NFOSEC
Garantir a segurança, integridade e confidencialidade nas comunicações digitais
A segurança da informação, por vezes abreviada para infosec, é um conjunto de práticas destinadas a manter os dados seguros contra acessos não autorizados ou alterações, tanto quando estão a ser recebidos como quando estão a ser transmitidos de uma máquina ou local físico para outra. Por vezes pode ser referido como segurança de dados. À medida que o conhecimento se tornou um dos bens mais importantes do século XXI, os esforços para manter a informação em segurança tornaram-se correspondentemente cada vez mais importantes.
Princípios de segurança da informação
Os componentes básicos da segurança da informação são conhecidos por: confidencialidade, integridade e disponibilidade.
Nesta área, a RXTX foca-se essencialmente na proteção de servidores e na implementação de práticas que contribuem para garantir a segurança, integridade e confidencialidade nas comunicações através do ciberespaço.
O modelo implementado pela RXTX passa pela criação de camadas de segurança. Dificultar o acesso direto à localização dos servidores de origem, CDN, Loadbalancers, firewalls, etc, consolidam a ideia de defesa em profundidade (Defense in depth) a que a RXTX se rege.
A ideologia por detrás desta abordagem é defender um sistema contra ataques dando uso a vários métodos independentes, ao contrário do honeypot, a estratégia não é ceder terreno intencionalmente mas sim dificultar o acesso indevido aos dados de terceiros.
HTTP Security Headers são um subconjunto de cabeçalhos HTTP e são trocados entre um cliente web (geralmente um browser) e um servidor para determinar detalhes relacionados com a segurança da comunicação HTTP.
Alguns cabeçalhos HTTP que estão indiretamente relacionados com privacidade e segurança podem também ser considerados cabeçalhos de segurança HTTP.
Ao definir cabeçalhos adequados em aplicações web e configurações do servidor web, é possível melhorar a resiliência dessa aplicação contra vários ataques comuns, incluindo cross-site scripting (XSS) e clickjacking.
A RXTX procura sempre obter uma classificação nível A+ para todos os seus projetos, desta forma garantimos uma qualidade superior de construção.
Os cabeçalhos de segurança HTTP mais importantes para obtenção de uma classificação A+ são:
Strict-Transport-Security
Strict-Transport-Security ou HSTS permite que um website instrua os browsers que só devem aceder via HTTPS e não HTTP.
Content-Security-Policy
Permite aos administradores de um website controlar os recursos que o browser do utilizador pode carregar para uma determinada página. Com algumas exceções, as políticas envolvem principalmente a especificação das origens do servidor e dos scripts. Isto ajuda a proteger contra ataques de cross-site scripting (XSS).
X-Frame-Options
Pode ser utilizado para indicar se um browser deve ou não ser autorizado a renderizar uma página em <frame>,<iframe>, <embed> ou <object>. Os websites podem utilizar esta opção para evitar ataques de "click-jacking", assegurando que o seu conteúdo não é incorporado noutros websites.
X-Content-Type-Options
É um marcador utilizado pelo servidor para indicar que os tipos MIME anunciados nos cabeçalhos Content-Type não devem ser alterados e devem ser seguidos. Esta é uma forma de não permitir o sniffing do tipo MIME, ou, por outras palavras, de dizer que os tipos MIME estão deliberadamente configurados.
Referrer-Policy
O cabeçalho Referrer-Policy HTTP controla a quantidade de informação de referência que deve ser incluída nos pedidos.
Permissions-Policy
É um cabeçalho recente que permite a um website controlar quais as características e API que podem ser utilizadas nos browsers.
Um CDN (Content Delivery Network) é um conjunto de servidores espalhados por vários locais. Estas máquinas armazenam cópias de dados para satisfazer pedidos com base em servidores que se encontram mais próximos dos respetivos utilizadores finais. Os CDN tornam o serviço mais rápido e menos afetado pelo tráfego elevado.
Os CDN são amplamente utilizados para a entrega de folhas de estilo (stylesheets) e ficheiros Javascript de bibliotecas como Bootstrap, jQuery, etc.
A utilização de CDN para este tipo de ficheiros é usado por diversos motivos:
Servir os conteúdos estáticos em CDN reduz a carga de pedidos nos próprios servidores de uma organização.
A maioria dos CDN tem servidores espalhados por todo o mundo, pelo que os servidores CDN podem estar geograficamente mais próximos dos seus utilizadores do que os servidores de origem. A distância geográfica afeta a latência.
Os CDN já estão configurados com definições de cache adequadas, pelo que um CDN guarda mais conteúdos estáticos do que os servidores de origem.
Os CDN não revelam a localização dos servidores de origem, pelo que conferem uma camada adicional de segurança, suportando assim o conceito de defense in depth.
A RXTX atualiza periodicamente os seus servidores, estas atualizações são normalmente disponibilizadas como versões de software. As versões de software são um conjunto de ficheiros transferíveis (patches) que incluem todo o firmware, software, controladores de hardware, ferramentas e utilitários disponíveis para o servidor.
As versões de software incluem frequentemente correções de bugs e a atualização do servidor assegura que o mesmo tem o firmware e o software mais recente. Estas atualizações permitem aumentar o desempenho, a segurança e a estabilidade do sistema.
FAQ
Questões Frequentemente Colocadas
Infosec e a cibersegurança são frequentemente confundidas. InfoSec é uma parte crucial da cibersegurança, mas refere-se exclusivamente aos processos concebidos para a segurança de dados. Cibersegurança é um termo mais abrangente que inclui a InfoSec.
A cibersegurança é a prática de proteger sistemas, redes e programas de ataques digitais. Estes ciberataques visam geralmente aceder, alterar ou eliminar informação sensível; extorquir dinheiro; ou interromper processos digitais normais.
A principal diferença entre o SSL e o TLS é a forma como estabelecem ligações seguras. Ambos utilizam um processo conhecido como "handshake", que é como o servidor e o cliente se autenticam um com o outro antes de criarem uma ligação codificada. O handshake SSL é bastante diferente do TLS.
A versão SSL envolve a utilização de uma porta para fazer o que é conhecido como uma ligação explícita. O TLS, por outro lado, liga-se através de um protocolo, que é conhecido como uma ligação implícita. O processo destes handshakes SSL e TLS é ditado por algo conhecido como conjuntos de cifras, algoritmos que delineiam a sequência de passos que devem ser executados a fim de realizar uma função criptográfica.
Defense in depth ou defesa em profundidade é um conceito utilizado na Segurança da Informação (infosec) em que são colocadas múltiplas camadas de controlos de segurança (defesa) através de um sistema de tecnologias de informação (TI). O objetivo é proporcionar redundância em caso de falha de um dos controlos de segurança ou exploração de uma vulnerabilidade que possa abranger aspetos de segurança pessoal, processual, técnica e física durante todo o ciclo de vida do sistema.
Honeypot é uma cedência de ‘terreno’ intencional que consiste num mecanismo informático configurado para detetar, desviar, ou controlar tentativas de acesso não autorizado aos sistemas.
Geralmente, um honeypot consiste em acesso a informação que aparenta ser parte legítima de um servidor e contém informações ou recursos de valor para quem procura explorar estes sistemas. Na realidade, é isolado, monitorizado e capaz de bloquear ou analisar o comportamento dos atacantes.
MIME sniffing foi e ainda é, uma técnica utilizada por alguns browsers (principalmente o Internet Explorer) para examinar o conteúdo de um determinado website.
A finalidade é determinar o formato de um ficheiro. Esta técnica é útil no caso de não haver metadados suficientes, limitando assim, a incorreta interpretação do browser sobre o mesmo.
Click-jacking é a prática de levar um utilizador a clicar num link, botão, etc, diferente do que pensa ser. Isto pode ser utilizado, por exemplo, para roubar credenciais de login ou para obter a permissão involuntária do utilizador para instalar malware.
Cross-site scripting (XSS) é uma exploração de segurança que permite a um atacante injetar num website código malicioso do lado do cliente. Este código é executado pelas vítimas e permite aos atacantes contornar os controlos de acesso e fazer-se passar por um utilizador legítimo.
O CSRF (por vezes chamado de XSRF) é uma classe de ataque relacionada. O atacante faz com que o browser do utilizador efetue pedidos a um website sem consentimento ou conhecimento do utilizador.
Man-in-the-Middle é uma interceção de tráfego por terceiros e que atua entre um servidor web e um cliente (browser), e faz-se passar pelo servidor web a fim de capturar dados (tais como credenciais de login ou informações de cartão de crédito). O tráfego é atravessado, possivelmente com alterações. As redes WiFi abertas são um meio clássico para a execução deste tipo de ataques.
Session hijacking ou sequestro de sessão consiste em obter acesso a uma sessão autenticada por um outro utilizador para fins indevidos. Isto pode acontecer copiando um ou mais cookies de uma sessão existente ou enganar o utilizador (ou o browser) e definir um cookie com um ID de sessão pré-determinado.