De acordo com [HSW 2011], após o século 16, os castelos entraram em decadên- cia como forma de defesa, principalmente devido à invenção e ao desenvolvimento de pesados canhões e morteiros. A artilharia poderia lançar pesadas bolas de canhões com tamanha força, que nem muros muito fortes resistiam. Outras ferramentas, como o aríete (Figura 2.2), também eram capazes de romper as muralhas e os portões das fortificações. Da mesma sorte, sistemas baseados em perímetro enfrentam hoje novas ameaças de se- gurança para os quais não estão preparados.
Nesse aspecto, não se trata apenas de melhorar os algoritmos de filtragem ou criar novas heurísticas de análise de tráfego. O modelo de segurança baseado em perímetro é incapaz de fornecer segurança adequada diante de novas formas de ataque. Além disso, mesmo ataques clássicos podem ser bem sucedidos quando executados dentro do períme- tro:
• Acesso móvel à Internet: Smartphones e modems 3G/4G estão se tornando itens comuns do cotidiano. Nada impede que um funcionário os conecte à sua estação de trabalho e acesse conteúdo bloqueado pela política de segurança da empresa. • Conectividade Wi-Fi: Caso não exista proteção de rede no nível de enlace (802.1X
2.2. RISCOS DA SEGURANÇA BASEADA EM PERÍMETRO 7
Figura 2.2: O Aríete em Combate [Cellarius 1645].
de forma não autorizada à rede corporativa, provendo a atacantes nas imediações acesso à rede interna. O mesmo ocorre caso seja utilizado um método de autentica- ção ou criptografia inadequados, como WEP (mecanismo baseado no uso de chave privada de pequeno tamanho, o que facilita sua descoberta) ou WPA no modo ‘per- sonal’ (no caso de “vazamento” da chave compartilhada).
• Perímetro em uma rede de grande porte: As redes de grandes companhias ou or- ganizações (um campus universitário, por exemplo), apesar de classificadas como “locais”, são inerentemente hostis - ataques internos são frequentes. Num ambi- ente com centenas ou milhares de computadores e usuários uma defesa baseada em perímetro não faz muito sentido.
• Utilização de VPN para burlar a política de segurança: Aplicativos como o OpenVPN [OpenVPN 2012] permitem ao usuário comum estabelecer uma conexão com um ponto remoto fora do perímetro da rede, podendo assim acessar qualquer conteúdo bloqueado pela política de segurança. Além disso, tais aplicativos podem encriptar o tráfego, mascarando-o como uma conexão HTTPS regular.
• Mascaramento de URL através de registros de DNS alternativos: É comum a restrição de acesso a determinados tipos de conteúdos Web no ambiente corpora- tivo, por exemplo: música, vídeo, jogos, redes sociais, webmail de terceiros, dentre outros. Tendo em vista que geralmente esta restrição se dá com base em URL, basta ao usuário criar entradas DNS alternativas em um servidor próprio ou de terceiros, como o NoIP [NoIP 2012].
8 CAPÍTULO 2. PERÍMETRO X SEGURANÇA ocultando sua presença na rede. Mesmo que haja filtragem de conteúdo e antivírus na borda de rede, um pen-drive ou notebook infectado externamente pode dissemi- nar um malware na rede interna. Nessa situação, o atacante pode ter controle total sobre uma estação e, a partir dela, disparar ataques a sistemas internos ao perímetro.
• Mobilidade da informação: Mesmo que o perímetro fosse perfeito, seu modelo presume que todos os ativos (equipamentos, pessoas, informação) estão em seu interior. Contudo, com a utilização de notebooks, pen-drives e smartphones, infor- mação valiosa entra e sai da organização a todo tempo, burlando tanto o perímetro físico como o lógico.
Dualismo: as “redes boas” e as “redes más”
É fato que administradores de rede tendem a criar uma concepção dualista na avaliação das redes de computadores, definindo-as como “boas” e “más”. De um lado temos a rede interna, LAN, considerada “boa”, segura. Do outro a rede externa, WAN, a rede “má”, perigosa, onde residem todas as ameaças, que devem ser combatidas a todo custo. Nessa concepção, todos os investimentos em mecanismos de segurança (equipamentos, software, contratação de pessoal e treinamento) visam proteger a rede interna dos perigos advindos da rede externa.
É interessante observar que este paradigma está tão arraigado na visão de segurança de profissionais e empresas de TIC, que sistemas operacionais e mesmo dispositivos em- barcados voltados à proteção da informação adotam definições dualistas na configuração de seus sistemas e equipamentos. Ao definirmos, por exemplo, que determinada interface de rede do sistema pertence à WAN, diversas regras de firewall extremamente restritivas são ativadas per default, restringido ao máximo o tráfego permitido naquela interface. Por outro lado, os dados trafegados numa interface associada à LAN geralmente são liberados por padrão, ou passam por critérios de avaliação extremamente relaxados se comparados aos da WAN.
O problema dessa abordagem reside no fato de ignorar por completo uma fonte com enorme potencial de perigo à segurança da informação. Estando a interface LAN de um sistema aberta a qualquer tráfego de forma indiscriminada, qualquer atacante dentro da rede interna tem grandes chances de sucesso no ataque a algum serviço daquele sistema. Outro risco seria o atacante se utilizar de artifícios para ter acesso a alguma estação co- nectada à LAN e, a partir desta estação, disparar o ataque a algum sistema disponibilizado na rede interna.
Além disso, e ainda mais grave, tal abordagem fomenta nos profissionais de TIC, em especial naqueles ligados à segurança da informação, uma falsa sensação de que os sistemas corporativos estão protegidos de ameaças, uma vez que tais sistemas, estando dentro do perímetro, estão imunes ou com superfície de ataque mínima às investidas de hackers, crackers, malware, entre outros, pois (acredita-se que) estes residem (somente) na rede externa.