Hardening – Blindando seu Registro.BR

Hardening

Atualmente quando se fala em blindagem, ou Hardening (termo técnico utilizado para descrever a técnica de fortificação do seu ambiente), muitos se esquecem que a segurança do ambiente web começa pelo registro do domínio. Não é raro encontrar ambientes que, mesmo tendo passado por testes de intrusão, hardening ou auditoria, são mantidos fragilizados nesse ponto, permanecendo com sua segurança comprometida.

Já temos vários casos de crimes que ocorreram abusando de fragilidades deixadas no registro do domínio.

É bastante comum encontrarmos domínios registrados no registro.br sob a propriedade de outra pessoa que não tem ligação nenhuma com a empresa. Pode ser algum técnico de TI que efetuou o registro, um amigo webmaster, ou que “entende de informática”. Muitas vezes uma pessoa que não tem os devidos cuidados ao utilizar os acessos privilegiados que possui.

É importante saber que um domínio é como um bem qualquer, um automóvel ou um imóvel. Quem constar como proprietário deste domínio no registro.br será o proprietário do nome da sua empresa na internet.

Uma pessoa mal intencionada, explorando configurações fragilizadas, pode alterar os servidores de DNS e apontar para servidores próprios, ou “ownados” (do inglês owned, como dizemos no nosso dia a dia), passando a receber seus e-mails, incluindo alertas de segurança ou mudança de senha de redes sociais e outros acessos que, inevitavelmente, apontamos para os nossos e-mails, que acabam se tornando o nosso ponto de convergência digital. Estamos falando aqui especialmente daquele e-mail que recebemos quando clicamos no link “esqueci minha senha”.

Lembre-se que algumas das configurações de cadastro do registro.br são individuais. Se você tiver vários domínios, precisará adequar em todos, revisando o registro de cada um deles.

Em virtude disso, aplico um hardening nos domínios, que consiste basicamente nos seguintes passos:

  1. Ter um monitoramento validando se ele está no ar, vencendo, ou se sofreu alguma alteração (de IDs ou DNSs por exemplo). Eu uso o Nagios. Motivo: você saberá antes do prazo do registro vencer, ou se alguma alteração ocorrer, imediatamente.
  2. Usar senhas complexas e únicas, além de ativar MFA (Autenticação de Múltiplos Fatores), em qualquer ID/conta de registros de domínios. Motivo: Boas práticas com senhas, duplo fator em todas elas. Use um bom cofre de senhas e decore apenas a senha do cofre (eu uso keepassxc.org, ele tem um “authenticator” interno, assim você não fica dependendo sempre do telefone).
  3. Criar IDs diferentes para cada função específica (Contato do Titular, Contato Administrativo, Contato Técnico e Contato Cobrança). Motivo, você pode perder acesso a um deles, ou precisar delegá-los a alguém, principalmente em grandes empresas.
  4. Criar grupos com as pessoas que devem ser alertadas em cada Contato criado. Motivo: Mais de uma pessoa receberá alertas, além disso, no caso de um spear phishing (ataque direcionado), fica mais difícil para o atacante saber quem é o alvo para personalizar o ataque.
  5. Colocar estes grupos como e-mail de contato de cada respectivo Contato no registro.br. Motivo: Qualquer comunicação será recebida por todo o grupo. A idéia é que não se saiba quem é o destinatário e mais de uma pessoa esteja atenta. Sugiro também que estes grupos sejam utilizados somente para este fim, pois desta forma temos mais consciência que só deveríamos receber mensagens enviadas por entidades de registro, assim se receber de outro tipo de remetente poderá ser ignorado. Em tempo: No grupo de cobrança coloque alguém da área técnica também, pois a pessoa de cobrança pode não saber identificar os boletos de registro de domínio falsos.
  6. Um dos grupos (eu sugiro o Contato da Entidade) não deve pertencer ao mesmo domínio que está sendo registrado, nem conter somente e-mails do domínio, se for mais de um, melhor. Motivo: Caso os DNSs ou servidores de e-mail sejam comprometidos você ainda tem uma chance de acessar, alterar ou resetar os acessos e configurações, pois as mensagens chegarão neste e-mail “de fora” do domínio em questão.
  7. O Contato de Entidade deve ficar sob dupla custódia (ex: uma pessoa possui a senha e outra possui o token). Motivo: Como são acessos de alto privilégio, é melhor que mais de uma pessoa tenha que ser acionada para quaisquer alterações, ou criação de novos domínios. Visto que o mais usado é sempre o Contato Administrativo e o Contato Técnico, não causará grandes transtornos esse passo a mais no processo de uso do Contato da Entidade, mas vai agregar um nível de segurança bem maior.
  8. Fiquem atentos aos alertas enviados aos grupos criados para esse fim. Perdendo o acesso a algum ID, o ID superior deverá logar e removê-lo dos contatos. Motivo: não adianta colocar cães para latir e não ir verificar quando alertarem ;-))).
  9. Use DNSSec, esse recurso faz com que seus visitantes web possam “conferir” se o endereço IP entregue como sendo o seu domínio é o verdadeiro, similar ao certificado SSL, porém atua no momento da resolução do nome. Motivo: Isso minimiza muito a chance do visitante do seu site ou aplicação, ser desviado para um site falso (clonado), ataque bem comum nos dias de hoje.
  10. Utilize múltiplos servidores de DNS em regiões diferentes. Se o seu provedor não oferece este recurso, utilize os servidores do próprio registro.br. Motivo: Disponibilidade. Se você estiver com os dois DNSs no mesmo local e ocorrerem problemas de acesso a eles, você ficará fora do ar. O registro.br oferece esse serviço gratuito, com DNSSec por padrão.
  11. Utilize nomes genéricos, exemplo: idtecnico@, webmaster@. Motivo: Para dificultar os ataques de engenharia social contra os times envolvidos.
  12. Tenha uma cópia das entradas DNSs guardadas (backup). Motivo: Você nunca sabe quando vai precisar delas 😉

Exemplo de um whois com hardening aplicado:

Domínio insight.inf.br

Ingisht Solution Team Informática ME
07.931.740/0001-90
Sérgio Baroukh
BR
INSTE6
INSTE37
INSTE38
INSTE36
a.sec.dns.br
b.sec.dns.br
15956 RSASHA1 F300725CEC0B7CE54C26A5A72DC9DB4F2B6785F2
09/03/2005 #2042396
09/03/2019
14/03/2018
Publicado

Contato (ID) INSTE6

Insight Solution Team
ist_id_entidade@googlegroups.com
BR
23/09/2009
27/09/2017

Contato (ID) INSTE36

Insight Solution Team
id_cobranca@insight.inf.br
BR
27/09/2017
27/09/2017

Contato (ID) INSTE37

Insight Solution Team
id_admin@insight.inf.br
BR
27/09/2017
27/09/2017

Contato (ID) INSTE38

Insight Solution Team
id_tecnico@insight.inf.br
BR
7/09/2017
A27/09/2017

Abraço!
Amilton Justino
Insight Solution Team
PGP Key ID 01AD6182

Perfil Empresarial

1

Fundada em 1973, a Quadra é uma das agências de publicidade mais tradicionais da região Sul do Brasil. Nestes 43 anos, foi responsável pela comunicação de importantes marcas, desenvolvendo campanhas regionais e nacionais. Com sede no centro de Florianópolis, a Quadra atua em todos os setores da comunicação, buscando sempre a melhor forma de falar com os consumidores e o melhor retorno para seus clientes. Atualmente fazem parte da carteira de clientes da agência a Tigre Tubos e Conexões, o Instituto Carlos Roberto Hansen, o CRH Empreendimentos, a Secretaria Estadual de Educação, o Shopping Iguatemi, a concessionária Florence Peugeot, as concessionária Ponto 1 e Santa Fé Chevrolet, a Treotto Gelato e a Sonitec. Para comentar sua relação e parceria, Daniel Silva, Diretor Executivo da Quadra, diz: “Estamos com a Insight há quase 15 anos, numa parceria que começou pautada pela capacidade técnica da Insight, mas, ao passar dos anos, se transformou em uma relação de extrema confiança. Hoje eles são indispensáveis para o nosso funcionamento”

Você é o dono do nome da sua empresa na internet?

Sem Título-2

Todos os domínios que terminam com “.br” estão registrados em uma entidade chamada registro.br. É aquele nome da sua empresa, que fica depois do “@” no seu e-mail, seunome@suaempresa.com.br , por exemplo. Este nome também identifica o seu site, é o www.suaempresa.com.br.

É bastante comum encontrarmos domínios registrados no registro.br sob a propriedade de outra pessoa que não tem ligação nenhuma com o seu negócio. Pode ser algum técnico de TI que efetuou o registro, ou amigo que entende de informática. É importante saber que um domínio é como um bem qualquer, um automóvel ou um imóvel. Quem for o proprietário no registro.br é o proprietário do nome da sua empresa na internet.

É importante verificar como está o registro do seu dominio no endereço registro.br. Ele deve estar registrado para a sua empresa (ID_Entidade), com os devidos dados cadastrais. Muitas vezes o profissional que registra coloca no próprio nome e se um dia ele sumir, você perderá a propriedade do seu próprio domínio.

Mesmo que o pessoal da área de Marketing, Webdesign ou TI solicite, poderá ser delegado a eles somente o ID_Técnico para que possam fazer as alterações técnicas necessárias.

Da mesma forma, o contato de cobrança deve estar delegado para a pessoa responsável por pagar a anuidade, evitando assim que o domínio congele por falta de pagamento e tudo pare de funcionar (site, e-mails, etc.). O ID_Admin serve para administrar os outros dois (ID_Técnico e ID_Cobrança), sem que seja necessário importunar o proprietário legal da empresa (ID_Entidade).

Uma pessoa mal intencionada, através de configurações fragilizadas, pode alterar os servidores de DNS e apontar para um falso, passando a receber seus e-mails incluíndo alertas de segurança ou mudança de senha de redes sociais e outros acessos que, inevitavelmente, apontamos para os nossos e-mails (aquele que recebemos quando clicamos no link “esqueci minha senha”) , que acabam se tornando o nosso ponto de convergência digital.

Lembre-se que as configurações de cadastro do registro.br são individuais por domínio, se você tiver vários, terá que adequar em todos. Se você tiver dúvidas, ou não tiver a menor ideia de como fazer isso, consulte uma empresa ou um profissional de TI de sua confiança.

Artigo assinado a quatro mãos por Sergio Baroukh – Diretor Comercial e Amilton Justino – Diretor Técnico da Insight

Brasileiros mais conectados pelo celular

Sem Título-1

A proporção  de domicílios brasileiros com acesso à internet por meio de dispositivos móveis passou de 7% em 2014, para 14% em 2016. A banda larga fixa é o tipo de conexão utilizada em 23 milhões de casas no país. Já a internet móvel é a principal forma de conexão em 9,3 milhões de casas, principalmente nas classes D/E na região Norte e nas áreas rurais. Os dados são da pesquisa TIC Domicílios 2016, do Comitê Gestor da Internet no Brasil.  Entre os usuários de internet pelo telefone celular, o wi-fi é o tipo de conexão mais mencionado, com 86% dos usuários.

Perfil Empresarial

Logo MK

Considerado o parceiro mais antigo das empresas de tecnologia, a MK Contabilidade está instalada no Parque Tecnológico Alfa (Celta), desde 1997 e presta serviços de contabilidade.

Buscando oferecer um amplo leque de serviços para clientes e manter estes focados em suas atividades fins, no primeiro semestre de 2017 redefiniu seu modelo de negócios.

A vocação continua sendo a contabilidade, porém com a redefinição passou a atuar forte na gestão de pessoal (Outsourcing de folha de pagamento e recrutamento com seleção) e na assessoria financeira.

Em 2017 passou a oferecer consultoria jurídica e seguros (PJ e PF) e muito mais vem por aí, tudo com o fim de estar mais conectados e próximos de nossos clientes, afirma Jacy Gubert, diretor da empresa.

Muito parecido com isso a Insight tem sido nosso suporte para suprir nossa carência no atendimento as constantes mudanças de tecnologias que acabam impactando direta e indiretamente em nossos canais de atendimento.

Golpe da conta hackeada

O WhatsApp é o aplicativo preferido dos golpistas para tentar roubar informações dos brasileiros. Agora circula pelo app um link que promete hackear contas de qualquer pessoa no mensageiroo. Mais de 220 mil pessoas já caíram no golpe, de acordo com informações do site Psafe, de segurança digital. Quem clica na mensagem é direcionado para um sistema de SMS pago e tem seus dados literalmente roubados. Em tempos tecnológicos e rápidos, todo o cuidado é pouco!

Google contra o extremismo

A Google esta intensificando esforços para bloquear “vídeos extremistas e relacionados ao terrorismo” em suas plataformas, usando uma combinação de tecnologia e supervisores humanos. As medidas chegam após tentativas semelhantes reveladas pelo Facebook no final de junho, e seguem uma chamada dos líderes do G7 para que gigantes da internet façam mais para controlar o conteúdo extremista online.

Mais de 1.900 cidades do Brasil já têm 4G

Dos 5.570 municípios brasileiros, 5.016 já dispõem de banda larga para telefonia móvel. Embora a maioria seja coberta com a tecnologia 3G (3.688 cidades, um avanço de 8% em 12 meses), o maior crescimento foi registrado em LTE (4G), com avanço de 77% em um ano, totalizando 1.925 municípios. Os dados referem-se ao mês de abril e foram divulgados pela Associação Bras. de Telecomunicações (Telebrasil).

As redes 4G podem ser até 100 vezes mais rápidas que as 3G. Isso porque são focadas na transmissão de dados e não de voz, como no sistema anterior.

Além do aumento de demanda pela tecnologia, o bom resultado se deve à utilização de novas frequências para 4G, como as faixas de 1.8 GHz e de 700 MHzx, graças ao desligamento do sistema de TV analógica em várias cidades do território nacional.

A proposito, dia 31/01/2018, Paulo Lopes, Palhoça, São José, Biguaçú e Florianópolis também entram no mundo da teve digital.

Avanços na tecnologia WI-FI – Recursos e Riscos

1200px-Wi-Fi_Logo.svg

A tecnologia para redes sem fio têm sido desenvolvida muito rapidamente, elas têm ficado muito velozes e alguns equipamentos já não possuem porta para ethernet (com cabo) a exemplo dos novos macbooks.

As redes wi-fi corporativas podem ter outras funcionalidades além de apenas conectividade. É possível configurá-las para rastrear a posição física aproximada da pessoa dentro de um ambiente, assim como criar verdadeiras paredes para bloqueio de sinal.

Atualmente pode-se estabelecer senhas individuais ao invés de uma única senha para todos os usuários.

Estas redes sem fio profissionais podem ser gerenciadas de um único ponto, mesmo que estejam em vários locais físicos diferentes, como exemplo uma rede de lojas. O melhor é que as análises de acessos são centralizadas neste mesmo ponto de controle.

Como não poderia deixar de ser, deixamos aqui o alerta do nosso especialista em segurança Amilton Justino: “Os riscos aumentam na mesma razão destes avanços. Devido ao problema primordial de qualquer wi-fi, onde não temos o controle do meio físico por onde os dados estão trafegando, visto que não temos cabos. O sinal normalmente está “transbordando” para fora do ambiente, estimulando cada vez mais o desenvolvimento de técnicas de ataques às redes wi-fi.  Aproveitando-se desta característica original, o criminoso pode, mesmo estando fora da sua empresa, coletar informações relevantes, como senhas, acessos, dados sigilosos, etc”.

Se você usa roteadores comuns, daqueles que usamos em casa, seu problema pode ser ainda pior, pois estes equipamentos possuem vulnerabilidades muito conhecidas e muito simples de serem exploradas de maneira intencional.

Mesmo que você não se importe com o sigilo dos dados que trafegam no seu ambiente, esse tipo de acesso traz outro risco bem maior: seus equipamentos (computadores, smartphones, smartTVs e até  câmeras) conectados na mesma rede, podem acabar se tornando “zumbis” (ou “bots“, derivado do termo inglês robots) e utilizados por crackers para praticar crimes através do seu endereço na internet, assim caso sejam rastreados pelas autoridades, a origem de alguma invasão de um grande banco pode estar localizada na sua sala de estar.

Perfil Empresarial – J.A.

Foto JA

Localizada na cidade de São José, na Grande Florianópolis, a J.A. Urbanismo trabalha desde 1991 transformando mercados e levando, para as regiões de seus empreendimentos, urbanização e uma nova dinâmica. O know-how e a competência no projeto e na construção de loteamentos e outros empreendimentos e no desenvolvimento de soluções para espaços urbanos é fruto do comprometimento da empresa com seus clientes, parceiros e com a sociedade. Atualmente, a empresa possui loteamentos em comercialização nos mercados de São José, Palhoça, Lages e Três Lagoas no Mato Groso do Sul.

Prezando por um bom relacionamento com o público em geral e seus clientes, a J.A. Urbanismo mantém diversos canais a disposição, destacando os meios digitais que tornam a comunicação muito rápida e acessível. Para Karina Correia, responsável pelo Marketing, o papel da Insight proporciona uma base para o bom funcionamento destes canais, além de garantir a segurança dos dados da empresa. Conheça mais sobre a J.A. Urbanismo em: http://jaurbanismo.com.br/.