Índice Virii Hacking Guide 01

== Consultoria de Segurança da Informação==

 

Por: vH_ (ak1947@bk.ru)
http://hudson.hackernews.com.br


.::Notas do Autor::.

Enfim, resolvi escrever este documento para auxiliar pessoas interessadas em iniciar uma carreira na área de segurança da informação. Lembrando que você não se torna um consultor de segurança apenas por ler um simples documento escrito por alguém e lançado na rede, existe um processo um tanto quanto longo até que você consiga conhecimento a nível de receber o título de Consultor de Segurança da Informação. Este documento é para ajudar o mínimo na integração de profissionais de segurança no mercado, pode não ser um documento perfeito mas já encaminha você para o rumo certo. Acredito que o mercado precisa de mais profissionais de segurança da informação disponíveis e já me sinto um pouco melhor sabendo que talvez eu estou contribuindo para a integração de pessoas interessadas. Tenha uma boa leitura e boa sorte.

vH_
(Autodidata em Segurança da Informação)

.::Introdução::.

Este documento descreve um processo de Consultoria de Segurança da Informação bastante detalhado, por isso, os processos são chatos e, talvez, muitos deles, serão considerados inúteis. Qualquer tipo de informação adquirida por estes processos serão indispensavelmente úteis durante a aplicação d politicas e técnicas de segurança da informação constida na rede ou sistema em questão. Você pode utilizar este documento como quiser, não vou recomendar nada porque se você for um cabeça dura como a maioria dos pseudo-administradores de redes espalhados pelo mundo, não vai adiantar, portanto, o documento está descrevendo os processos, siga-os de acordo com sua preguiça.


.::Reunir Informações::.

Este procedimento pode ser um pouco chato, principalmente se a rede em questão for composta por um número significativo de estações. Você deverá reunir o maior número de informações referentes ao ambiente a ser aplicado regras de segurança. Você deverá reunir informações sobre Hardware, Topologia, Protocolos, Software e outras informações que julgar necessárias referentes a rede. Um exemplo de informação referente à rede é se o operador do servidor, ou administrador, é distraído e tem problemas intestinais... Seria um problema de segurança ir passar um faz e deixar o servidor com super usuário logado. Os mínutos de glória que ele passaria fora poderiam corresponder a dias de dor de cabeça se alguém aproveitasse deste momento, ou não, se o alguém fosse inteligente o bastante de se ocultar, se bem que não é preciso muita técnica pra se esconder de um administrador que esquece o servidor logado ;) .

- Hardware: Você deverá identificar a marca, modelo , fabricante, série, idade, cor, etc., de cada estação de trabalho, hub, roteador, e qualquer dispositivo utilizado na rede. Você deve incluir até mesmo recursos do sistema como memória das estações, capacidade de disco etc.
- Topologia: Recolha informações de localização das estações e onde passa qualquwr segmnto de rede, anote tudo o quer for possível ser alterado (reduzido ou aumentado), recolha tamb;em qualquer informação que julgar relevante.
- Protocolos: Informações sobre os protocolos utilizados na rede também será bastante útil. Organize as informações por máquina pois o algumas poderão receber tratamento especial.
- Software: Os software utilizados nas estações e servidores são, na maioria das vezes, os responsáveis por furos na segurança. Você deverá identificar *todos* os aplicativos e sistemas utilizados em cada estação. No caso dos servidores, identifique o serviço também. Um acompanhamento das notas do fabricante poderá ser necessário durante a utilização do software.


.::Serviço::.

Com as informações em mãos, você já é capaz de apresentar um projeto de segurança da informação decente. Você não deverá reduzir recursos pois fazendo isso, você corre o risco de fazer um serviço ruim onde um outro profissional de segurança poderá ocupar sua vaga, sujando seu nome. Inclua os seguintes itens na sua lista de prioridades do projeto:
- Software Anti-Vírus: Instalação de um anti-vírus respeitado com uma dedicação considerável nas atualizações de vacinas. Lembrando que um anti-vírus não serve para limpar vírus, mas sim para evitar vírus. Não adianta colocar grade depois que o ladrão entrou.
- Firewall de rede: Você deverá barrar os pacotes desnecessários vindos de fora da rede para evitar constrangimentos. Se a rede não é pública, não tem porque deixá-la disponivel para todos.
- Serviços de Segurança de servidores: De acordo com sua(s) especialidade(s) você deverá adicionar um serviço de dedicação ao sistema utilizado no servidor (Macintosh, Solaris, Unix, OS/2, Lunix, Bsd, etc. [sendo que etc não é sistema, pelo menos ate o momento]).
- Teste de penetração: Se possivel, apresente ao dono da rede ou empresa um teste de penetração antes e depois da aplicação das politicas e técnicas de segurança. Isso abate a lenda de que a segurança da informação é um produto invisível.
- Avaliação de Risco: Apresente ao administrador ou responsável uma avaliação dos riscos de furos na segurança existentes na rede antes da aplicação de novas regras e técnicas.
- Política de segurança: Apresente a política de segurança sugerida para a rede e discriminada por estação e seus respectivos usuários. Lembrando que você não deverá impor regras absurdas como indisponibilizar o note pad ou o vi.
- Detecção de invasão de rede: Utilize no projeto um sistema de detecção de invasão de rede, caso você seja um profissional dedicado, você não utilizará muito este dispositivo, o que não pode ocorrer é de um furo ser explorado e não identificado. :/


.::Custo::.

Este ponto varia de acordo com a necessidades de cada sistema ou rede,. Vários pontos influenciam, tais como:
- Arquitetura da rede: Se a rede utiliza um padrão de aplicativos, a manutenção da segurança poderá ser mais barata pois a mesma política e dedicação poderá ser aplicada para todas as estações. Se a rede dispões de vários sistemas operacionais diferentes, você poderá não dominar a segurança de todos, então , será necessário a contratação de profissionais que se encarregarão de tratar de acordo com as necessidades, as estações em qustão. Isto, certamente, aumentará os custos do serviço.
- Confiança em soluções propietárias: Se a rede em questão, depende de soluções incompatíveis com a segurança que você sugere, será necessário um custo maior na migração desta solução para outra plataforma.
- Como as informações sobre a rede estão organizadas: Se não existe nenhum tipo de informação sobre a rede (conforme o descrito no início do documento), o custo será maior pois adiquirir este tipo de informação é um processo bastante trabalhoso e, de acordo com o tamanho da rede, bastante demorado. Levando em conta que é importannte manter um padrão na organização das informaões para conferir com informações detidas pelo administrador (caso ele tenha esse tipo de informação em mãos). Fique esperto com isso, pois pode ser que a empresa queira avaliar seu nível de profissionalismo.
- Nota: todos os fatores descritos acima influenciarão nos custos, e deve-se lembrar de que não existe nenhum padrão industrial para um trabalho particular relacionado à Segurança da Informação.

.::Notas Finais::.

A utilização deste documento é de acordo com sua ética. Não vou ficar implorando para você manter os direitos autorais porque se você tem dignidade, este recado nem precisa ser transmitido. Caso tenha alguma contribuição, dúvida ou queira simplesmente reclamar alguma coisa, utilize o endereço de e-mail descrito no final deste documento. Espero que isto tenha enriquecido pelo menos qualquer porcentagem em seu conhecimento, caso não, fico feliz por meu documento ser lido por um verdadeiro profissional. Estou pensando em desenvolver um documento que trata da Autidoria de Segurança da Informação, isto ainda não é certo, vai depender do retorno que este documento causar. Caso o desenvolvimento seja finalizado, será disponibilizado no mesmo website que você conseguiu este.

vH_ (ak1947@bk.ru)
http://hudson.hackernews.com.br
Sabedoria é saber o que fazer, habilidade é saber como fazer, virtude é fazer!