Baixe o app para aproveitar ainda mais
Prévia do material em texto
05/04/2021 Ead.br https://anhembi.blackboard.com/webapps/late-course_content_soap-BBLEARN/Controller?ACTION=OPEN_PLAYER&COURSE_ID=_667208_… 1/32 SEGURANÇA EM DISPOSITIVOSSEGURANÇA EM DISPOSITIVOS MÓVEISMÓVEIS MECANISMOS DEMECANISMOS DE SEGURANÇA COMSEGURANÇA COM DISPOSITIVOS MÓVEISDISPOSITIVOS MÓVEIS Autor: Me. Marcelo Henrique dos Santos Revisor : D iego Gomes I N I C I A R 05/04/2021 Ead.br https://anhembi.blackboard.com/webapps/late-course_content_soap-BBLEARN/Controller?ACTION=OPEN_PLAYER&COURSE_ID=_667208_… 2/32 introduçãoIntrodução Caro(a) estudante, à medida que os smartphones começam a substituir os computadores pessoais por causa de seus recursos avançados e facilidade de uso, grandes volumes de dados con�denciais agora são armazenados e processados em smartphones — incluindo contatos, e-mails, fotos e vídeos. Isso torna os smartphones um alvo atraente para invasores, principalmente no que diz respeito às várias maneiras de instalar códigos maliciosos nos dispositivos de suas vítimas e obter acesso não autorizado aos dados con�denciais dos usuários. A partir desse cenário, nesta unidade, vamos discutir sobre os Mecanismos de Segurança com Dispositivos Móveis, os cuidados que devemos tomar com os aplicativos e softwares, o Controle Físico, o gerenciamento e manipulação das Senhas de Acesso. Bons estudos! 05/04/2021 Ead.br https://anhembi.blackboard.com/webapps/late-course_content_soap-BBLEARN/Controller?ACTION=OPEN_PLAYER&COURSE_ID=_667208_… 3/32 A evolução dos telefones celulares que podem ser usados em qualquer lugar, bem como a tendência crescente de suas características e performances provocaram novos problemas de segurança. Infelizmente, a maior parte da segurança implantada não são mecanismos adaptados a esses contextos, principalmente devido aos recursos limitados de hardware (CPU, RAM e bateria), e às particularidades de cada ameaças móveis. Além disso, os ataques direcionados aos dispositivos móveis aumentaram 614% em um ano e o número de malware aumentou de 38,689 para 276,259 em um ano. Devido à quantidade de várias comunicações (interfaces) distintas, como: USB, GPRS, 3G / 4G, WiFi, dentre outros; nos telefones celulares para realizar a sincronização com o computador; armazenamento de dados na memória em cartões; compartilhamento de mídia via Bluetooth, Wi�, etc. (SCHMIDT; ALBAYRAK, 2011). O software malicioso tenta usar essas interfaces para se propagar, usando serviços como MMS e/ou Bluetooth. Quando um nó está infectado, ele lança diversas tentativas para conseguir espalhar o malware via MMS, se Mecanismos deMecanismos de Segurança comSegurança com Dispositivos MóveisDispositivos Móveis 05/04/2021 Ead.br https://anhembi.blackboard.com/webapps/late-course_content_soap-BBLEARN/Controller?ACTION=OPEN_PLAYER&COURSE_ID=_667208_… 4/32 comportando como um vírus na Internet via e-mail. Geralmente começa com o envio de Mensagens MMS para os contatos encontrados na lista telefônica ou gerando combinações de números pertencentes a uma operadora de telecomunicações ou uma região conhecida (RADMILORACIC; CHEN, 2006). O ambiente permite que as redes móveis espalhem programas maliciosos direto via conexão Bluetooth ou Wi-Fi entre nós no caso de uma distribuição geográ�ca limitada (LAN) e por contato indireto com SMS ou MMS para grandes áreas geográ�cas (WAN). A maneira tradicional de detectar malware com base em assinatura digital está se tornando uma abordagem recente que visa prevenir e mitigar a ameaça representada por um malware móvel. De acordo com a pesquisa sobre prevenção de malware com base na pesquisa de Zhang, Aciicmez & Seifert (2009), é proposto aplicar um controle de acesso obrigatório para evitar o comportamento hostil dos programas; um dos principais desa�os é determinar automaticamente as regras, sem qualquer intervenção humana. Caso contrário, de acordo com Liu et al. (2009), a anomalia pode ser identi�cada pela variação da energia elétrica do telefone móvel que detecta malware observando o gasto extra de energia causado por um comportamento hostil do consumidor; a principal desvantagem dessa técnica é a falta de precisão e exatidão na modelagem de energia do consumo para plataformas móveis multitarefa. 05/04/2021 Ead.br https://anhembi.blackboard.com/webapps/late-course_content_soap-BBLEARN/Controller?ACTION=OPEN_PLAYER&COURSE_ID=_667208_… 5/32 De acordo com F-Secure Labs (2011a; 2011b), podemos relacionar outros esforços industriais contra malware concentrando-se em dois mecanismos: 1. Controle de acesso em diferentes níveis: aplicação, rede, sistema operacional (Android, Symbian e Microsoft Windows). 2. Antivírus (Kaspersky, McAfee, Norton ...), que trabalham nas assinaturas de ataque (detecção de rastreamentos de execução) [12] Podemos citar como exemplo de ameaça via MMS, o malware que pode espalhar para dispositivos móveis uma cópia de si mesmo a partir de um SMS / MMS enviado da máquina infectada. O Commwarrior é um exemplo de worm que pode ser propagado via MMS (F-SECURE LABS, 2011a; F-SECURE LABS, 2011b). O worm é capaz de analisar a lista telefônica e enviar via MMS aos contatos encontrados mensagens que podem infectar esses dispositivos assim que o MMS for aberto. saibamaisSaiba mais Como proteger sua empresa de ataques a dispositivos móveis? Este vídeo aborda como os ataques recentes a dispositivos móveis através de aplicativos de mensagens ocorrem e é apresentado algumas estratégias que a IBM pode ajudar a proteger o negócio de tais ameaças. Acesso em: 17 jan. 2020. ASS IST IR 05/04/2021 Ead.br https://anhembi.blackboard.com/webapps/late-course_content_soap-BBLEARN/Controller?ACTION=OPEN_PLAYER&COURSE_ID=_667208_… 6/32 Como exemplo de proteção, os servidores de rede que podem adotar uma estratégia para a �ltragem automática de mensagens geradas por spammers. Um exemplo de ameaça via Bluetooth: a infecção via Bluetooth depende da proximidade física do atacante para a máquina infectada. Requer que o telefone Bluetooth esteja ligado, com um sinal com força su�ciente e o telefone deve estar no modo detectável. Como não existem intermediários entre a máquina infectada e uma vítima em potencial, é difícil monitorar remotamente a rota da infecção. O Cabir é um worm conhecido que o Bluetooth funciona em SymbianSeries 60 e se espalham entre os dispositivos (F-SECURE LABS, 2011a; F-SECURE LABS, 2011b). Outro exemplo de proteção que podemos citar são as estratégias de defesa contra a propagação via arquitetura Bluetooth o blue-Guard; essa estratégia pode detectar a propagação de Worms. A proteção consiste em dois elementos básicos: 1. Relógios Bluetooth. 2. O centro da detecção do Bluetooth. Os monitores Bluetooth, de acordo com LIU, YAN, ZHANG & CHEN (2009), são usados para coletar um número de vezes que as pessoas pesquisam, o que é essencial para a distribuição da tecnologia Bluetooth. No entanto, o número de pacotes que serão investigados não é um bom parâmetro para detectar se as operações estão ocorrendo de forma normal. O worm Bluetooth é projetado para espalhar de forma rápida e agressiva novas vítimas dentro da área de cobertura. Distribuição via MMS Para garantir a privacidade de seus assinantes, o fornecedor de telecomunicações é convidado a implementar um programa de auditoria / automático para a desinfecção em todas as versões de sistemas operacionais, que pode ser aplicado em todos os telefones celulares; o SMS diferencia o programa atual / MMS hostil e limita sua propagação no futuro. 05/04/2021 Ead.br https://anhembi.blackboard.com/webapps/late-course_content_soap-BBLEARN/Controller?ACTION=OPEN_PLAYER&COURSE_ID=_667208_… 7/32 O programa em si não deve afetar o desempenho do dispositivo móvel usando os recursos (CPU, RAM, energia da bateria). 1.2 Distribuição via Bluetooth Os operadores podem integrar novas soluções com acesso à identi�cação forte e poderosa usando o IP (endereço) ou endereço MAC (lista de acesso Bluetooth) a partir da �ltragem nos dispositivos móveis comercializados para permitiro acesso somente aos telefones celulares conhecidos e con�áveis. Com esta solução, apenas os dispositivos autenticados e os usuários autorizados podem compartilhar recursos através de uma Rede Bluetooth. Essas soluções, uma vez instaladas na rede local podem interromper a disseminação de programa malicioso na rede, que é um ponto de interconexão de todos os dispositivos móveis e uma porta de entrada para a interconexão de outros provedores de telecomunicações com uma solução completa de segurança (antivírus de gateway, �rewall, detecção de intrusões, teste de vulnerabilidade e �ltro de SMS / MMS). Além desses recursos, de acordo com Ross et al. (2000), precisamos de uma estrutura abrangente e central para atender os seguintes objetivos: Política de segurança de aplicativos; Conhecimento de segurança móvel; Implementar práticas de segurança recomendada para dispositivos móveis; Estabelecer um sistema de monitoramento em vários níveis: (Camada 2, Camada 3 e os Dados no nível do aplicativo); Patches de segurança de atualização automática; Integração de um sistema de alerta em tempo real via SMS; Testes de aplicação do status de segurança do sistema móvel através de uma auditoria periódica ou procurar vulnerabilidades. 05/04/2021 Ead.br https://anhembi.blackboard.com/webapps/late-course_content_soap-BBLEARN/Controller?ACTION=OPEN_PLAYER&COURSE_ID=_667208_… 8/32 praticarVamos Praticar Leia o trecho a seguir: Segundo Chaves (2009), com a modernização dos aparelhos celulares e o surgimento de novas tecnologias de transmissão de voz (�nalidade para qual foi criado inicialmente), dados e imagem permitiu que o celular se tornasse um ponto de convergência. CHAVES, F. da S. Mobile Marketing. Universidade Cândido Mendes. 2009. Instituto A Vez Do Mestre, Rio de Janeiro, 2009. Disponível em: https://www.avm.edu.br/docpdf/monogra�as_publicadas/T205041.pdf. Acesso em: 17 jan. 2020. O uso da comunicação de dados por meio de celular criou novas utilizações, tais como: SMS – (Short Message Service) – troca de mensagens de texto; MMS – (Multimídia Message Service) – envio de fotos e pequenos vídeos; Acesso à Internet; Reprodução de áudio e visualização de fotos e vídeos. Para garantir a privacidade de seus assinantes, o fornecedor de telecomunicações deve fazer qual procedimento? a) Implementar um programa de auditoria / automático para a desinfecção em todas as versões de sistemas operacionais, que pode ser aplicado em todos os telefones celulares. b) Implementar um jogo digital para promover a diversão e o entretenimento dos usuários que atenda todas as versões de sistemas operacionais, que pode ser aplicado em todos os telefones celulares. c) Implementar um aplicativo de análise e monitoramento GPS que atenda todas as versões de sistemas operacionais, que pode ser aplicado em todos os telefones celulares. d) Implementar um aplicativo de fluxo de dados e controle de temperatura que atenda todas as versões de sistemas operacionais, que pode ser aplicado em todos os telefones celulares. https://www.avm.edu.br/docpdf/monografias_publicadas/T205041.pdf 05/04/2021 Ead.br https://anhembi.blackboard.com/webapps/late-course_content_soap-BBLEARN/Controller?ACTION=OPEN_PLAYER&COURSE_ID=_667208_… 9/32 e) Implementar um software para realizar o cadastro de todos os telefones disponíveis na API da Agência Nacional de Telecomunicações (Anatel) para controlar todos os acessos que atenda todas as versões de sistemas operacionais, que pode ser aplicado em todos os telefones celulares. 05/04/2021 Ead.br https://anhembi.blackboard.com/webapps/late-course_content_soap-BBLEARN/Controller?ACTION=OPEN_PLAYER&COURSE_ID=_667208… 10/32 A segurança do dispositivo móvel abrange todo o dispositivo móvel, incluindo o dispositivo e segurança de dados, Wi-Fi e comunicações, e o acesso seguro aos aplicativos e dados corporativos. Além disso, abrange o desenvolvimento, teste e entrega dos aplicativos através de lojas de aplicativos e sites. Este tópico está organizado em itens, cada uma qual descreve uma área importante de preocupação com a segurança do dispositivo móvel. Malware e App Stores Inúmeras fontes citam o aumento do malware de dispositivos móveis, por exemplo, o Motive Security Labs examina as tendências e estatísticas para infecções por malware em dispositivos conectado através de redes móveis e �xas. No H1 - Relatório de malware de 2015, é apontado que a maioria dos malwares do Android está atualmente distribuído como aplicativos trojanized, sendo que o Android oferece o alvo mais fácil para que isso ocorra. Especi�camente, os aplicativos Android podem ser baixados de lojas de aplicativos e sites de terceiros; onde não há controle dos certi�cados digitais usados para assinar aplicativos Android e geralmente são autoassinados e Instale MecanismosInstale Mecanismos de Segurançade Segurança 05/04/2021 Ead.br https://anhembi.blackboard.com/webapps/late-course_content_soap-BBLEARN/Controller?ACTION=OPEN_PLAYER&COURSE_ID=_667208… 11/32 não podem ser rastreados até o seu criador (desenvolvedor). Consequentemente, é fácil sequestrar um aplicativo Android, injetar um código malicioso nele e assinar novamente para realizar a redistribuição. reflitaRe�ita O MassVet é uma técnica inovadora de detecção de malware que compara um aplicativo enviado com todos os outros aplicativos em um mercado, concentrando-se em suas diferenças com aqueles que têm uma estrutura de interface do usuário semelhante e interseções com outras pessoas (Chen et al., 2015). O MassVet foi usado para analisar quase 1,2 milhão de aplicativos e descobriu 127.429 aplicativos mal-intencionados. O problema não se limita a dispositivos Android, pois a Apple iTunes Store distribuiu recentemente vários aplicativos maliciosos criados pelo XcodeGhost, que estão listados no site da Apple. Fonte: CHEN et al. (2015). 05/04/2021 Ead.br https://anhembi.blackboard.com/webapps/late-course_content_soap-BBLEARN/Controller?ACTION=OPEN_PLAYER&COURSE_ID=_667208… 12/32 Existem também numerosos repositórios públicos do Cydia com versões adulteradas de aplicativos pagos disponível gratuitamente. Esses aplicativos geralmente contêm malware. A distribuição de aplicativos por meio de lojas de aplicativos deve impedir a introdução de malware através de métodos e�cazes e escaláveis (com os mecanismos de veri�cação). Os mecanismos existentes, no entanto, são lentos e menos capazes de capturar novas ameaças. Armazenamento Seguro A análise da Flurry informou que, em 2014, os usuários gastaram 86% do seu tempo nos dispositivos móveis usando aplicativos móveis contra 14% usando um navegador. Nos aplicativos tradicionais de servidor de navegadores, os dados tendem a ser armazenados no servidor (onde controles rígidos podem ser aplicados). Em contraste a esse cenário, muitos aplicativos móveis armazenam em cache dados os con�denciais (de forma local), expondo-os a vários novos vetores de ataque e frequentemente deixando a segurança como responsabilidade do usuário (NCC Group, 2015). Os dispositivos móveis são usados de maneiras únicas, o que torna um desa�o para os desenvolvedores armazenarem os dados com segurança. Um desa�o central para a criptogra�a de dados é o armazenamento de chaves. Em dispositivos móveis, a chave de criptogra�a precisa estar disponível para o usuário acessar os dados. No entanto, a criptogra�a de dados muda apenas o problema de armazenar os dados para armazenar a chave. Armazenando uma chave de criptogra�a em um servidor remoto geralmente não resolve o problema, pois um invasor que tem acesso ao dispositivo pode solicitar a chave de criptogra�a desse servidor e descriptografar os dados. A maioria dos dispositivos móveis utiliza alguma forma de senha ou senha usada de uma maneira criptogra�camente segura. A chave em si nunca é armazenada no dispositivo e é criada apenas na memória (sempre que o usuário digitar sua senha). O iOS 9 fornece um módulo de segurança de hardware (HSM), que permite gerar e usar chaves no chip de hardwaresem permitir o acesso a ele. 05/04/2021 Ead.br https://anhembi.blackboard.com/webapps/late-course_content_soap-BBLEARN/Controller?ACTION=OPEN_PLAYER&COURSE_ID=_667208… 13/32 Comunicações Seguras Segundo Pell e Soghoian (2014), diversos pesquisadores documentaram uma história preocupante a respeito da vigilância a partir dos dispositivos móveis. A vigilância ativa pode ser realizada com uma identidade internacional de assinante móvel, denominado de IMSI (International Mobile Subscriber Identity). Os coletores de IMSI funcionam representando uma estação base transceptora sem �o — o equipamento é instalado em uma torre de celular na qual os telefones celulares podem se conectar e “enganam” o telefone do alvo para conectar-se a essa rede. Essencialmente, ataques tipo man-in-the- middle (MITM), os IMSI são usados em alguns países pelas agências de inteligência. No entanto, os pesquisadores de segurança podem construir os seus próprios dispositivos de vigilância ativos com facilidade a partir da compra de componentes eletrônicos disponíveis e baratos. Por exemplo, Kristin Paget interceptou as chamadas efetuadas dos telefones dos membros da audiência no DEF CON 2010 usando um laptop executando o OpenBTS con�gurado para mascarar a Rede (DEPERRY; RITTER; RAHIMI, 2013). Pesquisadores do Grupo NCC Doug DePerry, Tom Ritter e Andrew Rahimi usaram uma femtocell da Verizon para interceptar as chamadas de voz, dados e mensagens de texto SMS de qualquer telefone que se conecta ao dispositivo (Robert C, 2014). Eles também foram capazes de clonar um telefone celular que é executado em uma rede CDMA de forma remota, coletando seu número de identi�cação do dispositivo. Atualizações do SO Móvel A instalação e a execução da versão mais recente do SO móvel são necessárias para a segurança do dispositivo. Por exemplo, existem diferentes versões do Android que oferecem vários níveis de espaço de endereço a partir de um processo de randomização (ASLR). Jelly Bean para Android (4.1) foi o primeiro sistema operacional Android a fornecer ASLR completo. Como um dos resultados, as versões mais recentes 05/04/2021 Ead.br https://anhembi.blackboard.com/webapps/late-course_content_soap-BBLEARN/Controller?ACTION=OPEN_PLAYER&COURSE_ID=_667208… 14/32 do sistema operacional são mais resistentes à exploração. Muitos dispositivos Android têm uma longa cadeia de suprimentos, o que torna a implantação do sistema operacional um processo lento e incerto. A cadeia de suprimentos para diferentes sistemas operacionais varia muito. Para os dispositivos executando o Apple iOS, a Apple lança a atualização do iOS para o dispositivo e o cliente é noti�cado de que a atualização pode ser instalada. Para a maioria dos telefones Android, o cliente aguarda o Google corrigir o SO Android principal, para os fabricantes de dispositivos fazerem o estoque do sistema operacional Android e personalizá-lo para sua plataforma e, �nalmente, para o telefone, o provedor de serviços sem �o personaliza as informações do fabricante do telefone com a versão já personalizada do Android e agenda uma atualização. 05/04/2021 Ead.br https://anhembi.blackboard.com/webapps/late-course_content_soap-BBLEARN/Controller?ACTION=OPEN_PLAYER&COURSE_ID=_667208… 15/32 Quanto maior a cadeia de suprimentos, maior será o atraso na atualização do sistema operacional que será implantada em um cliente. Existe também uma certa incerteza sobre se um dispositivo receberá atualizações por completo (em absoluto). Isso cria um problema para os desenvolvedores que precisam representar um mercado altamente fragmentado com cada versão de plataformas, fornecendo diferentes APIs de segurança. Codi�icação Segura As vulnerabilidades nos dispositivos móveis são frequentemente o resultado das inseguranças de codi�cação. O mecanismo Stagefright do Android é um serviço de mídia de reprodução para Android que continha múltiplas vulnerabilidades que permitiam a um atacante remoto acessar arquivos ou executar código no dispositivo. Um invasor poderia enviar mensagens multimédia (MMS) maliciosas, que poderiam ser indevidamente analisadas pela ferramenta Stagefright. Outros vetores de ataque incluem: navegadores web, downloads, e-mail, NFC, Bluetooth, VCards, cartões SD, USB on-the-go, USB Media Transfer Protocol, Picture Transfer Protocol, galeria e possivelmente outros ainda não identi�cados. Uma maneira e�caz de evitar esses erros são adotar um padrão de codi�cação segura e certi�car-se de que os desenvolvedores têm treinamento e�caz na construção de sua codi�cação (Seacord, 2014). praticarVamos Praticar Leia o trecho a seguir: 05/04/2021 Ead.br https://anhembi.blackboard.com/webapps/late-course_content_soap-BBLEARN/Controller?ACTION=OPEN_PLAYER&COURSE_ID=_667208… 16/32 Vida é mobilidade. Life goes mobile, diz a frase escolhida para algumas campanhas publicitárias da Nokia. O homem é um ser móvel. E gosta e fazê-lo, bem como de levar consigo tudo que proporciona conforto, prazer e segurança. A característica revolucionária do celular é, portanto, a mobilidade (SIQUEIRA, 2004, p. 150). SIQUEIRA, Ethevaldo. 2015: como viveremos. São Paulo: Saraiva, 2004. A partir da a�rmação de Siqueira (2004), em que consiste a segurança do dispositivo móvel? a) A segurança do dispositivo móvel é feita nas imediações da empresa e leva em consideração a prevenção de danos causados por desastres locais ou ambientais, como terremotos, inundações e incêndios. b) A segurança do dispositivo móvel investiga a ocorrência de eventos climáticos passados, é importante ao se planejar os métodos de segurança física para proteção de funcionários, equipamentos, dados e do local. c) A segurança do dispositivo móvel abrange o dispositivo e a segurança de dados, Wi-Fi e comunicações e o acesso seguro aos aplicativos e dados corporativos. d) A segurança do dispositivo móvel trata de métodos para evitar o acesso de pessoas não autorizadas a áreas em que se encontram dados e informações críticas da empresa. e) A segurança do dispositivo móvel implementar a utilização de recursos de identificação de funcionários, como o uso de crachás, senhas e cadastro de digitais. 05/04/2021 Ead.br https://anhembi.blackboard.com/webapps/late-course_content_soap-BBLEARN/Controller?ACTION=OPEN_PLAYER&COURSE_ID=_667208… 17/32 Os recursos do dispositivo móvel estão mudando constantemente, por isso é difícil de�nir o termo "dispositivo móvel". No entanto, à medida que os recursos mudam, o mesmo acontece com as ameaças e os controles de segurança, por isso é importante estabelecer uma linha de base desses recursos. Ameaças e Vulnerabilidades de Alto Nível Os dispositivos móveis geralmente precisam oferecer suporte a vários objetivos de segurança. Isso pode ser realizado através de uma combinação de recursos de segurança incorporados aos dispositivos móveis e controles de segurança adicionais aplicados aos dispositivos móveis e outros componentes da infraestrutura de TI da empresa. A segurança mais comum para atender os objetivos para dispositivos os móveis são os seguintes: Con�dencialidade - garantir que os dados transmitidos e armazenados não possam ser lidos por terceiros não autorizados. Controle FísicoControle Físico 05/04/2021 Ead.br https://anhembi.blackboard.com/webapps/late-course_content_soap-BBLEARN/Controller?ACTION=OPEN_PLAYER&COURSE_ID=_667208… 18/32 Integridade - detectar quaisquer alterações intencionais ou não intencionais nos dados transmitidos e armazenados. Disponibilidade - garantir que os usuários possam acessar recursos usando dispositivos móveis sempre que necessário. Para atingir esses objetivos, os dispositivos móveis devem ser protegidos contra uma variedade de ameaças. Falta de Controles de Segurança Física Normalmente, os dispositivos móveis são usados em vários locais fora do controle da organização, como casas, cafeterias, hotéis e conferências de funcionários. Mesmo os dispositivos móveis usados apenas dentro das instalações da organização geralmente são transportadas de um lugar paraoutro dentro das instalações. Os dispositivos móveis possuem uma natureza que os torna muito mais propensos a serem perdidos ou roubados do que outros dispositivos, aumentando o risco de comprometimento dos dados. Ao planejar as políticas e controles de segurança dos dispositivos móveis, as organizações devem assumir que os dispositivos móveis serão adquiridos por terceiros maliciosos que tentarão recuperar informações con�denciais de todos os dados diretamente dos próprios dispositivos ou indiretamente, usando os dispositivos para acessar os recursos remotos da organização. Uma camada envolve a solicitação (exigência) da autenticação antes de obter o acesso ao dispositivo móvel ou aos recursos da organização acessíveis por meio do dispositivo. Formas de autenticação mais robustas, como autenticação baseada em token, baseada em rede para a autenticação do dispositivo e autenticação de domínio, podem ser usadas em vez de ou além das funções internas dos recursos de autenticação de dispositivo. Uma segunda camada envolve a proteção de dados con�denciais — criptografar o armazenamento do dispositivo móvel, para que os dados con�denciais não possam ser recuperados por pessoas não autorizadas (terceiros) ou não armazenar dados con�denciais em dispositivos móveis. Mesmo que um dispositivo móvel esteja sempre na possessão de seu 05/04/2021 Ead.br https://anhembi.blackboard.com/webapps/late-course_content_soap-BBLEARN/Controller?ACTION=OPEN_PLAYER&COURSE_ID=_667208… 19/32 proprietário, há outros riscos físicos à segurança, como um invasor olhando por cima de um ombro do funcionário remoto em uma cafeteria e visualizar dados con�denciais na tela do dispositivo móvel (por exemplo, uma senha sendo inserida). Finalmente, outra camada envolve treinamento de usuários e conscientização, para reduzir a frequência de práticas inseguras de segurança física. Uso de Dispositivos Móveis não Con�iáveis Muitos dispositivos móveis, particularmente aqueles de propriedade pessoal, não são necessariamente con�áveis. A maioria dos dispositivos móveis atuais não possui a raiz dos recursos de con�ança (por exemplo, módulos de plataforma, TPMs) e são cada vez mais incorporados a laptops e outros tipos de hosts. Há também jailbreak e root frequentes de dispositivos móveis, o que signi�ca que as restrições internas à segurança, o uso do sistema operacional, etc. foram ignorados. As organizações devem assumir que todos os dispositivos móveis não são con�áveis, a menos que a organização os tenha protegido adequadamente e monitore sua segurança continuamente enquanto estiver sendo usado com aplicativos ou dados corporativos. Existem várias estratégias de gerenciamento de segurança possíveis, que estão relacionadas ao uso de dispositivos móveis não con�áveis. Uma opção é restringir ou proibir o uso de dispositivos BYOD, favorecendo dispositivos emitidos pela organização. Outra técnica efetiva seria proteger totalmente cada dispositivo móvel emitido pela organização; isso coloca o dispositivo móvel como con�ável em um estado possível e os desvios desse estado seguro podem ser monitorados e solucionados. Existem soluções técnicas para obter graus de con�ança nos dispositivos BYOD, como a execução de software da organização em um Sandbox e segura no dispositivo móvel ou usando aplicativos de veri�cação de integridade do dispositivo. Uso de Redes não Con�iáveis 05/04/2021 Ead.br https://anhembi.blackboard.com/webapps/late-course_content_soap-BBLEARN/Controller?ACTION=OPEN_PLAYER&COURSE_ID=_667208… 20/32 Como os dispositivos móveis usam principalmente as redes não organizacionais para acesso à Internet, as organizações normalmente não têm controle sobre a segurança das redes externas que os dispositivos usam. As comunicações podem incluir mecanismos sem �o, como Wi-Fi e redes celulares. Essas comunicações (via sistemas) são suscetíveis à escuta, o que coloca informações sensíveis transmitidas em risco. Os ataques do tipo man- in-the-middle também podem ser realizados para interceptar e modi�car as comunicações. A menos que seja absolutamente certo que o dispositivo móvel será usado apenas em redes con�áveis controladas pela organização, é necessário planejar a segurança de seus dispositivos móveis, pressupondo que as redes entre o dispositivo móvel e a organização não são con�áveis. O risco do uso de redes não con�áveis pode ser reduzido usando tecnologias de criptogra�a fortes (como redes virtuais privadas, VPNs) para proteger a con�dencialidade e a integridade das comunicações, bem como usando mecanismos de autenticação mútua para veri�car as identidades de ambos os pontos de extremidade antes de transmitir os dados. Outra possível ação a ser adotada é proibir o uso de redes Wi-Fi inseguras, como as que executam protocolos vulneráveis conhecidos. Além disso, todas as interfaces de rede não necessárias ao dispositivo podem ser desativadas, reduzindo a superfície de ataque. Uso dos Serviços de Localização Os dispositivos móveis com recursos de GPS normalmente executam o que é conhecido como serviço de localização. Esses serviços mapeiam um local adquirido por GPS para as empresas correspondentes ou outras entidades próximas a esse local. Os serviços de localização são muito usados pelas mídias sociais, navegação, navegadores da web e outros dispositivos móveis. Em termos de segurança da organização e privacidade pessoal, os dispositivos móveis com serviços de localização ativos correm maior risco de ataques direcionados porque é mais fácil para os possíveis invasores determinarem onde estão o usuário e o dispositivo móvel e correlacionar essas informações com outras fontes sobre 05/04/2021 Ead.br https://anhembi.blackboard.com/webapps/late-course_content_soap-BBLEARN/Controller?ACTION=OPEN_PLAYER&COURSE_ID=_667208… 21/32 quem o usuário se associa e os tipos de atividades que realiza em locais especí�cos. Essa situação pode ser atenuada desativando os serviços de localização ou proibindo o uso de serviços de localização para alguns aplicativos especí�cos, como redes sociais ou aplicativos de fotos. No entanto, um problema semelhante pode ocorrer mesmo se o GPS ou outros serviços de localização estão desativados. É cada vez mais comum que sites e aplicativos determinem a localização de uma pessoa com base em sua conexão com a Internet, como um ponto de acesso Wi-Fi ou endereço IP. A principal ação para isso é desativar esses serviços de localização sempre que possível. As organizações devem estar cientes que manter os serviços de localização ativos também pode ter efeitos positivos sobre a segurança da informação. Por exemplo, diferentes políticas de segurança podem ser aplicadas, dependendo se o dispositivo móvel está sendo usado dentro das instalações da organização ou fora das instalações da organização. As tecnologias centralizadas pelos dispositivos móveis são uma solução crescente para controlar o uso dos dispositivos móveis emitidos pela organização e de propriedade pessoal por usuários corporativos. Além de gerenciar a con�guração e a segurança de dispositivos móveis, essas tecnologias oferecem outros recursos, como o fornecimento do acesso seguro aos recursos de computação da empresa. Componentes e Arquiteturas Existem duas abordagens básicas para o gerenciamento centralizado dos dispositivos móveis: a utilização do servidor de mensagens e recursos de gerenciamento (geralmente do mesmo fornecedor que fabrica uma determinada marca de dispositivo móvel ou o sistema operacional) ou a utilização de um produto de terceiros, projetado para gerenciar uma ou mais marcas de sistemas operacionais de dispositivos móveis (DEPERRY; RITTER; RAHIMI, 2013). Com a última abordagem, pode ser possível ter um único produto que possa gerenciar várias marcas de sistemas operacionais de dispositivos móveis 05/04/2021 Ead.br https://anhembi.blackboard.com/webapps/late-course_content_soap-BBLEARN/Controller?ACTION=OPEN_PLAYER&COURSE_ID=_667208… 22/32 desejados para a utilização em uma empresa; no entanto, um produtofornecido por um fabricante de dispositivo móvel pode ter um suporte mais robusto para os dispositivos móveis do que produtos de terceiros. Arquitetonicamente, as duas abordagens para o gerenciamento centralizado de dispositivos móveis são bastante semelhantes. A solução típica possui uma arquitetura direta de cliente / servidor. A empresa contém um ou mais servidores que fornecem os recursos de gerenciamento centralizado, e um ou mais aplicativos clientes são instalados em cada dispositivo móvel e con�gurado para ser executado em segundo plano o tempo todo. O gerenciamento centralizado de dispositivos móveis pode fazer uso de outros serviços empresariais, como o domínio de serviços de autenticação e serviços VPN. Se não houver uma solução de gerenciamento centralizado ou determinados dispositivos móveis não poderem usá-la, o dispositivo móvel precisa ser gerenciado individual e manualmente. Além dos recursos adicionais gastos, existem dois grandes problemas de segurança com isso: os controles de segurança fornecidos por um dispositivo móvel geralmente carecem do rigor daqueles fornecidos por um dispositivo móvel. Pode não ser possível gerenciar a segurança do dispositivo quando ele não estiver �sicamente presente na empresa. É possível instalar utilitários que gerenciam dispositivos remotamente, mas será necessário signi�cativamente mais esforço para usar esses utilitários para aplicar manualmente as atualizações e executar outras tarefas de manutenção e gerenciamento dos dispositivos móveis ausentes do escritório. Para evitar esses problemas, as organizações podem optar por proibir o uso de dispositivos móveis que não sejam gerenciados centralmente. praticarV P ti 05/04/2021 Ead.br https://anhembi.blackboard.com/webapps/late-course_content_soap-BBLEARN/Controller?ACTION=OPEN_PLAYER&COURSE_ID=_667208… 23/32 praticarVamos Praticar Leia o trecho a seguir: O Brasil registrou 228,39 milhões de linhas móveis em operação em junho de 2019, redução de 6,69 milhões de unidades (-2,84%) nos últimos 12 meses segundo números divulgados pela Agência Nacional de Telecomunicações (Anatel). Na comparação com o mês de maio de 2019, a redução foi de 250,23 mil linhas (-0,11%). ANATEL. Brasil registra 228,39 milhões de linhas móveis em operação em junho. 05 ago. 2019. Disponível em: https://www.anatel.gov.br/institucional/noticias-destaque/2338-brasil-registra-228- 39-milhoes-de-linhas-moveis-em-operacao-em-junho-de-2019. Acesso em: 17 jan. 2020. A partir dessa de�nição, veri�camos que os dispositivos móveis geralmente precisam oferecer suporte a vários objetivos de segurança. De que forma isso pode ser realizado? a) Isso pode ser realizado através do controle de acesso de pessoas, pois com a entrada de visitantes na empresa, o ideal é que sejam acompanhados por algum funcionário até o local de destino e registrados no sistema. b) Isso pode ser realizado através de uma combinação de recursos de segurança incorporados aos dispositivos móveis. c) Isso pode ser realizado através da utilização de mecanismos de segurança, como fechaduras eletrônicas, câmeras e alarmes, para controlarem o acesso aos ambientes que guardam backups e computadores com dados confidenciais. d) Isso pode ser realizado nas imediações da empresa e leva em consideração a prevenção de danos causados por desastres locais ou ambientais. e) Isso pode ser realizado ao implantar recursos de identificação de funcionários, como o uso de crachás, senhas e cadastro de digitais. https://www.anatel.gov.br/institucional/noticias-destaque/2338-brasil-registra-228-39-milhoes-de-linhas-moveis-em-operacao-em-junho-de-2019 05/04/2021 Ead.br https://anhembi.blackboard.com/webapps/late-course_content_soap-BBLEARN/Controller?ACTION=OPEN_PLAYER&COURSE_ID=_667208… 24/32 Mazurek et al. (2013) examinaram como as políticas de composição de senha afetam a força e a usabilidade da senha em laptops e desktops. No entanto, na última década, o cenário de utilização dos dispositivos eletrônicos aumentou e mudou signi�cativamente. Os dispositivos móveis, como smartphones e tablets, aumentaram em popularidade e agora são usados não apenas para a realização de chamadas ou envio de mensagens de texto, mas também para o envio de e-mail, navegar na web, acessar as redes sociais e acessar aos aplicativos dos bancos (FELT; WAGNER, 2011). A maioria destas atividades requerem autenticação, geralmente na forma de texto ou senhas. Infelizmente, devido ao tamanho das chaves virtuais e o esforço necessário para navegar entre as páginas do teclado, a entrada de texto em dispositivos móveis é demorada e propensa a erros (JAKOBSSON; AKAVIPAT, 2012). De acordo com Kovach (2014), esse problema tem efeitos importantes na usabilidade e segurança de senhas de texto em dispositivos móveis, ao mesmo tempo, a escolha de senhas difíceis de adivinhar permanece Senhas de AcessoSenhas de Acesso 05/04/2021 Ead.br https://anhembi.blackboard.com/webapps/late-course_content_soap-BBLEARN/Controller?ACTION=OPEN_PLAYER&COURSE_ID=_667208… 25/32 importante. Como as senhas de texto foram estudadas principalmente no contexto de laptops e desktops, o impacto preciso da usabilidade do dispositivo móvel na segurança das senhas criadas e usadas em dispositivos móveis em relação a ataques de adivinhação o�ine permanecem amplamente desconhecidos. Ao compararmos a usabilidade e a segurança do texto de senhas criadas ou usadas em telefones, ou tablets (referidos como dispositivos móveis) aos criados e usados no laptop ou no computador (referidos como dispositivos tradicionais) no contexto de ataques de adivinhação o�ine encontramos elementos interessantes. Para comparar o comportamento da senha em dispositivos móveis e tradicionais, Zezschwitz, Luca e Hussmann (2014) pesquisou e identi�cou que as senhas criadas no celular dos dispositivos móveis podem ser mais vulneráveis a ataques de adivinhação do que aqueles criados em dispositivos tradicionais. Consistentemente, as senhas criadas em dispositivos móveis tinham menos caracteres maiúsculos e especiais, com caracteres especiais agrupados com mais frequência. Shay et al. (2014) descobriram que, ao de�nir uma política de segurança especí�ca — que exigem que as senhas tenham pelo menos entre 12 a 16 caracteres estão em conformidade com outros requisitos — é possível atingir um equilíbrio promissor entre usabilidade e segurança. Isso reforça o argumento de exigir que as senhas possuam pelo menos 16 caracteres longos (limitando outros requisitos), levando a seguir essa recomendação para evitar situações que desagradáveis possam ser experimentadas (quando as senhas podem ser criadas ou usadas em dispositivos móveis). praticarV P ti 05/04/2021 Ead.br https://anhembi.blackboard.com/webapps/late-course_content_soap-BBLEARN/Controller?ACTION=OPEN_PLAYER&COURSE_ID=_667208… 26/32 praticarVamos Praticar Leia o trecho a seguir: Proteger suas senhas é essencial para se prevenir dos riscos envolvidos no uso da Internet, pois é o segredo das suas senhas que garante a sua identidade, ou seja, que você é o dono das suas contas de usuário. (SEGURANÇA…, 2020, on-line) SEGURANÇA em senhas. Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil. NIC.br, Comitê Gestor da Internet no Brasil. [2020]. Disponível em: https://cartilha.cert.br/fasciculos/senhas/fasciculo-senhas- slides.pdf. Acesso em: 17 jan. 2020. A partir dessa de�nição, selecione a alternativa que relacione um cuidado que devemos tomar com relação à criação das senhas dos dispositivos móveis: a) Utilizar dados pessoais, como nome, sobrenome. b) Utilizar dados disponíveis em redes sociais e páginas Web. c) Utilizar sequências de teclado, como 1qaz2wsx ou QwerTAsdfG. d) Utilizar palavras presentes em listas publicamente conhecidas, como músicas, times de futebol, etc. e) Utilizar diversos números aleatórios e diferentes tipos de caracteres. https://cartilha.cert.br/fasciculos/senhas/fasciculo-senhas-slides.pdf 05/04/2021 Ead.br https://anhembi.blackboard.com/webapps/late-course_content_soap-BBLEARN/Controller?ACTION=OPEN_PLAYER&COURSE_ID=_667208…27/32 indicações Material Complementar FILME Nome: Roubamos Segredos - A História do WikiLeaks Ano: 2013 Comentário: O �lme Roubamos Segredos - A História do WikiLeaks apresenta a história dessa organização que conseguiu invadir diversos sistemas governamentais. A partir desse documentário é possível veri�car algumas brechas que não são levadas em consideração na manipulação dos dispositivos móveis. Para conhecer mais sobre o �lme, acesse o trailer disponível em: T R A I L E R 05/04/2021 Ead.br https://anhembi.blackboard.com/webapps/late-course_content_soap-BBLEARN/Controller?ACTION=OPEN_PLAYER&COURSE_ID=_667208… 28/32 LIVRO Nome do livro: Criptogra�a e Segurança de Redes: Princípios e Práticas Editora: Pearson Universidades; Edição: 6 Autor: William Stallings ISBN: 8543005892 Comentário: O livro aborda a criptogra�a, um dos métodos de ocultação de informações. No livro, os autores apresentam diversos CASES que utilizam o método de criptogra�a para garantir a Segurança de Redes e após a apresentação, é possível analisar os resultados registrados usando análise de espaço-chave, análise de sensibilidade das chaves e análise estatística. As experiências de desempenho mostram que alguns dos métodos sugeridos ao longo do livro são promissores para uso e�caz em amplos campos de criptogra�a de Redes. A partir de sua leitura é possível aprimorar todo o conhecimento que está sendo desenvolvido na disciplina. 05/04/2021 Ead.br https://anhembi.blackboard.com/webapps/late-course_content_soap-BBLEARN/Controller?ACTION=OPEN_PLAYER&COURSE_ID=_667208… 29/32 conclusão Conclusão Os smartphones são suscetíveis a muitos ataques porque armazenam dados de sensibilidade variável, conectam-se a redes públicas e privadas e lidam com vários tipos de sensores. Apresentamos ao longo dessa unidade algumas pesquisas apresentando diversas preocupações de privacidade e segurança dos usuários como, por exemplo: as percepções dos usuários relacionadas à conexão a redes Wi-Fi públicas, usando plataformas móveis de mensagens instantâneas, salvando fotos pessoais em aplicativos de galeria e aproveitando os serviços de localização de smartphones. Vimos que diversos fatores podem in�uenciar a adoção de comportamentos relacionados à segurança pelos usuários. Isso inclui gatilhos sociais, o tempo e o esforço necessários para adotar certas práticas e a importância dos dados armazenados. Acreditamos que com as recomendações que propusemos ao longo de nossos estudos, existe um grande potencial para aprimorar e melhorar a segurança dos smartphones, concentrando-se nos fatores que podem gerar mudanças comportamentais signi�cativas. referências 05/04/2021 Ead.br https://anhembi.blackboard.com/webapps/late-course_content_soap-BBLEARN/Controller?ACTION=OPEN_PLAYER&COURSE_ID=_667208… 30/32 Referências Bibliográ�cas CHAVES, F. da S. Mobile Marketing. Universidade Cândido Mendes. 2009. Instituto A Vez Do Mestre, Rio de Janeiro, 2009. Disponível em: https://www.avm.edu.br/docpdf/monogra�as_publicadas/T205041.pdf. Acesso em: 17 jan. 2020. CHEN, Kai et al. Finding unknown malice in 10 seconds: mass vetting for new threats at the Google-play scale. In: Proceedings of the 24th USENIX Conference on Security Symposium (SEC'15), Jaeyeon Jung (Ed.) 2015. DEPERRY, D.; RITTER, T.; RAHIMI, A. Tra�c Interception & Remote Mobile Phone Cloning with a Compromised CDMA Femtocell. 2013. FELT, A. P.; WAGNER, D. Phishing on Mobile Devices. In Proc. Web 2.0 Security & Privacy. 2011. Disponível em: https://www.avm.edu.br/docpdf/monogra�as_publicadas/T205041.pdf. Acesso em: 17 jan. 2020. F-SECURE LABS. Bluetooth-Worm: SymbOS/ Cabir. 2011a. Disponível em: https://www.f-secure.com/v-descs/cabir.shtml. Acesso em: 17 jan. 2020. F-SECURE LABS. Worm: SymbOS/ Commwarrior. 2011b. Disponível em: https://www.f-secure.com/v-descs/commwarrior.shtml. Acesso em: 17 jan. 2020. KOVACH, S. We Still Don’t Have Assurance From Apple That iCloud Is Safe. Business Insider, Insider Inc. 2 set. 2014. Disponível em: https://www.businessinsider.com/apple-statement-on-icloud-hack-2014-9. Acesso em: 17 jan. 2020. https://www.avm.edu.br/docpdf/monografias_publicadas/T205041.pdf https://www.avm.edu.br/docpdf/monografias_publicadas/T205041.pdf https://www.f-secure.com/v-descs/cabir.shtml https://www.f-secure.com/v-descs/commwarrior.shtml https://www.businessinsider.com/apple-statement-on-icloud-hack-2014-9 05/04/2021 Ead.br https://anhembi.blackboard.com/webapps/late-course_content_soap-BBLEARN/Controller?ACTION=OPEN_PLAYER&COURSE_ID=_667208… 31/32 LIU, L.; YAN, G.; ZHANG, X.; CHEN, S. Virus meter: Preventing your cell phone from spies. RAID 2009, LNCS 5758, pp. 244–264, 2009. Disponível em: http://www.cs.binghamton.edu/~ghyan/papers/raid09-1.pdf. Acesso em: 17 jan. 2020. JAKOBSSON, M.; AKAVIPAT, R. Rethinking Passwords to Adapt to Constrained Keyboards. In Proc. Mobile Security Technologies. 2012. Disponível em: http://www.markus-jakobsson.com/fastwords.pdf. Acesso em: 17 jan. 2020. MAZUREK, M. L. et al. Measuring Password Guessability for an Entire University. In Proc. ACM Conference on Computer and Communication Security. 2013. PELL, S. K.; SOGHOIAN, C. Your Secret Stingray's No Secret Anymore: The Vanishing Government Monopoly over Cell Phone Surveillance and Its Impact on National Security and Consumer Privacy. Harvard Journal of Law and Technology, v. 28, nº 1, 29 dez. 2014. Disponível em: https://ssrn.com/abstract=2437678. Acesso em: 17 jan. 2020. RADMILORACIC, D. M.; CHEN, H. Exploiting MMS vulnerabilities to stealthily exhaust mobile phone’s battery. CreateNet International Conference on Security and Privacy in Communication Networks (SecureComm), Baltimore, MD, Ago. 2006. ROSS, S. J. et al. A Composable Framework for Secure Multi-Modal Access to Internet Services from Post- PC Devices. Third IEEE Workshop on Mobile Computing Systems and Applications. Computer Science Department, University of California. Berkeley. 2000. SCHMIDT, A.-D.; ALBAYRAK, S. 08. Malicious Software for Smartphone. Berlin. 2011. SEACORD, R. C. The CERT C Coding Standard, Second Edition: 98 Rules for Developing Safe, Reliable, and Secure Systems (2nd Ed.). AddisonWesley Professional. 2014. http://www.cs.binghamton.edu/~ghyan/papers/raid09-1.pdf http://www.markus-jakobsson.com/fastwords.pdf https://ssrn.com/abstract=2437678 05/04/2021 Ead.br https://anhembi.blackboard.com/webapps/late-course_content_soap-BBLEARN/Controller?ACTION=OPEN_PLAYER&COURSE_ID=_667208… 32/32 SEGURANÇA em senhas. Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil. NIC.br, Comitê Gestor da Internet no Brasil. [2020]. Disponível em: https://cartilha.cert.br/fasciculos/senhas/fasciculo-senhas-slides.pdf. Acesso em: 17 jan. 2020. SHAY, R. et al. Can Long Passwords Be Secure and Usable? In Proc. CHI’14: 32nd Annual ACM Conference on Human Factors in Computing Systems. 2014. Disponível em: http://doi.acm.org/10.1145/2556288.2557377. Acesso em: 17 jan. 2020. SIQUEIRA, E. 2015: como viveremos. São Paulo: Saraiva, 2004. ZEZSCHWITZ, E.; LUCA, A.; HUSSMANN, H. Honey, I Shrunk the Keys: In�uences of Mobile Devices on Password Composition and Authentication Performance. In Proc. NordiCHI’14: 12th Annual Nordic Conference on Human-Computer Interaction. 10. 2014. Disponível em: http://doi.acm.org/10.1145/2639189.2639218. Acesso em: 17 jan. 2020. ZHANG, X.; ACIIÇMEZ, O.; SEIFERT, J.-P. Building E�cient Integrity Measurement and Attestation for Mobile Phone Platforms. Security and Privacy in Mobile Information and Communication Systems. First International ICST Conference, MobiSec, Revised Selected Papers.Turin, Itália. 2009 (p.71-82) 17. 71-82. 10.1007/978-3-642-04434-2_7. https://cartilha.cert.br/fasciculos/senhas/fasciculo-senhas-slides.pdf http://doi.acm.org/10.1145/2556288.2557377 http://doi.acm.org/10.1145/2639189.2639218
Compartilhar