     |
Quando entrei na Americanas.com, fui escalado para trabalhar com um enfoque em segurança. Ainda que existam empresas que ignorem esse fato, segurança é algo de grande importância dentro de uma empresa, principalmente em uma empresa cujo principal negócio está diretamente vinculado à Internet. Que fique claro que a “segurança” de uma empresa, neste caso de uma empresa que mantém um site na Internet, não se trata apenas de se assegurar contra invasões de hackers. A segurança interna da empresa é até mais importante do que a proteção contra invasões externas. Não é muito difícil proteger uma rede de um hacker que nada sabe sobre ela. O desafio está em proteger uma rede das pessoas que estão nela o tempo todo e, portanto, conhecem bem o seu funcionamento. Outro aspecto de segurança com o qual eu trabalhei foi na prevenção de fraudes. Através de relatórios de segurança sobre nossa rede, produzidos por terceiros, aprendi bastante sobre falhas de segurança que já vêm ligadas por default em alguns sistemas operacionais. A maior fonte de conhecimentos, no entanto, ainda é a Internet. Existem inúmeros sites de segurança que explicam em detalhe os bugs presentes em diversos sistemas e como estes são explorados por hackers. Os sites mais divertidos são mesmo aqueles publicados para hackers por outros hackers em que se fala, muitas vezes com deboche, de ferramentas de segurança utilizadas em larga escala seguida por uma breve explicação de como fazer para contornar tais obstáculos. É impressionante também ver como evoluem as ferramentas utilizadas pelos hackers. Já estão disponíveis na rede os chamados “rootkits” que são pacotes de programas alterados que, uma vez que um hacker invade um sistema, basta rodar um script (já incluído no pacote) para que todos os seus rastros sejam apagados automaticamente e para que vários programas do sistema como “ps” e “netstat” sejam substituídos por versões que escondem a presença do hacker. A maioria desses “scripts prontos” são usados pelos chamados “script kiddies”. Estes são jovens com pouco (quase nenhum!) conhecimento de computação que ficaram impressionados por estórias de hackers e acham que um dia também poderão ser um. A maioria dos ataques de hoje são de “script kiddies” e não devem ser motivos de preocupação para quem mantém os softwares de seus servidores devidamente atualizados. A princípio, eu passava muito tempo pesquisando na Internet sobre possíveis vulnerabilidades de programas usados dentro da empresa. Nesse período, instalei e configurei algumas máquinas que passaram a servir para a monitoração da atividade na rede e para a detecção de possíveis ataques. Acho que a maior dificuldade veio da estrutura de hierarquia dentro da empresa. A equipe à qual eu pertenço tem como principal atividade o desenvolvimento de aplicações para o funcionamento do site. Praticamente toda programação exigida pelo site Americanas.com é feita por essa equipe. A não ser pela área de segurança (que faz parte da mesma equipe) não há uma necessidade de acesso privilegiado à maioria dos servidores. Sendo assim, eu me via, com certa freqüência, buscando o auxílio de pessoas de outra equipe para executar tarefas que seriam de minha responsabilidade. Isso começou a mudar pouco depois quando tive os primeiros contatos com a prevenção de fraudes. Estava sendo estudado um sistema para a prevenção de compra fraudulentas no site. Como alguém teria que programar tal sistema, fui escalado para trabalhar nisso por ser também um assunto relacionado à segurança. Terminado o sistema de prevenção de fraudes, comecei a me voltar mais para a área de desenvolvimento, quase sempre trabalhando em projetos relacionados à segurança. Hoje, apesar de ainda ter certas preocupações com a segurança, estou trabalhando bastante com programação. Fico feliz por ter percebido logo que é isso que eu realmente quero fazer (e pelo meu chefe ter percebido também).
|
|
Copyright © 2000 - Denis Celestino de Souza
|