzi então, problema era de dados mesmo.

Equipe de analistas de suporte em campo, passaram a abrir e fechar backbones, trocar fontes de alimentação dos conversores de fibra para cabos UTP, patch cords de fibra e nada das câmeras funcionarem. Resolvi sair do escritório e analisar mais de perto a situação para verificar se não houve uma falha de procedimento na verificação das possíveis causas de interrupção de sinal, conforme previsto no plano de recuperação de desastres.

Parecia tudo normal, switchs ligados, conversores de fibra ligados, UTP respondendo até que me veio na mente, verificar um DIO (distribuidor interno óptico) que fica em uma torre de 15 metros de altura que interliga o switch das câmeras com o switch do primeiro backbone da área. Com a cara e coragem, subi na torre e abri o armário de distribuição e verifiquei que o switch está ligado com as portas funcionando.

Faltava ter a certeza se a fibra que interliga o switch ao backbone da área estava funcionando. Mas como testar encima de uma torre tão alta. Ao pensar em como realizar tal teste, observei que dentro do armário, existiam algumas formigas andando pelo ambiente e nem imaginei que elas poderiam ser as culpadas pela situação. Até o momento em que precisei levantar o distribuidor óptico para ter acesso a tomada de energia para reiniciar o switch.

Parecia um ambiente de guerra. Nesse momento, dezenas de formigas começaram a sair de dentro do DIO e tomei um susto com a situação. Nunca tinha visto formiga aos montes saírem disparadas de dentro de um distribuidor óptico, muito menos daquele jeito, Tive que esperar uns 10 minutos para que a rebelião de formigas saísse de dentro do DIO e resolvi abrir o distribuidor para verificar a situação.

Bingo! Achei o problema de queda de sinal de um perímetro do CFTV. As formigas fizeram um ninho dentro do distribuidor óptico e resolveram se “alimentar” da fibra óptica. Tudo parecia está propício para a criação do ninho: ambiente quente, fechado e dentro do DIO tem espuma que traz conforto para as formigas.

Resultado: 3 pares de fibra rompido e meio dia de trabalho de fusão. Além da conta no final do dia sobre a fusão e deslocamento de equipe de manutenção, tem o tempo sem registro das imagens enquanto o perímetro estava descoberto com a falta de sinal da CFTV.

Contudo, depois disso tudo, uma conclusão: a fibra óptica e a formiga definitivamente é uma relação proibida!

Até a próxima!

Como um administrador de redes pode monitorar o tráfego dentro de um switch gerenciável?

A informação é uma matéria-prima lapidada que se bem empregada, pode gerar um determinado conhecimento. O conhecimento gera uma perspectiva positiva ou negativa, dependendo de quem a possua. É como a eletricidade, ela pode servir para o bem ou para o mal. Ela pode dar a luz ou também pode matar, vai depender de como será utilizada. Se para o bem, servirá para iluminar os locais escuros. Para o mal, será utilizada para eletrocutar e matar alguém com choques intermináveis, como se fosse uma sessão de tortura de guerra.

Dentro de uma ambiente corporativo, existem diversos assuntos que são tratados utilizando a rede de computadores para que as informações sejam enviadas e recebidas pelas pessoas, transformando em conhecimento. Geralmente, a maior parte do conhecimento produzido em um ambiente de trabalho, tem como o objetivo as tarefas inerentes a cada função dentro da corporação, sejam elas meramente operacionais ou de cunho gerencial.

Entretanto, não é de se surpreender que determinadas informações acabam sendo trocadas entre funcionários ou pessoas desconhecidas fora do ambiente da empresa e que não deveriam ser divulgadas por se tratarem de informações sigilosas. É muito importante para as empresas terem um certo controle nas informações geradas fruto do trabalho de seus funcionários principalmente quando se trata de negócios novos ou produtos em lançamento. Basta um descuido e o protótipo é enviado ao concorrente por alguns milhares de dólares e pronto, o estrago está feito.

Quando se desconfia de algum funcionário ou determinado setor, a empresa possuindo dentro de suas políticas de segurança, com o devido conhecimento do funcionário quando ele entra para o cargo concorrido, que os computadores e e-mail podem ser monitorados, é ora do empresário agir e contar com o conhecimento técnico de seu responsável de TI para evitar prejuízos maiores a companhia. Resumindo: monitoramento.

O switch possui um papel fundamental dentro de uma rede de computadores e melhor ainda se ele for do tipo gerenciável. Esse recurso possibilita ao administrador da rede realizar um monitoramento do tráfego gerado em determinadas portas e verificar o que se passa dentro da infraestrutura de dados, que passa dentro do switch.

Com o devido acesso dentro do switch, basta ir nas configurações de porta onde tem a opção de criar “mirror”. Essa opção, você irá “copiar” o tráfego de uma determinada porta que será o alvo de monitoramento e fazer um espelho, que é o mirror, para a porta onde o seu notebook ou computador desktop está conectado no switch. Após criar o mirror, execute em sua máquina um programa de monitoramento de rede (como o wireshark, por exemplo) e capture os pacotes de dados por um determinado tempo, a fim de verificar posteriormente os dados que foram trafegados na porta alvo ou verifique em tempo real, adicionando determinados filtros no programa de monitoramento para saber se as suas suspeitas vão se concretizar.

É importante observar que nada adianta capturar os pacotes de dados se o profissional de TI não sabe analisar os dados capturados. É como procurar uma coisa que não sabe o que é. Nessa hora, é importante o conhecimento técnico e dedicado, que um pacote de dados mal analisado pode fazer toda a diferença no resultado.

Desse modo, não coloque meramente no seu currículo que você tem experiência em roteamento, firewall e segurança da informação, quando na verdade, você nem sabe qual a diferença entre pacotes TCP e UDP.

Até a próxima!

A tecnologia como uma aliada nas manifestações pelas cidades do Brasil

O Brasil, há 20 anos atrás, perdia o seu primeiro presidente do Brasil após o regime militar, pelo processo de impeachment de Fernando Collor. Era uma época em que o povo também se manifestava com a insatisfação do caminho político que o nosso país estava indo. Essa força humana, que se tornou unânime em todo o Brasil, teve o seu desfecho: a queda do presidente.

A diferença da manifestação do povo daquela época para os dias atuais que estamos vivendo é que antes, nascia os chamados “cara-pintada”, grupo de estudantes e jovens que foram na rua após um pedido do então presidente da república, Fernando Collor, que solicitou que todos fossem para rua com um lenço branco para mostrar lealdade ao presidente da nação brasileira.

O que vimos foi uma verdadeira ação contrária, o povo lutando contra a roubalheira, a corrupção e bastou um chamado na televisão para que os brasileiros se manifestassem contra o gestor nacional de nosso país.

Atualmente, as manifestações contam com vários aliados tecnológicos e que permitem uma melhor organização nos protestos e assim, gerar uma comoção nacional de amplitude até então ignorada pelos políticos. Temos as redes sociais, os torpedos de celulares, GPS e outros recursos tecnológicos que proporcionam uma verdadeira manifestação em potencial, articulando grupos de manifestantes e projetando a forma de como tudo vai acontecer nas ruas pelas cidades brasileiras.

Os políticos estão percebendo que o povo não está mais aguentando a forma como o nosso país está resolvendo as pendências sociais. A tecnologia existe e é utilizada para aumentar o efetivo de insatisfeitos que demonstram a sua raiva e insatisfação com os políticos e conseguem se organizar no mundo virtual para ter consequência no mundo real.

Essa é a nossa realidade, dessa geração que nasceu com a internet no berço. A expressão bem conhecida pela população faz jus ao seu sentido: “O povo unido, jamais será vencido!”. Com a tecnologia, essa consequência ultrapassa barreiras e chega ao noticiário dos países desenvolvidos. Estamos estampados nas capas dos principais jornais do mundo. A tecnologia nos ajuda a demonstrar que estamos insatisfeitos com a política brasileira.

A internet é uma grande aliada nesse processo democrático pois viabiliza a nossa manifestação em tempo real para todo o mundo. E já estamos colhendo os frutos dessa organização do povo. As consequências são inevitáveis. O preço das passagens de ônibus voltaram a patamares menores e outras medidas ainda virão a acontecer. Pois essa demonstração de manifestação é mais que o preço da passagem que teve um aumento no seu preço mas a qualidade do serviço prestado continua ruim. Não há uma coerência entre o que se paga e o que se tem de contraparte.

O que se via até então, era pessoas insatisfeitas que se expressavam em pequenos grupos nas redes sociais contra a política brasileira. Mas hoje, a população “acordou” e utilizou a mesma rede social que usavam para reclamar e planejaram algo novo, um protesto nacional com força e vigor.

Contudo, espero que a partir de agora, os políticos percebam a máxima da lei da física que não mente: “Toda ação gera uma reação”. Tem que ser com muita cautela qualquer tipo de ação realizado pelo poder público pois agora, sem medo de errar, basta uma ação errada do governo para o povo voltar as ruas e protestar novamente.

Para frente Brasil!

Até a próxima!

Confirmando a leitura de um e-mail com a ajuda de um “porco”

No mundo todo, milhares de e-mails são enviados pelos diversos servidores de e-mail existentes na internet, com o objetivo de levar a informação desejada do remetente ao destinatário. Infelizmente, muitos desses e-mails são os temíveis SPAM: mensagens indesejadas e que na sua grande maioria possui conteúdo publicitário.

Nem vou falar a quantidade de e-mail fake (falso) que é enviado aos coitados dos destinatários desavisados que acabam caindo em determinados golpes virtuais por falta de informação e atenção.

Em vários softwares de e-mail (os programas clientes) que os usuários utilizam para ler e enviar e-mails tais como o Outllook, Thunderbird, Lotus, etc, existem opções configuráveis para que seja possível o remetente receber uma confirmação de entrega e leitura por parte do programa de e-mail do destinatário.

Cada programa de e-mail cliente tem o seu local de configuração específico para essa finalidade, que no geral, atende a demanda dos usuários. Entretanto, tenho percebido que determinados administradores de servidores nas empresas, estão desabilitando a opção no servidor de e-mail corporativo para que não seja possível enviar um retorno ao remetente sobre a entrega ou leitura do e-mail por parte do destinatário.

Alguns argumentos são levantados por esses profissionais de TI como: evitar a ação dos spammers que enviam um e-mail para um endereço eletrônico na esperança de receber a confirmação de entrega e assim, validar aquele e-mail na maillist de spam. Outro argumento é sobre a privacidade do destinatário que não quer informar ao remetente qual o momento que foi realizado a leitura do e-mail enviado, ficando o remetente na eterna dúvida sobre a entrega e a leitura do e-mail enviado.

Entretanto, argumentos a parte, podemos resolver essa questão com uma método que é muito usado durante o processo de investigação pericial em crimes eletrônicos com o objetivo de saber se determinado e-mail utilizado para enviar material pornográfico ou com conteúdo ofensivo contra o destinatário ainda está em funcionamento. Usando um “porco”.

Isso mesmo, a técnica utilizada é inserir no corpo do e-mail, uma figura de um porco disponibilizada no site www.spypig.com que ele executará o script no momento que o destinatário abrir o e-mail. É muito simples de usar e garante bons resultados ao remetente que receberá uma confirmação de leitura com informações úteis como versão do browser do destinatário, sistema operacional e outras informações relevantes.

O SpyPig é um site que disponibiliza ao remetente a facilidade de ter uma confirmação de leitura do e-mail enviado independente da vontade do destinatário, querendo ou não, até porque nenhuma mensagem é exibida a ele para permitir ou não esse envio. Tudo é executado via scrpit que tem a sua ação iniciada na mera abertura do e-mail.

Utilize esse recurso e perceba a infinidade de benefícios que esse método de confirmação pode lhe proporcionar.

Até a próxima!

De quem é a culpa da lentidão do ERP: da equipe de infra ou sistema?

O uso de um sistema informatizado dentro de uma empresa traz enormes benefícios tanto para o empresário, que tem o seu controle financeiro e administrativo de forma organizada e otimizada, quanto o governo, que acompanha o movimento contábil e fiscal das empresas através da escrituração digital.

Esse processo é resultado da evolução da tecnologia combinado com a necessidade de se ter um maior controle das informações que são repassadas aos órgãos públicos e assim, facilitar a análise desses dados pelo governo.

Antigamente, o uso dos antigos livros caixas (nem sei se ainda tem empresa que usa essa modalidade – exceto as microempresas e as quitandas), aqueles livros que continham todo o histórico de entrada e saída da empresa, era obrigatório e necessário para uma eventual fiscalização por parte do agente público.

Entretanto, era muito moroso a fiscalização e existia uma enorme dificuldade em guardar esse livros em locais seguros e longe de traças e outros tipos de “bichos”. Hoje, com o uso de software que gerenciam as informações da empresa, os conhecidos ERP, fazem todo o trabalho fiscal e contábil, até mesmo na geração de notas fiscais eletrônicas.

Tudo fica registrado eletronicamente e através do ERP, qualquer tipo de consulta o relatório é gerado em poucos minutos e até em segundos, dependendo do volume e da complexidade da informações a serem pesquisadas.

Ocasionalmente, em determinados momentos, essa pesquisa no sistema de informática da empresa ou geração de um arquivo para ser enviado ao órgão público, pode ocasionar um certo atraso devido a uma lentidão no processamento das informações, levando ao usuário do ERP a registrar um atendimento no suporte da empresa para resolver esse atraso.

Inicia-se nesse momento uma discussão entre a equipe de infraestrutura e a equipe de sistemas em que cada um joga a culpa ao outro, sobre a culpa da lentidão no processamento das informações pesquisadas por parte do usuário da empresa. O pessoal de infra acusa que o ERP está lento devido o tamanho do banco de dados, tabelas não indexadas, falta de uma manutenção preventiva e outros motivos plausíveis.

Do outro lado, o pessoal de sistema se defende colocando a culpa na infraestrutura que está deficiente como o processamento do servidor não aguenta mais as necessidades do ERP, falta memória RAM, CPU ultrapassada, cabeamento de rede inadequado e outras desculpas que merecem atenção no caso concreto.

Contudo, o que precisa ser analisado é que tanto a equipe de sistemas como a de infra precisam arranjar uma solução pois o sistema ERP não roda sem a infra e não adianta ter a infra sem o sistema funcionando. Encontrar a solução em conjunto, nesse caso, ganha os profissionais de TI (pela proatividade em resolver) e ganha a empresa (que sabe que possui bons profissionais que resolvem os seus problemas de tecnologia).

Até a próxima!