VPN - Best VPN Rating

VPN – V de Virtual ou de Vulnerável ?

Tecnologia e Segurança

Muito se tem escrito sobre as redes, segurança de computadores e formas modernas de comunicação. A maioria dos usuários não tem a mínima noção do que acontece além do visor ou telinha de seu equipamento. Profissionais de TI têm muitos defeitos, como muitas outras profissões, e um deles é arrumar uma sopa de letrinhas para falar das coisas. As três letrinhas “da vez” são V, P e N. VPN é uma sigla ou acrônimo de Virtual Private Network, e uma aposta de muitas organizações para elevar a segurança de seus usuários, especialmente em tempos de Home Office.

#SQN

Redes de Computadores

Em primeiro lugar, tentaremos ser “normais” e falar para gente normal. Portanto, alguns profissionais de TI vão pensar que este texto não é para eles e estão redondamente enganados. Assim sendo, estamos propondo falar sobre algo que deveria ser cultural e conceitual de todos que utilizam informática. Analogamente, é como um cidadão que utiliza camisinha para fazer sexo mas não sabe como funciona, para que serve, de que material é feito aquele artefato. Infelizmente, a maioria dos usuários de TI não quer nem saber, quer ser feliz, depois não reclamem dos resultados adversos.

As redes de computadores sofreram muitas transformações conceituais e práticas em função do surgimento da microinformática. Como se não bastasse, a popularização dos PC ´s e o surgimento da Internet possibilitaram outro mundo na comunicação entre pessoas e computadores. A “mágica” foi possível a partir de um protocolo de comunicação denominado TCP-IP ( Transmission Control Protocol – Protocolo de Controle de Transmissão e o IP Internet Protocol – Protocolo de Internet ). Tudo que fazemos atualmente em nossos computadores e redes usando a Internet só é possível pela adoção, de fato, deste protocolo de comunicação. Em outras palavras, este protocolo é a linguagem ou idioma que permite às pessoas conversarem com outras pessoas através de dispositivos diversos de TI.

VPN

O objetivo deste texto não é conjurar contra cursos e textos em Blogs com redes e VPN uma vez que nossa intenção é esclarecer algumas pequenas coisas de TI. Embora VPN sejam somente três letrinhas e um simples desenho explique tudo ( é a nossa esperança ), cuidados adicionais estão sendo relegados a um plano muito inferior.

Por exemplo, a figura a seguir descreve uma VPN e como ela funciona em tempos de redes sociais e home office.

VPN e Home Office – Modelo Básico – Adaptação Internet

Na figura, uma empresa com trabalhadores na sua “Rede Empresa”, um servidor nesta rede, e um equipamento denominado “Firewall” para proteção do ambiente organizacional. Assim sendo, na comunicação, via protocolo TCP-IP, cada trabalhador em home office tem seu equipamento ligado à empresa pela VPN.

Temos, desta forma, uma visão simplificada da importância da VPN que se pretende, teoricamente, a não permitir que algum computador hostil faça uma conexão com a rede interna sem autorização.

VPN Segura ?

Imagina-se que os profissionais de segurança confiam e atuam neste sentido, que de acordo com procedimentos regulamentados, uma VPN e um Firewall protegem a empresa de intrusos. A questão é um pouco complicada pois se um destes usuários não têm mecanismos de proteção para seu equipamento, se este equipamento é utilizado por outras pessoas na casa, um acesso seria validado com esta VPN, mas poderia ser um acesso não-autorizado.

Desse modo, a maioria das empresas oferece aos seus trabalhadores em home office equipamento que seja usado exclusivamente nos serviços da empresa. Ou restaria provado que as vulnerabilidades de um equipamento fora da empresa, autorizado e credenciado pela VPN colocaria toda a rede e dados da organização sob risco.

Daí surge a brincadeira que muitos profissionais de segurança da informação não gostam de ler e ouvir: o ” V” não é de Virtual e sim de vulnerabilidade.

Além disso, pode ficar pior quando se passa a ideia de que basta uma VPN e um Firewall para prover segurança na comunicação.

Existem frases escritas por profissionais em empresas especializadas em segurança de redes que assustam:

  • “… aquele cadeado verdinho que aparece no site do seu banco é sinal que sua conexão VPN é confiável …”
  • “… com o cadeado verde significa que os dados só poderão ser vistos por você e pelo servidor que está recebendo ou enviando informação…”
  • “… uma VPN é a expansão do cadeado, criando um túnel de proteção e colocando você no anonimato … “
  • “… a VPN garante que o acesso remoto está protegido e ninguém não autorizado tem acesso aos dados transmitidos …”

VPN e TI segura

Desde que as comunicações passaram a usar protocolos como VPN, TCP-IP e outros, não resolve falar como funciona, benefícios, tipos e até custos se os métodos de implementação não forem sobejamente analisados e verificados quanto às vulnerabilidades. É assim que funciona em TI, Show me The Code(*) ou não dá para passar recibo.

Em tempos de organizações caminhando para home office de forma rápida, em tempos de empresas de todos os portes aceitando oferta de serviços baseada em Powerpoints motivacionais questionáveis, todo cuidado é pouco. Nesse ínterim, tenho lido textos que convencem até profissionais de TI experientes, mas não familiarizados com segurança da informação.

A recente aprovação da LGPD ( Lei geral de Proteção de Dados ) e outras normas e regulamentações está provocando e empurrando muitas organizações para um buraco negro. É necessário que todas as organizações, não apenas as que tratam dados de Pessoas Naturais, tenham atenção para o uso de uma VPN.

Se as organizações sabem fazer as perguntas certas, obterão as respostas certas. Se não souberem fazer as perguntas certas, contratem um mentor ou consultor por um curto tempo, para “desembolar” estas dúvidas de maneira independente de seu fornecedor de informática e serviços de Internet.

Independência e Futuro

A independência dos fornecedores e prestadores de serviços é crucial para que as organizações não dependam de conhecimento que pode se perder num segundo.

Quando escrevi “Pandemia Binária – O Zero Day” até mesmo profissionais de TI e segurança da informação se puseram a questionar. Um debate que travei antes da pandemia era sobre quanto tempo  algumas coisas como EaD, Home Office, Computação em Nuvem iam “pegar”. O que vejo agora é que 2020 está acabando e quem não pegou o “bonde”, está correndo atrás.

Você que contratou e não domina seus recursos de TI, da microempresa àquela grande corporação, esteja certo que muita sopa de letrinha numa apresentação não é bom sinal. Os malfeitores podem não estar visando sua rede protegida por VPN, portanto, todo cuidado com o seu usuário final é importante.

Conheço uma grande organização que paga U$5,00/ano ( cinco dólares por ano ) para proteger cada um dos seus quinhentos mil clientes cadastrados. Entretanto, tem muitas vulnerabilidades e, certamente, teria um serviço superior por U$3,00/ano. Uma baita economia e nível de segurança superior, contudo tem gente que não acredita.

 

(*) – Do original de Linus Torvalds: “Talk is cheap. Show me the code.” ou em livre tradução: Falar é fácil, mostre-me o código.

 

Imagem: BestVPNrating.Com

Nota do Autor

Reitero, dentre outras, o pedido feito em muitos textos deste blog e presente na página de “Advertências“.

  • Observações, sugestões, indicações de erro e outros, uma vez que tenham o propósito de melhorar o conteúdo, são bem vindas.
  • Coloquem aqui, nos comentários ou na página do Facebook, associada a este Blog, certamente serão todos lidos e avaliados.
  • Alguns textos são revisados, outros apresentam erros (inclusive ortográficos) e que vão sendo corrigidos à medida que tornam-se erros graves (inclusive históricos).
  • Algumas passagens e citações podem parecer estranhas mas fazem parte ou referem-se a textos ainda inéditos.

Agradeço a compreensão de todos e compreendo os que acham que escrevo coisas difíceis de entender, é parte do “jogo”.

 

 

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

Este site utiliza o Akismet para reduzir spam. Fica a saber como são processados os dados dos comentários.