Segurança não pode degradar serviço

As medidas de Segurança informática têm como objectivo melhorar um serviço.

Qualquer alegada medida de segurança que cause degradação da qualidade de um serviço é perigosa.

A Segurança Informática visa tornar os serviços mais resistentes as falhas causadas, por exemplo devido a ataques de piratas informáticos.

O objectivo da Segurança é melhorar um serviço.

É importante não confundir falta de usabilidade com segurança.

Impor que um utilizador escolha uma palavra-passe com um tamanho mínimo de:

  • 6 caracteres: é uma medida de segurança;
  • entre 6 e 8 caracteres: é apenas dificultar a vida ao utilizador, não traz qualquer valor acrescentado ao nível da segurança.

Não é aceitável que uma media de segurança degrade significativamente a qualidade de um serviço, seja ao nível da sua rapidez, eficácia ou eficiência.

De que serve tornar “seguro” um site de comércio electrónico, se com esta acção ele perder clientes e falir?

Estratégias de segurança e não políticas de segurança

Uma estratégia define um conjunto de acções para se atingir um objectivo concreto e mensurável.

Estratégia

Não permitir que os utilizadores escolham palavras do dicionário como palavra-passe para tornar um serviço robusto a ataques tipo dicionário.

Este ataque é muito simples de fazer. Basta ter um computador e um ficheiro com um dicionário de uma ou várias línguas e colocar um computador a experimentar todas as palavras para tentar aceder a um serviço.

Um computador vulgar experimenta todas as palavras de um dicionário em algumas horas.

Políticas

Obrigar os utilizadores a mudarem de palavra-passe todos os meses: pode parecer uma boa ideia porque se um pirata conseguir roubar uma palavra-passe a um utilizador, quando o utilizador for obrigado a definir uma palavra-passe nova, a que foi roubada deixará de funcionar.

Na realidade o resultado é que os utilizadores acabam por escrever as palavras-passe em post-its e colam-nos no monitor ou gravam-nas todas num ficheiro não cifrado, tornando-as muito acessíveis e fáceis de roubar.


Bloquear acessos ao
email de fora da rede de uma empresa porque pode haver um pirata a querer aceder a informação confidencial para prejudicar a empresa.

Neste caso, quer existam piratas interessados em prejudicar a empresa ou não, com esta medida o serviço de email, que é uma ferramenta de trabalho essencial à empresa, já foi degradado porque deixou de ser possível tirar partido da Internet e aceder ao email a partir de qualquer parte do mundo.

Ou seja, se algum pirata informático queria prejudicar a produtividade desta empresa, já o conseguiu sem ter necessitado de fazer nada.

As medidas segurança servem para melhorar a qualidade de um serviço.

Uma medida de segurança que à partida degrade a qualidade de um serviço pode ser mais danosa do que os potenciais ataques que venham a ocorrer.

A maneira mais fácil de garantir que um serviço não é atacado, é desligá-lo. Mas isto não é Segurança Informática.

Tornar um serviço seguro sem degradá-lo é complexo, trabalhoso e essencial.

Para saber mais…

Advertisements