O documento discute os novos desafios de segurança da informação e computação móvel, abordando tópicos como privacidade, vulnerabilidades em dispositivos móveis, segurança em redes sem fio e checklist de segurança. É apresentada uma classificação das vulnerabilidades em três níveis: no dispositivo do cliente, na transmissão de dados e no provedor de acesso. Conclui-se que usuários desempenham um papel fundamental no uso responsável de dispositivos móveis para evitar vazamentos de informações.
6. Privacidade
» Privacidade é a habilidade de controlar as suas informações
ou aquelas armazenadas sobre você
» Por exemplo informações sobre a sua localização
• Aquisição
• Armazenamento
• Uso
• Compartilhamento
• Combinação
6
Gilberto Sudré
7. Privacidade
» Você já pensou de quantas formas diferentes você foi
localizado hoje?
» Vamos experimentar ...
7
Gilberto Sudré
8. Privacidade
» Você já pensou de quantas formas diferentes você foi
localizado hoje?
• Você usou o cartão de crédito?
• Sua imagem foi capturada por alguma câmera de
segurança?
• Seu celular está ligado?
• Você usou seu notebook conectado em alguma rede?
8
Gilberto Sudré
9. M-Commerce
» M-commerce é o processo de compra ou venda de
produtos e serviços através de dispositivos sem fio portáteis
» Significados diferentes
• Navegar e pagar através do dispositivo móvel
• Navegar com o Micro e pagar através do dispositivo
móvel
• Utilizar o dispositivo móvel para pagar algum bem ou
serviço
» Pode ser feito a partir de Celulares, Laptops ou PDAs
9
Gilberto Sudré
10. Classificação das
Vulnerabilidades
» No dispositivo do cliente
• Dispositivos móveis são fisicamente vulneráveis
» Na transmissão de dados pelo ar
• Sistemas de segurança utilizados no link sem fio nem
sempre garantem a segurança suficiente
» No provedor de acesso ou dentro de redes internas
• Processos de acesso a rede sem sempre garantem a
identificação correta do usuário
10
Gilberto Sudré
12. Definições de Segurança
“Segurança da Informação é uma proteção da informação
de um grande número de ameaças, para assegurar a
continuidade do negócio, minimizar o risco aos negócios e
maximizar o retorno dos investimentos e oportunidade de
negócios”
Cláusula 0.1 ISO/IEC 17799:2005
12
Gilberto Sudré
13. Serviços de Segurança da Informação
» Existem diferentes aspectos que caracterizam a segurança
de um sistema de computadores. Estes aspectos são
denominados serviços de segurança.
» Os serviços de segurança devem ter:
• Confidencialidade
• Integridade
• Autenticidade
• Disponibilidade
• Controle de acesso
• Não-repúdio
• Auditoria 13
Gilberto Sudré
15. Dispositivos móveis
Ameaças e vulnerabilidades
» Pequenos, fáceis de perder, esquecer, etc
» Comunicação sem fio
• Conexão via infra-vermelho
• Redes sem fio 802.11
• Redes de celular (2,5G, 3G)
» Vírus
• Múltiplas formas de infecção
• Anexos de e-mails, Bluetooth, HotSync com o PC
• Antivírus nesta plataforma ainda pouco utilizado
15
Gilberto Sudré
16. Dispositivos móveis
Ameaças e vulnerabilidades
» Grande capacidade de armazenamento
• Dispositivo de memória removível
» Ataques ao SIM card ou aos dados internos em busca de:
• Ligações executadas ou recebidas
• Agenda de contatos
• Mensagens e documentos
• Fotos e filmes
» A maioria dos fabricantes já tem disponível aplicativos para
acesso a estas informações.
• Necessário o PIN code do chip ou acesso físico a 16
Gilberto Sudré memória flash.
18. Dispositivos móveis
Ameaças e vulnerabilidades
» Sistema Operacional
• Senha de acesso
• Todos são administradores
• Métodos de digitação
• Caneta ou teclado numérico (escolha de senhas
simples)
• Poucos sistemas operacionais suportam o
armazenamento de dados criptografados
• Necessário o uso de aplicativos de terceiros
• Muitas vulnerabilidades ainda em aberto
18
Gilberto Sudré
19. Dispositivos móveis
Limitações
» Energia
• Bateria suporta apenas algumas horas quando
conectados a uma rede sem fio
• Pouco tempo para execução de aplicativos
• Autonomia é hoje a maior limitação
» Poder de processamento
• Adequado para a maioria das operações criptográficas
» Memória
• Não é mais uma limitação
• Cartões de expansão com muitos GBytes 19
Gilberto Sudré
20. Dispositivos móveis
Vulnerabilidades do GSM
» Algoritmos de geração de chaves entre o dispositivo móvel
e a estação base
• Trabalhos científicos comprovam o sucesso da técnica
através do ataque com o uso de textos planos
conhecidos
» Algoritmo de criptografia
• Já quebrado através do acesso ao cartão SIM ou por
requisições “através do ar” ao telefone
20
Gilberto Sudré
22. Políticas de Segurança
» Levantamento dos riscos e vulnerabilidades
» Definição de procedimentos para ativação e uso das Redes
sem Fio
• Quem, quando e onde
» Proibição de Access Points e “redes ad-hoc” não
autorizados
» “No final de 2004 o uso de Access Points e redes ad-hoc’s
não autorizadas será responsável por mais de 50% das
vulnerabilidades em redes sem fio (probabilidade de 0.8)”
22
Gilberto Sudré
Gartner Group - Set/2002
23. WEP - Wired Equivalent Privacy
» Criptografia entre o cliente e o Access Point
» Opera na camada de enlace
• Não provê segurança fim-a-fim
» Utilizado também para confidencialidade e controle de
acesso
23
Gilberto Sudré
24. WEP - Wired Equivalent Privacy
» Vulnerável a ataques
• Ataques passivos podem decriptografar o tráfego
baseado em analises estatísticas
» Os cabeçalhos dos quadros continuam em texto plano,
permitindo ao atacante “ver”
• Origem e destino (MAC)
• ESSID
24
Gilberto Sudré
25. Quebra de Chaves WEP
» Quebra de Chaves WEP com Backtrack (Vídeo)
25
Gilberto Sudré
26. WPA – Wi-fi protected access
» Tenta solucionar os problemas do WEP
• Criptografia mais forte
• Troca periódica de chaves
» Inclui a característica de autenticação
• 802.1x
• EAP – Extensible Authentication Protocol
26
Gilberto Sudré
27. WPA – Wi-fi protected access
» Dois tipos
• WPA-PSK
• Similar ao WEP
• Chave compartilhada
• Troca de chaves automatizada (TKIP – Temporal Key
Integrity Protocol)
• Vetor de inicialização de 48 bits
• Infra-estrutura
• Requer um servidor de autenticação (RADIUS)
• Opcionalmente pode necessitar de uma Infra-
estrutura de chaves públicas (PKI / ICP) 27
Gilberto Sudré
28. Quebra de Chaves WPA
» Quebra de Chaves WPA (Vídeo)
28
Gilberto Sudré
29. APs Impostores
» Em redes abertas
• Quem impede do atacante instalar seu próprio Access
Point?
» Em redes fechadas
• Conhecendo-se as configurações e a chave WEP
• Ataque Man-in-the-Middle
» Pode ser detectado por alguns aplicativos de monitoração
» WarDriving “inverso”
29
Gilberto Sudré
30. APs Impostores
» Forma de ataque
Access Point
mais perto ou com
Access Point o sinal mais forte
correto
SSID: “Verdadeiro” SSID: “Falso”
30
Gilberto Sudré
32. c
Checklist de segurança
» Mantenha seu sistema operacional, aplicações e utilitários
atualizados
» Utilize um bom anti-vírus e anti-spyware e os mantenha
atualizados
» Configure seu browser para que este utilize as opções mais
seguras de navegação
» Utilize senhas fortes
» Tenha um Firewall pessoal e corporativo instalado e 32
Gilberto Sudré atualizado
33. c
Checklist de segurança
» Sempre que possível estabeleça uma VPN (Virtual Private
Network) para a comunicação
» Desabilite o compartilhamento de impressoras e arquivos
» Nunca use senhas importantes ou outras informações
sensíveis em computadores públicos
» Mantenha os dispositivos móveis e meios de
armazenamento digital com você ou em algum local
protegido por cadeado ou chave
33
Gilberto Sudré
34. c
Checklist de segurança
» Mude imediatamente sua senha caso suspeite que ela
tenha sido comprometida
» Criptografe os dados armazenados (principalmente em pen-
drives)
» Exclua completamente os dados sensíveis depois de utilizá-
los e destrua mídias antigas antes de descarta-las
» Mantenha backups atualizados
» Escolha cuidadosamente a rede sem fio que você irá se 34
Gilberto Sudré conectar
36. Conclusão
» Dispositivos móveis fazem parte do dia a dia de pessoas
físicas e corporações
» Usuários são afetados diretamente por questões de
segurança e privacidade quando utilizam os dispositivos
móveis
» Os usuários são peça fundamental no uso responsável
destes dispositivos para evitar falhas e vazamento de
informações
» Já existem procedimentos e ferramentas que podem
estabelecer uma solução de segurança adequada no uso
de dispositivos móveis
36
Gilberto Sudré
37. www.unitera.com.br www.labseg.com.br
» Serviços Gerenciados de » Perícia em:
Segurança de Perímetro
• Equipamentos de
informática
» Soluções de proteção contra • Dispositivos de
malwares e spywares armazenamento digital
Smartphones e PDA's
» Soluções em Software Livre » Análise de invasão
» Outsourcing Parcial ou Total » Testes de Penetração
de Infra-Estrutura
» Gestão de Risco 37
Gilberto Sudré