mobile.pdf

STI – Segurança em Tecnologia da InformaçãoProf. Alexandre A. A. de Almeida V. 1.2

Conceito

• Conceito

– Dispositivos móveis (mobile) são tipicamente os laptops, tablets, ultra-mobile PCs, desktops PCs, Personal Digital Assistants (PDA), smartphones, câmeras digitais, gravadores digitais, mídias de armazenamento móvel, tais

STI – Segurança em Tecnologia da Informação

gravadores digitais, mídias de armazenamento móvel, tais como USB memory sticks, cartões de memória de todos os tipos, discos rígidos portáteis, leitores de disquetes, dispositivos HID – Human Interface Device (mouses, teclados e joysticks, por exemplo – todos PnP).

Obs.: HID 1.11 suplementa a especificação USB

Introdução


BYOD

• BYOD – Bring Your Own Device (Traga seu próprio dispositivo)

– Política de Tecnologia da Informação onde funcionários de uma organização são permitidos ou encorajados a utilizar seus dispositivos móveis para


encorajados a utilizar seus dispositivos móveis para acessar dados e sistemas corporativos.

– Basicamente, há 4 maneiras de se tratar esta política:• Acesso irrestrito pelos dispositivos pessoais;

• Acesso somente a dados e sistemas não sensíveis;

• Acesso mediante controle pela equipe de TI;

• Acesso aos recursos, mas sem armazenamento local de dados.

BYOD


– A política inclui os dispositivos móveis de propriedade de particulares, que não são propriedade de uma organização;


organização;

– São utilizados pelos funcionários de uma organização para realizar tarefas de trabalho, relacionadas com suas atividades funcionais;

– Demanda o gerenciamento de um dispositivo que não pertence à organização.

BYOD


– São dispositivos mais difíceis de serem protegidos do que os de propriedade da organização;

– Seu uso pode levar a organização a um alto risco de


– Seu uso pode levar a organização a um alto risco de comprometimento;

– Podem ser protegidos a partir de uma abordagem integrada: considerar os dispositivos, a infraestrutura de rede e os dados;

– Não há uma solução única para todos os caso;

– Dispositivos podem ser usados para uso pessoal e profissional (smartphone dual chip, por exemplo);

BYOD


– Para a organização, pode representar economia na aquisição de dispositivos móveis;

– Permite ao usuário conexão permanente aos recursos


– Permite ao usuário conexão permanente aos recursos computacionais de sua organização, acesso a apps corporativas, melhorando a produtividade;

– Esta tendência fez surgir tecnologias tais com MDM (Mobile Device Management) e NAC (Network Access Control), que juntas possuem a capacidade de fortalecer a segurança para dispositivos mobile.

BYOD


– Exemplo de MDM


Fonte: http://i9v.me/fmws

BYOD


– Exemplo de NAC


Fonte: http://www.packetfence.org

BYOD

• Riscos associados à tendência Mobile

– Perda, descoberta ou corrupção de dados corporativos armazenados nos dispositivos móveis;

– Incidentes envolvendo ameaças/comprometimento da infraestrutura de rede corporativa e outros ativos de


infraestrutura de rede corporativa e outros ativos de informação;

– Não aderência à legislação vigente;

– Vulnerabilidades de software, possibilidade de uso de malware/hacking, com consequente exfiltração de dados pessoais e/ou corporativos;

– Perda de privacidade e danos financeiros.

BYOD


BYOD

• Necessidade de gerenciamento pela organização(existência de política para uso de dispositivos móveis)

– O uso de dispositivos pessoais para acesso à recursos corporativos deve ser expressamente autorizado pela organização;


organização;

– Os termos da política devem ser aceitos pelo particular;

– A organização possui o direito de revogar a autorização de acesso à recursos corporativos;

– Dispositivos móveis devem ser gerenciados por processo/tecnologia MDM – Mobile Device Management.

MDM

• MDM – Mobile Device Management

– Sistema de gerenciamento centralizado dos dispositivos móveis de propriedade corporativa ou não, com foco em segurança, especialmente de smartphones e tablets;

– Solução corporativa, objetiva a proteção dos dados em


– Solução corporativa, objetiva a proteção dos dados em qualquer situação (perda, extravio, invasão, etc), garantindo aderência à política da organização;

– Possibilidades de containerization e app wrapping para proteção de dados;

– Garante aderência à política de segurança da organização;

– Protege também os dados que o dispositivo acessa;

MDM

• MDM – Mobile Device Management– Deve permitir a possibilidade de wipe remoto (localizar,

bloquear e apagar dados corporativos do dispositivo);– Deve possuir a capacidade de criptografar dados antes do

envio para sistemas de compartilhamento de arquivos baseados em nuvens;


baseados em nuvens;– Deve proteger os dispositivos contra malware;– Automaticamente bloquear dispositivos infectados ou

desatualizados;– Bloquear ou permitir apps suspeitas ou não desejáveis;– Proteção do usuário contra sites maliciosos;– Proteção contra SMS Spam;– Emitir notificação de eventos ao administrador;

MDM

• MDM – Mobile Device Management

– Controlar o acesso à rede da organização;

– Whitelist ou blacklist de apps;

– Forçar o uso de apps específicas (homologadas);


– Permitir ou bloquear dispositivos com jailbreak ou rooted;

– Possibilidade de bloqueio de acesso à email caso o dispositivo não esteja adequado à política;

– Permitir a ações instantâneas para mitigação de ameaças;

– Garantir a verão mínima permitida do S.O;

– Possibilidade de se executar scan das aplicações ao serem instaladas.

MDM

• MDM – Mobile Device

Management

– A solução MDM deve suportar múltiplas


múltiplas plataformas, com gerenciamento simplificado;

Fonte: http://i9v.me/foha

MDM

• Alternativas ao MDM

– Containerization é a técnica de armazenar as aplicações (apps) e dados em uma área separada e criptografada no dispositivo móvel. Controles são aplicados somente sobre os dados e apps, e não sobre todo o dispositivo;


os dados e apps, e não sobre todo o dispositivo;

– App wrapping (sandboxing) é uma solução de segurança de alta granularidade em termos de políticas de aplicativos, aplicáveis a apps individualmente. Isto permite a adição de várias camadas de segurança, sem alterar a aplicação original.

Fonte: http://www.apperian.com/dont-confuse-container-with-app-wrapping/

MDM


Fonte: http://www1.good.com/

MDM


Fonte: http://www.excitor.com/

Políticas

• Políticas de uso BYOD

– Tudo referente ao dispositivo pessoal, privado:

• Documentação secreta (classificada) - proibição;

• Direito de controle por parte da organização, sem interferência do proprietário do dispositivo;


interferência do proprietário do dispositivo;

• Direito de realização de forense no dispositivo para efeitos de investigação;

• Exigir a presença de antivírus instalado;

• Exigir o gerenciamento de backup de dados da organização;

Políticas

• Políticas de uso

– Tudo referente ao dispositivo pessoal, privado:

• O uso de dispositivo pessoal pode frustrar a expectativa de total privacidade. Pode ocorrer que o suporte técnico da organização tenha acesso não intencional à dados


da organização tenha acesso não intencional à dados privados. Portanto, dados privados devem ser mantidos em diretórios separados e visivelmente rotulados (Privado/BYOD);

• BYOD com MDM podem processar dados corporativos;

• BYOD sem MDM não acessam a rede corporativa.

SPF


Recomendações

• Recomendações sobre segurança em dispositivos móveis

– Utilizar fontes de aplicativos confiáveis (oficiais)

– Ainda assim, cuidado com aplicações falsas;


– Utilizar Antivírus/Antimalware e Firewall

Recomendações


– Não realizar rooting ou jailbreak (modo superusuário);

– Atualizar constantemente os aplicativos e S.O;


– Não seguir links suspeitos (email, redes sociais e SMS, inclusive);

– Evitar manter o registro SSID de redes wireless com conexão automática (Redes preferenciais);

– Manter limpo o histórico de navegação;

– Utilizar criptografia para dados sensíveis;

– Desative Track Location, ou serviços de localização.

Recomendações


– Sempre verificar se as permissões dos aplicativos atendem às suas necessidades.


– Ler com atenção e investigar:

Recomendações


Recomendações


– Cuidado com falsas apps, derivadas das originais:


Recomendações



Ícones instalados após a instalação do jogo “Legend

of Zelda”

Recomendações


•Angry Birds, identificado como trojan;

•Utilizou o aplicativo conhecido por GingerBreak para tornar-se


•Utilizou o aplicativo conhecido por GingerBreak para tornar-se root no dispositivo;

•Os dispositivos tornaram-se parte de uma botnet;

•Instalado a partir de repositório não oficial.

Fonte: http://i9v.me/fnon

Recomendações



•Falsa App Instagram

Recomendações


– Dispositivos antigos não suportam versões novas do Android.


– iOS 8 suporta deste iPhone 4S.

– Novos vetores de ataques mediante engenharia social:

• SMS

• NFC: Near Field Communication – permite a interação com outros equipamentos através da proximidade apenas. No Japão esta tecnologia permite pagamentos e consultas por códigos de barra.

Recomendações

• Recomendações sobre segurança em dispositivos móveis– Manter os dispositivos atualizados

• Apple: atualizações frequentes. Simples, pois o fabricante de hardware e software é um só. Logo,


• Apple: atualizações frequentes. Simples, pois o fabricante de hardware e software é um só. Logo, não há dependência de fabricante do hardware nem da concessionária de serviços de telefonia.

• Android: atualização lenta. Versões de software não suportada por todos os dispositivos. Google libera uma atualização -> fabricante customiza -> concessionária customiza -> 3 camadas de atualizações.

Melhores práticas

• Melhores práticas

– Ter sempre senha de bloqueio, ativada imediatamente;

– No mínimo 6 caracteres;


– Habilitar wipe remoto após X tentativas;

– Para organizações: MDM;

– Jamais faça rooting/jailbreaking (constar na política)

Melhores práticas

• Melhores práticas – Preferir compras on-line via browser em desktop;– Evitar “permanecer logado” em sites e lojas de

comércio eletrônico;– Ao se desfazer do dispositivo, efetuar limpeza (wipe)

segura, incluindo cartões de memória auxiliar, SIM


– Ao se desfazer do dispositivo, efetuar limpeza (wipe) segura, incluindo cartões de memória auxiliar, SIM cards e efetuar “reset” do aparelho;

– Cuidado com apps “free”;– Não armazene dados sensíveis;– Limpe o histórico, sempre;– Não siga URLs curtas;– QRCODE + URL Curta + URL Curta = Phishing.

Melhores práticas


– Antivírus, Firewall e IPS

– IPS (Intrusion Prevention System)??


Melhores práticas


– Bluetooth desabilitado, sempre;

– Não usar Bluetooth em áreas públicas;

– Somente parear em ambiente seguro;


– Request PIN: não informar novamente após ter já ter sido pareado. A menos que o dispositivo esteja com problema, isto é um indício de ataque;

– Dispositivos corporativos somente devem ser pareados com outro dispositivo corporativo;

– Não nomear um dispositivo bluetooth com dados pessoais;

Melhores práticas


– Todo dispositivo Bluetooth de uma organização deve atender ao nível 3 de segurança Bluetooth (criptografia simétrica);

– Ao utilizar, manter no modo oculto;


– Ao utilizar, manter no modo oculto;

– Atualizar o firmware sempre que possível;

– Alterar o PIN: padrão 0000 ou 1234!

Testes


Introdução


mobile.pdf

Documents

dispositivos mobile

tais sti segurana

organizaosti segurana

mdmsti segurana

nacsti segurana

prprio dispositivo poltica

prprio dispositivo exemplo

organizao so permitidos