Com o aumento da conectividade da internet e da economia digital, alimenta-se um crescimento exponencial de dados acumulados por organizações. Segundo a Forbes, em 2015, o volume de dados criado nos dois anos anteriores foi maior que a quantidade produzida por em toda história da humanidade.
Com esse crescimento, aumentou muito o interesse dos cibercriminosos por promoverem invasões – e o fato de haver grande quantidade de informações em um só lugar favorece isso – e também o números de ferramentas e recursos de proteção contra ataques. Como os dados se tornaram protagonistas nas empresas, o vazamento de informações estratégicas pode resultar em processos milionários e até mesmo na quebra do negócio.
A detecção de intrusões tem sido muito estudada no setor de tecnologia e no meio acadêmico. O objetivo ainda é alcançar um nível maior de precisão de alerta e análise geral de ameaças para proteger seus sistemas no ciberespaço pelos analistas de segurança cibernética.
Melhorias na detecção de intrusões podem ser alcançadas adotando uma abordagem mais abrangente no monitoramento de eventos de segurança de várias fontes heterogêneas. A correlação de eventos de segurança de fontes heterogêneas pode fornecer uma visão mais holística e uma maior percepção situacional das ameaças cibernéticas. Um problema com essa abordagem é que atualmente, mesmo uma única fonte de eventos (por exemplo, tráfego de rede) pode enfrentar desafios de Big Data quando considerada de forma isolada. As tentativas de usar fontes de dados mais heterogêneas representam um desafio ainda maior ao Big Data.
Um ponto bem interessante a ser considerado de maneira positiva no Brasil foi que, em 2018, o projeto de Lei Geral de Proteção de Dados (LGPD) foi sancionada, estabelecendo critérios maiores de segurança para as informações e amparando em lei as punições para quem vier a transgredi-las.
Fragilidade
Apesar da área de segurança ter tido uma grande evolução, ela não está imune a invasões, porém pode-se mitigar bastante o risco. Um desses riscos é o fator humano, pois sempre alguém vai ter acesso e, às vezes, em um descuido, a invasão acontece.
Umas das vulnerabilidades são os rootkits ou malwares que podem atacar um BD (Banco de Dados) tanto por dentro (através de SQL Injection, alteração de códigos PL/SQL, leaks de Java, etc) quanto por fora (através de alteração de arquivos do usuário Oracle, tais como binários / libs / crontab / etc) onde o invasor começa o escalonamento de privilégios a partir de um usuário com baixas permissões.
Outro cenário diz respeito a usuários que já têm permissão ao BD e utilizam senhas de fácil dedução ou com permissão além do necessário para realização das tarefas. Esse tipo de superpermissão pode ocasionar problemas futuros, pois se o usuário executar um determinado script sem atenção, pode atualizar ou remover registros de forma culposa, ou seja, sem a intenção de modificar dados.
As duas ferramentas utilizadas para invadir bancos de dados são o Pangolin e o Malware. O Pangolin é uma ferramenta automática de teste de penetração de SQL Injection desenvolvida pela NOSEC. Seu intuito é detectar e tirar proveito das vulnerabilidades de SQL Injection em aplicativos da web.
Já os Malwares são programas que englobam vírus, worms e trojans (cavalos-de-troia) que infectam máquinas e servidores. Tais programas maliciosos podem ser utilizados de diversas formas como, por exemplo, roubar informações, corromper arquivos ou até mesmo inviabilizar o uso do computador ou servidor.
Prevenção
Assim como as ferramentas de invasão evoluíram, as de prevenção também para combater ataques, porém, não há como garantir 100% de sucesso. Devido a isso, sempre deve-se ter o backup para recuperação dos dados e evitar problemas muito maiores. Até mesmo os usuários do BD podem um dia executar algo errado de forma culposa e o backup irá ajudar na velocidade da recuperação, como no caso que aconteceu no Tribunal de Contas do Estados do Amazonas, no qual um funcionário executou um script indevidamente e apagou 16,5 mil processos.
 |
| Fernando A. S. F. Junior é Desenvolvedor da ART IT. |
Outra prevenção é a autenticação. Da mesma forma que uma corrente é medida pelo elo mais fraco, um sistema pode ser medido pela autenticação mais fraca. Alguns usuários ainda continuam colocando autenticação simples com senhas como a data de aniversário ou a sequência 12345 ou mantém a senha padrão, que vem de fábrica. Esses tipos de senhas serão as primeiras a serem tentadas em uma invasão. E depois que o invasor consegue acesso, basta consultar a lista de usuários e tentar invadir outro com maior privilégio. Deve-se limitar ao máximo a quantidade de usuários com privilégio excessivo para tornar a lista mais restrita, pois dará muito mais trabalho para o invasor descobrir o usuário que tem a permissão para aquele determinado evento.
* Fernando A. S. F. Junior é Desenvolvedor da ART IT, especializada em soluções e serviços de TI.
