quinta-feira, 17 de dezembro de 2009

SEGURANÇA EM DISPOSITIVOS MÓVEIS - “MOBILE”


Olá amigos,

Hoje iremos falar um pouco dos aspectos de segurança de uma tecnologia que não para de invadir as nossas vidas, os dispositivos móveis ou Mobile. A cada dia que passa o ser humano se rende às novas tecnologias móveis disponíveis no mercado, aproveitando ao máximo toda a comodidade e flexibilidade proposta pela comunicação sem fio. Buscando conectividade em qualquer lugar e a qualquer tempo, empresas de tecnologia investem milhões de dólares em pesquisa e desenvolvimento de novas formas de transmissão de dados através do ar.


Percebendo todo esse potencial pessoas com más intenções também investem seu tempo no desenvolvimento de novas formas de burlar a segurança e se aproveitar das vulnerabilidades das novas tecnologias. Este artigo, tem o objetivo de fazer uma síntese desses cenários apontando as principais tecnologias existentes, suas vantagens e desvantagens, vulnerabilidades, e formas de previnir e combater os ataques mais comuns.

Para manter a o padrão de nossos artigos seguiremos a seguinte estrutura:


1) Estrutura do artigo

  • Mobile;
  •  Mercado Brasileiro;
  • Mercado Mundial;
  •  Vulnerabilidades de dispositivos móveis;
  • Soluções de segurança para dispositivos móveis;
  •  Conclusão;
  • Créditos;
  •  Bibliografia.


2) Mobile

Antes de falarmos sobre as ameaças à dispositivos móveis, suas vulnerabilidades e as formas de previni-las, os tópicos que seguem, descrevem algumas características dessa tecnologia: conceito, tipos de sistema operacional utilizados em dispositivos móveis e a infraestrutura de rede adotada.


2.1) O que é MOBILE

O termo Mobile de “mobile phone”, significa “telefone móvel/celular em inglês”. De modo geral, todo tipo de tecnologia utilizada pelo usuário enquanto ele se movimenta é tecnologia móvel.


Um dispositivo móvel é um equipamento digital como celulares, Pocket PCs, Palms, Smatphones, Handhelds, Notebooks, etc. Esses equipamentos atingiram o cotidiano das pessoas, modificando suas rotinas, as formas de realizar tarefas diárias de trabalho e de tomar decisões. O uso da tecnologia móvel passou a ser um diferencial competitivo para grandes e médias empresas, uma vez que melhoram a gestão de negócios, em função da integrarção de dispositivos móveis com sistemas de gestão e e-bussiness. Além de ser um bom investimento para o atendimento ao cliente, oferecendo um leque de opções de interatividade com o mesmo.
 
 
2.2) Sistemas operacionais de dispositivos móveis
 
Existem Sistemas Operacionais específicos para dispositivos móveis, os mais utilizados são os da plataforma Windows Mobile que possui varias versões que variam em função dos tipos de equipamentos móveis. Entre os principais sistemas podemos citar:
 

  • Windows Mobile: também conhecido atualmente como Windows Mobile 6 Professional para dispositivos com capacidade de telefone, e Windows Mobile 6 Classic para dispositivos sem capacidade de telefone.
  • Windows Mobile Pocket PC: Conhcido como Windows Mobile 5.0, combina os recursos do Windows Mobile para Pocket PC com capacidade de telefone, integrados ao PDA.
  • Pocket PC Phone: Conhcido como Windows Mobile 5.0, combina os recursos do Windows Mobile para Pocket PC com capacidade de telefone, integrados ao PDA.
  • Windows Mobile Smartphone: O Windows Mobile para Smartphones integra recursos de PDA em um equipamento criado para ligações de voz, e do tamanho dos atuais aparelhos celulares. Os programas para smartphone são específicos em função das diferenças em relação às outras versões do Windows Mobile.
  • Android: é um sistema operacional baseado em kernel Linux. Ele foi inicialmente desenvolvido pela Google e posteriormente pela Open Handset Alliance, ele permite os desenvolvedores escreverem software na linguagem de programação Java controlando o dispositivo móvel via bibliotecas desenvolvidas pela Google.
  • Palm OS: é um sistema operacional (ou operativo) desenvolvido pela PalmSource, Inc. para os Assistentes Pessoais Digitais (PDA) manufaturados por diversas firmas que adquiriram a licença de fabricação. A maior licenciadora do Palm OS é a Palm, Inc. Atualmente está na versão 6.0 Cobalt, e sua base(kernel) nas próximas versões deve ser baseada no sistema operacional Linux, depois da PalmSource comprada pela Access.
  • Symbian OS: é um sistema operacional aberto produzido pela Symbian Ltd e licenciado pelos maiores fabricantes de aparelhos celulares. É projetado para as exigências específicas dos celulares 2G, 2.5G e 3G.

2.3) Infra estrutura de rede utilizada

A comunicação entre dispositivos móveis se dá através de padrões de rede sem fio 802.11, associados a protolcos de segurança WEP, WPA e WPA 2.


Uma rede padrão 802.11 é um sistema de transmissão de dados desenvolvido para oferecer acesso à rede independente da localização, através de ondas de rádio.

O 802.11 possui 6 versões, sendo as mais populares as versões "a", "b" e "g". Estas foram desenvolvidas levando em consideração problemas de segurança.

Os padrões 802.11b e 802.11g usam a faixa de freqüência de 2.4 gigahertz (GHz) e por isso, podem sofrer interferências de equipamentos que fazem uso da mesma faixa como fornos de micro-onda, telefones sem-fio, dispositivos Bluetooth e outros. O 802.11a usa a faixa de 5 GHz, e por isso não é afetado por produtos que operem na faixa de 2.4Ghz.
 
 
2.3.1) Bluetooth
 
A tecnologia de rede Bluetooth também é empregada na comunicação entre diversos dispositivos móveis em uma área relativamente pequena (em torno de dez metros), reduzindo o risco de interferências entre dispositivos Bluetooth bem como a necessidade de cabos para acessar à Internet.
 
 
3) Mercado Brasileiro

O mercado da telefonia móvel cresce surpreendentemente a cada ano, é o que nos mostra uma pesquisa divulgada pela Agencia Nacional de Telecomunicações (ANATEL). Segundo a ANATEL o Brasil chegou a 159.613.507 acessos no serviço móvel pessoal (SMP), tendo um número impressionante de 2.111.694 habilitações só no mês de junho de 2009, e esses números representam um crescimento de aproximadamente 1,34% no número de assinantes. Em uma demonstração clara da democratização da telefonia móvel no país, do total de acessos registrados pela pesquisa 130.596.366 (81,82%) são pré-pagos, e 29.017.141 (18,18%) são pós-pagos. No quadro comparativo abaixo podemos notar todo o potencial do setor:




4) Mercado Mundial

Quando ampliamos a análise e passamos a levar em consideração o mercado global esses números ultrapassam o número de 4 bilhões de conexões em todo o mundo, o que representa 60% da população global. Esses números revelam a mina de ouro que é o mercado de telecomunicação móvel, e expõe também a grandiosidade e a importância do desenvolvimento de tecnologias de segurança e de pesquisas para manter tanta informação segura.


5) Vulnerabilidades de dispositivos móveis

A vulnerabilidade que os dispositivos móveis e sem fio apresentam tornou-se um tormento à segurança das grandes corporações e de usários domésticos também. Esses dispositivos armazenam cada vez mais informações valiosas corporativas e têm acesso aos sistemas de informação das empresas. Não obstante, poucos deles dispõem de proteção adequada contra acesso não autorizado.


Eles se tornaram uma realidade cada vez mais comum em redes wireless e se integraram a este ambiente contribuindo para facilidade e disponibilidade da informação. Entretanto, o ambiente wireless está sujeito a vulnerabilidades, devido à forma de propagação da informação que se dá através do ar, estando sujeita a intercepção ou até mesmo roubo das informações.

A capacidade de processamento dos dispositivos móveis é hoje semelhante à dos computadores há cinco ou seis anos. Juntamente com este aumento de capacidade, assiste-se ao aumento de funcionalidades e capacidades de automação. É esta automação que os hackers e os criadores de vírus visam atingir ao criar os seus códigos nocivos.

Atualmente estes dispositivos utilizam diferentes tecnologias para se conectarem a Internet. Esta conectividade permite diversas formas de navegação na Internet e de utilização do e-mail, a principal fonte de códigos nocivos. 


5.1) Tipos de ataques

Vejamos agora os principais tipos de ataques:

  • spywares que podem registrar números discados e gravar conversações. Isso expõe os funcionários à invasão de privacidade e às ameaças potenciais à suas identidades, e pode comprometer a propriedade intelectual corporativa.
  • se infectado, aparelhos móveis que posteriormente se conectam a um computador “host” podem abrir o computador – e a rede – para uma infinidade de outras ameaças.
  • algumas ameaças a dispositivos móveis espalham a tecnologia Bluetooth sem a intervenção do usuário, o que aumenta a vulnerabilidade dos aparelhos móveis corporativos, assim como de toda a rede.
  • phishing - consiste em usar engenharia social para fazer com que o usuário ligue para um determinado número ou envie mensagens autorizando pagamentos indevidos.
  • Vírus que atingem aparelhos com sistemas operacionais móveis (principalmente Symbian e Windows Mobile) e com suporte a aplicações escritas em Java.


6) Soluções de segurança para dispositivos móveis

Neste tópico descreveremos algumas medidas consideradas necessárias para que possamos ter um nível aceitável de segurança, tanto nos dispositivos móveis, quanto nas corporações que usam estes dispositivos.


Devemos ter em mente, que nada é 100% seguro, mas em se tratando de segurança, todas as medidas que possamos adotar, é sempre bem vista. Abaixo sugerimos algumas medidas, como segue:


  • Desenvolver uma política de segurança para a organização, Voltado para os dispositivos de computação móvel.
  • Treinar os usuários da rede (security awareness) quanto aos riscos de segurança e deixá-los cientes dos riscos de segurança a dispositivos de computação móvel.
  • Realizar uma avaliação de risco a fim de entender o valor dos bens da organização que precisam de proteção.
  • Realizar auditoria esporádicamente e continuamente, a fim de monitorar e detectar falhas de segurança referentes à dispositivos de computação móvel.
  • Garantir o controle de acesso físico às dependências da organização, protegendo assim, todo o perímetro de prédios da organização.
  • Fazer uso de controles de acesso físico nos prédios e outras áreas (Como identificação por crachás com fotografias, cartões inteligentes, biometria e outros).
  • Minimizar o risco de perda ou roubo através do uso de fechaduras e cabos de segurança.
  • Controlar a identificação dos dispositivos móveis com o nome do proprietário e informações de contato da organização.
  • Comunicar aos usuários onde reportar perda/roubo do dispositivo.
  • Disponibilizar local seguro para guardar os dispositivos quando fora de uso.
  • Certifica-se de que módulos adicionais (periféricos, cartões de memória, etc) estão protegidos adequadamente quando fora de uso, como prevenção contra roubos.
  • Configurar senha para acesso dos dispositivo de computação móvel.
  • Definir uma política de senhas adequada, (trocando-as periodicamente, definindo normas de formação, etc).
  • Proteger com senhas aplicativos de sincronização com dispositivos móveis instalados nas estações de trabalho.
  • Atualizar freqüentemente os softwares utilizados, através dos sites de fabricantes.
  • Instalar correções de software em dispositivos e estações de trabalho sempre que necessário.
  • Acompanhar listas de discussão relacionadas na Internet para obter as últimas informações e alertas de segurança.
  • Ativar o bloqueio automático nos dispositivos após período de inatividade.
  • Sincronizar regularmente dispositivos com suas respectivas estações de trabalho.
  • Não armazenar informações confidenciais no dispositivo móvel. Caso necessário, procurar movê-las para um local seguro quanto antes.
  • Desligar portas de comunicação do dispositivo, quando em períodos de inatividade.
  • Todos os dispositivos móveis, deverá ter antivírus.
  • Garantir a autenticação de um usuário de forma segura local ou remotamente, quando o mesmo for acessar os recursos da organização.
  • Usar criptografia forte e utilitários de proteção de senha para proteger dados sensíveis e aplicações.
  • Apagar as configurações e dados dos dispositivos quando os mesmos não forem mais ser utilizados, evitando exposição de informações sensíveis.

Além das medidas acima, pode-se ainda adotar outras, a fim de ter uma segurança complementar, além de melhorar a performance, operacionais e custo. Deve-se considerar:



  • Ter módulos apropriados para armazenar dados necessários e de forma encriptada.
  • Todos os dispositivos móveis deverão ter firewalls pessoais instalados.
  • Assegurar que os PDAs são disponibilizados para os usuários com software/firmware de controle de acesso.
  • Usar clientes de VPNs em todos os dispositivos móveis.
  • Usar soluções de segurança adequada ao tamanho da organização para gerenciar a segurança de dispositivos de forma centralizada.
  • Usar ferramentas de análise de segurança para avaliar dispositivos móveis.


Avaliando o custo benefício de cada sugestão, a organização poderá decidir a melhor implementação.


7) Conclusão

A cada ano, novas tecnologias móveis são inseridas no mercado, que vem crescendo potencialmente com toda sua flexibilidade, comodidade e conveniência. Na mesma avalanche, cresce também a insegurança. A mobilidade trouxe inúmeros benefícios para o profissional moderno, mas como outras soluções que utilizam redes para troca de dados, trouxe também a insegurança.

As soluções utilizadas para evitar os vírus e outras ameaças virtuais nos dispositivos móveis são muito parecidas com as já utilizadas para proteger computadores desktop, como programas de proteção contra vírus, spam, cavalos de tróia, criptografia, firewalls, VPN, entre outras a gosto do freguês. Muitas outras inovações são uma adaptação para este meio. Mas um fator imprescindível para garantir a segurança em todas elas é a atitude do usuário diante da insegurança, que deve evitar fazer downloads ou executar aplicações desconhecidos, sejam estes recebidos por mensagens, e-mails ou mesmo Bluetooth.

De acordo com o especialista Alexandre Sieira, gerente de projetos da Cipher - empresa full provider em segurança da informação, é preciso imaginar o problema como uma via de mão dupla. “A segurança das suas informações depende tanto do cuidado com a entrada de objetos indesejados, como em relação à saída de informações confidenciais.”


8) Créditos

Para desenvolver este artigo eu contei com a colaboração de mais 4 amigos (profissionais) da área de segurança da informação, os quais faço questão de citar:


  • Anderson Dias
  • Dione Sousa
  • Kamila Feliciano
  • Miriam Rovereti

Pessoas e profissionais da melhor qualidade, tenho imensa admiração por eles, nós passamos juntos por muitos desafios em nossas vidas acadêmica e profissional. Um grande abraço a todos.


9) Bibliografia


  • BALDO, Jardel Pavan. Mobile IP x HIP: Um estudo sobre segurança em redes móveis. 2007. Monografia (Pós-graduação em Segurança de Redes de Computadores) – Programa de Pós-graduação em Segurança de Redes de Computadores, Faculdade Salesiana de Vitória, Vitória, 2007.
  • KOVACS, Bruno Paulo Usiglio; MONTEIRO, Vanesa de Freitas. Um estudo prático das ameças de segurança em dispositivos portáteis com Windows Mobile. 2008. Monografia (Graduação em Informática) – Programa de graduação em Informática da Pontifícia Universidade Católica do Rio de Janeiro, Rio de Janeiro, 2008.
 
Sites


  • TELEFONIA celular alcança 159,6 milhões de assinantes em junho. Anatel, Brasil, 20 julho. 2009. Disponível em: < http://www.anatel.gov.br/Portal/exibirPortalInternet.do >. Acesso em: 30 de julho de 2009.
  • TELEFONIA móvel atinge 4 bilhões de conexões no mundo. Diário do Nordeste, Brasil, 05 jan. 2009. Disponível em: < http://diariodonordeste.globo.com/noticia.asp?codigo=244845&modulo=968 >. Acesso em: 30 de julho de 2009.

  • VULNERABILIDADE atinge 73% dos dispositivos de rede. Olhar Digital, Brasil, 03 de jun. 2009. Disponível em: < http://olhardigital.uol.com.br/digital_news/noticia.php?id_conteudo=8364>. Acesso em: 30 de julho de 2009.
  • ANDROID. Wikipédia, Brasil, 15 Dez. 2009. Disponível em . Acesso em: 17 de dezembro de 2009.
  • PALM OS. Wikipédia, Brasil, 8 de Set. de 2009. Disponível em: . Acesso em: 17 de dezembro de 2009.
  • SYMBIAM OS. Wikipédia, Brasil, 29 de Jun. de 2007. Disponível em: . Acesso em: 17 de dezembro de 2009.


Espero ter contribuido com mais um pouco de conhecimento para os amantes da segurança da informação e da tecnologia.

Você pode se cadastrar em nosso blog para receber as postagens via FEED ou via E-MAIL, para isso deverá procurar pelos campos de registro na parte superior direita do BLOG. Caso tenham alguma dúvida ou sugestão podem deixar um recado com e-mail, blog, orkut e etc.

O que acharam do artigo? Deixe seu recado informando se foi o suficiente para esclarecer suas dúvidas, ou com sugestões de novos artigos.

Um grande ABRAÇO !!!
Postado por Gabriel de Figueiredo Corrêa às 09:36
Marcadores: , , , , , , , , , , , , , ,

0 comentários:

Postar um comentário

Assinar: Postar comentários (Atom)