Baixe o app para aproveitar ainda mais
Prévia do material em texto
MUNDO CONECTADO AulA 7: Dispositivos Móveis © Copyright 2016, Tribunal de Contas de União <www.tcu.gov.br> Este material tem função didática. A última atualização ocorreu em Dezembro de 2016. As afirmações e opiniões são de responsabilidade exclusiva do autor e podem não expressar a posição oficial do Tribunal de Contas da União. RESPONSABILIDADE PELO CONTEÚDO Tribunal de Contas da União Secretaria Geral da Presidência Instituto Serzedello Corrêa Secretaria de Planejamento, Governança e Gestão/Diretoria de Segurança da Informação e Continuidade de Negócio Serviço de Educação Corporativa de Controle SUPERVISÃO Carolina Beserra Pfeilsticker Walter Fabrício de Castro Telli CONTEUDISTA Gustavo Rodrigues Lima Almeida José Luiz Torres Ferreira Costa Juliana Belmok Bordin Maria Camila de Avila Dourado Pedro Henrique Braz de Souza Rafael Cancellier TRATAMENTO PEDAGÓGICO Marta Eliane Silveira da Costa Bissacot PROJETO GRÁFICO Vanessa Vieira DIAGRAMAÇÃO Vanessa Vieira http://portal.tcu.gov.br/inicio/index.htm Tribunal de Contas da União Sumário Sumário .......................................................................................................................................................... 3 Introdução .................................................................................................................................................. 5 1. Vazamento e perda de dados devido à perda ou roubo do dispositivo ............................5 2. Divulgação não intencional de dados ...............................................................................................7 3. Ataques a dispositivos descartados, doados ou vendidos. ......................................................8 4. Ataques de Phishing .......................................................................................................................................9 5. Ataques de Spyware ................................................................................................................................... 10 6. Redes Wi-fi públicas ................................................................................................................................... 11 Síntese ........................................................................................................................................................ 12 Bibliografia ............................................................................................................................................. 13 Tribunal de Contas da União 5 Dispositivos M óveis Introdução Nesta aula, discutiremos as várias ameaças de segurança aos dispositivos móveis, bem como medidas para mitigar os danos e melhorar a privacidade dos dados armazenados. Os smartphones e tablets, chamados genericamente de dispositivos móveis, têm assumido cada vez mais um papel de destaque na vida moderna. A quantidade de informação pessoal armazenada nesses dispositivos vem crescendo de forma acelerada. Ao contrário dos computadores tradicionais, os dispositivos móveis são facilmente furta- dos ou perdidos, tornando os dados pessoais ali armazenados (ex.: senhas, número de cartões de crédito, mensagens, fotos etc.) acessíveis a quem estiver de posse do aparelho. A ENISA, Agência da União Europeia para a Segurança das Redes e da Informação, centro especializado em promover a segurança cibernética na Europa, classificou alguns dos maiores riscos de segurança para dispositivos móveis em geral, os quais mostramos a seguir: 1. Vazamento e perda de dados devido à perda ou roubo do dispositivo Autor exigiu R$ 1 mil do casal “Um homem, de 50 anos procurou a Delegacia de Polícia Civil de Campo Grande nesta segun- da-feira (2) para comunicar que ele e sua mulher, de 48 anos estão sendo vítimas de extorsão de um homem que estaria ameaçando divulgar fotos íntimas do casal na internet.” Fonte: http://www.midiamax.com.br/policia/casal-tem-celular-roubado-ameacado-nao-ter-fotos-intimas-divul- gadas-internet-299462 02/05/2016 18h22 - Atualizado em 02/05/2016 18h22 Casal tem celular roubado e é ameaçado para não ter fotos íntimas divulgadas na internet Risco: O acesso irrestrito ao dispositivo móvel pode tornar facilmente disponíveis as informações pessoais nele contidas. Caso tenha havido furto ou extravio de dispositivo sem a devida configu- ração de senha de segurança, a pessoa que estiver de posse dele terá acesso a: • Informações de correio eletrônico, incluindo qualquer senha ou informação de contas que você tenha salvado; http://www.midiamax.com.br/policia/casal-tem-celular-roubado-ameacado-nao-ter-fotos-intimas-divulgadas-internet-299462 http://www.midiamax.com.br/policia/casal-tem-celular-roubado-ameacado-nao-ter-fotos-intimas-divulgadas-internet-299462 6 Curso: Mundo Conectado Di sp os iti vo s M óv ei s • Registros e mensagens das contas de redes sociais, tais como Facebook, Google+, Twitter, Instagram; • Todas as senhas salvas; • Informações de cartão de crédito salvas em apps, como da Amazon e do Google Wallet; • Endereços de correio eletrônico, números de telefone e endereços dos seus contatos; • Fotos, vídeos e conversas. Medidas e precauções: • Sempre coloque uma senha, padrão de bloqueio ou biometria para acesso do seu dispositivo; • Configure o dispositivo para bloquear a tela após alguns minutos de inatividade. Telefones mais modernos já possuem essa configuração por padrão; • Não armazene informações de cartão de crédito no seu dispositivo. Embora isso dificulte a realização de compras frequentes, elimina-se o risco dessa informação cair em mãos indesejadas; • Apague remotamente os dados do seu telefone ou tablet em caso de perda. Usuários de dispositivos Apple iOS podem usar o app Find My iPhone. Usuários do Android devem habilitar o Gerenciador de dispositivos Android nas Configurações do Google. Existem várias aplicações de terceiros que também realizam essa tarefa. Exemplo: Cerberus; • Criptografe o seu telefone ou tablet. Com dispositivos iOS isso é feito automa- ticamente assim que você ativar um código PIN ou código de acesso. Usuários do Android devem ir em Configurações > Segurança > Criptografar telefone. Dispositivos sem criptografia permitem acesso fácil por meio de um computador conectado via USB; • Faça Backup dos seus dados, para reduzir o risco de perda. Dispositivos iOS pos- suem o iCloud, dispositivos Android possuem o Google Drive. Mas fique atento porque não há garantia de confidencialidade das informações. 7 Tribunal de Contas da União Dispositivos M óveis 2. Divulgação não intencional de dados Por Giovana Penatti 2 anos atrás “É tão fácil obter informações sobre sua vida “real” - tipo o lugar onde você mora, os lugares que frequenta, os horários em que não está em casa - que, há alguna anos, o site Please Rob Me foi criado para mostrar o tamanho do perigo: se apropriando de informações do Foursquare e do Twitter, ele conseguia dizer se você estava em casa ou não. E, nesse caso, se trata de um robozinho fazendo isso; imagine alguém intencionalmente querendo descobrir.” Fonte: https://tecnoblog.net/157836/criminoso-buscou-informacoes-garoto-sequestrado-facebook/ Criminoso diz que buscou informações sobre garoto sequestrado no Facebook Risco: Desenvolvedores frequentemente introduzem mais recursos do que o usuário médio con- segue acompanhar. Por exemplo, você pode não ter consciência de que o dispositivo está trans- mitindo sua localização cada vez que postar uma foto usando um aplicativo de mídia social. Aqui estão alguns exemplos de como você pode estar deixando involuntariamente o mun- do saber onde está: • Se você postou uma foto com os dados de localização ativados; • Se alguém marcar você em uma foto sem o seu conhecimento; • Se você fizer “check in” em um local (restaurante, café, aeroporto), usando um aplicativo de localização. Medidas e precauções: • Desabilite a geolocalizaçãodo seu dispositivo móvel e de quaisquer outros apli- cativos que podem acessar a câmera. Isso impedirá que aplicativos automatica- mente conheçam a sua localização. O procedimento para desabilitar o serviço de localização de seu celular varia de acordo com o modelo e o sistema operacional do aparelho. Verifique as opções de configuração do serviço de localização ou o aplicativo da câmera (ex: geo-tag ou etiqueta GPS). Desabilite as opções do serviço de localização e de ativação do GPS, se for o caso. • Evite usar o recurso de “check-in “ em aplicativos como o Yelp e Foursquare. http://Please Rob Me http://Please Rob Me http://Foursquare http://Twitter https://tecnoblog.net/157836/criminoso-buscou-informacoes-garoto-sequestrado-facebook/ 8 Curso: Mundo Conectado Di sp os iti vo s M óv ei s 3. Ataques a dispositivos descartados, doados ou vendidos. Risco: Se você não limpar, no momento do descarte, um dispositivo já usado, quem estiver de posse dele poderá acessar facilmente uma quantidade alarmante de dados pessoais. De acordo com a ENISA, os dispositivos móveis desativados de forma inadequada podem manter informa- ções tais como: • Histórico de chamadas; • Contatos; • E-mails. Medidas e precauções: Sempre volte seu dispositivo para as configurações de fábrica antes de descartar, doar, ou vender o seu telefone. Isso é muito mais eficaz do que a tentativa de limpar os dados de cada aplicativo individualmente. Ao comprar um novo aparelho, redefina o dispositivo usado para as configurações de fá- brica, mesmo se você for mantê-lo em seu poder. Furto de telefone ou tablet que ainda contém informações pessoais, mesmo que não esteja mais em uso, pode ser tão prejudicial quanto o furto do seu dispositivo atual. Dados contidos em smartphones descartados podem ser recuperados - e usados para fraudes e crimes “Londres - Há três anos, Graham Clements, diretor da multinacional japonesa Ishida no Reino Unido, decidiu se livrar do seu BlackBerry e o entregou ao seu departamento de TI para reciclagem. O BlackBerry descartado por Clements havia sido repassado para uma empresa especializada na reciclagem e venda de usados. Ele continha dados vitais sobre planos de negócios, estrutura da empresa, detalhes da conta bancária e até informações sobre seus filhos - itens que, aparen- temente, haviam vazado.” Fonte: http://www.gazetadopovo.com.br/tecnologia/quem-ficou-com-o-seu-celular-antigo-b7l46o1g7mzj89su- 32zdu9xe6 Quem ficou com o seu celular antigo? http://www.gazetadopovo.com.br/tecnologia/quem-ficou-com-o-seu-celular-antigo-b7l46o1g7mzj89su32zdu9xe6 http://www.gazetadopovo.com.br/tecnologia/quem-ficou-com-o-seu-celular-antigo-b7l46o1g7mzj89su32zdu9xe6 9 Tribunal de Contas da União Dispositivos M óveis 4. Ataques de Phishing Risco: Phishing, termo oriundo do inglês (fishing) que quer dizer pescaria, é uma forma de fraude eletrônica, caracterizada por tentativas de adquirir dados financeiros, tais como senhas de home banking e número de cartões de crédito, além de outros dados pessoais. O Phishing pode apare- cer em uma variedade de formas: • Aplicativos falsos criados para imitar aplicativos legítimos, como o Pokémon Go; • Falsas mensagens de correio eletrônico; • Falsas mensagens SMS. Medidas e precauções: • Procure por erros de digitação ou gramaticais em mensagens SMS e mensagens eletrônicas. Frequentemente são indicativos de um ataque de phishing; • Verifique se o aplicativo que você está instalando vem de uma fonte confiável. Sempre instale aplicativos por meio das lojas oficiais do aparelho; • Nunca inclua senha, número de cartão de crédito ou outros dados pessoais em uma mensagem de correio eletrônico ou de texto. Se você receber uma mensagem pedindo este tipo de informação, é muito provável que seja um ataque de phishing. “O jogo de realidade aumentada Pokémon Go já superou a marca de cinco milhões de do- wnloads na loja Google Play, mas a disponibilidade limitada do aplicativo - que oficialmente só pode ser baixado nos Estados Unidos, na Austrália e na Nova Zelândia - está fazendo com que usuários procurem o arquivo de instalação do jogo em sites alternativos. Segundo a empresa de segurança “Proofpoint”, quem decidir fazer isso precisa ter cuidado: criminosos já criaram uma versão do app infectada com vírus.” Fonte: http://g1.globo.com/tecnologia/blog/seguranca-digital/post/pokemon-go-versao-maliciosa-do-app-ins- tala-virus-alerta-empresa.html Segunda-feira, 11/07/2016, às 22:20, por Altieres Rohr Pokémon Go: versão maliciosa do app instala vírus, alerta empresa http://g1.globo.com/tecnologia/blog/seguranca-digital/post/pokemon-go-versao-maliciosa-do-app-instala-virus-alerta-empresa.html http://g1.globo.com/tecnologia/blog/seguranca-digital/post/pokemon-go-versao-maliciosa-do-app-instala-virus-alerta-empresa.html 10 Curso: Mundo Conectado Di sp os iti vo s M óv ei s 5. Ataques de Spyware Risco: Spyware é um programa que recolhe informações do usuário, sem o seu conhecimento e consentimento, e transmite o que foi coletado a uma entidade externa. O dispositivo móvel pode ser infectado com spywares por meio de um aplicativo não au- torizado ou a partir de um site malicioso. Informações registradas por spyware podem incluir: • Todas as teclas que você digitar; • Os nomes, números de telefone e endereços de correio eletrônico dos seus contatos; • Informações de cartão de crédito que você informa ao fazer compras online. Medidas e precauções: • Mantenha o sistema operacional do seu dispositivo móvel sempre atualizado. Os fabricantes frequentemente lançam atualizações após a identificação de problemas de segurança. Fazer download das atualizações de software é fundamental para garantir que o seu telefone ou tablet continuará seguro; • Instale software de antivírus para bloquear e detectar as infecções; • Não baixe aplicativos de lojas não oficiais, já que a chance de estarem infectados com vírus é muito grande; Jornal de Notícias - 29 de ago de 2016 “A recente descoberta de programas informáticos espiões (“spyware”) capazes de se infiltrarem a controlarem os telefones Apple (iPhone) sem deixar rastro...” Fonte: http://www.jn.pt/inovacao/interior/ataque-a-iphone-chama-a-atencao-para-a-cibervigilancia-israeli- ta-5361578.html Ataque a iPhone chama a atenção para a cibervigilância israelita http://www.jn.pt/inovacao/interior/ataque-a-iphone-chama-a-atencao-para-a-cibervigilancia-israelita-5361578.html http://www.jn.pt/inovacao/interior/ataque-a-iphone-chama-a-atencao-para-a-cibervigilancia-israelita-5361578.html 11 Tribunal de Contas da União Dispositivos M óveis • Analise as permissões solicitadas pelos aplicativos antes de instalá-los, especial- mente para dispositivos Android. Se o aplicativo estiver solicitando acesso a in- formações pessoais ou quiser executar determinadas funções no seu telefone ou tablet, certifique-se de que se encaixam no propósito declarado do aplicativo. Você terá que decidir se permite a instalação aceitando o risco ou impedir a instalação do aplicativo; • Não altere as configurações de segurança do seu telefone. Fazer “root” ou “jailbre- ak” do seu dispositivo o torna mais suscetível a um ataque. 6. Redes Wi-fi públicas Risco: Hackers frequentemente atacam usuários que se conectam a redes Wi-Fi públicas. A me- nos que você insira as informações pessoais apenas em sites que usam criptografia SSL, há risco de ataque, pois os hackers usam métodos e aplicativos para capturar tudo o que circula na rede. Aqui estão alguns exemplos de informação que você pode acidentalmente divulgar: • As senhas de sites não criptografados; • Informações de cartão de crédito enviadas por meio de um site sem criptografia. Medidas e precauções: • Sempre que possível, use apenas redes Wi-Fi conhecidas, não-públicas; • Ao navegar em uma rede Wi-Fi pública, digite suas senhas somente em sites que usam criptografia SSL, eles terão o prefixo “https” no endereço, tal como: https:// gmail.google.com.SOCIEDADE | 27.07.2016 às 15h41 “É daqueles que consulta logo o telemóvel mal chega ao destino? Então tenha cuidado, essa pressa para se ligar ao mundo virtual pode colocar os seus dados pessoais em risco.” Fonte: http://visao.sapo.pt/actualidade/sociedade/2016-07-21-Vai-viajar-nas-ferias--Cuidado-com-o-wifi Vai viajar nas férias? Cuidado com o wifi https://gmail.google.com https://gmail.google.com http://visao.sapo.pt/actualidade/sociedade/2016-07-21-Vai-viajar-nas-ferias--Cuidado-com-o-wifi Curso: Mundo Conectado 12 Di sp os iti vo s M óv ei s Síntese Nesta aula, analisamos algumas situações relacionadas à segurança da informação em dispositivos móveis. Em cada situação foi discutido o risco ine- rente e as medidas e precauções que podem evitar ou atenuar o problema. As situações discutidas foram: o vazamento e a perda de dados devido à perda ou roubo do dispositivo, a divulgação não intencional de dados, ataques a dispositivos descartados, doados ou vendidos, ataques de phishing, ataques de spyware, redes wi-fi públicas. Tribunal de Contas da União 13 Dispositivos M óveis Bibliografia 10 Quick Tips to Mobile Security - McAfee: http://images.mcafee.com/en-us/advicecenter/pdf/ MobileeGuide_Jan2012.pdf Segurança em Dispositivos Móveis - CERT.br: http://cartilha.cert.br/dispositivos-moveis/ ENISA - Information security risks, opportunities and recommendations for users: https://www. enisa.europa.eu/publications/smartphones-information-security-risks-opportunities-and-recom- mendations-for-users http://images.mcafee.com/en-us/advicecenter/pdf/MobileeGuide_Jan2012.pdf http://images.mcafee.com/en-us/advicecenter/pdf/MobileeGuide_Jan2012.pdf http://cartilha.cert.br/dispositivos-moveis/ https://www.enisa.europa.eu/publications/smartphones-information-security-risks-opportunities-and-re https://www.enisa.europa.eu/publications/smartphones-information-security-risks-opportunities-and-re https://www.enisa.europa.eu/publications/smartphones-information-security-risks-opportunities-and-re Introdução Sumário Introdução 2. Divulgação não intencional de dados 3. Ataques a dispositivos descartados, doados ou vendidos. 4. Ataques de Phishing 5. Ataques de Spyware 6. Redes Wi-fi públicas Síntese Bibliografia
Compartilhar