As principais preocupações sobre a segurança da computação em modelo de cloud, tiveram maior visibilidade na RSA Conference como uma grande preocupação das empresas. Mas o tema da ciberguerra também não menosprezado.
Vários responsáveis da Casa Branca e do FBI estiveram presentes na RSA Conference a a encorajar a participação privada nos esforços do governo para defender as redes de informação e comunicação.
Durante o painel de maior perfil, um antigo director técnico da National Security Agency, a famosa NSA, disse que não confia em serviços de computação em modelo de cloud. Falando em seu nome, Brian Snow disse que a infra-estrutura de cloud pode disponibilizar serviços que os clientes podem aceder de forma segura, mas a natureza partilhada da cloud, levanta dúvidas sobre os canais de ataque através dos quais pode haver infiltrações. “Não se sabe o que poderá estar a formar-se ali mesmo ao lado lado,” disse.
Na palestra principal do evento, Art Coviello, presidente da RSA, braço de segurança da EMC, concordou que os clientes precisam de ter garantias de que a cloud é segura. Coviello disse às quatro mil pessoas presentes que os serviços de cloud vão ser inevitavelmente adoptados devido aos grandes benefícios financeiros que eles oferecem. “Mas as empresas não vão aderir ao modelo a menos que os prestadores de serviço possam demonstrar a sua habilidade para implementar com eficácia as políticas de segurança, para provar a conformidade, para gerir ambientes de múltiplos espaços de alojamento, acrescentou.
O grande problema é a confiança. A própria RSA anunciou no evento uma parceria com a Intel e a VMware para melhorar a confiança, ao suportar a avaliação e medição do serviço dos prestadores de serviço. O esforço deveria permitir que os clientes de serviços de infra-estrutura pesem bem a segurança do serviço e obtenham métricas para disponibilizar aos auditores enviados para determinar se as empresas estão em conformidade com os padrões de segurança estabelecidos pelo governo e pela indústria. “Os prestadores de serviço devem ser capazes de dizer aos fiscais de conformidade e auditores tudo o que precisam de saber – com dados verificáveis,” disse Coviello.
Mas os avisos sobre outras ameaças também ganharam evidência. Na Cloud Security Alliance (CSA) Summit, a CSA anunciou um relatório sobre as suas principais preocupações em relação à segurança da cloud, e elas são graves, incluindo a utilização documentada de serviços de IaaS para lançar botnets.
O consórcio da CSA de utilizadores e fabricantes também evidenciaram vulnerabilidades nos meios disponibilizados aos clientes de cloud para acederem e gerirem os serviços que eles usam. Estas API não são necessariamente seguras e podem oferecer aos atacantes um meio de se infiltrar, redes de cloud e os conteúdos empresariais que lhe são confiados.
A resposta: “Assegurar processos de autenticação forte e controlo de acessos implementados em concertação com uma transmissão cifrada”, disse a CSA. O estudo a da CSA detalha dez ameaças assim como correcções, mas é um aviso a quem aderir aos serviços de cloud, sem pesar bem as desvantagens.
Contudo, o conselheiro máximo da cibersegurança da Casa Branca, Howard Schmidt, durante a sua palestra principal colocou em questão algumas ideias do executivo. O coordenador do estado norte-americano disse ao público da conferência que a conformidade de sobre assuntos de segurança debaixo baseada na Federal Information Security Management Act leva a falhas de segurança mesmo havendo conformidade.
A secretária de Estado dos Estados Unidos para a Administração Interna, Janet Napolitano, esteve na Conferência a recrutar talentos para a defesa cinética do país. Usou o seu discurso para explicar a impossibilidade de os recursos do governo terem capacidade para responderem a todos as ameaças que assolam o país.
A responsável procurou também suscitar o interesse da plateia para um concurso de criação de um programa para
a formação e sensibilização o público sobre as ameaças cibernéticas.
Reabilitação de DNS
Entretanto, a conferência prosseguiu e Jeremiah Grossman, CTO of White Hat Security, avisou que uma falha indetectável no browser permite aos atacantes ficarem com as redes empresariais aos seus pés.
Essa vulnerabilidade acabou por encabeçar a lista dos novos ataques engendrados pelos investigadores no último ano. Chama-se reabilitação de DNS e os atacantes transformam os browsers das vítimas em proxies de Internet que executam as operações para os atacantes, disse.
O ataque funciona ludibriando os browsers para a busca de servidores internos sobre a rede da vítima sob a direcção do atacante, que pode dirigir a rede para a busca e envio de dados empresariais, disse Grossman. Como o browser não exibe nenhum comportamento fora do normal, os ataques passam despercebidos.