Protegendo a área física

Ao olhar para a posição geral de segurança de uma organização, você também deve considerar a infraestrutura física em si. Alguém rompendo a segurança e entrando no edifício pode facilmente roubar equipamentos ou dados e possivelmente até mesmo executar uma sabotagem. No mundo físico, o primeiro tipo de controles que alguém que deseja causar dano é provável encontrar aqueles que definem o perímetro de uma organização. Ao realizar uma avaliação de sua organização, preste atenção às estruturas e controles que se estendem dentro e em torno dos ativos ou instalações da sua organização. Cada controle ou estrutura que você observar deve fornecer proteção na forma de retardar ou dissuadir um ataque, ambos com o objetivo final de parar o acesso não autorizado. Os controles também devem complementar um ao outro. Embora seja possível que um atacante ultrapasse com êxito as contramedidas na primeira camada, camadas adicionais que trabalham com e que suportam as defesas do perímetro devem fornecer funções de detecção e dissuasão.

Também é importante notar que durante a construção de novas instalações, o profissional de segurança deve se envolver cedo para aconselhar sobre as medidas que podem ser implementadas durante esta fase. No entanto, é mais realista supor que o profissional de segurança vai chegar em cena muito tempo após a construção das instalações for concluída. Nesses casos, o profissional de segurança terá de realizar um levantamento completo do local com o objetivo de avaliar a proteção atual oferecida. Se você é encarregado de realizar um levantamento do ambiente, não esqueça o fato de que recursos geográficos naturais podem fornecer proteção, bem como o potencial para esconder indivíduos com intenção maliciosa de detecção. Considere itens como limites naturais no local e cercas ou paredes ao redor do local. Os controles comuns da área física colocados no perímetro da instalação podem incluir muitos tipos de barreiras que impedirão fisicamente e psicologicamente os intrusos, inclusive:

  • Cercas
  • Portões
  • Portas e mantraps
  • Bloqueios
  • Paredes, tetos e pisos
  • Janelas

Cercas

Cercas são uma das fronteiras físicas que fornecem a mais visível e imponente dissuasão. Dependendo da construção, colocação e tipo de cerca, os dissuadidos por esta contramedida podem ser apenas os intrusos casuais ou um indivíduo mais determinado. Como as cercas variam na construção, na altura, e mesmo na cor, podem igualmente fornecer um impedimento psicológico. Por exemplo, considere uma cerca de ferro de 2,50 metros com barras grossas pintadas de preto – tal barreira pode representar um impedimento psicológico. Idealmente, uma cerca deve limitar o quão fácil é para um intruso acessar uma instalação, bem como fornecer uma barreira psicológica.

Dependendo da empresa ou organização envolvida, o objetivo de erguer uma cerca pode variar de parar os intrusos casuais para fornecer uma barreira para a entrada. As cercas funcionam bem na prevenção de indivíduos não autorizados de terem acesso a áreas específicas, mas também forçam os indivíduos que têm ou querem que o acesso se mova para pontos específicos de estrangulamento para entrar na instituição. Ao considerar o tipo de cerca a ser usada, você deve determinar o que a organização terá de fazer para satisfazer as metas do plano de segurança. As cercas devem ser de 2,50 m ou mais para desencorajar intrusos determinados.

Algumas cercas são projetadas de modo que a parte superior da cerca é curvada para dentro ou para fora, que é feito dessa forma por uma razão. Se o topo de uma cerca é dobrado para dentro, pretende-se manter as pessoas dentro. Mas se o topo da cerca é curvada para fora, ele está focado em manter intrusos fora.

Portões

Cercas por si só são uma barreira eficaz, mas eles devem existir em conjunto com outras medidas de segurança e estruturas. No caso de cercas, um portão representa a manifestação física do conceito de um ponto de estrangulamento, ou seja, um ponto onde todo o tráfego deve entrar ou sair da instalação. Muito parecido com cercas, todos os portões não são criados iguais, e selecionando o errado não oferecerá segurança adequada. Na verdade, a escolha do portão incorreto pode até mesmo prejudicar o que de outra forma seria uma medida de segurança decente. Considere também o fato de que a melhor cerca disponível pode ter sua utilidade severamente degradada se a combinação de cerca e portão for ruim. O “UL Standard 325” detalha padrões de para portões.

Portas e Mantraps

Exceto para a maioria das portas exteriores, a maioria das portas que um indivíduo vai encontrar diariamente não são projetadas nem colocadas com a segurança em mente. Em muitos casos, um atacante seria capaz de facilmente chutar ou empurrar através de uma porta para chegar ao que está do outro lado, seja uma sala de servidores ou algum outro local importante.

As portas devem ser projetadas e colocadas com segurança em mente. As portas de aço ou de núcleo sólido não são facilmente chutadas ou comprometidas. Como um pentester, sempre avaliar o ambiente físico atual em locais como salas de servidores e outras áreas vitais para garantir que portas fortes e bloqueios estão sendo usados para evitar intrusões de ocorrer.

As portas vêm em muitas formas, incluindo estas:

  • Portas industriais
  • Portas de acesso ao veículo
  • Portas blindadas
  • Portas de cofre

Apenas ter uma porta bem selecionada e fim do problema? Absolutamente não. Você também deve considerar o quadro que a porta está ligada. Uma boa porta conectada a um quadro mal projetado ou construído pode ser o calcanhar de Aquiles de um mecanismo de segurança que de outra forma seria bom. Durante uma revisão de segurança, não se esqueça de examinar não apenas as portas, mas o contexto delas e também a parte usada para anexar a porta ao quadro e a própria armação. Considere o fato de que algo tão simples como anexar incorretamente as dobradiças a uma porta e moldura pode tornar mais fácil para um intruso com uma chave de fenda e quebrar.

Mantraps

Além de portas, mantraps fornecer outra forma valiosa de segurança. Os mantraps substituem as portas normais por um objeto de cabine com uma porta de cada lado e apenas espaço suficiente para manter um ocupante. Quando um indivíduo entra no dispositivo e a porta se fecha, eles são obrigados a digitar um código ou passar na triagem visual através de uma câmera. Somente depois de terem sido aprovados são permitidos entrar na área segura através da outra porta. No caso em que um ocupante é negado entrar, eles são autorizados a sair pela porta que entrou. A intenção do dispositivo não é apenas proporcionar segurança ao meio ambiente, mas também evitar a utilização não autorizada e outras formas de acesso.

Mantraps em alguns ambientes também são conhecidos como portais. Alguns destes dispositivos incluem biometria avançada, como scanners de retina e mão, bem como outros recursos.

Fechaduras

Existem muitos tipos, tamanhos e formas de fechaduras. Eles são um meio eficaz de controle de acesso físico. Elas são de longe o controlo de segurança mais amplamente implementado devido em grande parte à grande variedade de opções disponíveis, bem como o baixo custo.

Os tipos de fechaduras incluem:

  • Mecânico (blindado e pin-and-tumbler)
  • Bloqueios de cifra (inteligentes e programáveis)

As fechaduras mecânicas são a forma mais simples de bloqueio. O desenho da fechaduras mecânicas usa uma série de alas que uma chave correspondente com a finalidade de abrir a fechadura. Embora seja o tipo o mais barato de fechamento mecânico, é também o mais fácil de escolher.

As fechaduras Pin-and-tumbler são consideradas mais avançadas. Estes bloqueios contêm mais peças e são mais difíceis de escolher do que fechaduras padrões. Quando a chave correta é inserida no cilindro de um bloqueio de pin-and-tumbler, os pinos são levantados para a altura certa para que o dispositivo possa abrir ou fechar.

Os bloqueios mais avançados e tecnicamente complexos do que os armados ou pin-and-tumbler são bloqueios de cifra, que têm um teclado programável no qual usa-se uma combinação específica de números para abrir a trava.

 

Fechaduras são dissuasores bons físicos e funcionam muito bem como um mecanismo de atraso, mas um bloqueio pode ser ignorado através de lock picking. Lock picking não é a maneira mais rápida de contornar um bloqueio, mas pode ser usado para evitar a detecção. Criminosos tendem a fazer lock picking porque é uma forma furtiva de ignorar um bloqueio e pode tornar mais difícil para a vítima entender o que aconteceu.

Os componentes básicos usados para lock picking são os seguintes:

  • Chaves de tensão – Este tipo de chave parece uma pequena, angular, chave de fenda de cabeça chata. Ele vem em várias espessuras e tamanhos.
  • Michas – Similar a o que um dentista usa, estas ferramentas são pequenas, angulares e pontudas.

Juntas, essas ferramentas podem ser usadas para lock picking. Um exemplo de uma técnica básica usada para lock picking é o scraping. Com esta técnica, a tensão é mantida na fechadura com a chave de tensão enquanto os pinos são “raspados” rapidamente. Os pinos são então colocados num ligamento mecânico e ficarão presos na posição desbloqueada. Com a prática, isso pode ser feito rapidamente para que todos os pinos e bloqueios sejam desengatados.

 

As ferramentas lock picking estão disponíveis em toda a Internet, incluindo sites como eBay, onde eles podem ser comprados junto com materiais de treinamento sobre como usá-los. Apesar de sua disponibilidade, tenha cuidado ao comprar esses dispositivos, não importa qual seja a razão. Alguns países olham para a posse dessas ferramentas de forma diferente. Na Califórnia (EUA), por exemplo, a posse dessas ferramentas não é um crime, mas cometer um crime com elas seria punido com multas ou prisão.

No entanto, em Nevada (EUA) posse dessas ferramentas por si só é contra a lei, independente de se um crime foi cometido ou não. Em estados como Nevada, o conceito de prima facie entra em jogo; Simplesmente, nesses estados um oficial da lei descobrindo essas ferramentas pode colocar um indivíduo na prisão.

Bump Keys parece como uma chave de porta normal, mas é um pouco diferente. É projetada para caber no miolo e é então ajustado. Quando empregado com a técnica correta, uma bump key pode ser usada para abrir um grande número de fechaduras com pouco esforço. Estima-se que um ladrão com um conjunto de 10 chaves projetadas para os miolos mais comuns pode abrir cerca de 90 por cento das fechaduras no mercado quase como se tivessem a chave real em si.

Cartões Contactless

Cartões sem contato (contactless) não exigem que o cartão seja inserido ou deslizado através de um leitor. Estes dispositivos funcionam detectando a proximidade do cartão ao sensor. Um exemplo desta tecnologia é a identificação por radiofreqüência (RFID), um dispositivo eletrônico extremamente pequeno que contém um microchip e uma antena. Muitos dispositivos RFID são passivos. Dispositivos passivos não têm bateria ou fonte de alimentação porque são alimentados pelo leitor de RFID. O leitor gera um sinal electromagnético que induz uma corrente na etiqueta RFID.

Biometria

A autenticação biométrica é baseada em uma característica comportamental ou fisiológica que é exclusiva de um indivíduo. Os sistemas de autenticação biométrica ganharam participação no mercado e são vistos como um bom substituto para sistemas de autenticação baseados em senha. Diferentes sistemas biométricos têm diferentes níveis de precisão. A precisão de um dispositivo biométrico é medida pelas porcentagens que produz de dois tipos de erros. A taxa de falsa rejeição (False Rejection Rate – FRR) é uma medida da porcentagem de indivíduos que deveriam ter entrado mas não tiveram acesso permitido. A taxa de falsa aceitação (False Acceptance Rate – FAR) é uma medida da porcentagem de indivíduos que ganharam acesso mas não deveriam ter sido permitidos entrar. Os erros individuais correspondentes são também conhecidos como erros de tipo 1 e tipo 2. Trabalhando com FRR e FAR é o crossover de erro (Crossover Error Rate – CER), que dá uma indicação do quão preciso o sistema é. O CER é o ponto onde o FRR e FAR são iguais. Assim, quanto menor o valor atribuído ao CER, mais preciso é o dispositivo.

Os sistemas biométricos comuns incluem o seguinte:

  • Finger Scan Systems – Amplamente utilizado e bastante popular, estes sistemas são instalados em muitos laptops novos;
  • Sistemas de Geometria de Mão – Aceitos pela maioria dos usuários, estes sistemas funcionam medindo a geometria única dos dedos e da mão de um usuário para identificá-los;
  • Palm Scan Systems – Estes são muito parecidos com os sistemas de geometria de mão, exceto que eles medem os vincos e cumes da palma de um usuário para identificação;
  • Sistemas de Padrão da Retina – Estes sistemas, que examinam o padrão de retina do usuário, são muito preciso.
  • Reconhecimento de Íris – Este sistema de reconhecimento de olho também é muito preciso. Ele corresponde aos vasos sanguíneos da pessoa na parte posterior do olho. Este tipo de sistema não se tornou popular principalmente ao seu custo e a intrusão do sistema ao escanear o usuário.
  • Reconhecimento de voz – Este sistema determina quem você é usando a análise de voz. O reconhecimento vocal não se tornou popular porque é fácil gravar uma voz, bem como o fato de que a voz de uma pessoa pode ser afetada por um frio e outros fatores.
  • Dinâmica de Teclado – Este método biométrico analisa a velocidade e o padrão de digitação.

Não importa quais os meios de autenticação que você usa como controle de acesso físico, ele precisa se ajustar à situação na qual ele será aplicado. Por exemplo, se o tempo de processamento de um sistema biométrico for lento, os usuários tendem a apenas manter a porta aberta para os outros ao invés de esperar pelo tempo de processamento adicional. Outro exemplo são os scanners de íris, que podem ser instalados em todas as entradas de funcionários, mas evocam reclamações de funcionários que estão fisicamente desafiados ou em cadeiras de rodas, uma vez que não podem usar facilmente o sistema recém-instalado. Considere quem estará usando o sistema e se ele pode ser apropriado, dada a situação e a base de usuários.

Paredes, tetos e pisos

Naturalmente, em torno de qualquer instalação e salas estão as paredes, tetos e pisos, que você deve sempre considerar quando se faz uma pentest ou avaliação física. As paredes podem ser construídas e projetadas de muitas maneiras diferentes, mas cada situação deve ser considerada cuidadosamente e avaliada por alguém que conhece os vários detalhes que devem ser levados em conta.

Primeiro, olhe para a construção e composição das paredes. Paredes que protegem salas-chave dentro de uma instalação deve ser resistente e fornecer uma barreira eficaz, bem como um ponto forte para segurar as portas.

Um ponto frequentemente negligenciado é se as paredes são construídas como paredes falsas assim chamadas ou se são construídas de verdade. Em algumas instalações, as paredes não podem se estender além do teto, o que pode não parecer um problema. No entanto, em alguns casos, as instalações empregam o que é conhecido como um teto falso , que consiste em uma parede que só vai até um teto rebaixado e não se estende além do teto rebaixado para o telhado do edifício.Em casos como este, é possível para um intruso obter acesso a uma área restrita simplesmente entrando em um porão e passar sobre a parede.

Além disso, qualquer dutos de ar montados no teto deve ser pequeno o suficiente para evitar que um intruso rasteje através deles.

Outra área a considerar é a área sob seus pés, o chão. Em alguns edifícios o piso é elevado, ou seja, há um espaço debaixo dele. Este espaço pode apresentar problemas até e incluindo a passagem de intrusos ou a colocação de dispositivos de escuta ou outros equipamentos.

Finalmente, algo que pode não parecer óbvio é como proteger as instalações contra veículos. Por exemplo, como pode um carro ou caminhão ser impedido de apoiar em uma janela, quebrá-la, e permitir que um intruso entre rapidamente e roube algo? A resposta é baliza. As balizas são barreiras de metal ou de rocha projetadas para frustrar um ataque usando veículos. Quando um veículo atinge um destes dispositivos ele será parado pela baliza e não pode ser usado para bater em um prédio como um aríete (abrir um buraco na parede).

Janelas

Dependendo da colocação e do uso das janelas, qualquer coisa desde janelas pintadas até blindadas podem ser usadas para que a segurança esteja preservada. Também é importante considerar que, em algumas situações, as janelas podem precisar ter a segurança existente aprimorada através do uso de sensores ou alarmes.

Os tipos de janelas incluem o seguinte:

  • Padrão – Este é o nível mais baixo de proteção. É barato, mas facilmente quebrada e destruída.
  • Policarbonato Acrílico – Muito mais resistente do que o vidro padrão, este tipo de plástico oferece proteção superior.
  • Vidro reforçado com arame – Uma janela reforçada com arame adiciona proteção inquebrável e torna mais difícil para um intruso entrar e ganhar acesso.
  • Laminado – Estas janelas são semelhantes ao que são usados em um automóvel. Uma lâmina é acrescentada entre as camadas de vidro para aumentar a resistência do vidro e diminuir a chance de quebrar.
  • Película Solar – Fornece um nível moderado de segurança e diminui a chance de quebrar.
  • Película de segurança – Este tipo de filme transparente é usado para aumentar a resistência do vidro em caso de ruptura ou explosão.

Entradas

Outra coisa que você não pode facilmente pensar é as medidas de proteção presentes nos pontos de entrada de uma instalação. Olhando para esses pontos e implementar algumas defesas nesses locais é muito vantajoso.

Câmeras

Cada entrada deve ter câmeras cobrindo a abordagem, bem como áreas dentro e ao redor da entrada. Estas câmeras devem ser posicionadas de forma a minimizar ou eliminar pontos cegos e capturar o movimento e abordagem de todas as partes que possam estar presentes.

Balizas

Outro mecanismo que pode ser necessário ao redor do ponto de entrada de uma instalação são as balizar. Estes mini postes são estruturas projetadas para impedir o movimento de veículos dentro e fora de uma área. Eles podem ser o tipo popup, que se levantam sob demanda do chão, ou eles podem ser fixados no local.

Outra forma de balizar é um projeto menos visível que executa o mesmo propósito. Estas balizas podem assumir a forma de tijolos ou canteiros de pedra. Outra forma são aqueles que você pode ter visto fora de algumas das lojas que parecem grandes bolas de concreto, mas na realidade são barreiras projetadas para impedir que um veículo entre em uma loja.

Sugestões de livros:

Sou bacharel em Sistemas de Informação pela Estácio de Sá (Alagoas), especialista em Gestão Estratégica da Tecnologia da Informação pela Univ. Gama Filho (UGF) e pós-graduando em Gestão da Segurança da Informação pela Univ. do Sul de Santa Catarina (UNISUL). Certificações que possuo: EC-Council CEH, CompTIA (Security+, CySA+ e Pentest+), EXIN (EHF e ISO 27001), MCSO, MCRM, ITIL v3. Tenho interesse por todas as áreas da informática, mas em especial em Gestão e Governança de TI, Segurança da Informação e Ethical Hacking.

One Response to “Protegendo a área física”

  1. Mais um excelente post. Força e Honra!

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *