08.01.10

SeNh@s2010!

Fonte: Roberto Henrique

Por que a ação mais simples de ser tomada para contribuir efetivamente com a segurança da informação é ignorada por grande parte dos usuários (e administradores de rede)?

Alguns dias atrás o assunto era o vazamento das senhas de 30.000 contas dos usuários do Hotmail, Gmail e Yahoo. Esta notícia deixou em alerta os especialistas em segurança que puderam constatar através de uma pesquisa realizada pelo consultor Bogdan Calin que grande parte das contas invadidas, possuía senhas fracas, fáceis de serem descobertas por meio de softwares de força bruta.


O que mais chama a atenção, não é apenas o fato destas empresas conceituadas admitirem a falha, pois são empresas visadas para este tipo de ação, e certamente há inúmeras outras tentativas onde os hackers não obtiveram êxito. O que assusta é a quantidade de usuários que não possuem a menor preocupação em criar e manter uma senha segura para acesso aos seus perfis pessoais, e-mails e demais serviços. De acordo com a pesquisa, das 10.000 contas analisadas, aproximadamente 9.800 eram válidas. Entre as principais características destas senhas estão repetição do nome do usuário na senha, seqüências numéricas óbvias entre seis a oito dígitos e a ausência de combinações de letras maiúsculas e minúsculas, números e caracteres especiais.


Agora, você imagina que isso ocorre apenas com as pessoas no seu uso pessoal e doméstico dos serviços da Internet? Engano!
Constantemente identificamos esse mesmo comportamento no ambiente corporativo, e isso não se restringe apenas a alguns funcionários de departamentos específicos, mas em todos os níveis, desde o operador de máquina no chão da fábrica, até aos altos executivos que possuem informações valiosas para os negócios da empresa, criando uma bolha de insegurança, muitas vezes com impactos não mensurados, caso haja uma violação de segurança.


A falta de uma política de segurança que determine formalmente as regras para criação e manuseio das senhas e de controles que obriguem os usuários a seguirem exatamente estes requisitos são as principais razões para a ocorrência deste tipo de violação que encontramos constantemente e abrem as portas para as mais diversas ameaças, que vão desde um acesso indevido a algum recurso da rede, até a manipulação de informações sensíveis aos negócios da empresa.


Elaborar políticas com os procedimentos para criação e uso das senhas em conjunto com controles que garantam a aplicação destas regras são passos fundamentais que devem ser estabelecidos pelo gestor da segurança da informação e a equipe de TI, mas sem o treinamento devido, a divulgação adequada e o apoio dos usuários, nenhum procedimento ou tecnologia será suficiente para impedir o avanço destas ameaças para dentro das organizações.


Portanto neste ano de 2010 com grandes expectativas de crescimento econômico para diversos setores de nosso país, que cada um colabore com sua empresa, nem que seja num ato simples como este:
diG1T@nd0 uMa $eNh@ segura.

 

Roberto Henrique é consultor da ABCTec, especializado em análise de vulnerabilidades e  no tratamento de incidentes de segurança da informação. Possui as certificações Microsoft MCP/MCDST, F-Secure Certified Sales Professional e Intel Segurança da Informação e Governança em TI.



Home  |  Contato
Parcerias International: All-About-Security | KoSiB eG | Forum Security | Network Computing | NGG e.V. | OGuedes | Steinbeis

© Fórum de Segurança o Brasil 2017