Cinco erros que tornam as redes corporativas mais vulneráveis

Já foi o tempo em que bloquear o acesso às redes sociais no ambiente
de trabalho era aceitável. Mas, em várias organizações, o que antes era
considerado uso inapropriado da infraestrutura da companhia tornou-se
essencial. Hoje, ambientes como o Facebook e o YouTube fazem parte das
estratégias de marketing. Ao mesmo tempo, sistemas de mensagens
instantâneas são amplamente usados na
comunicação eficiente entre funcionários.

A natureza do negócio deve definir a política de acesso a
esses sites.Funcionários do Departamento de Defesa dos
Estados Unidos, por exemplo, não precisam das redes sociais e não devem
usar as máquinas da organização para acessá-las. Já no caso de um funcionário do departamento de marketing, passar 15
minutos por dia em sites de relacionamento e em mídias sociais não é,
nem de longe, suficiente. Assim, cabe ao gestor da área de TI avaliar
qual a real importância desses sites para os funcionários.

Mesmo assim, há determinados tipos de site que não têm qualquer
ligação com as atividades da empresa, nem há a menor justificativa para
serem acessados – caso dos portais de jogos e sites adultos, por
exemplo. Torre relata que com alguma frequência é procurado por clientes
à procura de auxílio para se livrar de malwares inocentemente baixados
durante uma sessão de pôquer.

Infelizmente, o simples bloqueio aos sites nem sempre é efetivo. Um
funcionário engenhoso vai encontrar um jeito de driblar as restrições no
trabalho. Ele vai comprometer a segurança, os dados e até a propriedade
intelectual. Quem dá o alerta é o Senior Vice President e Chief Security Strategist da Blue Coat Systems, Hugh Thompson.

De acordo com Thompson, alguns atalhos encontrados na web para driblar os bloqueios são
extremamente perigosos. “Eles criam canais na rede pelos quais fluem
informações sem passar por qualquer tipo de monitoramento. Assim, até
programas de prevenção de vazamentos de informações acabam tendo pouca
eficiência”.

Confira abaixo cinco técnicas, das elementares às sofisticadas,
usadas por funcionários para romper firewalls e medidas que devem ser
adotadas para reforçar a proteções da rede corporativa.

1 – Digitar IP em vez da URL
Em determinadas
ocasiões, inserir o endereço IP na barra dos navegadores pode iludir o
firewall, caso este se baseie apenas no nome dos domínios para impedir o
acesso. Há vários endereços que providenciam números IP para sites. Um
exemplo de serviços desses está disponível em baremetal.com.,
que informa o IP de qualquer site. Copiar e colar esses códigos na barra
de navegação dos browsers leva o internauta diretamente até esse
conteúdo.

Solução
A maneira antiga de resolver esse
problema seria usar uma relação de IPs e inseri-la em um tipo de
blacklist. Há várias empresas que fornecem esse tipo de lista. Mas os
especialistas recomendam ignorar a questão de IP/URL. Em vez de barrar,
procure examinar o conteúdo de cada site. Isso vai exigir mais tempo
para depurar as informações, mas é eficiente.

Determinadas
páginas podem “importar” seções de outros sites. Se o endereço que
importa essas informações for liberado, todas as requisições feitas ao
conteúdo de outra página serão automaticamente “abençoadas”. O conselho é
examinar o código fonte de cada site acessado.

2 – Carregar versões do cachê
Muitas páginas
podem ser acessadas via cópia armazenada pelo próprio Google ao longo da
indexação do conteúdo. Basta o usuário clicar no link “Em cache”,
localizado no rodapé dos resultados de cada página exibida depois de uma
busca.

O internauta é levado para dentro da página, sem
abandonar o domínio do Google, ou seja, para qualquer bloqueador de
URLs, o site de acesso negado não está sendo acessado. Quando um usuário
navega no conteúdo armazenado de uma página dentro do Google, ele está
em comunicação com o servidor dessa cópia (no caso o Google) e não com a
página bloqueada.

Solução
Os especialistas recomendam a mesma
solução indicada para o caso anterior, que é submeter o conteúdo a uma
análise antes de chegar à máquina do usuário.

3 – Criptografar o conteúdo
Inserir HTTPS no
começo de cada URL leva o usuário até uma versão básica do site
e elimina boa parte dos seus elementos, mas mesmo assim garante acesso
ao endereço “proibido”.

Há o SSH, criptografia de SOCKS e outros canais alternativos que
“mascaram” o tráfego em redes menos sofisticadas. Elas se conectam às
portas 80 ou à 443 – portas padrão para o protocolo HTTP. Então
funcionam sem levantar qualquer suspeita, pois o que passa por elas é
considerado tráfego normal de internet. E, quando temos o fator
invisibilidade ao nosso lado, qualquer coisa é possível.

Solução
O conteúdo previamente criptografado por
uma camada SSL e que flui por um canal que começa na máquina do usuário A
e se estende até o ponto B, fora dos limites da rede corporativa, é
muito difícil examinar.

É importante implementar proxies e gateways próprios para interromper
qualquer encapsulamento e analisar cada pacote IP que chega e que sai
da LAN.

As exceções intrínsecas às redes internas ou com proxies HTTPS
transparentes impossibilitam o exame do que trafega na rede. A solução é
submeter todo o tráfego a um intermediário que vai interromper a sessão
iniciada e gerar uma nova ligação.

4 – Usar servidores Proxy e outras ferramentas de privacidade
Usar
servidores Proxy particulares é outra artimanha usada. O funcionário
pode configurar o navegador de forma a encaminhar todo o tráfego por um
canal criptografado até um servidor externo que pode liberar o acesso
irrestrito a sites e páginas.

Há uma extensão para o Firefox chamada GhostFox. Esse recurso instala
um botão de privacidade logo abaixo do campo da URL e permite ao
internauta escolher um servidor Proxy que blinde a navegação.

Especialistas dizem que houve um aumento razoável no uso desses
recursos. Um exemplo disso é o Hamachi, uma ferramenta VPN usada para
estabelecer um canal direto com um servidor, e há o programa Tor, uma
espécie de roteador que envia a conexão com a internet para uma série de
replicadores anônimos. Essas ferramentas foram criadas com o intuito de
proteger a privacidade, mas são largamente usadas por pessoas que
desejam esconder as atividades na internet, do departamento de TI.

É um jogo de gato e rato, afirmam especialistas. Não interessa se
usam o Tor ou o Hamachi; as pessoas estão escondendo o tráfego com
criptografia. A maioria dos recursos que filtram esse tráfego nas
empresas não consegue visualizar o conteúdo circulante.

Solução
Se o servidor Proxy não for
criptografado, o exame do tráfego fica facilitado e torna-se possível
bloquear o acesso a servidores Proxy externos ou, como mencionado nos
casos anteriores, analisar o conteúdo dos pacotes IP.

Com o conteúdo criptografado por ferramentas como o Tor, o bloqueio
fica, na melhor das hipóteses, dificultado. O que pode ser feito é
rastrear o Tor usando um sistema de detecção de invasores. Mas,
lembre-se que essas ferramentas são altamente descentralizadas e operam
de acordo com o modelo P2P, o que transforma a tarefa de geração das
blacklists algo fenomenal, gigantesco.

5- Uso de smartphones

Usar smartphones para ficar ligado nos acontecimentos do Facebook ou
do Twitter é algo absolutamente corriqueiro. Se usar um smartphone não é
comparável a mexer de maneira indevida com o computador da empresa,
ainda assim é um crime se for usado para acessar endereços da web não
permitidos no local de trabalho. Em determinados casos, o Facebook ou o
YouTube são bloqueados por razões de desempenho profissional. Visitar
esses sites durante o expediente não difere muito de usar a estação de
trabalho da companhia; de uma forma ou de outra, há o desperdício de
tempo.

Solução
Neste caso, as opções de segurança são
restritas, salvo o caso de o aparelho pertencer à corporação. Alguns dispositivos móveis podem ser configurados de tal maneira a
negar o acesso às redes de relacionamento através das políticas de
grupos e de servidores Proxy, igual acontece com notebooks e com PCs.
Com dispositivos privados ou desbloqueados, há pouco que se possa fazer,
a não ser negar a presença desses aparelhos no ambiente de trabalho.

No caso de organizações extremamente bem equipadas em termos de
tecnologia, como acontece com entidades governamentais em que circulam
informações ultraconfidenciais, sugere-se o uso de firewalls do tipo RF
ou outra solução que barre conexões estranhas. Mas é uma solução de alto
custo e considerada extrema. Em suma, os smartphones não são
controláveis, restando ao empregador apostar na educação e no bom senso
de funcionários e colaboradores.

Informar aos funcionários que o propósito das diretrizes de segurança
é ajudar a empresa e, consequentemente, a manutenção do emprego de
todos pode ser uma saída.