STI Segurana em Tecnologia da Informao

Prof. Alexandre A. A. de Almeida

V. 1.2

Conceito

Conceito
Dispositivos mveis (mobile) so tipicamente os laptops,
tablets, ultra-mobile PCs, desktops PCs, Personal Digital
Assistants (PDA), smartphones, cmeras digitais,
gravadores digitais, mdias de armazenamento mvel, tais
como USB memory sticks, cartes de memria de todos os
tipos, discos rgidos portteis, leitores de disquetes,
dispositivos HID Human Interface Device (mouses,
teclados e joysticks, por exemplo todos PnP).
Obs.: HID 1.11 suplementa a especificao USB

STI Segurana em Tecnologia da Informao

Introduo

STI Segurana em Tecnologia da Informao

BYOD

BYOD Bring Your Own Device (Traga seu prprio

dispositivo)
Poltica de Tecnologia da Informao onde
funcionrios de uma organizao so permitidos ou
encorajados a utilizar seus dispositivos mveis para
acessar dados e sistemas corporativos.
Basicamente, h 4 maneiras de se tratar esta poltica:

Acesso irrestrito pelos dispositivos pessoais;

Acesso somente a dados e sistemas no sensveis;
Acesso mediante controle pela equipe de TI;
Acesso aos recursos, mas sem armazenamento local de
dados.
STI Segurana em Tecnologia da Informao

BYOD

BYOD Bring Your Own Device (Traga seu prprio

dispositivo)
A poltica inclui os dispositivos mveis de propriedade
de particulares, que no so propriedade de uma
organizao;
So utilizados pelos funcionrios de uma organizao
para realizar tarefas de trabalho, relacionadas com
suas atividades funcionais;
Demanda o gerenciamento de um dispositivo que no
pertence organizao.

STI Segurana em Tecnologia da Informao

BYOD

BYOD Bring Your Own Device (Traga seu prprio

dispositivo)
So dispositivos mais difceis de serem protegidos do que
os de propriedade da organizao;
Seu uso pode levar a organizao a um alto risco de
comprometimento;
Podem ser protegidos a partir de uma abordagem
integrada: considerar os dispositivos, a infraestrutura de
rede e os dados;
No h uma soluo nica para todos os caso;
Dispositivos podem ser usados para uso pessoal e
profissional (smartphone dual chip, por exemplo);
STI Segurana em Tecnologia da Informao

BYOD

BYOD Bring Your Own Device (Traga seu prprio

dispositivo)
Para a organizao, pode representar economia na
aquisio de dispositivos mveis;
Permite ao usurio conexo permanente aos recursos
computacionais de sua organizao, acesso a apps
corporativas, melhorando a produtividade;
Esta tendncia fez surgir tecnologias tais com MDM
(Mobile Device Management) e NAC (Network Access
Control), que juntas possuem a capacidade de fortalecer a
segurana para dispositivos mobile.

STI Segurana em Tecnologia da Informao

BYOD

BYOD Bring Your Own Device (Traga seu prprio

dispositivo)
Exemplo de MDM

Fonte: http://i9v.me/fmws
STI Segurana em Tecnologia da Informao

BYOD

BYOD Bring Your Own

Device (Traga seu prprio
dispositivo)
Exemplo de NAC

Fonte: http://www.packetfence.org
STI Segurana em Tecnologia da Informao

BYOD

Riscos associados tendncia Mobile

Perda, descoberta ou corrupo de dados
corporativos armazenados nos dispositivos mveis;
Incidentes envolvendo ameaas/comprometimento da
infraestrutura de rede corporativa e outros ativos de
informao;
No aderncia legislao vigente;
Vulnerabilidades de software, possibilidade de uso de
malware/hacking, com consequente exfiltrao de
dados pessoais e/ou corporativos;
Perda de privacidade e danos financeiros.
STI Segurana em Tecnologia da Informao

BYOD

STI Segurana em Tecnologia da Informao

BYOD

Necessidade de gerenciamento pela organizao

(existncia de poltica para uso de dispositivos mveis)
O uso de dispositivos pessoais para acesso recursos
corporativos deve ser expressamente autorizado pela
organizao;
Os termos da poltica devem ser aceitos pelo particular;
A organizao possui o direito de revogar a autorizao de
acesso recursos corporativos;
Dispositivos mveis devem ser gerenciados por
processo/tecnologia MDM Mobile Device Management.

STI Segurana em Tecnologia da Informao

MDM

MDM Mobile Device Management

Sistema de gerenciamento centralizado dos dispositivos
mveis de propriedade corporativa ou no, com foco em
segurana, especialmente de smartphones e tablets;
Soluo corporativa, objetiva a proteo dos dados em
qualquer situao (perda, extravio, invaso, etc),
garantindo aderncia poltica da organizao;
Possibilidades de containerization e app wrapping para
proteo de dados;
Garante aderncia poltica de segurana da organizao;
Protege tambm os dados que o dispositivo acessa;

STI Segurana em Tecnologia da Informao

MDM

MDM Mobile Device Management

Deve permitir a possibilidade de wipe remoto (localizar,
bloquear e apagar dados corporativos do dispositivo);
Deve possuir a capacidade de criptografar dados antes do
envio para sistemas de compartilhamento de arquivos
baseados em nuvens;
Deve proteger os dispositivos contra malware;
Automaticamente bloquear dispositivos infectados ou
desatualizados;
Bloquear ou permitir apps suspeitas ou no desejveis;
Proteo do usurio contra sites maliciosos;
Proteo contra SMS Spam;
Emitir notificao de eventos ao administrador;

STI Segurana em Tecnologia da Informao

MDM

MDM Mobile Device Management

Controlar o acesso rede da organizao;

Whitelist ou blacklist de apps;
Forar o uso de apps especficas (homologadas);
Permitir ou bloquear dispositivos com jailbreak ou rooted;
Possibilidade de bloqueio de acesso email caso o
dispositivo no esteja adequado poltica;
Permitir a aes instantneas para mitigao de ameaas;
Garantir a vero mnima permitida do S.O;
Possibilidade de se executar scan das aplicaes ao
serem instaladas.
STI Segurana em Tecnologia da Informao

MDM
MDM Mobile Device
Management
A soluo MDM
deve suportar
mltiplas
plataformas, com
gerenciamento
simplificado;

Fonte: http://i9v.me/foha
STI Segurana em Tecnologia da Informao

MDM

Alternativas ao MDM
Containerization a tcnica de armazenar as aplicaes
(apps) e dados em uma rea separada e criptografada no
dispositivo mvel. Controles so aplicados somente sobre
os dados e apps, e no sobre todo o dispositivo;
App wrapping (sandboxing) uma soluo de segurana
de alta granularidade em termos de polticas de aplicativos,
aplicveis a apps individualmente. Isto permite a adio de
vrias camadas de segurana, sem alterar a aplicao
original.

Fonte: http://www.apperian.com/dont-confuse-container-with-app-wrapping/

STI Segurana em Tecnologia da Informao

MDM

Fonte: http://www1.good.com/

STI Segurana em Tecnologia da Informao

MDM

Fonte: http://www.excitor.com/

STI Segurana em Tecnologia da Informao

Polticas

Polticas de uso BYOD

Tudo referente ao dispositivo pessoal, privado:
Documentao secreta (classificada) - proibio;
Direito de controle por parte da organizao, sem
interferncia do proprietrio do dispositivo;
Direito de realizao de forense no dispositivo para
efeitos de investigao;
Exigir a presena de antivrus instalado;
Exigir o gerenciamento de backup de dados da
organizao;

STI Segurana em Tecnologia da Informao

Polticas

Polticas de uso
Tudo referente ao dispositivo pessoal, privado:
O uso de dispositivo pessoal pode frustrar a expectativa
de total privacidade. Pode ocorrer que o suporte tcnico
da organizao tenha acesso no intencional dados
privados. Portanto, dados privados devem ser mantidos
em diretrios separados e visivelmente rotulados
(Privado/BYOD);
BYOD com MDM podem processar dados corporativos;
BYOD sem MDM no acessam a rede corporativa.

STI Segurana em Tecnologia da Informao

SPF

STI Segurana em Tecnologia da Informao

Recomendaes

Recomendaes sobre segurana em dispositivos

mveis
Utilizar fontes de aplicativos confiveis (oficiais)
Ainda assim, cuidado com aplicaes falsas;
Utilizar Antivrus/Antimalware e Firewall

STI Segurana em Tecnologia da Informao

Recomendaes

Recomendaes sobre segurana em dispositivos

mveis
No realizar rooting ou jailbreak (modo superusurio);
Atualizar constantemente os aplicativos e S.O;
No seguir links suspeitos (email, redes sociais e
SMS, inclusive);
Evitar manter o registro SSID de redes wireless com
conexo automtica (Redes preferenciais);
Manter limpo o histrico de navegao;
Utilizar criptografia para dados sensveis;
Desative Track Location, ou servios de localizao.
STI Segurana em Tecnologia da Informao

Recomendaes

Recomendaes sobre segurana em dispositivos

mveis
Sempre verificar se as permisses dos aplicativos
atendem s suas necessidades.
Ler com ateno e investigar:

STI Segurana em Tecnologia da Informao

Recomendaes

STI Segurana em Tecnologia da Informao

Recomendaes

Recomendaes sobre segurana em dispositivos

mveis
Cuidado com falsas apps, derivadas das originais:

STI Segurana em Tecnologia da Informao

Recomendaes

Recomendaes sobre segurana em dispositivos

mveis

cones instalados
aps a instalao
do jogo Legend
of Zelda

STI Segurana em Tecnologia da Informao

Recomendaes

Recomendaes sobre segurana em dispositivos

mveis

Angry Birds, identificado como

trojan;
Utilizou o aplicativo conhecido
por GingerBreak para tornar-se
root no dispositivo;
Os dispositivos tornaram-se
parte de uma botnet;
Instalado a partir de repositrio
no oficial.
Fonte: http://i9v.me/fnon

STI Segurana em Tecnologia da Informao

Recomendaes

Recomendaes sobre segurana em dispositivos

mveis

Falsa App Instagram

STI Segurana em Tecnologia da Informao

Recomendaes

Recomendaes sobre segurana em dispositivos

mveis
Dispositivos antigos no suportam verses novas do
Android.
iOS 8 suporta deste iPhone 4S.
Novos vetores de ataques mediante engenharia
social:
SMS
NFC: Near Field Communication permite a interao com
outros equipamentos atravs da proximidade apenas. No
Japo esta tecnologia permite pagamentos e consultas por
cdigos de barra.
STI Segurana em Tecnologia da Informao

Recomendaes

Recomendaes sobre segurana em

dispositivos mveis
Manter os dispositivos atualizados
Apple: atualizaes frequentes. Simples, pois o
fabricante de hardware e software um s. Logo,
no h dependncia de fabricante do hardware
nem da concessionria de servios de telefonia.
Android: atualizao lenta. Verses de software
no suportada por todos os dispositivos. Google
libera uma atualizao -> fabricante customiza ->
concessionria customiza -> 3 camadas de
atualizaes.
STI Segurana em Tecnologia da Informao

Melhores prticas

Melhores prticas
Ter sempre senha de bloqueio, ativada
imediatamente;
No mnimo 6 caracteres;
Habilitar wipe remoto aps X tentativas;
Para organizaes: MDM;
Jamais faa rooting/jailbreaking (constar na poltica)

STI Segurana em Tecnologia da Informao

Melhores prticas

Melhores prticas
Preferir compras on-line via browser em desktop;
Evitar permanecer logado em sites e lojas de
comrcio eletrnico;
Ao se desfazer do dispositivo, efetuar limpeza (wipe)
segura, incluindo cartes de memria auxiliar, SIM
cards e efetuar reset do aparelho;
Cuidado com apps free;
No armazene dados sensveis;
Limpe o histrico, sempre;
No siga URLs curtas;
QRCODE + URL Curta + URL Curta = Phishing.
STI Segurana em Tecnologia da Informao

Melhores prticas

Melhores prticas
Antivrus, Firewall e IPS
IPS (Intrusion Prevention System)??

STI Segurana em Tecnologia da Informao

Melhores prticas

Melhores prticas

Bluetooth desabilitado, sempre;

No usar Bluetooth em reas pblicas;
Somente parear em ambiente seguro;
Request PIN: no informar novamente aps ter j ter sido
pareado. A menos que o dispositivo esteja com problema,
isto um indcio de ataque;
Dispositivos corporativos somente devem ser pareados
com outro dispositivo corporativo;
No nomear um dispositivo bluetooth com dados pessoais;

STI Segurana em Tecnologia da Informao

Melhores prticas

Melhores prticas
Todo dispositivo Bluetooth de uma organizao deve
atender ao nvel 3 de segurana Bluetooth
(criptografia simtrica);
Ao utilizar, manter no modo oculto;
Atualizar o firmware sempre que possvel;
Alterar o PIN: padro 0000 ou 1234!

STI Segurana em Tecnologia da Informao

Testes

STI Segurana em Tecnologia da Informao

Introduo

STI Segurana em Tecnologia da Informao