Thursday, December 12, 2002

Auditoria em Windows XP

Fabio F. Ramos, CISSP, CISM, CIFI, consultor da Axur Information Security.
Uma das preocupações da maioria do gestores de Segurança da Informação sempre foi de transformar os controles de segurança em mecanismos transparentes ao usuário final – impacto zero ao ambiente de trabalho. O antívirus: atualizado no gateway; o backup: automatizado no servidor de arquivos; a troca de senhas: solicitada automaticamente pelo sistema. O que seria de nós sem estes artifícios? O usuário muitas vezes não tem culpa por não conhecer os riscos frente à informação, mas em uma coisa temos que concordar: ajudaria muito, caso o usuário soubesse como é importante sua colaboração efetiva na salvaguarda da informação.

Com a intenção de ajudar os Security Officers, resolvemos lançar uma série de artigos que podem ser enviados aos usuários, de forma a colaborar no processo de sensibilização do nosso maior aliado na proteção da informação. Iniciaremos com o tema Auditoria, depois passaremos por Engenharia Social, Backup, Senhas Seguras e etc. Contamos com sua indicação para novos assuntos, afinal de contas, escrevemos para você leitor.

A. Por que auditar?

Somos todos usuários de sistemas que compartilham, modificam, criam e muitas vezes delegam autoridade a outros para o manuseio da informação. Alguns anos atrás essa responsabilidade ficava toda centrada em um mainframe, passamos então para o tempo da “informação distribuída”, e atualmente devemos lidar com uma informação viva e muitas vezes descontrolada. Outro agravante é a facilidade com que qualquer leigo opera um sistema operacional, não podemos mais contar com o fator “obscuridade técnica”.

Já que não podemos confiar na inocência técnica do “novo usuário” – usuário que conhece melhor do que ninguém os meandros das tecnologias presentes na maioria das organizações -, então devemos contar com sua colaboração na proteção da informação. É neste momento que surge a auditoria, grande aliada quando da desconfiança de que alguém pode ter bisbilhotado aquela pasta com informações confidenciais: seja o orçamento do ano, lançamento de um novo produto, movimentações financeiras, lista de clientes, etc. Parece familiar? Como saber que o “intruso” passou pela nossa casa se ele não quebrou o vidro? Cantam alguns jargões da segurança: “Pior do que ter seu computador invadido, é não saber que o computador foi invadido”.

Auditar significa pré-selecionar uma série de eventos de forma que o sistema armazene mensagens para diversos tipos de comportamentos gerados em nosso computador. Por exemplo, posso criar uma política de auditoria onde o sistema armazenará toda a tentativa de acesso a minha máquina utilizando o meu nome de usuário (username) e uma senha inválida. Caso eu ative esta auditoria, poderei futuramente identificar detalhes sobre situações onde algum individuo tenha tentado adivinhar minha senha para obter acesso a minha estação de trabalho. Sabemos que um ataque bem sucedido é sempre precedido de uma série de tentativas inválidas de acesso. A primeira acepção da palavra auditoria, no sentido prático, é a prevenção.

O segundo benefício direto da ativação da auditoria em sua estação de trabalho, é a possibilidade averiguação dos passos de um invasor, uma vez evidenciado o incidente de segurança. É o que chamamos de trilha de auditoria. Analisando o caminho do intruso, seja ele um hacker ou um colega de trabalho, fica mais fácil compreender a motivação de sua ação, e qual era o seu “alvo” – entenda-se informação.

B. Como ativar a auditoria do WindowsXP?

Escolhi o WindowsXP em inglês porque este sistema operacional está sendo amplamente utilizado no mundo todo, além do que ele conta com recursos super práticos para ativação da auditoria, sem que o usuário tenha que recorrer a especialistas ou técnicos.

Bem, agora mãos a obra: não há dificuldade em ativar a auditoria, qualquer usuário com conhecimento mínimo do sistema operacional conseguirá executar. É importante verificar se a Política de Segurança da Informação da sua empresa permite este tipo de alteração no sistema. Caso não exista uma Políttica para usuários, converse com o administrador e solicite que você possa auditar o que acontece em sua estação de trabalho; antes de tudo é importante respeitar as Diretrizes de Segurança da sua organização. De qualquer forma, você pode ativar esta política no seu computador doméstico.

Vá ao (1) Control Panel, (2) Administrative Tools, (3) Local Security Policy. Agora, neste tela você abre o item (i) Local Policies, e clica em (ii) Audit Policy. A seleção deve ficar conforme a tabela abaixo:

Tabela de Nível de Auditoria

Account logon events Success, failureAccount management Success, failureLogon events Success, failureObject access Success, failurePolicy change Success, failurePrivilege user Success, failureSystem Events Success, failure

C. Auditoria em Arquivos

Quando arquivos como ftp.exe, tftp.exe, command.com, cmd.exe, telnet.exe, wscript.exe e cscript.exe não puderem ser desabilitados, é importante deixá-los em constante auditoria. É através destes arquivos que um invasor faz o download de códigos maliciosos para o computador do usuário. Recomenda-se também ativar a auditoria em arquivos executáveis que permitem acesso a aplicações críticas.

Pressione o segundo botão do mouse sobre o arquivo que você deseja auditar. Pode ser uma planilha do XLS, um DOC ou um desenho em CAD. Vá em (1) Properties, selecione (2) Security e depois clique em (3) Advanced. Agora você clica em (i) Auditing e (ii) Add para adicionar o grupo que você pretende auditar. Neste caso vamos inserir Everyone para uma auditoria ampla. Clicando OK você sairá em uma tela onde os objetos de auditoria podem ser selecionados. Recomendo ativar os itens Traverse Folder/Execute File, Write Attributes e Delete. Todos na opção Failed. Simples, não é?

Pronto. Uma vez selecionado, devemos criar uma rotina pessoal de verificação dos eventos gerados, pelo menos uma olhada por semana. Definimos aquilo que é considerado comportamento estranho, e filtramos para podermos visualizar só o que interessa. É muito simples.

Para visualizar as informações geradas, siga os seguintes passos. Vá ao (1) Control Panel, (2) Administrative Tools, (3) Event Viewer. Clique no item (i) Security do menu da esquerda. Pronto, ai estão os eventos gerados, classificados por tipo, data e categoria. Clicando duas vezes sobre o registro você poderá obter mais informações sobre o evento.

Bem, a mensagem desta semana é: usuário, aprenda a se defender. Estamos enfrentando tempos difíceis onde qualquer um pode sem muito esforço obter informações sensíveis ou privilegiadas vasculhando o computador alheio. É bom lembrar que a responsabilidade pelas informações que estão hospedadas em nossa estação de trabalho, é individual e não deve ser compartilhada. Até o próximo artigo.