Revista Do Linux
Warning: Failed opening 'http://ads.conectiva.com.br/banner.html?posicao=33&server=www.RevistaDoLinux.com.br&script=entrevista.php3' for inclusion (include_path='.:/usr/lib/php') in /var/www/revistadolinux.com.br/htmlassinantes/templates/header.php3 on line 24
 


 
EDIÇÃO DO MÊS
 CD do Mês


 Mensagem ao Leitor
 Capa
 Entrevista
 Estudo de Caso 1
 Estudo de Caso 2
 Documentação
 Hardware
 Software
 Programação
 Redes
 Ferramenta
 Desenvolvimento
 Segurança
assinantes
 

Segurança em pauta

Possíveis invasores são uma ameaça que pode tirar o sono de alguns administradores de sistemas. Essa questão também ocupa constantemente os pensamentos do norte-americano Dave Wreski, um dos mais conceituados desenvolvedores de segurança e referência no assunto. Ele fundou, há aproximadamente dois anos, a Guardian Digital, Inc., uma empresa ligada à comunidade Open Source que produz software de gerenciamento de funções de Internet, sendo também co-autor do Linux Security How-to e um dos principais desenvolvedores da distribuição segura Engarde Secure Linux

Revista do Linux: Como um dos principais desenvolvedores de uma distribuição Linux segura, você não acha que todas essas "Secure Linux Distros" que estão acontecendo hoje em dia, além, é claro, dos benefícios que trazem, podem criar entre os administradores, principalmente os novatos, uma falsa sensação de imunidade e que a maioria das responsabilidades é atribuída ao sistema e não ao administrador?

Dave Wreski: Excelente pergunta. Eu penso que o papel das distribuições "seguras" seja o de fornecer aos nossos clientes um ponto de referência que eles possam usar para construir a sua estrutura de Internet. A segurança não vem pronta para usar. A EnGarde Secure Linux, por exemplo, fornece uma base sobre a qual os clientes podem começar com algo que eles sabem ter sido construído utilizando princípios e procedimentos seguros. Este é apenas um dos componentes de toda uma política de segurança. É também importante orientar os seus usuários a não anotar as senhas em papel e não esquecer de trancar a porta da sala dos computadores.

Revista do Linux: Qual a essência da "full-disclosure" (exposição total) para você? O que você acha das políticas da Microsoft relativas aos anúncios de bugs, patches e vulnerabilidades de seus softwares?

Dave Wreski: Penso que a Microsoft tem muito a temer na arena da segurança de computadores. Seus softwares são auditados somente por eles mesmos e, no passado, seus clientes não ligavam para as questões de segurança. Como nunca receberam incentivos para produzir programas com foco em segurança, certamente muitos de seus programas são altamente inseguros e, portanto, eles devem torcer para que seus usuários jamais possam descobrir sobre toda a vulnerabilidade desses programas. Eles sabem como é complicado para um administrador atualizar seus sistemas, assim que a Microsoft emite um aviso, e que pode demorar semanas ou meses para uma grande organização atualizar seus servidores. A Microsoft não quer facilitar a invasão dos sistemas de nenhum de seus clientes. Os administradores que desejam utilizar a invasão ou ter informações mais detalhadas sobre como a invasão funciona representam uma porcentagem de seus clientes, aparentemente tão pequena que a Microsoft pensa que os benefícios não compensam os riscos.

Revista do Linux: O que você recomendaria ao usuário novato que deseja ser um "administrador seguro" de sistemas UNIX?

Dave Wreski: Que ele busque primeiro entender o máximo a respeito de administração padrão de sistemas porque assim, será bem mais fácil entender os aspectos de segurança. É preciso, por exemplo, saber como as permissões UNIX padrão funcionam, antes de entender como elas podem ser usadas para proteger arquivos de alguns usuários e, ao mesmo tempo, permitir o acesso a usuários autorizados.

Revista do Linux: Além do fato de segurança ser muito mais do que apenas uma configuração de System Hardening ou Firewall, as empresas e a maioria dos empregadores fazem realmente distinção entre Administração de Sistemas e Segurança de Sistemas? O que você pensa a respeito?

Dave Wreski: Sim, é verdade que até os administradores de sistemas regulares precisam ter um entendimento das implicações da segurança envolvida com o que eles estão fazendo. De fato, o diretor de segurança deveria supervisionar ou, pelo menos, estar envolvido com cada aspecto do projeto e da implementação.

Revista do Linux: Qual seria, em sua opinião, o primeiro passo que qualquer um deveria pensar em implementar antes de qualquer outra coisa relativa ao processo de segurança de um Sistema Linux?

Dave Wreski: Na verdade, o mais importante, talvez, é decidir o que não deve ser feito. Parece algo instintivo que todos começam imediatamente a proteger seus sistemas sem primeiro pensar no sistema como um todo. Antes de proteger um servidor ou uma rede, é preciso primeiro determinar quais são os riscos. Você não pode proteger seu sistema de ataques antes de determinar quais são as ameaças. Todos os usuários internos são de confiança? Serão sempre assim? Você já identificou todos os pontos de entrada em sua rede? Será mesmo necessário implementar coisas tão sofisticadas como sistemas de identificação biométrica, ou um simples ajuste em seu servidor poderia atingir o nível de segurança que você deseja?

Revista do Linux: Você não gostaria de revelar a sua meta de segurança para o Linux e o próprio kernel?

Dave Wreski: Chegar, enfim, ao ponto onde a segurança é abstraída do usuário de tal forma a não impedir o uso normal do sistema e que as ameaças normais sejam atenuadas por um sistema seguro o suficiente para compensar pelos erros que um administrador ou usuário possa cometer. É o que estamos fazendo agora com o EnGarde Secure Linux. Mediante o uso do Mandatory Access Control (Controle de Acesso Obrigatório), auditoria de códigos, múltiplas camadas de segurança de servidor e consistência fornecidos através de um front-end de administração da Web, os usuários podem criar uma presença segura na Internet sem precisar entender as implicações de um engano cometido.

Revista do Linux: Tivemos recentemente, um anúncio barulhento na Internet sobre os chamados produtos "indestrutíveis" da Oracle para bases de dados. O que você pensa a respeito dessa postura?

Dave Wreski: Eu penso que eles erraram na escolha das palavras utilizadas para descrever o seu software. Agora que se comprovou que de fato ele é "destrutível", a reputação deles pode ter-se comprometido para sempre. Até se descobrir a vulnerabilidade do software, os clientes estavam sendo levados a crer que a Oracle tinha feito tudo o que estava ao seu alcance para proteger o seu software. Há muito mais no termo "indestrutível" do que apenas uma referência direta ao próprio software. Eu acredito que, se a Oracle anunciasse sua "auditoria abrangente" ou que "a Oracle continua a aprimorar a segurança", seus clientes se sentiriam bem melhor. Os consumidores deveriam entender que nenhum software é "indestrutível", não importa o que o fabricante afirme, e que, acima de tudo, é responsabilidade do cliente garantir que seu sistema é seguro.

Revista do Linux: Um dos melhores recursos de segurança da Internet atualmente é a SecurityFocus. Eles tiveram, há algum tempo, um incidente resultante de uma falha de segurança no servidor de banner de um de seus parceiros. O incidente em si não foi culpa deles nem envolveu nenhum de seus servidores, mas os levou a fazer mudanças na página frontal do seu site. Isto prova que segurança é muito mais que simplesmente fazer o hardening ou patching de um sistema. Quais são os seus conselhos e que precauções devemos tomar além da segurança do sistema?

Dave Wreski: Todo mundo na Internet sabe que corre um certo risco. Ninguém está absolutamente seguro na Internet. A construção de um sistema seguro é um processo contínuo que depende de vários componentes, cada um protegido ao máximo de sua capacidade, reunidos para trabalhar em uníssono. Os invasores sempre descobrem o elo mais fraco - o objetivo é tornar o elo mais fraco forte o suficiente para frustrar os esforços dos invasores.


Colaborou: Renato Murilo Langona


A Revista do Linux é editada pela Conectiva S/A
Todos os Direitos Reservados.

Política de Privacidade
Anuncie na Revista do Linux