Já estamos no mês de maio, e você sabe o que comemoramos na primeira quinta-feira deste mês? Sim, é o Dia Mundial das Senhas. Celebrado desde 2013, este dia vem nos lembrar da adequada consciência cibernética e da importância da proteção das senhas em todos os ambientes, sejam eles profissionais ou pessoais. Não é à toa que as senhas são chamadas de identidades digitais.

Nossa vida tem sido resumida cada vez mais ao mundo online. Não apenas com relação ao  trabalho, mas também ao aprendizado, divertimento, nosso e dos nossos filhos, até atividade física, muito tem sido realizado em ambientes digitais, principalmente considerando os tempos de pandemia de covid-19. E nesses novos tempos, quando uma grande massa de pessoas realiza atividades remotamente a partir de dispositivos sem os devidos mecanismos de proteção cibernética, é importante redobrar os cuidados com senhas e outros dados sensíveis. Assim, neste artigo explicamos a importância das senhas e da sua adequada proteção para usuários e organizações.

A combinação de usuário e senha é utilizada desde o início da utilização dos sistemas computacionais como um mecanismo básico de defesa desses sistemas, evitando acesso não autorizado a dados armazenados em sistemas e dispositivos. Apesar da criação de mecanismos de autenticação sem senha, como biometria ou senhas de utilização única (OTP), a combinação de usuário e senha ainda é amplamente utilizada para acesso a sistemas e dispositivos. Isso porque essa combinação é fácil e barata de ser implementada.

Em um cenário de transformação digital, a multiplicação de sistemas, dispositivos e suas respectivas credenciais é um cenário perfeito para atacantes maliciosos obterem senhas e, com isso, acessarem dados indevidamente. Afinal, lembrar de uma senha apenas é muito mais fácil que das dezenas (ou até centenas) de serviços que exigem algum tipo de autenticação. Estima-se que o número de senhas por usuário esteja entre 70 e 100.

As organizações de hoje dependem de um grande número de aplicativos de negócios, serviços da web e soluções de software personalizadas para atender às comunicações de negócios e outros requisitos de transação.

Normalmente, vários aplicativos exigem acesso a bancos de dados e outros aplicativos com frequência para consultar informações relacionadas aos negócios. Esse processo de comunicação geralmente é automatizado incorporando as credenciais do aplicativo em texto não criptografado nos arquivos de configuração e scripts. 

Os administradores geralmente acham difícil identificar, alterar e gerenciar essas credenciais. Como resultado, as senhas permanecem inalteradas, o que pode levar ao acesso não autorizado a sistemas confidenciais. 

Assim, as senhas hardcoded podem facilitar o trabalho dos técnicos, mas também é um ponto de partida fácil para os agentes maliciosos. Continue a leitura do texto e conheça mais sobre o que são as senhas hardcoded e como gerenciar esse recurso com segurança.

Quais são os riscos de usar senhas hardcoded?

A violação de dados é uma das ameaças mais assustadoras para uma empresa. A exposição de dados confidenciais, seja acidental ou causada por criminosos, pode levar a perda de vantagem competitiva e até multas em caso de exposição de informações pessoais. 

De acordo com relatório da IBM, o custo médio global de uma violação de dados uma organização custa cerca de US$ 3,86 milhões em 2020, com um aumento de cerca de US$ 1 milhão para US$ 4,77 milhões caso a violação seja devido a credenciais comprometidas de um funcionário.

Nesse cenário, as empresas estão fazendo grandes investimentos para reduzir sua superfície de ataque e evitar possíveis violações de dados. No entanto, entre as diversas ameaças que precisam ser protegidas, há uma que geralmente é subestimada, embora possivelmente comprometa a vida de uma empresa inteira: as senhas codificadas.

As senhas codificadas em uma base de código pública podem ser considerados como fechar a porta de entrada de uma casa e esquecer a chave na fechadura: essa é a maneira mais direta e óbvia de causar uma violação de dados, de fato, credenciais codificadas não precisam de nenhuma habilidade específica para ser explorado.

Seguindo com outros riscos associados às senhas codificadas, existe o fato de que muitos aplicativos ou dispositivos podem compartilhar a mesma senha codificada. Como resultado, adivinhar a senha pode permitir que cibercriminosos se conectem e controlem todos os outros dispositivos ou aplicativos que usam a mesma senha. 

Infelizmente, adivinhar ou aprender a combinação incorporada pode ser mais fácil do que você pensa. Muitos desenvolvedores compartilham seu código no GitHub e em sites sem perceber que, ao fazê-lo, podem revelar senhas em texto simples. 

Naturalmente, os cibercriminosos também estão cientes disso, então pode ser apenas uma questão de tempo até encontrarem as senhas compartilhadas acidentalmente. Sem mencionar que vários aplicativos e ferramentas maliciosas podem forçar a senha do aplicativo ou do dispositivo, portanto, mantê-lo codificado no código-fonte é sempre um risco.

Como as senhas hardcoded são usadas e onde são encontradas?

As senhas estão por toda parte. Às vezes, elas são aparentes codificadas no código ou em arquivos de configuração. Outras vezes, elas assumem a forma de chaves de API, tokens ou cookies. 

Como elas representam um risco de segurança, não há outra maneira de dizer isso: as senhas codificadas precisam ser eliminadas.

As senhas codificadas são uma prática usada por desenvolvedores ao construir uma página da web ou um aplicativo. Usando essa prática, os desenvolvedores incorporam informações importantes (senhas e outros dados secretos) na linguagem de código (em vez de obter as senhas de fontes externas ou gerá-las quando necessário).

Consequentemente, as credenciais codificadas contêm senhas e outros segredos importantes e, embora não sejam visíveis do lado de fora, são quase muito óbvias e fáceis de encontrar na linguagem do código, o que as torna um grande risco de segurança.

Dentro do seu negócio, você pode ter encontrado senhas codificadas de várias maneiras, incluindo:

• Configurando e estabelecendo um novo sistema.
• API e integração do sistema.
• Criando chaves de criptografia ou descriptografia.
• Para definir acesso privilegiado.
• Para simplificar a comunicação de aplicativo para aplicativo ou de aplicativo para banco de dados.

As senhas codificadas podem ser encontradas em:

• Aplicativos de software, tanto no local quanto hospedados na nuvem.
• BIOS e outros firmwares em computadores, dispositivos móveis, impressoras e servidores.
• Aplicativos de DevOps.
• As redes incluem roteadores, switches e uma infinidade de outros sistemas de controle.
• Dispositivos móveis habilitados para IoT e internet.

As senhas codificadas não são criptografadas. É exatamente por isso que elas representam uma falha crítica de segurança.

Quais são os exemplos de incidentes de segurança envolvendo senhas hardcoded?

As senhas continuam sendo, de longe, o método mais usado para autenticar usuários em aplicativos e sistemas, apesar dos esforços de longa data dos líderes do setor de tecnologia para encontrar alternativas mais seguras.

O número crescente de ataques envolvendo roubo ou comprometimento de credenciais ao longo dos últimos anos concentrou mais atenção em maneiras de reforçar a segurança dos mecanismos de autenticação baseados em senha.

Apesar de todos os esforços dos profissionais de segurança, ainda acontecem incidentes de segurança cibernética envolvendo credenciais codificadas. Conheça a seguir os casos mais conhecidos mundialmente envolvendo essa problemática.

Ataque Mirai

O malware Mirai, que ganhou destaque no final de 2016 (embora possa ter estado ativo anos antes), verifica o serviço Telnet em caixas IoT baseadas em Linux com Busybox (como DVRs e câmeras WebIP) e em servidores Linux autônomos. 

Em seguida, por meio de um ataque de força bruta, aplica uma tabela de 61 nomes de usuário e senhas padrão codificadas para tentar o login. 

O Mirai e suas variantes foram usados ​​para montar enormes botnets de dispositivos IoT, até cerca de 400.000 dispositivos conectados, sem o conhecimento da maioria de seus proprietários. 

Botnets relacionados ao Mirai realizaram alguns dos ataques DDOS mais disruptivos já vistos, com vítimas como a French Telecom, Krebs on Security, Dyn, Deutsche Telekom, bancos russos e o país da Libéria.

Violação Uber

Embora os ataques do Mirai tenham sido mais notáveis ​​por causar inatividade nos negócios, a violação do Uber resultou na exposição de informações de 57 milhões de clientes, além de cerca de 600.000 motoristas. 

Assim como no Mira, as credenciais codificadas estavam com defeito. Um funcionário da Uber publicou credenciais de texto simples no código-fonte que foi postado no Github, que é um repositório popular usado por desenvolvedores. 

Um hacker malicioso experiente simplesmente encontrou as credenciais incorporadas no GitHub e as usou para obter acesso privilegiado às instâncias Amazon AWS da Uber.

Quais são as melhores práticas e soluções para gerenciamento de senhas hardcoded?

Muitas empresas estão cientes do problema representado pelas credenciais codificadas e sabem que senhas devem ser gerenciadas com atenção. Por isso, aqui está uma lista com as melhores práticas para gerenciar senhas codificadas em seu ambiente de TI.

Descubra e identifique todos os tipos de senhas

Tentar descobrir se as credenciais codificadas estão sendo usadas no código é um bom primeiro passo. O uso de credenciais de texto não criptografado também ocorre em arquivos de configuração, infraestrutura como código e contêineres. 

Descubra e identifique todos os tipos de senhas, chaves e outros segredos em todo o seu ambiente de TI e coloque-os sob gerenciamento centralizado. Descubra e integre continuamente novos segredos à medida que são criados.

Além de ser uma possível exposição à segurança, o uso de senhas codificadas pode afetar a resiliência cibernética. Além de obter visibilidade de seu uso, é melhor governar e proteger adequadamente o uso de credenciais para melhorar a segurança e a resiliência.

Atenção as ferramentas DevOps

Elimine senhas codificadas e incorporadas em configurações de ferramentas DevOps, scripts de compilação, arquivos de código, compilações de teste, compilações de produção, aplicativos e muito mais. 

Uma prática recomendada é usar um servidor de segredos ou um cofre de credenciais para gerenciar todos os tipos de segredos, como senhas e chaves SSH. Essa abordagem fornece uma API que dá acesso a segredos com base em políticas e elimina a necessidade de armazenar credenciais em texto não criptografado em aplicativos/arquivos de configuração/serviços.

Gerencie credenciais codificadas permanentemente, como por meio de chamadas de API, e aplique as práticas recomendadas de segurança de senha. A eliminação de senhas padrão e codificadas efetivamente remove backdoors perigosos para seu ambiente.

Crie e use senhas fortes

Aplique as práticas recomendadas de segurança de senha, incluindo comprimento, complexidade, expiração de exclusividade, rotação e muito mais em todos os tipos de senhas. 

Credenciais, se possível, nunca devem ser compartilhadas. Se uma credencial for compartilhada, ela deverá ser alterada imediatamente. As credenciais para ferramentas e sistemas mais sensíveis devem ter parâmetros de segurança mais rigorosos, como senhas de uso único e rotação após cada uso.

Monitore as sessões privilegiadas

Aplique o monitoramento de sessão privilegiada para registrar, auditar e monitorar todas as sessões privilegiadas (para contas, usuários, scripts, ferramentas de automação e outros) para melhorar a supervisão e a responsabilidade. 

Isso também pode envolver a captura de teclas e telas (permitindo visualização e reprodução ao vivo). Algumas soluções de gerenciamento de sessão de privilégio empresarial também permitem que as equipes de TI identifiquem atividades de sessão suspeitas em andamento e pausem, bloqueiem ou encerrem a sessão até que a atividade possa ser avaliada adequadamente.

Gerencie as credenciais dos terceirizados

Estenda o gerenciamento de credenciais para terceiros e garanta que parceiros e fornecedores estejam em conformidade com as melhores práticas de uso e gerenciamento de credenciais.

Aproveite a análise de ameaças para analisar continuamente o uso de credenciais para detectar anomalias e ameaças em potencial. Quanto mais integrado e centralizado for o gerenciamento de credenciais, melhor você poderá relatar contas, aplicativos de chaves, contêineres e sistemas expostos a riscos.

Adote o DevSecOps

Com a velocidade e a escala do DevOps, é crucial criar segurança na cultura e no ciclo de vida do DevOps (desde o início, design, construção, teste, lançamento, suporte, manutenção). 

Adotar uma cultura DevSecOps significa que todos compartilham a responsabilidade pela segurança, ajudando a garantir a responsabilidade e o alinhamento entre as equipes. Na prática, isso deve implicar em garantir que as práticas recomendadas de gerenciamento de segredos estejam em vigor e que o código não contenha senhas incorporadas.

As políticas corretas de gerenciamento de credenciais e segredos, apoiadas por processos e ferramentas eficazes, podem tornar muito mais fácil gerenciar, transmitir e proteger segredos e outras informações privilegiadas. 

Quais são os próximos passos para gerenciar as senhas hardcoded?

Você provavelmente está se perguntando por que as pessoas ainda estão usando senhas codificadas. A principal resposta é porque é mais fácil de fazer, mantém o processo de codificação menos complicado.

Além disso, as senhas codificadas são feitas com a intenção de nunca serem alteradas, portanto, representam uma parte da linguagem do código. Muitos desenvolvedores temem alterá-los para não interromper diferentes tipos de operações dentro do sistema.

Se você levar em conta que uma organização de tamanho médio pode ter centenas ou milhares de senhas e outros dados secretos espalhados por todos os dispositivos, aplicativos e sistemas, é possível supor que não é um processo fácil corrigir credenciais codificadas.

Uma solução PAM (Gestão de Acesso Privilegiado) ajuda a melhorar a postura de segurança de aplicativos reduzindo o erro humano, automatizando tarefas relacionadas à segurança e melhorando a percepção e a governança. 

Quanto à alteração de credenciais, é possível agendar a rotação automática e impor o uso de credenciais fortes e exclusivas sem a necessidade de intervir manualmente em todas as aplicações que as utilizam. 

O senhasegura permite a fácil remoção de senhas e credenciais codificadas de fontes de dados por meio de scripts, códigos de aplicativos, arquivos de configuração e chaves SSH, via servidores. O cofre de senhas se conecta aos servidores principais e sincroniza a mudança de senha com o banco de dados. O aplicativo, portanto, não perde a conexão.

O aplicativo integrado pode acessar a API senhasegura a qualquer momento e receber a senha atualizada do recurso a ser acessado. Dessa forma, esses dados críticos ficarão inacessíveis a todos os invasores e usuários mal-intencionados.

Solicite uma demonstração hoje mesmo!