As 10 mancadas que os administradores de sistemas mais cometem

“Faça o que digo, não o que faço”: Frequentemente os erros cometidos pelos administradores de sistemas chegam a ser piores que aqueles feitos por usuários. 

Problemas ligados a segurança não são meramente técnicos – Eles são causados por pessoas… E neste caso, estamos falando de especialistas, não de usuários.

Pesquisadores da Intermedia’s 2015 Insider Risk Report chegaram a conclusão que os profissionais de informática cometem as maiores falhas de segurança da informação, como: compartilhar senhas/logins, reutilizar password de redes sociais no ambiente de trabalho, e também ceder credenciais de admin para outros.

Essa postura irresponsável por parte do profissional, traz sérios riscos de: phishing, malware, e outros tipos de ataques.

Aqui estão as 10 brechas deixadas pelos próprios especialistas de Segurança:

1. Uso da credencial de Admin a toda hora

Quando você se loga como admin, você tem o controle de absolutamente tudo em suas mãos. O que é extremamente perigoso, pois se alguém roubar sua credencial, poderá deitar e rolar no sistema, como se fosse o administrador do mesmo.

Crie uma conta com menos privilégios para se logar com mais frequência e apenas utilize a credencial de administrador em casos especiais.

2. Rodar scripts de terceiros

Instalar aplicações de terceiros no Linux é outra prática comum e extremamente perigosa. Tudo que o profissional precisa fazer é copiar e colar um código, e pronto, todas ações a partir daí podem ser executadas com privilégios de administrador. Segue um exemplo do que estamos falando:

sudo -v && wget -nv -O- https://xxx/xxx/linux-installer.py | sudo python -c “import sys; main=lambda:sys.stderr.write(‘Download failedn’); exec(sys.stdin.read()); main()”

Esse script dá privilégios a um item hospedado sabe-se lá aonde, podendo até mesmo rodar Python localmente. Não faça isto em hipótese alguma!

No Windows, o mesmo pode acontecer ao se rodar PowerShell scripts de origem duvidosa…

Mesmo que você confie na fonte, jamais assuma esse risco. Sempre verifique o script primeiro antes de colocá-lo para funcionar nos sistemas da sua empresa.

3. Rodar serviços com privilégios na Raiz

Aplicações nunca devem rodar na Raiz (Root). Crie contas com privilégios específicos para cada aplicação e serviço que for rodar em sua máquina.

4. Reutilização de senhas

Vá em frente, banque o cabeça-dura… A gente sempre ouve sobre os perigos de se reutilizar senhas para acesso a sites, sistemas e aplicações. E os especialistas em TI não estão livre disso.

Recentemente, houve um ataque desconhecido ao pessoal do Mozilla que afetou mais de 50 áreas críticas de um banco de dados. Isso porque um funcionário com conta de administrador reutilizou a senha de um outro site, e esta ficou exposta numa brecha que havia por lá.

Muitas vezes servidores contam com senhas fracas ou repetidas de outros lugares. Isso é um prato cheio para invasores, que quando percebem a repetição do uso da senha, multiplicam os prejuízos causados por esta falha.

Em vez de configurar a mesma senha de root em todas as máquinas, administradores de sistemas devem optar por usar um arquivo de chave. Cada servidor deve ter um arquivo de chave pública e a estação de trabalho do administrador de sistemas teria a chave privada associada com a chave pública. Desta forma, o administrador de sistemas pode acessar todas as máquinas que foram implantados na rede, mas um atacante não seria capaz de efetuar login sem uma chave válida. E não há nenhuma senha para interceptar.

5. Compartilhar contas de admin

Contas de administrador – tais como o acesso aos bancos de dados e administrador portais – são frequentemente compartilhadas dentro de uma empresa. Em vez de configurar o ambiente para que os administradores solicitem privilégios elevados quando necessário, estas contas de administrador são partilhadas à toa. Isso é pedir para ter problemas.

O ideal é haver contas distintas: uma para raiz e outras para cada administrador. As contas de administrador não devem começar com os mais altos níveis de acesso – o administrador pode pedir direitos especiais de acesso ao trabalhar em tarefas especializadas. Os pesquisadores da Intermedia descobriram que 32% dos profissionais de TI têm dado as suas credenciais de login e senha para outros funcionários.

Não é só ruim pelo fato de não saber exatamente quem está usando as contas de administrador, mas pior, as senhas são raramente atualizadas quando um administrador deixa a empresa. Ou seja, um ex-empregado revoltado pode causar danos com impunidade. A pesquisa da Intermedia constatou que um em cada cinco profissionais de TI disseram que iriam acessar informações da empresa depois que eles deixassem seus trabalhos. Políticas de mudança de senha não são apenas para os usuários finais. O administrador também tem a obrigação de fazer isto periodicamente.

6. Esquecer de reorganizar os códigos após fazer determinada tarefa

Ao trabalhar em determinado código, você executar vários truques e técnicas para encontrar e corrigir o problema. Administradores com pressa podem esquecer e deixar as coisas em desordem – e abrir possíveis brechas por conta disto.

Você pode ter aberto as portas no firewall, por exemplo, quando você tentou descobrir por que o pedido não estava respondendo. Uma vez que a correção é no lugar, você precisa voltar e fechar essas portas antes que possam ser utilizados por invasores. Da mesma forma, se você desligou o SELinux porque estava interferindo na solução de problemas, lembre-se de reativá-lo novamente.

Quando for solucionar problemas, mantenha um backup, para depois você poder restaurar as configurações para as configurações originais – exceto para mudanças que você realmente precisem ser mantidas.

7. Descuido com os arquivos de log

Os arquivos de log são úteis, especialmente para solução de problemas, porque eles permitem que você veja o que está acontecendo de forma segmentada. Quando você não precisar mais desses arquivos, descarte-os. A última coisa que você vai querer fazer é disponibilizar arquivos de log contendo informações que podem ser úteis para criminosos virtuais.

Então fique atento, sempre acompanhe seus arquivos de logs e saiba o tipo de informação contida em cada um deles.

8. Armazenar senhas em arquivos de texto simples

Quando há tantas senhas para gravar, é tentador anotá-las em um arquivo de texto. Todo mundo conhece alguém com esse hábito. Porém, isso é um presente para os invasores, no âmbito corporativo.

Se as senhas devem ser gravadas em um arquivo – como credenciais de banco de dados para uma aplicação – configure as permissões de arquivo para restringir quem pode visualizar o conteúdo do arquivo.

9. Deixar contas em desuso ainda ativas

As vezes ao instalamos um software de avaliação e, depois de testar, o removemos. Porém, as contas que foram adicionadas como parte da instalação ainda ficam esquecidas no sistema. Evite isso. Pessoas mal intencionadas podem explorar contas esquecidas como essas, especialmente se elas guardarem suas senhas padrão.

Para as contas que precisam permanecer no sistema, mas não serão utilizadas daqui para frente, desative-as.

10. Marcar bobeira com atualizações

A regra de ouro: Instalar atualizações de segurança assim que elas estiverem disponíveis (backup dos sistemas afetados em primeiro lugar, é claro). Muitos servidores são comprometidos simplesmente porque determinado patch essencial nunca foi instalado.

“É melhor prevenir do que remediar”. Manter uma rotina de atualizações em relação a isto, é muito melhor que perder dias para solucionar problemas derivados de ataques que podiam muito bem ser evitados com a simples atualização de um patch.

Sabemos que atualizações podem depender da permissão de seus superiores. Se um de seus gestores impede que um sistema seja atualizado, explique-o os riscos que estão em jogo.

Não poupe esforços quando o assunto é Segurança da Informação.

A Segurança da Informação ajuda a manter pessoas indesejáveis distantes do seu negócio. Pode haver boas razões para não executar o antivírus ou firewall em uma determinada estação de trabalho ou servidor, por exemplo, mas essas situações são raras.

Considere que vários tipos de malware DDoS estão atualmente fazendo as rondas, infectando servidores Web Linux porque empresas não se atentam para a proteção de seus dados. Rotinas de segurança devem ser implantadas para manter todos os usuários – gerentes, funcionários, administradores de sistemas, e outros indivíduos com privilégios especiais – a salvo de ataque.

Mantenha o sistema das máquinas o mais limpo possível. Remova os aplicativos que você não está usando para que você não tenha contas esquecidas ou ferramentas na máquina em desuso.

Algumas ferramentas de segurança pode ajudá-lo a ver o que está acontecendo na rede. Use Nmap para verificar se há portas abertas que podem ter sido deixadas durante uma sessão de solução de problemas. Verifique quais máquinas estão desatualizadas, e resolva isto.

As ferramentas estão lá para lhe dizer o que está errado e dar-lhe a oportunidade de correção antes que um invasor se aproveite disso. Mas toda a tecnologia de segurança no mundo não é o bastante se os administradores de sistemas não seguirem as regras básicas, e repassá-las para todos outros usuários de uma empresa.

Artigo original (em inglês): link