Baixe o app para aproveitar ainda mais
Leia os materiais offline, sem usar a internet. Além de vários outros recursos!
Segurança em Dispositivos Móveis
Esta é uma pré-visualização de arquivo. Entre para ver o arquivo original
Inspire-se (Vídeo) - Mecanismos de Segurança com Dispositivos Móveis -> Apresentador: Giancarlo Lucca (Doutor em Engenharia de Produção) Comentários do apresentador e algumas pesquisas relacionadas em cima do tema abordado na entrevista: Qual a importância de possuir um antivírus no aparelho? Existem diversos modelos de aparelhos e fabricantes e esses aparelhos possuem sistemas operacionais que são por sua vez necessários para a interação entre o user e a máquina. Um smartphone hoje em dia não deixa de ser como um computador, ou seja, da mesma forma que os computadores podem ser afetados por vírus, worms, spywers, são apenas termos que definem tipos diferentes de pragas virtuais que causam danos; para isso é necessário que se tenha aplicativos de defesa, que possam monitorar esse SO e verificar se não existe algum código malicioso trafegando ali dentro, existem algumas marcas de smartphones que tem o SO mais seguro (ex: iOS, por ter um código fonte fechado e restrito apenas a Apple o que o torna mais protegido de invasões), já o Android tem por sua vez o seu código fonte aberto para qualquer um que entenda do sistema possa estar alterando, por isso é necessária atenção maior nesses tipos de aparelhos e estar sempre colocando antivírus para evitar problemas maiores no futuro. De que forma o usuário bloqueia a maioria dos dados confidenciais dos aplicativos móveis? O acesso a dados confidenciais dentro de uma organização por aplicativos móveis hoje se tornou uma situação muito comum, por que praticamente todas as pessoas do planeta hoje tem um smartphone e tem uma dependência em relação a ele, e a praticidade de acesso muitas vezes a relatórios gerenciais, aos gráficos da organização e tudo mais. E geralmente as pessoas não conectam um cabo nesse smartphone para transmitir os dados de forma segura, as pessoas tem que transmitir os dados pela rede whireless; a transmissão pela rede wi-fi, ela por sua vez não é tão segura assim embora existam vários protocolos de segurança que possam auxiliar na criptografia desses dados mas que também por outro lado também existem muitas técnicas de quebra desse sigilo e a possibilidade de escuta. Uma forma é o registro/cadastramento do smartphone no sistema de segurança da empresa, pois cada smartphone possui um endereço próprio ele tem uma placa de rede de comunicação que por sua vez tem o endereço de MEC daquele aparelho, e isso pode ser a chave para conceder ou não permissão de acesso em determinadas áreas e informações do sistema. Quais os riscos de acessar redes wi-fi abertas? Muito grande, o wi-fi de redes públicas estão em exposição para que pessoas mal intencionadas estejam com seus equipamentos com antenas captando todos os pacotes de dados que estão trafegando naquele ambiente/região e onde o alcance da antena (acess point), alcança. Então não é recomendado que você acesse por exemplo a sua conta bancária utilizando o app do banco quando estiver conectado em uma rede pública/aberta como no aeroporto, parques, shoppings, etc; por que ali pode ter alguém conhecendo tudo que está trafegando, todas as conversas, todos os bits que vão de certa forma poder ser reconstruídos os arquivos originais, a transferência de uma foto às vezes pode ser reconstruída se o pacote for captado da rede whireless, bit a bit aquela foto pode ser reconstruída. Então todo cuidado com redes abertas é pouco quando se está fazendo uma navegação e trafegando dados importantes/sigilosos. O que é uma navegação segura? A navegação segura é uma navegação criptografada, só de observarmos quando acessamos a internet pelo computador, ou por um navegador ao digitar "www" e o endereço do site, no canto esquerdo aparece uma sigla "http" que significa "HyperText Transfer Protocol", ou seja, é uma página da internet, logo um hiper texto; ela pode trafegar com ou sem criptografia, quando ela trafega sem criptografia, ela está vulnerável a ser ouvida por intrusos ou por pessoas mal intencionadas, quando ela é criptografada, passa a ter o "S" de security, e é possível de se observar que tem "https", ou seja, "HyperText Transfer Protocol Security", ela é transferida de forma segura e criptografada, por isso que muitas vezes é possível observar aquele pequeno cadeado no lado esquerdo de "www" isso que é uma nevageção segura e sempre que possível a gente tem que optar por esse tipo de navegação, principalmente quando estamos informando dados pessoais, documentos pessoais e também dados financeiros como cartões, conta bancária, senha de banco, por isso tem que estar sempre atento ao cadeado pois se não estiver "trancado" temos uma grande possibilidade de fraude. -------------------------------------------------------------x---------------------------- Tópico 1 -> Introdução: Caro(a) estudante, à medida que os smartphones começam a substituir os computadores pessoais por causa de seus recursos avançados e facilidade de uso, grandes volumes de dados confidenciais agora são armazenados e processados em smartphones — incluindo contatos, e-mails, fotos e vídeos. Isso torna os smartphones um alvo atraente para invasores, principalmente no que diz respeito às várias maneiras de instalar códigos maliciosos nos dispositivos de suas vítimas e obter acesso não autorizado aos dados confidenciais dos usuários. A partir desse cenário, nesta unidade, vamos discutir sobre os Mecanismos de Segurança com Dispositivos Móveis, os cuidados que devemos tomar com os aplicativos e softwares, o Controle Físico, o gerenciamento e manipulação das Senhas de Acesso. -------------------------------------------------------------x---------------------------- Tópico 2 -> Mecanismos de Segurança com Dispositivos Móveis: A evolução dos telefones celulares que podem ser usados em qualquer lugar, bem como a tendência crescente de suas características e performances provocaram novos problemas de segurança. Infelizmente, a maior parte da segurança implantada não são mecanismos adaptados a esses contextos, principalmente devido aos recursos limitados de hardware (CPU, RAM e bateria), e às particularidades de cada ameaça móvel. Além disso, os ataques direcionados aos dispositivos móveis aumentaram 614% em um ano e o número de malware aumentou de 38,689 para 276,259 em um ano. Devido à quantidade de várias comunicações (interfaces) distintas, como: USB, GPRS, 3G / 4G, WiFi, dentre outros; nos telefones celulares para realizar a sincronização com o computador; armazenamento de dados na memória em cartões; compartilhamento de mídia via Bluetooth, Wifi, etc. O software malicioso tenta usar essas interfaces para se propagar, usando serviços como MMS e/ou Bluetooth. Quando um nó está infectado, ele lança diversas tentativas para conseguir espalhar o malware via MMS, se comportando como um vírus na Internet via e-mail. Geralmente começa com o envio de Mensagens MMS para os contatos encontrados na lista telefônica ou gerando combinações de números pertencentes a uma operadora de telecomunicações ou uma região conhecida. O ambiente permite que as redes móveis espalhem programas maliciosos direto via conexão Bluetooth ou Wi-Fi entre nós no caso de uma distribuição geográfica limitada (LAN) e por contato indireto com SMS ou MMS para grandes áreas geográficas (WAN). A maneira tradicional de detectar malware com base em assinatura digital está se tornando uma abordagem recente que visa prevenir e mitigar a ameaça representada por um malware móvel. De acordo com a pesquisa sobre prevenção de malware com base na pesquisa de Zhang, Aciicmez & Seifert, é proposto aplicar um controle de acesso obrigatório para evitar o comportamento hostil dos programas; um dos principais desafios é determinar automaticamente as regras, sem qualquer intervenção humana. Caso contrário, de acordo com Liu et al., a anomalia pode ser identificada pela variação da energia elétrica do telefone móvel que detecta malware observando o gasto extra de energia causado por um comportamento hostil do consumidor; a principal desvantagem dessa técnica é a falta de precisão e exatidão na modelagem de energia do consumo para plataformas móveis multitarefa. Saiba mais: Este vídeo aborda como os ataques recentes a dispositivos móveis através de aplicativos de mensagens ocorrem e é apresentado algumas estratégias que a IBM pode ajudar a proteger o negócio de tais ameaças. Como proteger sua empresa de ataques a dispositivos móveis? > Como é de meu conhecimento, todos os aparelhos/dispositivos móveis possuem dentro de si uma placa que é constituida por um endereço de MEC aonde existe por sua vez um endereço diferente/próprio por máquina, sendo assim a melhor maneira dentro de uma empresa de proteger tais dispositivos de ataques seria pegar esses endereços de MEC, criar um sistema para a empresa de segurança e mapear esses endereços dentro desse sistema, podendo assim ter o controle de qual uso está sendo feito em cada aparelho e dar ou retirar a permissão de uso para cada um que deseja ter o acesso aos dados daquela empresa em específico. De acordo com F-Secure Labs, podemos relacionar outros esforços industriais contra malware concentrando-se em dois mecanismos: 1. Controle de acesso em diferentes níveis: aplicação, rede, sistema operacional (Android, Symbian e Microsoft Windows). 2. Antivírus (Kaspersky, McAfee, Norton ...), que trabalham nas assinaturas de ataque (detecção de rastreamentos de execução). Podemos citar como exemplo de ameaça via MMS, o malware que pode espalhar para dispositivos móveis uma cópia de si mesmo a partir de um SMS / MMS enviado da máquina infectada. O Commwarrior é um exemplo de worm que pode ser propagado via MMS. O worm é capaz de analisar a lista telefônica e enviar via MMS aos contatos encontrados mensagens que podem infectar esses dispositivos assim que o MMS for aberto. Como exemplo de proteção, os servidores de rede que podem adotar uma estratégia para a filtragem automática de mensagens geradas por spammers. Um exemplo de ameaça via Bluetooth: a infecção via Bluetooth depende da proximidade física do atacante para a máquina infectada. Requer que o Bluetooth do telefone esteja ligado, com um sinal com força suficiente e o telefone deve estar no modo detectável. Como não existem intermediários entre a máquina infectada e uma vítima em potencial, é difícil monitorar remotamente a rota da infecção. O Cabir é um worm conhecido que o Bluetooth funciona em SymbianSeries 60 e se espalham entre os dispositivos. Outro exemplo de proteção que podemos citar são as estratégias de defesa contra a propagação via arquitetura Bluetooth o blue-Guard; essa estratégia pode detectar a propagação de Worms. A proteção consiste em dois elementos básicos: 1. Relógios Bluetooth. 2. O centro da detecção do Bluetooth. Os monitores Bluetooth, de acordo com LIU, YAN, ZHANG & CHEN, são usados para coletar um número de vezes que as pessoas pesquisam, o que é essencial para a distribuição da tecnologia Bluetooth. No entanto, o número de pacotes que serão investigados não é um bom parâmetro para detectar se as operações estão ocorrendo de forma normal. O worm Bluetooth é projetado para espalhar de forma rápida e agressiva novas vítimas dentro da área de cobertura. 1.1 Distribuição via MMS: Para garantir a privacidade de seus assinantes, o fornecedor de telecomunicações é convidado a implementar um programa de auditoria / automático para a desinfecção em todas as versões de sistemas operacionais, que pode ser aplicado em todos os telefones celulares; o SMS diferencia o programa atual / MMS hostil e limita sua propagação no futuro. O programa em si não deve afetar o desempenho do dispositivo móvel usando os recursos (CPU, RAM, energia da bateria). 1.2 Distribuição via Bluetooth: Os operadores podem integrar novas soluções com acesso à identificação forte e poderosa usando o IP (endereço) ou endereço MAC (lista de acesso Bluetooth) a partir da filtragem nos dispositivos móveis comercializados para permitir o acesso somente aos telefones celulares conhecidos e confiáveis. Com esta solução, apenas os dispositivos autenticados e os usuários autorizados podem compartilhar recursos através de uma Rede Bluetooth. Essas soluções, uma vez instaladas na rede local podem interromper a disseminação de programa malicioso na rede, que é um ponto de interconexão de todos os dispositivos móveis e uma porta de entrada para a interconexão de outros provedores de telecomunicações com uma solução completa de segurança (antivírus de gateway, firewall, detecção de intrusões, teste de vulnerabilidade e filtro de SMS / MMS). Além desses recursos, de acordo com Ross et al., precisamos de uma estrutura abrangente e central para atender os seguintes objetivos: > Política de segurança de aplicativos; > Conhecimento de segurança móvel; > Implementar práticas de segurança recomendada para dispositivos móveis; > Estabelecer um sistema de monitoramento em vários níveis: (Camada 2, Camada 3 e os Dados no nível do aplicativo); > Patches de segurança de atualização automática; > Integração de um sistema de alerta em tempo real via SMS; > Testes de aplicação do status de segurança do sistema móvel através de uma auditoria periódica ou procurar vulnerabilidades. -------------------------------------------------------------x---------------------------- Tópico 3 -> Instale Mecanismos de Segurança: A segurança do dispositivo móvel abrange todo o dispositivo móvel, incluindo o dispositivo e segurança de dados, Wi-Fi e comunicações, e o acesso seguro aos aplicativos e dados corporativos. Além disso, abrange o desenvolvimento, teste e entrega dos aplicativos através de lojas de aplicativos e sites. Este tópico está organizado em itens, cada uma qual descreve uma área importante de preocupação com a segurança do dispositivo móvel. Malware e App Stores: Inúmeras fontes citam o aumento do malware de dispositivos móveis, por exemplo, o Motive Security Labs examina as tendências e estatísticas para infecções por malware em dispositivos conectado através de redes móveis e fixas. No H1 - Relatório de malware de 2015, é apontado que a maioria dos malwares do Android está atualmente distribuído como aplicativos trojanized, sendo que o Android oferece o alvo mais fácil para que isso ocorra. Especificamente, os aplicativos Android podem ser baixados de lojas de aplicativos e sites de terceiros; onde não há controle dos certificados digitais usados para assinar aplicativos Android e geralmente são autoassinados e não podem ser rastreados até o seu criador (desenvolvedor). Consequentemente, é fácil sequestrar um aplicativo Android, injetar um código malicioso nele e assinar novamente para realizar a redistribuição. Reflita: O MassVet é uma técnica inovadora de detecção de malware que compara um aplicativo enviado com todos os outros aplicativos em um mercado, concentrando-se em suas diferenças com aqueles que têm uma estrutura de interface do usuário semelhante e interseções com outras pessoas. O MassVet foi usado para analisar quase 1,2 milhão de aplicativos e descobriu 127.429 aplicativos mal-intencionados. O problema não se limita a dispositivos Android, pois a Apple iTunes Store distribuiu recentemente vários aplicativos maliciosos criados pelo XcodeGhost, que estão listados no site da Apple. Existem também numerosos repositórios públicos do Cydia com versões adulteradas de aplicativos pagos disponível gratuitamente. Esses aplicativos geralmente contêm malware. A distribuição de aplicativos por meio de lojas de aplicativos deve impedir a introdução de malware através de métodos eficazes e escaláveis (com os mecanismos de verificação). Os mecanismos existentes, no entanto, são lentos e menos capazes de capturar novas ameaças. Armazenamento Seguro: A análise da Flurry informou que, em 2014, os usuários gastaram 86% do seu tempo nos dispositivos móveis usando aplicativos móveis contra 14% usando um navegador. Nos aplicativos tradicionais de servidor de navegadores, os dados tendem a ser armazenados no servidor (onde controles rígidos podem ser aplicados). Em contraste a esse cenário, muitos aplicativos móveis armazenam em cache dados os confidenciais (de forma local), expondo-os a vários novos vetores de ataque e frequentemente deixando a segurança como responsabilidade do usuário. Os dispositivos móveis são usados de maneiras únicas, o que torna um desafio para os desenvolvedores armazenarem os dados com segurança. Um desafio central para a criptografia de dados é o armazenamento de chaves. Em dispositivos móveis, a chave de criptografia precisa estar disponível para o usuário acessar os dados. No entanto, a criptografia de dados muda apenas o problema de armazenar os dados para armazenar a chave. Armazenando uma chave de criptografia em um servidor remoto geralmente não resolve o problema, pois um invasor que tem acesso ao dispositivo pode solicitar a chave de criptografia desse servidor e descriptografar os dados. A maioria dos dispositivos móveis utiliza alguma forma de senha ou senha usada de uma maneira criptograficamente segura. A chave em si nunca é armazenada no dispositivo e é criada apenas na memória (sempre que o usuário digitar sua senha). O iOS 9 fornece um módulo de segurança de hardware (HSM), que permite gerar e usar chaves no chip de hardware sem permitir o acesso a ele. Comunicações Seguras: Segundo Pell e Soghoian, diversos pesquisadores documentaram uma história preocupante a respeito da vigilância a partir dos dispositivos móveis. A vigilância ativa pode ser realizada com uma identidade internacional de assinante móvel, denominado de IMSI (International Mobile Subscriber Identity). Os coletores de IMSI funcionam representando uma estação base transceptora sem fio — o equipamento é instalado em uma torre de celular na qual os telefones celulares podem se conectar e “enganam” o telefone do alvo para conectar-se a essa rede. Essencialmente, ataques tipo man-in-the-middle (MITM), os IMSI são usados em alguns países pelas agências de inteligência. No entanto, os pesquisadores de segurança podem construir os seus próprios dispositivos de vigilância ativos com facilidade a partir da compra de componentes eletrônicos disponíveis e baratos. Por exemplo, Kristin Paget interceptou as chamadas efetuadas dos telefones dos membros da audiência no DEF CON 2010 usando um laptop executando o OpenBTS configurado para mascarar a Rede. Pesquisadores do Grupo NCC Doug DePerry, Tom Ritter e Andrew Rahimi usaram uma femtocell da Verizon para interceptar as chamadas de voz, dados e mensagens de texto SMS de qualquer telefone que se conecta ao dispositivo. Eles também foram capazes de clonar um telefone celular que é executado em uma rede CDMA de forma remota, coletando seu número de identificação do dispositivo. Atualizações do SO Móvel: A instalação e a execução da versão mais recente do SO móvel são necessárias para a segurança do dispositivo. Por exemplo, existem diferentes versões do Android que oferecem vários níveis de espaço de endereço a partir de um processo de randomização (ASLR). Jelly Bean para Android (4.1) foi o primeiro sistema operacional Android a fornecer ASLR completo. Como um dos resultados, as versões mais recentes do sistema operacional são mais resistentes à exploração. Muitos dispositivos Android têm uma longa cadeia de suprimentos, o que torna a implantação do sistema operacional um processo lento e incerto. A cadeia de suprimentos para diferentes sistemas operacionais varia muito. Para os dispositivos executando o Apple iOS, a Apple lança a atualização do iOS para o dispositivo e o cliente é notificado de que a atualização pode ser instalada. Para a maioria dos telefones Android, o cliente aguarda o Google corrigir o SO Android principal, para os fabricantes de dispositivos fazerem o estoque do sistema operacional Android e personalizá-lo para sua plataforma e, finalmente, para o telefone, o provedor de serviços sem fio personaliza as informações do fabricante do telefone com a versão já personalizada do Android e agenda uma atualização. Saiba mais: Neste vídeo os profissionais Thales Machado e Ygor Barboza, apresentam Arquitetura de um app Android, abordando diversos assuntos pertinentes que a equipe de desenvolvimento deve atender (além de vincular alguns elementos da segurança da informação). Quanto maior a cadeia de suprimentos, maior será o atraso na atualização do sistema operacional que será implantada em um cliente. Existe também uma certa incerteza sobre se um dispositivo receberá atualizações por completo (em absoluto). Isso cria um problema para os desenvolvedores que precisam representar um mercado altamente fragmentado com cada versão de plataformas, fornecendo diferentes APIs de segurança. Codificação Segura: As vulnerabilidades nos dispositivos móveis são frequentemente o resultado das inseguranças de codificação. O mecanismo Stagefright do Android é um serviço de mídia de reprodução para Android que continha múltiplas vulnerabilidades que permitiam a um atacante remoto acessar arquivos ou executar código no dispositivo. Um invasor poderia enviar mensagens multimédia (MMS) maliciosas, que poderiam ser indevidamente analisadas pela ferramenta Stagefright. Outros vetores de ataque incluem: navegadores web, downloads, e-mail, NFC, Bluetooth, VCards, cartões SD, USB on-the-go, USB Media Transfer Protocol, Picture Transfer Protocol, galeria e possivelmente outros ainda não identificados. Uma maneira eficaz de evitar esses erros são adotar um padrão de codificação segura e certificar-se de que os desenvolvedores têm treinamento eficaz na construção de sua codificação. -------------------------------------------------------------x---------------------------- Tópico 4-> Controle Físico: Os recursos do dispositivo móvel estão mudando constantemente, por isso é difícil definir o termo "dispositivo móvel". No entanto, à medida que os recursos mudam, o mesmo acontece com as ameaças e os controles de segurança, por isso é importante estabelecer uma linha de base desses recursos. Ameaças e Vulnerabilidades de Alto Nível: Os dispositivos móveis geralmente precisam oferecer suporte a vários objetivos de segurança. Isso pode ser realizado através de uma combinação de recursos de segurança incorporados aos dispositivos móveis e controles de segurança adicionais aplicados aos dispositivos móveis e outros componentes da infraestrutura de TI da empresa. A segurança mais comum para atender os objetivos para dispositivos os móveis são os seguintes: Confidencialidade - garantir que os dados transmitidos e armazenados não possam ser lidos por terceiros não autorizados. Integridade - detectar quaisquer alterações intencionais ou não intencionais nos dados transmitidos e armazenados. Disponibilidade - garantir que os usuários possam acessar recursos usando dispositivos móveis sempre que necessário. Para atingir esses objetivos, os dispositivos móveis devem ser protegidos contra uma variedade de ameaças. Falta de Controles de Segurança Física: Normalmente, os dispositivos móveis são usados em vários locais fora do controle da organização, como casas, cafeterias, hotéis e conferências de funcionários. Mesmo os dispositivos móveis usados apenas dentro das instalações da organização geralmente são transportadas de um lugar para outro dentro das instalações. Os dispositivos móveis possuem uma natureza que os torna muito mais propensos a serem perdidos ou roubados do que outros dispositivos, aumentando o risco de comprometimento dos dados. Ao planejar as políticas e controles de segurança dos dispositivos móveis, as organizações devem assumir que os dispositivos móveis serão adquiridos por terceiros maliciosos que tentarão recuperar informações confidenciais de todos os dados diretamente dos próprios dispositivos ou indiretamente, usando os dispositivos para acessar os recursos remotos da organização. Uma camada envolve a solicitação (exigência) da autenticação antes de obter o acesso ao dispositivo móvel ou aos recursos da organização acessíveis por meio do dispositivo. Formas de autenticação mais robustas, como autenticação baseada em token, baseada em rede para a autenticação do dispositivo e autenticação de domínio, podem ser usadas em vez de ou além das funções internas dos recursos de autenticação de dispositivo. Uma segunda camada envolve a proteção de dados confidenciais — criptografar o armazenamento do dispositivo móvel, para que os dados confidenciais não possam ser recuperados por pessoas não autorizadas (terceiros) ou não armazenar dados confidenciais em dispositivos móveis. Mesmo que um dispositivo móvel esteja sempre na possessão de seu proprietário, há outros riscos físicos à segurança, como um invasor olhando por cima de um ombro do funcionário remoto em uma cafeteria e visualizar dados confidenciais na tela do dispositivo móvel (por exemplo, uma senha sendo inserida). Finalmente, outra camada envolve treinamento de usuários e conscientização, para reduzir a frequência de práticas inseguras de segurança física. Uso de Dispositivos Móveis não Confiáveis: Muitos dispositivos móveis, particularmente aqueles de propriedade pessoal, não são necessariamente confiáveis. A maioria dos dispositivos móveis atuais não possui a raiz dos recursos de confiança (por exemplo, módulos de plataforma, TPMs) e são cada vez mais incorporados a laptops e outros tipos de hosts. Há também jailbreak e root frequentes de dispositivos móveis, o que significa que as restrições internas à segurança, o uso do sistema operacional, etc. foram ignorados. As organizações devem assumir que todos os dispositivos móveis não são confiáveis, a menos que a organização os tenha protegido adequadamente e monitore sua segurança continuamente enquanto estiver sendo usado com aplicativos ou dados corporativos. Existem várias estratégias de gerenciamento de segurança possíveis, que estão relacionadas ao uso de dispositivos móveis não confiáveis. Uma opção é restringir ou proibir o uso de dispositivos BYOD, favorecendo dispositivos emitidos pela organização. Outra técnica efetiva seria proteger totalmente cada dispositivo móvel emitido pela organização; isso coloca o dispositivo móvel como confiável em um estado possível e os desvios desse estado seguro podem ser monitorados e solucionados. Existem soluções técnicas para obter graus de confiança nos dispositivos BYOD, como a execução de software da organização em um Sandbox e segura no dispositivo móvel ou usando aplicativos de verificação de integridade do dispositivo. Uso de Redes não Confiáveis: Como os dispositivos móveis usam principalmente as redes não organizacionais para acesso à Internet, as organizações normalmente não têm controle sobre a segurança das redes externas que os dispositivos usam. As comunicações podem incluir mecanismos sem fio, como Wi-Fi e redes celulares. Essas comunicações (via sistemas) são suscetíveis à escuta, o que coloca informações sensíveis transmitidas em risco. Os ataques do tipo man-in-the-middle também podem ser realizados para interceptar e modificar as comunicações. A menos que seja absolutamente certo que o dispositivo móvel será usado apenas em redes confiáveis controladas pela organização, é necessário planejar a segurança de seus dispositivos móveis, pressupondo que as redes entre o dispositivo móvel e a organização não são confiáveis. O risco do uso de redes não confiáveis pode ser reduzido usando tecnologias de criptografia fortes (como redes virtuais privadas, VPNs) para proteger a confidencialidade e a integridade das comunicações, bem como usando mecanismos de autenticação mútua para verificar as identidades de ambos os pontos de extremidade antes de transmitir os dados. Outra possível ação a ser adotada é proibir o uso de redes Wi-Fi inseguras, como as que executam protocolos vulneráveis conhecidos. Além disso, todas as interfaces de rede não necessárias ao dispositivo podem ser desativadas, reduzindo a superfície de ataque. Uso dos Serviços de Localização: Os dispositivos móveis com recursos de GPS normalmente executam o que é conhecido como serviço de localização. Esses serviços mapeiam um local adquirido por GPS para as empresas correspondentes ou outras entidades próximas a esse local. Os serviços de localização são muito usados pelas mídias sociais, navegação, navegadores da web e outros dispositivos móveis. Em termos de segurança da organização e privacidade pessoal, os dispositivos móveis com serviços de localização ativos correm maior risco de ataques direcionados porque é mais fácil para os possíveis invasores determinarem onde estão o usuário e o dispositivo móvel e correlacionar essas informações com outras fontes sobre quem o usuário se associa e os tipos de atividades que realiza em locais específicos. Essa situação pode ser atenuada desativando os serviços de localização ou proibindo o uso de serviços de localização para alguns aplicativos específicos, como redes sociais ou aplicativos de fotos. No entanto, um problema semelhante pode ocorrer mesmo se o GPS ou outros serviços de localização estão desativados. É cada vez mais comum que sites e aplicativos determinem a localização de uma pessoa com base em sua conexão com a Internet, como um ponto de acesso Wi-Fi ou endereço IP. A principal ação para isso é desativar esses serviços de localização sempre que possível. As organizações devem estar cientes que manter os serviços de localização ativos também pode ter efeitos positivos sobre a segurança da informação. Por exemplo, diferentes políticas de segurança podem ser aplicadas, dependendo se o dispositivo móvel está sendo usado dentro das instalações da organização ou fora das instalações da organização. As tecnologias centralizadas pelos dispositivos móveis são uma solução crescente para controlar o uso dos dispositivos móveis emitidos pela organização e de propriedade pessoal por usuários corporativos. Além de gerenciar a configuração e a segurança de dispositivos móveis, essas tecnologias oferecem outros recursos, como o fornecimento do acesso seguro aos recursos de computação da empresa. Componentes e Arquiteturas: Existem duas abordagens básicas para o gerenciamento centralizado dos dispositivos móveis: a utilização do servidor de mensagens e recursos de gerenciamento (geralmente do mesmo fornecedor que fabrica uma determinada marca de dispositivo móvel ou o sistema operacional) ou a utilização de um produto de terceiros, projetado para gerenciar uma ou mais marcas de sistemas operacionais de dispositivos móveis. Com a última abordagem, pode ser possível ter um único produto que possa gerenciar várias marcas de sistemas operacionais de dispositivos móveis desejados para a utilização em uma empresa; no entanto, um produto fornecido por um fabricante de dispositivo móvel pode ter um suporte mais robusto para os dispositivos móveis do que produtos de terceiros. Arquitetonicamente, as duas abordagens para o gerenciamento centralizado de dispositivos móveis são bastante semelhantes. A solução típica possui uma arquitetura direta de cliente / servidor. A empresa contém um ou mais servidores que fornecem os recursos de gerenciamento centralizado, e um ou mais aplicativos clientes são instalados em cada dispositivo móvel e configurado para ser executado em segundo plano o tempo todo. O gerenciamento centralizado de dispositivos móveis pode fazer uso de outros serviços empresariais, como o domínio de serviços de autenticação e serviços VPN. Se não houver uma solução de gerenciamento centralizado ou determinados dispositivos móveis não poderem usá-la, o dispositivo móvel precisa ser gerenciado individual e manualmente. Além dos recursos adicionais gastos, existem dois grandes problemas de segurança com isso: os controles de segurança fornecidos por um dispositivo móvel geralmente carecem do rigor daqueles fornecidos por um dispositivo móvel. Pode não ser possível gerenciar a segurança do dispositivo quando ele não estiver fisicamente presente na empresa. É possível instalar utilitários que gerenciam dispositivos remotamente, mas será necessário significativamente mais esforço para usar esses utilitários para aplicar manualmente as atualizações e executar outras tarefas de manutenção e gerenciamento dos dispositivos móveis ausentes do escritório. Para evitar esses problemas, as organizações podem optar por proibir o uso de dispositivos móveis que não sejam gerenciados centralmente. -------------------------------------------------------------x---------------------------- Tópico 5-> Senhas de Acesso: Mazurek et al. examinaram como as políticas de composição de senha afetam a força e a usabilidade da senha em laptops e desktops. No entanto, na última década, o cenário de utilização dos dispositivos eletrônicos aumentou e mudou significativamente. Os dispositivos móveis, como smartphones e tablets, aumentaram em popularidade e agora são usados não apenas para a realização de chamadas ou envio de mensagens de texto, mas também para o envio de e-mail, navegar na web, acessar as redes sociais e acessar aos aplicativos dos bancos. A maioria destas atividades requerem autenticação, geralmente na forma de texto ou senhas. Infelizmente, devido ao tamanho das chaves virtuais e o esforço necessário para navegar entre as páginas do teclado, a entrada de texto em dispositivos móveis é demorada e propensa a erros. De acordo com Kovach, esse problema tem efeitos importantes na usabilidade e segurança de senhas de texto em dispositivos móveis, ao mesmo tempo, a escolha de senhas difíceis de adivinhar permanece importante. Como as senhas de texto foram estudadas principalmente no contexto de laptops e desktops, o impacto preciso da usabilidade do dispositivo móvel na segurança das senhas criadas e usadas em dispositivos móveis em relação a ataques de adivinhação offline permanecem amplamente desconhecidos. Ao compararmos a usabilidade e a segurança do texto de senhas criadas ou usadas em telefones, ou tablets (referidos como dispositivos móveis) aos criados e usados no laptop ou no computador (referidos como dispositivos tradicionais) no contexto de ataques de adivinhação offline encontramos elementos interessantes. Para comparar o comportamento da senha em dispositivos móveis e tradicionais, Zezschwitz, Luca e Hussmann pesquisou e identificou que as senhas criadas no celular dos dispositivos móveis podem ser mais vulneráveis a ataques de adivinhação do que aqueles criados em dispositivos tradicionais. Consistentemente, as senhas criadas em dispositivos móveis tinham menos caracteres maiúsculos e especiais, com caracteres especiais agrupados com mais frequência. Shay et al. descobriram que, ao definir uma política de segurança específica — que exigem que as senhas tenham pelo menos entre 12 a 16 caracteres estão em conformidade com outros requisitos — é possível atingir um equilíbrio promissor entre usabilidade e segurança. Isso reforça o argumento de exigir que as senhas possuam pelo menos 16 caracteres longos (limitando outros requisitos), levando a seguir essa recomendação para evitar situações que desagradáveis possam ser experimentadas (quando as senhas podem ser criadas ou usadas em dispositivos móveis). -------------------------------------------------------------x---------------------------- Tópico 6 -> Conclusão: Os smartphones são suscetíveis a muitos ataques porque armazenam dados de sensibilidade variável, conectam-se a redes públicas e privadas e lidam com vários tipos de sensores. Apresentamos ao longo dessa unidade algumas pesquisas apresentando diversas preocupações de privacidade e segurança dos usuários como, por exemplo: as percepções dos usuários relacionadas à conexão a redes Wi-Fi públicas, usando plataformas móveis de mensagens instantâneas, salvando fotos pessoais em aplicativos de galeria e aproveitando os serviços de localização de smartphones. Vimos que diversos fatores podem influenciar a adoção de comportamentos relacionados à segurança pelos usuários. Isso inclui gatilhos sociais, o tempo e o esforço necessários para adotar certas práticas e a importância dos dados armazenados. Acreditamos que com as recomendações que propusemos ao longo de nossos estudos, existe um grande potencial para aprimorar e melhorar a segurança dos smartphones, concentrando-se nos fatores que podem gerar mudanças comportamentais significativas. -------------------------------------------------------------x----------------------------
Compartilhar
Continue navegando
Materiais relacionados
Perguntas relacionadas
Compartilhar