Reflexões sobre um encontro
Ontem tomei café (frio de oito graus exige café!) com André Mazeron, diretor da empresa Leverage Informática, especializada em segurança da informação.
Ele me explicava que depois de 14 anos trabalhando na Processor, fundou uma empresa voltada para solucionar problemas na área de segurança das corporações, já que nessa área vale mais a pena prevenir do que remediar (apesar de muitos gerentes de TI não serem paranoicos o suficiente para se preocuparem com isso).
Entre os mais variados debates (ponte aérea Porto Alegre-São Paulo, escritórios, funcionários, blá-blá-blá) que permearam nosso papo, ele citou dois produtos com os quais trabalha:
- O Password Reset Server
- E um sofisticado mecanismo de cofre de senhas (esquema especial para evitar que os técnicos levem embora senhas importantes da empresa)
Password Reset Server
Pedi para ele discorrer algo sobre segurança (para me manter informado das coisas, hehe) e ele comentou que é muito mais fácil fazer uma cópia da chave da porta do que arrombá-la. Menos esforço, menos destaque e atenção.
Significa que muita gente mal-intencionada pode se valer da engenharia social para ter acesso às senhas dos usuários de maneira mais fácil do que tentar invadir tecnologicamente a rede corporativa da empresa. E para isso oferece o software citado (que segundo ele é muito barato) e que ameniza a citada engenharia, pois o processo não passa mais pelo Service Desk.
Eu apresentei meu receio em relação a ferramentas desse tipo, exatamente pela questão da engenharia social (se o bandido conhece o CPF do usuário, o nome da filha dele, etc. é mais fácil responder perguntas e obter a senha do sujeito).
Ele redarguiu que existem vários mecanismos para evitar tal situação.
- Perguntas que o administrador pode inventar (nome da sua primeira professora, marca do seu primeiro veículo, etc.) e são muitas mesmo.
- Envio da nova senha por SMS para o celular do usuário.
- Apresentação de 10 imagens e o usuário seleciona apenas três na ordem correta anteriormente escolhida e assim por diante.
E tudo isso sem acessar o Service Desk. O software identifica que não deu certo o logon e existe um botão (opcional) que permite um autosserviço por conta do usuário.
Mas o que me surpreendeu foram duas objeções que gestores do mercado corporativo argumentam para não adotar tal tipo de solução.
1. Deixar como está
Boa parte das empresas (leia-se gestores) prefere deixar “a coisa como está”.
Não se trata de ordem de prioridade (ter outros projetos importantes para concluir), mas de deixar assim mesmo.
Olhando pela ótica de Service Desk, nosso chão, é muito fácil alguém reinicializar sorrateiramente uma senha apenas ligando para o centro de suporte onde, via de regra, temos existe uma meninada trabalhando e que se assusta ao primeiro grito de “autoridade” (ainda que falsa autoridade).
Assim, um produto desse tipo reduziria os perigos associados à engenharia social (leia alguns artigos sobre o tema).
Mas enfoco outra questão: o baixo índice de produtividade que os funcionários do Service Desk apresentam por passarem boa parte do dia reinicializando senhas. Katzo, um investimento num produto economizaria 40% do tempo de um funcionário.
Some tributos trabalhistas, férias, vale-refeição, o escambau e já se pagou o produto!!!!
Eu levantaria um motivo não revelado e que envolve mais questões de comportamento humano.
Há pouco conclui um curso sobre Comportamento Irracional com o Dan Ariely (economista comportamental – ver mais no TED) e após várias exposições de testes realizados com grupos de sere humanos, há uma conclusão que nos deixa estupefatos:
O caminho de mínima resistência é o mais preferido, ainda que o outro exija pequenas mudanças e seja melhor.
Testes foram realizados com doação de órgãos, vende geleias em supermercados, aposentadoria e cirurgias em quadris e o resultado foi sempre o mesmo: complicou, deixa assim mesmo.
Mas isso é papo para outro artigo.
2. Se instalo o produto, vou precisar manter o funcionário mesmo
Rá!
Implementar um produto para dispensar funcionários, de imediato, é algo que nunca vi. Jamais presenciei um Service Desk que não tivesse um backlog de projetos para aperfeiçoar o atendimento.
Nem falo do backlog de chamados, incidentes e requisições. Mas de procedimentos novos, como melhoria dos processos, implantação de métricas, desenho de vídeos para os usuários, uuuu… Dá pra listar 30 coisas sem parar.
Ou seja, o gerente de TI ou Service Desk precisa ter uma visão um pouco além do dia a dia.
OK, você pode me falar que o produto pode estar sendo mal vendido.
E eu lhe direi que isso é coisa que se vende sozinha. Se não utiliza nada nessa área, então tem que por em funcionamento. É como controle remoto de estações, não há o que ponderar sobre o mesmo, pois é algo caindo de maduro.
Aliás, essa é uma grande diferença dos Estados Unidos para o Brasil: eles perseguem a produtividade avidamente. É uma obsessão.
E investem nisso, para que uma pessoa possa fazer o serviço de dez. Ou adotam tecnologia para que o resultado seja o mesmo.
E adotando um software desse tipo, amenizaria a demanda por mais gente que gera tantos e tantos processos secundários (leia meu último artigo Em busca do Graal) onde se perde um tempo danado.
Oié!
Abrazon
EL Cohen
Prezado Bob,
é sempre surpreendente quando um especialista de segurança recomenda uma solução que consegue ao mesmo tempo aumentar a insegurança e reduzir a produtividade. A solução do Reset automático de senha consegue realizar esta façanha. Ela aumenta os custos por conta da necessidade de compra e manutenção da solução ao mesmo tempo que automatiza o desperdÃcio e falta de bom senso. é o que eu o eu chamo de perda perfeita.
A primeira coisa que acontece ao usar este tipo de solução é que fica claro que ela consegue acessar as senhas dos usuários, pois ela consegue enviar por sms uma nova senha do usuário. Apensas este fato já motiva os invasores a atacar a solução e ganhar controle dela. Milhares de casas de senhas que vazaram foi por conta de solução similar.
A tentativa de usar a solução contra a engenharia social é inócua, pois a primeira coisa que um usuário vai fazer em um paÃs estrangeiro é comprar um chip local para não pagar o altÃssimo custo de rooming e desligar o outro chip. Neste caso quem atualiza os números? O que acontece se ele precisa do reset de senha e agora não tem mais o Service Desk para apoiar?
Imagine que um usuário que escolheu em 2004 três figuras e apenas em 2014 ele precisa do reset de senha. Será que ele vai lembrar das três figuras escolhidas? Todos sabem que a resposta é não.
Imagine que o usuário respondeu em 2004 as perguntas criativas do administrador e apenas em 2014 ele precisa do reset de senha. Será que ele vai lembra se usou maiúsculas e minúsculas nas respostas ou como ele separou as palavras da frase? Todos sabem que não.
No meu artigo sobre runbooks eu critico fortemente a automatização da burrice. Um real Service Desk não tem a perda de gastar uma boa parte do dia reinicializando senhas porque ele avalia a causa raiz de tantas solicitações parecidas. O real Service Desk descobre por exemplo se os usuários estão ligando para reiniciar por esquecimento da mesma ou por falha de algum sistema ou por outro motivo. Com base nesta informação a central realiza um projeto de melhoria e elimina a causa raiz destes chamados. Gastar dinheiro para automatizar um problema evitável é apenas e tão somente burrice administrativa.
Se a causa raiz for esquecimento da senha, o uso de tokens é muito mais barato e seguro do que a solução mencionada de reset de senha. se a causa raiz for falha em um dos componentes do sistema então é só consertar o defeito. Solução que também é muito mais produtiva do que comprar um reset de senha.
Não é porque os mercadores de falácias resolveram batizar o ultrapassado help desk em servive desk que as empresas devem sair por aà automatizando a burrice. Parabéns pelo artigo.
Mansur,
Acho que o exemplo de estar em um paÃs vizinho e comprar um chip é um tanto remota, hein? Ao menos para a população média de empresas no Brasil.
Você acha que a maioria das empresas tem um “real” Service Desk, ainda que sua visão de longo alcance indique qual o caminho a seguir? Of course not.
Em relação aos tokens, eu acho uma desgraça. Tem um do Banco do Brasil que dia funciona, dia não. É de trocar o banco por causa dum dispositivo ridÃculo (e isso não faço).
Smack
EL CO
Aliás, ainda em relação ao token:
Por ser um dispositivo fÃsico, é mais fácil burlar a segurança, aproveitando a saÃda do usuário para o almoço (duvido que todos carreguem um treco desses no pescoço 24 horas por dia).
Abs
EL CO
Prezado Bob,
1. Eu uso tokem desde 2002 sem uma única falha até hoje. De novo voce está usando exemplo de empresa de governo. Use exemplo de empresa privada que sabe o que faz e o que compra. Não é necessário falar das ultimas falhas de segurança do banco citado, cujas compras são costumeiramente questionadas.
2. Sobre viajar para paÃs vizinho em um mundo globalizado isto não tem nada de remoto. Conheço empresas de 10 funcionários que exportam para o Mercosul. Novamente. estou falando de empresa de verdade. Em empresas médias muitas pessoas viajam. Aliás nas viagens para outros estados do Brasil as pessoas compram chip local pelo mesmo motivo de rooming extraordinariamente caro aqui dentro. Será que também nestas empresas que citou as pessoas não viajam para outros estados ?
2.1 Nas empresas onde existe um real Service Desk, ele aponta o caminho e resolve o problema. Para que fique bem claro, estou falando de Service Desk e não de Help Desk fajuto.
3. O usuário carrega consigo a chave de casa e a carteira o tempo todo. Porque ele não vai levar o tokem? É só colocar no chaveiro. Qual seria a dificuldade? (Temos quatrocentos tokems desde 2010 com taxa de erro zero, sem perdas e sem reset de senha). Mesmo que seja roubado o tokem ele não vai funcionar. A falha de segurança que mencionou simplesmente não existe no mundo real. O tokem usa um PIN mais os seis números do chaveiro. Ter acesso ao tokem não permite acesso algum. Aliás ele foi construÃdo para funcionar assim. Para falar o que falo você deve ter visto um tokem pé de chinelo e fraudulento. A senha é algo que só você sabe combinado com algo que você tem. Este é um princÃpio básico de segurança.
5. O envio de senha por qualquer meio em especial via sms como mencionou é um brutal erro de segurança e joga no lixo tudo o que foi gasto anteriormente. SMS é plain text e é interceptável. Lamento dizer mas a solução do seu amigo não passa no primeiro passo de uma auditoria de segurança básica. Ah tá! você vai dizer que estas empresas não tem auditoria de segurança porque são pequenas demais. Ser pequeno ou pobre não justifica automatização da burrice.
By the way. Para acessar fisicamente o tokem como mencionou, o invasor precisar entrar na sua casa ou empresa. Para tal ele vai passar por uma portaria e areas de acesso restrito. Não sei de onde tirou que isto é fácil de fazer em uma empresa séria. É muito mais facil roubar as senhas enviadas por sms pelo fragil sistema de reset de senha. Já sei que vai dizer que as empresas que conhece não tem portaria nem área de acesso restrito. Se quer falar de empresas que usam uma caixa velha de tomate como mesa e cadeira e nunca ganham dinheiro que seja explÃcito. Eu estou falando de empresas lucrativas que pagam salários e impostos. Para estas gastar dinheiro com reset automático de senhar é jogar no lixo o trabalho realizado. É uma solução frágil, cara e que autimatiza a burrice.