Segurança em dispositivos móveis
Atualmente, a mobilidade tomou conta dos nossos dias e momentos. Quem, em sã consciência, poderia afirmar que “consegue” viver um dia sem o seu melhor companheiro? Sair de casa sem o celular está praticamente impossível. “Esquecer onde deixei meu celular” é um motivo de fortíssimo stress. O simples fato de ter acesso a praticamente tudo tornou-nos dependentes da tecnologia de mobilidade e de suas facilidades.
Desta forma, o que antes era um aparelho de comunicação, agora é um computador portátil e com os aplicativos que podem ser baixados e instalados, um simples dispositivo móvel pode ser seu melhor amigo ou inimigo.
Os enormes riscos criados pela facilidade de acesso de todos para tudo tem sido motivo de preocupação de fraudes por grande parte das empresas. O simples fato de um smartphone poder ser o veículo de vazamento de informações confidenciais e sigilosas de uma empresa tem deixado os CIOs em uma grande encruzilhada. A permissão ou não do uso dos dispositivos móveis pelos funcionários e colaboradores de uma organização para acessar informações críticas ou confidenciais de uma empresa tem criado uma situação esdrúxula tanto para os colaboradores como para os empresários. Como permitir que estes usuários utilizem seus dispositivos móveis para acesso a dados sensíveis do negócio, sem correr o risco de que estes funcionários copiem ou “vazem” estas informações para fora do “círculo de confiança” da empresa? Temos então um cenário novo de mudança de paradigma, onde passam a existir novos conceitos baseados na tecnologia existente. São os termos BYOD, BYOA e BYOC ou respectivamente, Bring Your Own Device, Bring Your Own Application e Bring our Own Cloud.
Como tratar esta questão sob o ponto de vista deste novo cenário de risco corporativo? Surge então o conceito de MDM ou Mobile Device Management onde todos os funcionários que quiserem utilizar seus próprios dispositivos móveis terão, obrigatoriamente, que cumprir as diretrizes exigidas por parte dos empregadores. Incialmente, pode-se pensar em algo mandatório neste caso, chamado de Política de Segurança da Informação. Estes documentos dariam o norte para colaboradores e funcionários saberem o que é ou não é permitido enquanto pertencer ao quadro organizacional da empresa. Toda política possui um tipo de sanção ou penalidade caso o colaborador descumpra ou quebre o que está escrito nestas diretrizes. Então, de forma mais simples, qualquer colaborador que quiser utilizar seu dispositivo móvel para acessar os dados da empresa deverá permitir a instalação de um agente de controle em seu aparelho a fim de que este possa ser devidamente monitorado e utilizado de forma segura.
Caso o funcionário ou o colaborador se negue a permitir este tipo de instalação de software em seu aparelho, ele estaria imediatamente proibido de utilizar seu dispositivo móvel para uso corporativo.
Sob o ponto de vista organizacional, é tudo uma questão de conformidade com os objetivos da empresa. Mas … e a pessoa física, neste caso, o dono do aparelho? Como fica a questão de controle dos riscos do dia a dia no uso de seu smartphone, tablet, notebook etc. ? Como proteger nossos tão amados e imprescindíveis amigos-eletrônicos-do-peito?
Na verdade, não há uma forma 100% eficaz de alcançarmos este nível de proteção.
Entretanto, podemos e devemos criar e usar todos os recursos possíveis para nos proteger e isto vai desde o uso de senha ao ligar o aparelho móvel, criptografia e até mesmo a possibilidade de apagar o conteúdo do dispositivo de forma remota, em caso de perda ou roubo do aparelho.
Seguem algumas recomendações básicas para proteção de nossos dispositivos móveis que tanto amamos. O uso de uma senha para desbloquear o aparelho é fundamental, mas só impede que alguém mal intencionado tenha acesso às informações pelo Sistema Operacional. Contudo, esta proteção não impede o acesso aos dados por conexão física direta ou o acesso ao cartão de memória.
Desta forma, se você deseja proteger o acesso ao conteúdo de seus dispositivos móveis utilize aplicativos de criptografia.
Todos os smartphones e tablets da Apple com iOS versão 5 ou superior usam criptografia de hardware. A criptografia de hardware faz uso do algoritmo AES256 (Advanced Encryption Standard) e garante uma proteção efetiva dos dados armazenados fisicamente no dispositivo.
O Android, do Google, utiliza criptografia de hardware desde a versão 2.3, chamada de Gingerbread. Neste sistema, o uso de criptografia é opcional, cabendo ao usuário ativá-la quando assim o desejar.
Outra dica é que o iOS da Apple, possibilita a localização remota dos dispositivos previamente cadastrados. Este recurso permite que uma pessoa que perdeu ou teve seu aparelho roubado tenha a chance de encontrá-lo desde que o mesmo esteja conectado à Internet. Ao localizá-lo, pode-se enviar um alerta visual e sonoro na tela do dispositivo ou apagar todos os dados, recurso conhecido como Remote Wipe, preservando assim o sigilo do conteúdo do aparelho.
Já no caso do Android, os recursos de localização e remote wipe (apagamento remoto) não são nativos, cabendo ao usuário instalar um app que permita esta funcionalidade.
Uma outra dica importante: se você é dono de um aparelho da Apple (iPhone ou iPad), você tem a opção de utilizá-lo de forma “politicamente correta” ou não. Isto significa que você pode “destravar” seu iPhone ou iPad para permitir a instalação de qualquer tipo de app, sem ter que pagar nada à Apple. “Uau! Isto é muito bom” diriam os espertos. Quanto engano! Uma vez que você “destravou” seu aparelho da Apple (termo conhecido como Jailbreak), você precisa redobrar seus cuidados, pois pode instalar qualquer app que não tenha passado pelas verificações da Apple em termos de segurança. Mas essa “liberdade” toda pode fazer você baixar um app com códigos maliciosos que permitirão a um cyberatacante roubar todas as suas informações, gravar conversas através da ativação de seu microfone, rastrear você e até mesmo ligar a câmera de seu dispositivo móvel sem que você perceba.
Então a dica é: Não faça Jailbreak em seus dispositivos da Apple, pois você poderá se dar muito mal ao achar que é mais “esperto” que os outros. Mas se fizer, boa sorte. Agora é por sua própria conta e risco.
Neste caso, torna-se obrigatória a instalação e uso de um antivírus de boa qualidade em seu aparelho móvel. Se seu sistema for Android, então é praticamente obrigatória a instalação de um antivírus de boa qualidade.
Anote o número de seu IMEI. Para obtê-lo digite *#06# e guarde este número num local seguro. Você precisará passar este número para sua operadora de celular em caso de perda ou roubo.
Sempre mantenha seu sistema operacional atualizado com a última versão do fabricante. Isto garante que problemas de segurança tenham sido sanados bem como o benefício das novas funcionalidades.
Por fim, saiba que não existe uma forma 100% eficaz para proteger o aparelho. Mas deixá-lo sem um método de bloqueio que pelo menos iniba ou dificulte as tentativas de acesso indevido não é nada aconselhável.
Utilize uma senha complexa – de preferência com caracteres alfanuméricos – para bloquear o dispositivo e bloquear automaticamente a tela após certo tempo de inatividade. E lembre-se: instale apps somente a partir de lojas oficiais. Nem pense em fazer Jailbreak. Por último: desabilite o recurso Wireless e Bluetooth quando não estiverem sendo utilizados.
Prof. MSc. Ricardo Giorgi, CISA, CISSP-ISSAP, é professor de MBA na FIAP, tendo orientado diversos trabalhos nas áreas de segurança da informação e redes. Mestre em Engenharia da Computação, pelo IPT – Instituto de Pesquisas Tecnológicas. Sua dissertação de mestrado ganhou o prêmio SecMaster 2004, na categoria de Melhor Trabalho Acadêmico de 2004. O professor Ricardo é detentor de alguns dos títulos mais expressivos na área de Segurança da Informação, redes e infraestrutura, tais como: CISA, CISSP-ISSAP, CISM, CRISC, CGEIT, SSCP, CEH, ECSA, ISO 27001 LA, MCSO, Security+, RHCE, LPI, CCSI, CCNA, VCP, entre outras.