O RDP é seguro? Uma conversa com o CTO e Cofundador da Splashtop, Jerry Hsieh, Diretor Sênior de Segurança e Conformidade da Splashtop

a computer keyboard

Nos últimos meses, à medida que ataques ransomware e hackers continuam fazendo parte das notícias, estamos ouvindo cada vez mais pessoas falando sobre protocolos de segurança para soluções de acesso remoto, além de perguntas sobre vulnerabilidades VPN (Rede Privada Virtual) e RDP (Protocolo de Área de Trabalho Remota). Em alguns casos, há casos em que as pessoas chegam a comparar o RDP e o seu risco inerente com as soluções da Splashtop.

Nossa CMO, Michelle Burrows, conversou o Cofundador e CTO da Splashtop, Phil Sheu, juntamente com Jerry Hsieh, Diretor Sênior de Segurança e Conformidade da Splashtop para saber se as preocupações envolvendo o RDP podem ser comparadas com as soluções Splashtop.

Michelle: Eu ando lendo muito sobre os riscos do RDP. Inclusive, um artigo recente, fala sobre todos os motivos pelos quais o RDP não é seguro. Por que você também acha que o RDP não é a escolha certa para organizações que buscam segurança?

Jerry: Antes de falarmos sobre porquê o RDP representa uma ameaça para as empresas, vamos falar sobre o que é ele e o que ele representa. O RDP é uma tecnologia antiga que foi originalmente projetada para que uma equipe de TI pudesse acessar servidores sem precisar entrar fisicamente na sala do servidor. Ele foi criado para resolver um problema muito específico - a sala do servidor geralmente é mantida super fria e é muito barulhenta, pois ela possui muitos equipamentos. É fácil entender porquê profissionais de TI não gostavam de entrar naquela sala com frequência, imagine precisar trabalhar nela. É aí que entra o RDP, ele permite que a equipe de TI inicie seções RDP para trabalhar nesses servidores remotamente, sem precisar ir até uma sala de servidores fria e barulhenta.

Com o tempo, profissionais de TI se deram conta de que o RDP não era particularmente seguro, então alguns deles começaram a adicionar outras configurações de segurança, como ACLs, políticas de firewall ou até mesmo um gateway VPN para adicionar outra camada de segurança caso o RDP precisasse ser acessado fora da rede da empresa. Eu já conversei com equipes que acham esse processo muito seguro, mas uma configuração incorreta do sistema pode fazer com que ele fique comprometido.

Como mencionamos há algumas semanas nesta entrevista, as VPNs também não são seguras por vários motivos. O que eu percebo é que muitas equipes, pensando estar adicionando outra peça à sua base de segurança, estão combinando duas tecnologias antigas e vulneráveis. Isso é como colocar uma cerca ao redor da sua casa e depois deixar a cerca e a porta da frente destrancadas e abertas. Nem a cerca nem a porta vão proteger os ativos da casa se ambas forem deixadas abertas. Os recursos de segurança da VPN não compensam as vulnerabilidades do RDP.

Michelle: Ao ouvir todos esse comentários negativos sobre RDP e VPN, eu me pergunto, por que tantas equipes continuam usando esse tipo de tecnologia?

Jerry: A maior razão pela qual equipes de TI usam RDP e VPN é sua facilidade e preço. Eles foram construídos na Microsoft e podem ser usados como parte do utilitário Windows. Isso significa que as equipes de TI não precisam comprar nada especial — eles vem com sua licença Microsoft, embora o RDS (Remote Desktop Services) exija licenças adicionais.

Michelle: Phil, gostaria de acrescentar algo às vulnerabilidades do RDP?

Phil: O RDP já existe há muito tempo — mesmo antes de o HTTPS e TLS se tornarem o padrão de proteção no tráfego da internet. O RDP foi projetado para funcionar em uma determinada porta e responder a qualquer pessoa que apareça nessa porta. Um computador com essa porta aberta e RDP ativo pode começar a receber ataques em até 90 segundos. Os invasores são especialistas em procurar e encontrar endpoints RDP vulneráveis. Ao obter acesso a um endpoint RDP, os invasores podem acessar a rede corporativa à qual o computador está conectado.

Michelle: Como a Splashtop é diferente de um RDP?

Phil: Primeiro, nós arquitetamos a Splashtop para ela ser nativa da nuvem, além de usarmos protocolos de segurança padrão do setor, como HTTPS e TLS. Os dados são transmitidos pela porta 443, assim como todo o tráfego web criptografado nos dias de hoje, as conexões são facilitadas pelos nossos servidores de retransmissão em todo o mundo. Para nossos clientes, significa que não são necessárias portas especiais, os firewalls também não precisam permitir exceções especiais. Computadores que usam a Splashtop não ficam expostos na internet ou DMZ de modo que certas pessoas possam escanear e atacar.

Michelle: Isso significa que a Splashtop possui a sua própria tecnologia proprietária?

Phil: Sim, nós temos a nossa própria tecnologia proprietária. Há pouco em comum entre as arquiteturas da Splashtop e do RDP quando o assunto é acesso remoto. Podemos pensar em empresas que optaram por criar uma história sobre o RDP, mas decidimos construir algo único em prol da segurança e da experiência do usuário.

Além da segurança, essa abordagem também permite que nossos clientes de TI e Help Desk acessem o grande conjunto de dispositivos que o RDP não suporta (Macs, iOS, Android e até mesmo algumas versões do Windows), sempre mantendo um ótimo desempenho e usabilidade.

Como um último comentário sobre o RDP, vou usar uma analogia que Jerry fez sobre deixar a porta da sua casa aberta para os ladrões. Digamos que você tenha uma casa na rua e a porta esteja aberta e todos os seus pertences estejam expostos. Embora toda a área circundante não saiba que a sua porta está aberta, qualquer pessoa que passe por ali pode saber que não tem ninguém em casa e que a sua porta está aberta. O RDP é assim. Agora, pegue esta mesma casa e coloque-a dentro de um condomínio fechado. Porém, a porta e o portão continuam aberto. Isso seria um RDP com uma VPN.

Vamos usar essa analogia para mostrar como a Splashtop funciona. Vamos colocar essa mesma casa em um condomínio fechado com um guarda. Vamos fechar as portas e o portão. O segurança sempre verifica as permissões de visitação. Ninguém fora do portão pode ver a sua casa e os seus pertences. Na verdade, não é nem possível ver a casa, ela está atrás de um muro. Ou seja, ninguém pode ver a sua casa, seus pertences e nem saber se você está em casa. Você sempre pode convidar uma pessoa em particular, mas esse convite não é aberto, o que impede que muitas pessoas espiem. É assim que a Splashtop funciona, em alto nível.

Michelle: Obrigada pelas analogias e pelo empenho nas respostas. Você poderia dizer onde os leitores do nosso blog podem encontrar mais informações sobre a segurança da Splashtop?

Phil: Eu adoro compartilhar recursos de segurança com nossos clientes e futuros clientes. Criamos uma seção dedicada à segurança e às perguntas que as pessoas podem ter. Você pode acessar essa seção aqui: https://www.splashtop.com/security

Artigos Relacionados

Banner de avaliação gratuita no final desta página