Paulo Laureano Estar vivo é uma condição precária com um péssimo prognóstico...

O e-mail em empresas é tão mal tratado...


O e-mail é importante. É importante porque as empresas dependem cada vez mais dele. É importante porque é através dele que se recuperam passwords de vários serviços. É importante porque as empresas o utilizam para transmitir facturas a clientes. É importante. Nesse ponto provavelmente estamos todos de acordo. Talvez seja então de começar a agir em conformidade com essa dita importância.


Os servidores corporativos devem controlar todo o tráfego do domínio

SPF, DKIM, existem há anos. Infelizmente mal configurados em muitos casos. A ideia é simples; todo o tráfego de e-mail de um dado domínio deve ter origem em servidores previamente identificados.

Muitas empresas, literalmente a medo, configuraram PPF/DKIM mas sem as flags que instruem os restantes servidores da Internet para recusarem qualquer mensagem que tenha origem em servidores errados.

O SPF e DKIM são francamente diferentes os servidores que “recebem” e-mail devem implementar ambas as tecnologias e recusar mail que venha dos servidores errados. Os servidores que enviam e-mail precisam de implementar (correctamente) pelo menos uma delas.


O e-mail deve ser sempre assinado digitalmente no cliente de e-mail

Assinar todos o e-mail digitalmente (recorrendo ao PGP ou a certificados S/MIME) é importante porque remove da equação a duvida sobre quem é o real remetente da mensagem. A esmagadora maioria dos ataques de phishing (e spear-phishing) baseiam-se no pressuposto do e-mail não ser devidamente autenticado na origem.

É importante perceber que a origem é o “cliente de e-mail do remetente” e não o servidor através do qual ele foi enviado. Um computador (de um dos funcionários) que tenha sido hackado provavelmente forneceu ao hacker as passwords do utilizador para fazer relay no servidor, passwords com as quais (na maioria dos cenários) ele (hacker) passa a poder passar por qualquer um dos funcionários da empresa a enviar e-mail pelo servidor corporativo. O certificado de cliente limita esse risco à falsificação do e-mail funcionário em causa (por oposição a todo o universo da empresa).

Ao não assinar digitalmente todos os e-mails estamos a expor clientes e colegas de trabalho a problemas de segurança que não deviam existir de todo. Esta classe de problemas de segurança depende totalmente da ignorância e margem de manobra proporcionada pelos responsáveis técnicos pelo e-mail das empresas. A ignorância cura-se, é uma coisa maravilhosa o que algumas horas a estudar um problema fazem no sentido de o resolver.

É francamente deprimente em 2015 ver bancos (todos?) e operadores de telecomunicações (MEO, Vodafone, etc) a comunicarem com clientes com mensagens não assinadas. E sim, há muitas empresa que há anos que assinam digitalmente as mensagens, isto não é propriamente tecnologia “nova”, tem mais de duas décadas. Lembro-me de há uma década atrás ver mensagens assinadas das “Estradas de Portugal”, da ZON (actual NOS, resta saber se passou bons hábitos à OPTIMUS ou se herdou os maus hábitos da empresa da SONAE, não fui verificar). Ver os “disclaimers” nas mensagens, do tipo “nunca metemos links nas mensagens”, e outros tesourinhos deprimentes, eram perfeitamente evitáveis com uma manhã de formação.

Não há desculpa nenhuma. É só falta de competência . O suporte a PGP e S/MIME existe para todos os sistemas operativos e praticamente todos os clientes de e-mail há décadas. As mensagens assinadas recebem atributos visuais (como os certificados SSL na web). Cada e-mail enviado entre colegas coloca a organização em risco (o Google e Apple foram hackados em ataques de spear-phishing), cada e-mail que se envia para fora da organização sem ser assinado coloca em risco parceiros, clientes e fornecedores.

As empresas precisam não só de implementar boas práticas mas também de exigir a parceiros e fornecedores que o façam. E se alguma informação deve ser passada aos clientes sobre o assunto não é de “não seguir links” ou que “nunca pedimos informação por e-mail”, mas sim de que devem habituar-se a verificar a proveniência das mensagens através dos simbolos que autenticam o remetente, da mesma forma que na web procuram pelos símbolos de SSL.


O e-mail deve ser encriptado nas comunicações internas e com fornecedores/parceiros.

Agora que o outsourcing dos servidores de e-mail na cloud (PT, gmail, Microsoft, etc) parece estar na moda, é importante perceber que independentemente de vulnerabilidades dos clientes, existe a possibilidade de alguém estar dos sistema de que a empresa depende para guardar mail terem fragilidades. Se o mail que lá é depositado estiver encriptado entre quem o enviou e quem o recebe, fica mitigado o problema do local onde o e-mail “aterra” e onde é “guardado”. Tanto o PGP como o S/MIME permitem encriptar os conteúdos do e-mail. Por defeito devem estar configurados para encriptar sempre que possível (i.e. quando ocorreu uma troca de certificados entre duas pessoas) todo o e-mail.

Não é difícil com qualquer uma das tecnologias assegurar que todas as pessoas de uma empresa (e interlocutores externos) trocaram certificados. No caso do S/MIME até é automático quando se recebe a primeira mensagem assinada, no caso do PGP existem repositórios de chaves públicas universalmente acessíveis por qualquer pessoa.

As mensagens encriptadas, à semelhança das “assinadas”, recebem nos clientes de e-mail referências visuais.


Os servidores de e-mail precisam de ser inteligentes e monitorizados…

Súbitas mudanças de localização dos clientes, novos devices, mensagens por assinar/encriptar. Tudo isso devem ser sinais de alarme e devem fazer soar os ditos juntos do utilizador e de quem gere o e-mail. O Gmail (por exemplo) implementa as duas primeiras particularmente bem.


A autenticação por dois (ou mais) factores…

Os utilizadores não podem fornecer informação que desconhecem a terceiros. Usar sempre autenticação por dois factores (de preferência sendo um deles biométrico, ou baseada em hardware diferente do que está a pedir a autenticação, ou uma combinação de ambos os pontos) é absolutamente obrigatório.

Hoje a vida está facilitada pela elevada percentagem telemóveis por utilizador rondar os 100%. Muitos desses telemóveis com leitores de impressão digital, todos eles capazes de correr uma aplicação da empresa e/ou de receber mensagens com passwords não reutilizáveis.

A utilização de certificados digitais, que complementam passwords, para efeitos de autenticação é absolutamente preciosa e simples de implementar dentro de cada empresa. O mito de que é complexo fazer o deployment (usando um instalador ou uma aplicação corporativa) é inqualificável através de palavras simpáticas.


Full IT
ZZ110B505A

A Full IT há duas décadas que ajuda empresas e tornar o e-mail mais seguro.

- toda a consultoria,
- formação de quadros na administração de sistemas,
- desenho dos processos de deployment (desde instaladores a aplicações móveis corporativas),
- sistemas de backup de todo o mail que passa por servidores,
- fornece igualmente a opção de servidores como uma solução "chave na mão" a empresas de todo o mundo.