São Paulo, sábado a segunda-feira, 26 a 28 de setembro de 2015
Página 7
Ciência e Tecnologia
Cybercriminosos estão usando
o tráfego criptografado para
esconder ameaças avançadas
Marcos Oliveira (*)
www.netjen.com.br
[email protected]
Internet todos os dias
Todos os dias, mais da metade dos brasileiros utiliza a internet. Esse foi o resultado de uma pesquisa
divulgada semana passada pela Hello Research, que entrevistou mil pessoas em 70 cidades de todas as
regiões do país
Luiz Gozaga Bertelli (*)
Quase um terço do
tráfego empresarial
da Internet já é
criptografado e
essa proporção está
crescendo rapidamente
bom que seja assim, mas
a primeira grande questão que isso traz é que as
empresas perderam a visibilidade desse tráfego justamente
porque está encriptado. A
criptografia é necessária, pois
ajuda a proteger a privacidade
dos dados, mas agora os criminosos cibernéticos aprenderam a esconder-se e a mascarar
seus ataques no tráfego SSL
(Secure Sockets Layer) -- e
seu sucessor, o TLS (Transport
Layer Security) -- que são protocolos default de criptografia
para as comunicações via web,
nuvem e dispositivos móveis.
Os cybercriminosos fazem isso
porque sabem muito bem que
os dispositivos de segurança
perimetral são incapazes de
identificar a intrusão, tanto é
que cerca de 50% das novas
ameaças chegam por meio do
SSL, estima o Gartner.
Isso levanta várias questões:
As empresas devem desistir de
criptografar seus dados? Se
não, como podem se proteger
desse tipo de ataque? Como
inspecionar o tráfego SSL em
busca de ameaças sem perder
performance e produtividade
da rede? Como inspecionar o
tráfego sem violar a privacidade do usuário e as regras
de compliance/políticas de
governança corporativa?
Bem, antes de mais nada é
importante destacar que a criptografia continua sendo uma
solução eficaz para proteger a
privacidade dos dados. Ainda
que criminosos escondam
ameaças nesse tráfego, não
poderão descriptografá-lo facilmente e violar a sua privacidade. Não por acaso, milhares
de aplicações usam criptografia SSL, incluindo Gmail, Microsoft SharePoint, Microsoft
Exchange, Facebook, LinkedIn, Youtube, Salesforce.com,
Amazon Web Services (AWS),
Google Apps, entre outras. Veja
os benefícios :
Sessões de usuário criptografadas: O protocolo SSL criptografa informações sigilosas
enviadas pela Internet para
que somente o destinatário
possa compreendê-las.
Autenticação facilitada:
Quando um servidor incorpora
um certificado SSL, os usuários
podem estar confiantes de
que os seus dados sigilosos
não cairão em mãos erradas e
só serão usados pelo servidor
seguro apropriado.
Proteção contra phishing:
Frequentemente, os e-mails de
phishing e spearphishing contêm links que levam os usuários
incautos a réplicas malignas,
mas convincentes de websites confiáveis. Entretanto, ao
conectar-se a websites falsos e
ver mensagens de “autoridade
certificadora não confiável”,
a maioria dos usuários sai do
website sem compartilhar informações confidenciais.
Maior confiança do cliente:
Consumidores que levam a
segurança a sério e clientes
comerciais ficam tranquilos
ao fazer negócios pela Internet
com a segurança do protocolo SSL. Isso se evidencia,
por exemplo, na atitude do
Google de atribuir, segundo
o seu mecanismo de busca,
uma melhor classificação aos
websites criptografados com
SSL/HTTPS do que aos não
criptografados.
Embora os benefícios da
criptografia SSL sejam maiores
do que as desvantagens – tipicamente, custo adicional e
necessidades de desempenho
– esses novos riscos agora
são uma realidade e devem
ser tratados. Os hackers e a
Deep Web não podem mesmo
descriptografar o tráfego SSL
na velocidade que compense
para o crime, pois quebrar uma
chave criptográfica leva muito
tempo; mas eles podem e estão escondendo ameaças que
É
ficarão adormecidas em sua
rede até que acordem um dia
e abram portas para a invasão
externa.
80% das empresas não
inspecionam seu tráfego SSL
A saída para endereçar o
problema das ameaças embutidas na encriptação SSL é, sem
sombra de dúvidas, inspecionar o tráfego. O Gartner estima
que 80% das empresas não
inspecionam seu tráfego SSL.
Já uma pesquisa feita no Brasil
com cerca de 50 grandes empresas de diversos segmentos,
encomendada pela Blue Coat,
revelou que 73% não inspecionam seu tráfego encriptado. Se
as empresas não mitigarem os
riscos através da visibilidade
na camada SSL, poderão se
abrir a malwares e ao acesso
indevido de dados.
A maioria dos dispositivos de
segurança de rede é incapaz
de inspecionar o tráfego SSL,
a menos que esse tráfego seja
previamente descriptografado. Sem isso, os malwares
podem facilmente obter acesso
à rede e causar grandes danos.
Não descriptografar o tráfego
também reduz a eficiência
de outros investimentos em
segurança, como sistemas de
detecção e prevenção de intrusão (IDS/IPS) e tecnologias de
prevenção de perda de dados
(DLP).
Esse problema tem continuidade em cenários pós-ataque
ou de invasão, nos quais as
empresas dependerão de
ferramentas de perícia de
rede -- também denominadas
Security Analytics -- para
analisar a atividade da rede
e investigar as causas e os
efeitos de ameaças avançadas.
Entretanto, sem a capacidade
de descriptografar o tráfego
da rede, eles são incapazes de
obter todas as provas periciais
necessárias para avaliar o efeito e até a origem de um ataque
bem sucedido.
Outra questão fundamental
é que as empresas que se decidirem por inspecionar seu
tráfego SSL deverão fazê-lo
sem quebrar regras de compliance. Por exemplo, não se
pode descriptografar dados
pessoais, financeiros e de saúde, de acordo com os requisitos
do HIPAA (Health Insurance
Portability and Accountability
Act), PCI Security Standards
Council e PII Laws (Personally
Identifiable Information). Do
ponto de vista de conformidade não pode haver nenhuma
mudança ou manipulação do
dado inspecionado que quebre
a sua integridade. Exatamente
por isso a ferramenta escolhida
deverá acatar e se ajustar às
políticas de governança interna e externas que regulam os
mercados
Acreditamos que somente
a adoção de uma estratégia
holística de administração de
tráfego criptografado pode
reduzir esses novos riscos.
Estamos falando das soluções
de ETM - Encrypted Traffic
Management. Essa estratégia
inclui dispositivos de visibilidade de SSL que não apenas
monitoram, mas gerenciam a
partir de pontos centralizados -- com excelente relação
custo-benefício -- a inspeção
e a descriptografia de tráfego
SSL, ao mesmo tempo em que
obedecem às exigências de
privacidade e conformidade e
defende as redes contra ameaças avançadas sem perder
performance.
Os cybercriminosos continuarão a esconder malwares e a
buscar novos caminhos para
ter acesso às redes e aos dados
das empresas. O protocolo SSL
continuará a ser usado como
importante componente para
proteger a privacidade. Às empresas resta se prevenir com
a adoção de tecnologias inteligentes, flexíveis e com controle
de políticas antes que percam
mais que dados, mas sua reputação e credibilidade.
(*) É Country Manager
da Blue Coat Brasil.
N
a maioria das vezes (90%), o acesso é feito para
entrar nas redes sociais mais populares (Facebook,
Whatsapp, Instagram, You Tube e Twitter). Segundo a pesquisa, 57% acessam pelo menos uma vez ao dia.
Para isso, utilizam o smartphone, em 97% dos acessos. A
pesquisa mostra também que há uma parcela de excluídos
da tecnologia digital: 27% dos brasileiros. O resultado é
uma demonstração das diferenças de costumes no país. A
internet é muito popular entre os jovens, mas perde fôlego,
principalmente, entre as pessoas com mais de 45 anos.
A verdade é que a rede chegou para revolucionar a
comunicação no século 21. As distâncias encurtaram de
tal modo que a maioria das grandes empresas já utiliza as
videoconferências em reuniões, evitando muitas vezes,
viagens e despesas desnecessárias. Os jovens que não
tiverem habilidades para lidar com as ferramentas tecnológicas poderão encontrar problemas para se desenvolver
no mercado de trabalho.
A inclusão digital também faz parte das preocupações do
CIEE na inserção do jovem no mercado de trabalho. Pelo
portal www.ciee.org.br, os jovens têm acesso gratuito a
grade de 44 cursos de educação à distância que trabalham,
entre outras habilidades, os programas de informática mais
utilizados nas empresas, e cobrados, muitas vezes, nos
processos seletivos, como o pacote Office (que inclui word,
excel, powerpoint), flash, outlook, acess, além de um curso
sobre smartphones ¬– que ajuda os jovens a entender e
aproveitar da melhor forma a tecnologia disponível.
Contribuir para a inclusão digital é o mesmo que reforçar
as estruturas para que o país atinja seu pleno desenvolvimento. Ter jovens capacitados para utilizar a internet e
seus mecanismos faz parte da construção de uma geração
que vai entender o mundo com um olhar mais crítico e,
quem sabe, mais humano às necessidades sociais, políticas
e econômicas.
(*) É presidente do Conselho de Administração do CIEE, presidente do Conselho
Diretor do CIEE Nacional e presidente da Academia Paulista de História.
Número de profissionais no mercado
freelancer cresceu 26%
O profissional brasileiro está
em busca de novas alternativas de trabalho para driblar
a crise econômica do país.
O índice de desemprego no
segundo trimestre chegou a
8,3%, a maior taxa desde 2002.
E o mercado freelancer pode
ser a solução nesse cenário
turbulento.
A Prolancer, maior plataforma de vagas digitais do
Brasil, registrou um aumento
no número de profissionais.
Até setembro de 2014, 20.987
freelancers se cadastraram na
plataforma; este ano a startup
já conta com mais de 26.400 profissionais cadastrados, um
crescimento de aproximadamente 26%.
Flexibilidade, autonomia nos horários e o fim da rotina
de escritório são algumas das vantagens desse modelo
empregatício, ademais de outros benefícios como aumento da produtividade e satisfação. Além disso, o modelo
News
@TI
Otimista
Oti
i t com a chegada do novo Iphone 6S
A Conecta Serviços gerencia soluções para o mercado de seguros
de celular há 15 anos e sabe que a cada dia as pessoas estão mais
preocupadas com seus aparelhos mesmo tendo que fazer um investimento mais alto para essa aquisição a cada novo produto. Os seguros
existentes hoje no mercado possuem diversos planos de cobertura, como:
roubo (ação cometida mediante grave ameaça), furto qualificado (ação
cometida mediante o rompimento de obstáculos) e quebra acidental
(dano que impossibilita o uso). Os valores dos planos podem variar entre
19% a 25% do aparelho. Os fatores determinantes para alteração dos
valores ocorrem conforme a cobertura escolhida e modelo do aparelho
a ser segurado. Mas existem facilidades no mercado que possibilitam o
consumidor efetuar o pagamento em até 10x sem juros.
@
de trabalho proporciona
interação e equilíbrio entre
a vida pessoal e a carreira
profissional.
A procura por profissionais
freelancers em pequenas e
médias empresas também aumentou, principalmente, nas
áreas de Tecnologia, com foco
em produção de Softwares,
Design e Multimídia e Redação
e Tradução. Para a Prolancer,
a tendência é que o home
office seja uma realidade nas
organizações modernas.
“É nítida a busca por novas
alternativas de trabalho e
a Prolancer existe para auxiliar o mercado a encontrar bons
profissionais e garantir oportunidades para todos esses talentos
digitais. O aumento dos cadastros em nossa plataforma reflete
a necessidade do meio empresarial e o potencial do setor como
solução para o momento difícil na economia”, disse Sergio M.
Baiges, CEO da Prolancer.
Twitter lança no Brasil empresa de criação de
conteúdo
@
O Twitter lança a Niche no Brasil, empresa recém-adquirida que
agrega milhares de produtores de conteúdo da web para conectálos a agências de publicidade e marcas. Apresentada no youPIX CON,
convenção no segmento de conteúdo digital realizada no MIS (Museu
da Imagem do Som) em São Paulo, a Niche planeja, executa e mede
campanhas com anunciantes não apenas no Twitter, mas em 17 plataformas no total, incluindo Periscope, Vine, Instagram e Snapchat. O
Brasil é o primeiro mercado fora dos Estados Unidos a ter uma equipe
própria dedicada a Niche. Liderado por Tulio Tavanielli, diretor de
Niche no Brasil, o time tem a Coca-Cola como primeiro cliente.