O documento discute a segurança dos "endpoints" e como os sistemas operativos estão se tornando mais restritivos para proteger os usuários. Modelos como em smartphones estão ganhando popularidade, limitando o que os usuários podem fazer e sandboxing aplicativos. Isso traz mais segurança, mas também custos em termos de controle e dependência do fabricante.
2. Sobre mim Auditor de sistemas de informação desde 2001 (desde 2004 na SysValue); Utilizador de computadores desde 1987; Hacker* desde 1979. * (no sentido despretensioso “se não custa desmontar, também não deve custar voltar a montar” da coisa…)
4. Objectivo: Lançar o debate Schneier’sQuestions: O que queremos proteger? Quais são os riscos? Como é que a nossa solução os mitiga? Que outros riscos podem surgir com a solução? Que custos e compromissos teremos que fazer?
5. Contexto histórico No início era o PC ... Um computador Pouca mobilidade; Windows, Linux, OSX. Estruturas comuns: Usamos um browser; Instalamos software e drivers que sacamos da Internet; Somos responsáveis por todas as alterações que permitimos que sejam feitas no nosso computador, desde que o instalamos
6. Tendência: Consumerização das TI "The growing practice of introducing new technologies into consumer markets prior to industrial markets will be the most significant trend affecting information technology (IT) during the next 10 years, according to Gartner, Inc. As a result, the majority of new technologies enterprises adopt for their information systems between 2007 and 2012 will have roots in consumer applications." Gartner Group (2005)
8. Consumerização das TI O mercado dita as regras: Mercado de consumo primeiro; Mercado empresarial depois.
9. Resultado: Dores de Cabeça para o CSO USB drives com capacidade para correr sistemas operativos ou levar bases de dados inteiras; Placas 3G que podem ser trazidas de casa num bolso do casaco; Laptops que são constantemente levados para casa e instalado software “duvidoso”; Elevados requisitos de mobilidade; iPhones ou outros smartphones (comprados “por fora”) que têm que falar com o sistema de email corporativo.
10. (Mais) Dores de Cabeça para o CSO Ambientes extremamente heterogéneos de endpoints (macbooks, PC's, Linux, Windows 7, etc.); Não existe controlo real sobre a instalação de software nos endpoints; Outsourcers usam endpointsgeridos por outras empresas(com outras políticas de segurança).
11. O último suspiro… Soluções de antí-virus geridas nos end points; Soluções de DLP intrusivas (agentes); WSUS; Gestão de postos de trabalho centralizada (Active Directory, Altiris, ePolicy Orchestrator) Blacklisting de software Network Access Controls …
12.
13. A realidade dos dias A maioria dos endpoints é móvel; A maioria dos endpoints é utilizada para fins pessoais e de trabalho; Ambientes extremamente heterogéneos de endpoints; Não existe uma “imagem padrão” (ou existem 357…); Não existe controlo real sobre a instalação de software dos PC’s; O anti-vírus gerido está desactualizado/desinstalado; Software “duvidoso” instalado (jogos, etc.).
14. A realidade dos dias As empresas não têm controlo efectivo do endpoint dos seus colaboradores. (alguma vez tiveram?)
15. Fazer segurança é trabalhar para que a forma como as pessoas usam a tecnologia seja segura, e não tentar mudar a forma como as pessoas usam a tecnologia.
22. O Modelo (particularidades) Em Android: todas as aplicações correm numa VM Java; O utilizador é informado das permissões que cada aplicação precisa na altura da instalação; A instalação de aplicações pode ser feita via AndroidMarket ou USB.
23. O Modelo (particularidades) Em iPhone OS: Aplicações correm em userland; Restrições feitas sobretudo via SDK; A instalação de aplicações apenas pode ser feita via AppStore. O fabricante tem de aprovar aplicações (modelo “Soup Nazi”) (Apple bashing FTW!)
24. Vantagens Para o utilizador: Ganha em paz de espírito o que perde em controlo; Permite focar-se mais no uso das aplicações (e menos no funcionamento do sistema operativo). Para as empresas: Tudo o que impeça os utilizadores de “estragar” é excelente! A segurança dos endpoints deixa de ser um problema exclusivo deles (e passa a ser do fabricante que fornece o “pacote completo”).
25. Schneier’sFiveQuestions BruceSchneier, o ChuckNorris do IT Security. O que queremos proteger? Quais são os riscos? Como é que a solução mitiga esses riscos? Que outros riscos causa a solução? Que custos e compromissos a solução impõe?
26. Schneier’sFiveQuestions (1) O que queremos proteger? A integridade do nosso endpoint; Confidencialidade e privacidade de dados aí contidos (pessoais e da empresa) A integridade das aplicações legítimas (das “ilegítimas”, ou “suspeitas”).
27. Schneier’sFiveQuestions (2) Quais são os riscos? Instalação de malware; Rootkits; Clickjacking e ataques de UI redressing; Aplicações ilegítimas roubarem/alterarem/destruírem dados no endpoint.
28. Schneier’sFiveQuestions (3) Como é que a solução mitiga esses riscos? Sandboxing de aplicações; Aplicações com permissões bem conhecidas desde o início (e “enforced” pelo OS); Sistema operativo “Trusted”, Canais de distribuição de software controlados (iphone)
29. Schneier’sFiveQuestions (4) Que outros riscos causa a solução? Eventual falta de visibilidade sobre o funcionamento interno do OS (não permite ao utilizador detectar falhas/incidentes); O fabricante tem controlo total do OS e pode mudar as regras a meio do jogo (via upgrades de software); Homogeneidade de ambientes (conjunto hardware/software) facilita “classbreaks”.
30. Schneier’sFiveQuestions (5) Que custos e compromissos a solução impõe? Perda de controlo sobre o sistema operativo; O produto deixa de ser um produto para ser um serviço (iphone + appstore + itunes + whatever) Lock-in! A alteração indevida do sistema operativo e/ou hardware pode sair cara: DVD Hack da Xbox 360 + JTAG hack Xbox Live ban; Iphone unlock + Jailbreak bricked iphones, voided warranty, security vulnerabilities; Android root security vulnerabilities.
31. E para o resto de nós? A maioria de nós não aceitará ser limitado na nossa utilização da tecnologia; Necessidade profissional; Necessidade pessoal (gostamos de “mexer”); Existem já modelos semelhantes (incompletos) nos PC’s actuais: Browser Web (implementa limites à comunicação entre sites e aplicações Web); Java VM (sandboxing); Flash Há outros modelos a ser desenvolvidos: Google NativeClient
32. E para o resto de nós? Vamos continuar a querer “partir e estragar” e isso é bom (para os produtos e para os utilizadores); No limite, dever-nos-á ser sempre dada a escolha em estar seguros (e limitados) ou inseguros (e livres).
33. Estamos perante “o Santo Graal”? Um endpoint baseado neste modelo é muito mais seguro que um PC, mas não é inviolável.
34. Cuidados a ter O sistema tem de ser auditável: Fornecer visibilidade sobre o funcionamento interno; Deve reagir bem a intrusões de segurança: Mesmo após “rootado”, deve retornar a estado seguro após upgrade; Modelo de segurança completo mas simples e transparente para o utilizador; Continuamos ainda algo vulneráveis a ataques que dependam da ingenuidade do utilizador; Ficamos vulneráveis aos “caprichos” do fabricante. Etc.
35. Pragmatismo Este modelo existe em smartphones, caminha para netbooks, mas está ainda longe de ser a norma em computadores pessoais. Mesmo sendo a norma, não podemos confiar cegamente. O que fazer se não podemos (ou queremos) confiar num dispositivo de um fabricante? Confiamos em dois dispositivos, de fabricantes diferentes!
36. Pragmatismo – Alternativas e Complementos Autenticadores Externos IBM Zone Trusted Information Channel (ZTIC) SMS’s paraautenticartransacçõesBancárias Etc. Ficamproblemaspor resolver (DLP)…
37. Conclusões Segurança é cada vez mais uma comodidade Deve vir com o produto e não ser um acrescento. O utilizador final não tem o controlo absoluto do que comprou Isto é mau? (para nós, talvez, não para a maioria). Cada vez mais um PC é menos de uso geral e mais de uso específico: Ver filmes Web Fazer chamadas, etc.
38. Conclusão As pessoas querem usar aplicações, não o sistema operativo. Devemos aproveitar estas tendências e criar modelos de segurança que se adaptem a estas.