Introdução à Segurança Física

Falar de segurança física, em muitos casos, são a fronteira protetora primária para ativos pessoais no mundo real. Segurança física envolve a proteção de tais ativos como pessoal, hardware, aplicativos, dados e instalações contra incêndio, desastres naturais, furto, roubo e de insider.

O problema com a segurança física é que ele pode ser facilmente ignorado por questões técnicas mais divulgadas. No entanto, as empresas o fazem por sua própria conta e risco, uma vez que os ataques não técnicos podem ser realizados com pouco ou nenhum conhecimento técnico.

Controles simples

Vários controles podem ser usados para proteger e preservar a segurança física de uma organização. Em muitos casos, apenas a presença visível de controles é suficiente para parar um ataque.

Um dos controles mais básicos que podem proteger a interação física com um dispositivo, sistema ou instalação é o uso de senhas. As senhas podem proteger um sistema de ser fisicamente acessado ou de ser usado para acessar uma rede.

Senhas e segurança física

Senhas são talvez uma das melhores linhas primárias de defesa para um ambiente. Embora não comumente considerado como uma medida de proteção para intrusões físicas, eles realmente cumprem este propósito. No entanto, a desvantagem é que, a menos que senhas sejam cuidadosamente implementadas e bem pensadas, tendem a ser um pouco fraca, oferecendo proteção contra apenas o intruso casual. As organizações aprenderam, como no sistema de invasão dos hackers, que as senhas podem ser facilmente contornadas e devem ser gerenciadas para evitar problemas.

Trabalhando com senhas

A experiência demonstrou que os usuários de sistemas tendem a fazer o seguinte:

  • 90% dos entrevistados relataram ter senhas que eram palavras de dicionário ou nomes próprios;
  • 47% usaram seu próprio nome, o nome de um cônjuge, ou o nome de um animal de estimação como sua senha;
  • Apenas 9% realmente se lembravam de usar senhas criptograficamente fortes;

Empresas e organizações de todos os tipos tiveram de impor políticas de senha forte e diretrizes de gerenciamento, a fim de frustrar alguns dos ataques mais comuns e perigosos. As senhas devem ser sempre complexas e bem gerenciadas. Uma boa senha incluem o seguinte:

  • Não permitir informações pessoais nas senhas;
  • Evite senhas com menos de 8 caracteres. O padrão hoje em dia está se movendo em direção a 12 caracteres ou mais;
  • Exigir intervalos regulares de alteração de senha – por exemplo, a cada 90 dias uma senha será alterada;
  • Aplicar senhas complexas que incluem letras maiúsculas e minúsculas, bem como números e caracteres especiais;
  • Limitar tentativas de logon para um número específico antes de uma conta ser bloqueada;

Algo cada vez mais observado no mundo real está na substituição ou complementando as senhas tradicionais com medidas de segurança adicionais, incluindo tokens e cartões inteligentes. A ideia é que a adição desses dispositivos aos sistemas de senha existentes melhorará de forma significativa a segurança dos sistemas e ambientes em geral. O problema é que tal abordagem traz um grande custo em termos de upgrades de infra-estrutura e equipamentos. No entanto, esperamos que esses dispositivos e sistemas se tornem mais comuns.

Screensavers e telas bloqueadas

No passado, uma das maneiras comuns de obter acesso a um sistema era simplesmente olhar ao redor para um sistema desacompanhado. Em muitos casos, o sistema seria deixado conectado e desbloqueado por um usuário que só ia afastar-se “por um momento” sem perceber que um momento era suficiente para um atacante causar mal ou pior.

Para evitar que intrusos tentem usar um sistema autônomo, você pode usar um protetor de tela protegido por senha ou um console bloqueado. O mais antigo desses dois mecanismos é o protetor de tela protegido por senha. Sua popularidade vem do fato de que é fácil de implementar e vai parar muitos um intruso casual. O conceito é simples: quando um usuário deixa um sistema ocioso por muito tempo, o screensaver começa e, uma vez que ele faz, apenas uma senha pode desativá-lo. Na maioria dos casos, alguém andando movendo um mouse ou tocando no teclado será solicitado para uma senha, geralmente fornecendo um impedimento suficiente para parar quaisquer novas tentativas.

Em paralelo, temos os screensavers, que é a tela de bloqueio mais recente e mais preferida. Esta tela, quando disponível em um determinado sistema operacional, bloqueará ativamente a área de trabalho até que uma senha e nome de usuário sejam inseridos no sistema. O benefício deste mecanismo sobre os mecanismos de screensaver é que ele fornece uma maneira muito mais segura de bloquear um computador do que um screensaver simples, que oferece proteção mínima. Em um ambiente Windows, pressionar Ctrl + Alt + Del bloqueará a tela manualmente, enquanto um administrador do sistema pode implantar uma diretiva que irá bloquear o sistema automaticamente após um período definido. No entanto, é importante certificar-se de que os usuários entendam que a tela não absolvem-los automaticamente de qualquer responsabilidade para certificar-se de que eles fazem log out corretamente.

Em alguns ambientes, os cartões inteligentes são emitidos em substituição ao padrão de usuário e senha. O cartão inteligente deve ser inserido em um leitor no sistema antes de fazer login na área de trabalho.

Outro mecanismo para proteger ou defender um sistema é o uso de banners de advertência. Quando em vigor, um banner de aviso fornece uma mensagem de alto nível declarando que um usuário de um sistema será responsabilizado por suas ações, bem como o consentimento para outras coisas, como monitoramento. Além disso, banners de advertência estabelecem o que é e não é aceitável em um sistema e definir o estágio legalmente se qualquer tipo de ação precisa ser tomada contra um usuário, como a rescisão do emprego.

 

Embora diferentes empresas e organizações usem diferentes banners de aviso, a intenção é geralmente a mesma: informar aos usuários que eles estão sendo monitorados.

Como lidar com os dispositivos móveis

Uma questão adicional que deve ser considerada no ambiente de hoje mais do que nunca é o roubo físico de dispositivos e equipamentos. Com a proliferação de dispositivos cada vez mais poderosos e compactos – incluindo dispositivos móveis, laptops, celulares e até mesmo discos rígidos -, fornecer algum tipo de proteção tornou-se essencial. Como muitos dispositivos hoje são facilmente portáteis, o roubo tornou-se muito mais fácil. Foram-se os dias em que um atacante teria de carregar um grande dispositivo ou equipamento fora de um edifício. Agora eles podem rapidamente e facilmente levá-lo de um desktop ou roubá-lo de um usuário fora do edifício.

Criptografia

Os dispositivos móveis são cada vez mais obrigados a ter medidas de criptografia aplicada. O armazenamento interno e os cartões MicroSD são necessários serem criptografados em todos os dispositivos móveis. Muitos tomaram este passo para evitar a divulgação ou perda de dados privados ou embaraçosa se o dispositivo cair em mãos erradas ou for roubado. É também uma exigência legal, em muitos casos, para garantir esta proteção.

Além disso, SO’s móveis modernos, como o Android 6.0 Marshmallow têm ido um passo além, tornando a criptografia obrigatória. Enquanto o Android 5.0 tentava tornar isso obrigatório, o hardware na época não era adequado para fornecer desempenho decente quando a criptografia foi ativada. Agora, com hardware mais poderoso disponível, o recurso deve ser ativado, a menos que não seja possível fazê-lo. Isso significa que, por padrão, o armazenamento desses dispositivos será criptografado.

Sugestões de livros:

Sou bacharel em Sistemas de Informação pela Estácio de Sá (Alagoas), especialista em Gestão Estratégica da Tecnologia da Informação pela Univ. Gama Filho (UGF) e pós-graduando em Gestão da Segurança da Informação pela Univ. do Sul de Santa Catarina (UNISUL). Certificações que possuo: EC-Council CEH, CompTIA (Security+, CySA+ e Pentest+), EXIN (EHF e ISO 27001), MCSO, MCRM, ITIL v3. Tenho interesse por todas as áreas da informática, mas em especial em Gestão e Governança de TI, Segurança da Informação e Ethical Hacking.

One Response to “Introdução à Segurança Física”

  1. Estou acompanhando sua série de artigos sobre segurança, estou enveredando nessa área…e gostando!

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *