Seg da Informação e Comp Movel Novos Desafios

1

Gilberto Sudré

Gilberto Sudré

gilberto@unitera.com.br

http://www.unitera.com.br

http://vidadigital.blog.br

Segurança da Informação eComputação móvel

Novos Desafios

2

Gilberto Sudré

3

Gilberto Sudré

Agenda

» Novos paradigmas da computação

» Privacidade

» Classificação das vulnerabilidades

» Dispositivos móveis

» Segurança em redes sem fio

» Checklist de segurança

Novos Paradigmas

5

Gilberto Sudré

» Mobilidade

» Dispositivos móveis

» Acesso remoto

• Tele-trabalho (“telecommuters”)

» Redes sem fio

» M-Serviços

• M-Commerce, M-Banking, M-Qualquer coisa . . .

» Reflexos em nossa privacidade

Novos Paradigmas

6

Gilberto Sudré

Privacidade

» Privacidade é a habilidade de controlar as suas informações ou aquelas armazenadas sobre você

» Por exemplo informações sobre a sua localização

• Aquisição

• Armazenamento

• Uso

• Compartilhamento

• Combinação

7

Gilberto Sudré

Privacidade

» Você já pensou de quantas formas diferentes você foi localizado hoje?

» Vamos experimentar ...

8

Gilberto Sudré

Privacidade

» Você já pensou de quantas formas diferentes você foi localizado hoje?

• Você usou o cartão de crédito?

• Sua imagem foi capturada por alguma câmera de segurança?

• Seu celular está ligado?

• Você usou seu notebook conectado em alguma rede?

9

Gilberto Sudré

» M-commerce é o processo de compra ou venda de produtos e serviços através de dispositivos sem fio portáteis

» Significados diferentes

• Navegar e pagar através do dispositivo móvel

• Navegar com o Micro e pagar através do dispositivo móvel

• Utilizar o dispositivo móvel para pagar algum bem ou serviço

» Pode ser feito a partir de Celulares, Laptops ou PDAs

M-Commerce

10

Gilberto Sudré

Classificação das Vulnerabilidades» No dispositivo do cliente

• Dispositivos móveis são fisicamente vulneráveis

» Na transmissão de dados pelo ar

• Sistemas de segurança utilizados no link sem fio nem sempre garantem a segurança suficiente

» No provedor de acesso ou dentro de redes internas

• Processos de acesso a rede sem sempre garantem a identificação correta do usuário

Segurança da Informação

12

Gilberto Sudré

Definições de Segurança

“Segurança da Informação é uma proteção da informação de um grande número de ameaças, para assegurar a continuidade do negócio, minimizar o risco aos negócios e maximizar o retorno dos investimentos e oportunidade de negócios”

Cláusula 0.1 ISO/IEC 17799:2005

13

Gilberto Sudré

Serviços de Segurança da Informação

» Existem diferentes aspectos que caracterizam a segurança de um sistema de computadores. Estes aspectos são denominados serviços de segurança.

» Os serviços de segurança devem ter:• Confidencialidade

• Integridade

• Autenticidade

• Disponibilidade

• Controle de acesso

• Não-repúdio

• Auditoria

Dispositivosmóveis

15

Gilberto Sudré

Dispositivos móveisAmeaças e vulnerabilidades

» Pequenos, fáceis de perder, esquecer, etc

» Comunicação sem fio

• Conexão via infra-vermelho

• Redes sem fio 802.11

• Redes de celular (2,5G, 3G)

» Vírus

• Múltiplas formas de infecção

• Anexos de e-mails, Bluetooth, HotSync com o PC

• Antivírus nesta plataforma ainda pouco utilizado

16

Gilberto Sudré

Dispositivos móveisAmeaças e vulnerabilidades

» Grande capacidade de armazenamento

• Dispositivo de memória removível

» Ataques ao SIM card ou aos dados internos em busca de:

• Ligações executadas ou recebidas

• Agenda de contatos

• Mensagens e documentos

• Fotos e filmes

» A maioria dos fabricantes já tem disponível aplicativos para acesso a estas informações.

• Necessário o PIN code do chip ou acesso físico a memória flash.

17

Gilberto Sudré

Dispositivos móveisAmeaças e vulnerabilidades

18

Gilberto Sudré

Dispositivos móveisAmeaças e vulnerabilidades

» Sistema Operacional

• Senha de acesso

• Todos são administradores

• Métodos de digitação

• Caneta ou teclado numérico (escolha de senhas simples)

• Poucos sistemas operacionais suportam o armazenamento de dados criptografados

• Necessário o uso de aplicativos de terceiros

• Muitas vulnerabilidades ainda em aberto

19

Gilberto Sudré

Dispositivos móveisLimitações

» Energia

• Bateria suporta apenas algumas horas quando conectados a uma rede sem fio

• Pouco tempo para execução de aplicativos

• Autonomia é hoje a maior limitação

» Poder de processamento

• Adequado para a maioria das operações criptográficas

» Memória

• Não é mais uma limitação

• Cartões de expansão com muitos GBytes

20

Gilberto Sudré

Dispositivos móveisVulnerabilidades do GSM

» Algoritmos de geração de chaves entre o dispositivo móvel e a estação base

• Trabalhos científicos comprovam o sucesso da técnica através do ataque com o uso de textos planos conhecidos

» Algoritmo de criptografia

• Já quebrado através do acesso ao cartão SIM ou por requisições “através do ar” ao telefone

Segurança em Redes sem Fio

(Wi-Fi)

22

Gilberto Sudré

Políticas de Segurança

» Levantamento dos riscos e vulnerabilidades

» Definição de procedimentos para ativação e uso das Redes sem Fio

• Quem, quando e onde

» Proibição de Access Points e “redes ad-hoc” não autorizados

» “No final de 2004 o uso de Access Points e redes ad-hoc’s não autorizadas será responsável por mais de 50% das vulnerabilidades em redes sem fio (probabilidade de 0.8)”

Gartner Group - Set/2002

23

Gilberto Sudré

WEP - Wired Equivalent Privacy

» Criptografia entre o cliente e o Access Point

» Opera na camada de enlace

• Não provê segurança fim-a-fim

» Utilizado também para confidencialidade e controle de acesso

24

Gilberto Sudré

WEP - Wired Equivalent Privacy

» Vulnerável a ataques

• Ataques passivos podem decriptografar o tráfego baseado em analises estatísticas

» Os cabeçalhos dos quadros continuam em texto plano, permitindo ao atacante “ver”

• Origem e destino (MAC)

• ESSID

25

Gilberto Sudré

Quebra de Chaves WEP

» Quebra de Chaves WEP com Backtrack (Vídeo)

26

Gilberto Sudré

WPA – Wi-fi protected access

» Tenta solucionar os problemas do WEP

• Criptografia mais forte

• Troca periódica de chaves

» Inclui a característica de autenticação

• 802.1x

• EAP – Extensible Authentication Protocol

27

Gilberto Sudré

WPA – Wi-fi protected access

» Dois tipos

• WPA-PSK

• Similar ao WEP

• Chave compartilhada

• Troca de chaves automatizada (TKIP – Temporal Key Integrity Protocol)

• Vetor de inicialização de 48 bits

• Infra-estrutura

• Requer um servidor de autenticação (RADIUS)

• Opcionalmente pode necessitar de uma Infra-estrutura de chaves públicas (PKI / ICP)

28

Gilberto Sudré

Quebra de Chaves WPA

» Quebra de Chaves WPA (Vídeo)

29

Gilberto Sudré

APs Impostores

» Em redes abertas

• Quem impede do atacante instalar seu próprio Access Point?

» Em redes fechadas

• Conhecendo-se as configurações e a chave WEP

• Ataque Man-in-the-Middle

» Pode ser detectado por alguns aplicativos de monitoração

» WarDriving “inverso”

30

Gilberto Sudré

APs Impostores

» Forma de ataque

Access Pointcorreto

SSID: “Verdadeiro” SSID: “Falso”

Access Pointmais perto ou como sinal mais forte

Checklist de segurança

32

Gilberto Sudré

Checklist de segurança

» Mantenha seu sistema operacional, aplicações e utilitários atualizados

» Utilize um bom anti-vírus e anti-spyware e os mantenha atualizados

» Configure seu browser para que este utilize as opções mais seguras de navegação

» Utilize senhas fortes

» Tenha um Firewall pessoal e corporativo instalado e atualizado

c

33

Gilberto Sudré

Checklist de segurança

» Sempre que possível estabeleça uma VPN (Virtual Private Network) para a comunicação

» Desabilite o compartilhamento de impressoras e arquivos

» Nunca use senhas importantes ou outras informações sensíveis em computadores públicos

» Mantenha os dispositivos móveis e meios de armazenamento digital com você ou em algum local protegido por cadeado ou chave

c

34

Gilberto Sudré

Checklist de segurança

» Mude imediatamente sua senha caso suspeite que ela tenha sido comprometida

» Criptografe os dados armazenados (principalmente em pen-drives)

» Exclua completamente os dados sensíveis depois de utilizá-los e destrua mídias antigas antes de descarta-las

» Mantenha backups atualizados

» Escolha cuidadosamente a rede sem fio que você irá se conectar

c

Conclusão

36

Gilberto Sudré

Conclusão

» Dispositivos móveis fazem parte do dia a dia de pessoas físicas e corporações

» Usuários são afetados diretamente por questões de segurança e privacidade quando utilizam os dispositivos móveis

» Os usuários são peça fundamental no uso responsável destes dispositivos para evitar falhas e vazamento de informações

» Já existem procedimentos e ferramentas que podem estabelecer uma solução de segurança adequada no uso de dispositivos móveis

37

Gilberto Sudré

» Serviços Gerenciados de Segurança de Perímetro

» Soluções de proteção contra malwares e spywares

» Soluções em Software Livre

» Outsourcing Parcial ou Total de Infra-Estrutura

» Perícia em:

• Equipamentos de informática

• Dispositivos de armazenamento digital Smartphones e PDA's

» Análise de invasão

» Testes de Penetração

» Gestão de Risco

www.unitera.com.br www.labseg.com.br

Perguntas !! Perguntas !!

39

Gilberto Sudré

Gilberto Sudré

gilberto@unitera.com.br

http://www.unitera.com.br

http://vidadigital.blog.br

Segurança da Informação eComputação móvel

Novos Desafios