UTILIZ AÇÃO DE DISPOSITIVOS

A utilização de smartphones e tablets está cada vez mais generalizada em qualquer ambiente familiar, social e profissional. Nesse sentido, importa aval-iar as caracteristicas destes dispositivos para com-preender as vulnerabilidades que podem ocorrer. São de destacar as seguintes características:- Vários sensores (GPS, altímetro, giroscópio, acel-erômetro, microfone, câmera, entre outros);- Possibilidade de comunicação sem fios;- Grande capacidade de armazenamento;- Performance de topo que permite o uso de aplicações complexas; - Câmaras fotograficas.

Estes dispositivos permitem que o utilizador possa ser contactado por voz, por email, por aplicações instala-das e pode ainda navegar na internet com recurso à rede wifi de uma organização para entretenimento ou realizar tarefas profissionais.

No entanto, as soluções de segurança atuais são in-eficazes para fornecer uma proteção adequada aos dados pessoais e profissionais. Além disso, as vulner-abilidades que surgem em sistemas informação das organizações são frequentemente mal interpretadas.

Um utilizador de um dispositivo móvel deve aumentar a consciencialização sobre os principais riscos segurança e aplicar as recomendações de segurança para reduzir de forma significativa os riscos.

SEGURANÇA DE DISPOSITIVOS MÓVEIS

CENTRO NACIONAL DE CIBERSEGURANÇA | MAR18 | BP_SDM_0001_V1.0

Assunto: Segurança de Dispositivos Móveis

Destinatários: Cidadãos, Entidades Públicas e Privadas

Principais temas: 1. Utilização de dispositivos 2. Riscos de segurança 2. Recomendações

QUAIS OS RISCOS DE SEGUR ANÇA?

Os dados armazenados nos dispositivos móveis que são registados de forma voluntária (e-mails, calendário, contatos, fotos, documentos, SMS, etc.) ou involun-tariamente (cache do navegador, sequência de dados históricos e baseados em localização, etc.), podem ser sensíveis para a organização a que pertencem.

O mesmo ocorre com a segurança de códigos, pala-vras-chave e certificados que podem ser utilizados de forma indireta para acesso aos bens essenciais do sistema de informação profissional. Em particular, ex-iste a tendência dos utilizadores recorrerem ao uso in-adequado de palavras-chave para acesso a diferentes serviços. Esta questão levanta preocupações inerentes ao armazenamento de palavras-chave em um smart-phone e pode corresponder a palavras-chave de aces-so a serviços sensíveis. Torna-se necessário avaliar o risco de modificação, destruição ou divulgação dos da-dos pessoais e profissionais.

O risco de divulgação de informações armazenadas em dispositivos móveis sempre foi significativo mas, atual-mente, o risco é elevado devido aos múltiplos recursos disponibilizados pelos smartphones ou tablets.

O contexto deve ser tido em consideração aquando do uso de dispositivos móveis com acesso a documen-tação pessoal ou profissional. Por exemplo, um hacker pode procurar atacar uma organização através de um sistema de informação utilizando como porta de entrada um dispositivo móvel. Isto acontece devido ao grande número de vulnerabilidades que os sistemas operativos móveis (Android, iOS, Windows Phone, Symbian OS, MeeGo, Bada, RIM, WebOS, WinCE, Palm OS) apre-sentam, mas também devido aos erros de comporta-mento dos utilizadores.

CiberDocs

RECOMENDAÇÕES DE SEGUR ANÇA

É fundamental implementar algumas recomendações para garantir uma melhor utilização dos dispositivos móveis em ambiente organizacional. Em qualquer caso, é uma ilusão esperar atingir um nível de segurança el-evado com um smartphone ou com um tablet comum, independentemente dos cuidados que são tidos na con-figuração dos mesmos. As recomendações apresenta-das pretendem apenas proteger, da melhor forma pos-sível, os dados armazenados nos dispositivos móveis contra ataques exteriores. Existem soluções de gestão de dispositivos móveis em que existem perfis de segu-rança criados a partir de um ponto central para permitir mudanças rápidase e em grande escala. Naturalmente não será viável para todos os tipos de dispositivos no mercado e as soluções de gestão de “grupo” devem ser avaliadas em função dos dispositivos em utilização.A segurança deve ser tida em conta durante todo o ciclo de vida do dispositivo: a escolha deve recair so-bre um dispositivos intrinsecamente seguro; o sistema do dispositivo deve ser protegido antes da entrega ao utilizador, a manutenção das condições de segurança para o conjunto de dispositivos (aplicação de patches de segurança, atualizações do sistema operacional e aplicações) e controlo dos dados e redefinição do dis-positivo antes de qualquer formatação, destruição ou entrega a terceiros.

Para o controlo de acesso é necessário:- definir uma password com um prazo de validade;- definir o bloqueio automático do dispositivos após al-guns minutos de atividade- caso o dispositivo tenha informação sensível, recomen-da-se que seja exigida a utilização de uma password muito forte em substituição dos métodos de desbloque-io padrão - Limitar o número de tentativas de desbloqueio. Con-figurar um tempo de bloqueio cada vez mais longo e eliminação automática depois de uma dúzia de tentati-vas que falhadas

CONTROLO DE ACESSO

SEGUR ANÇA DAS APLICAÇÕES- Não instalar aplicações que não estejam explicitamente autorizadas pela organização. Esta recomendação apli-ca-se também que os aplicações pré-instaladas. - As aplicações instaladas devem ser objecto de uma avaliação prévia e devem ter autorização de instalação. Essa análise inclui a avaliação do nível de segurança de aplicações com base em informação pública (per-missões relevantes, reputação, vulnerabilidades publi-cadas, avaliações de segurança, etc.) e, se possível, ser objecto de auditoria. (Por análise comportamental ou análise de código, entre outros). Esta recomendação é mais uma vez para as aplicações pré-instaladas que devem ser desinstaladas caso se verifique necessári- As aplicações implementadas devem ter as per-missões necessárias apenas para as funções a que se destinam, quer para o acesso aos dados ou à Internet, mas também para o controlo dos vários sensores. As permissões concedidas devem ser verificadas com uma periodicidade mensal tanto a nível de instalação como de configuração, de modo garantir que elas não sof-reram alterações. - As aplicações de acesso ao serviço de geolocal-ização devem ser proibidas / bloqueadas sempre que as funções do utilizador não estejam relacionadas com a posição geográfica. Se esta opção não estiver dis-ponível para o dispositivo em consideração, deve de-sligar o serviço de localização quando é não utilizado.- As aplicações instaladas devem ter perfis de segurança adequados (principalmente sobre o navegador web e o cliente de e-mail), distribuído no âmbito das políticas de segurança implementadas pela organização.- As aplicações instaladas devem ser atualizadas rápida e regularmente logo que os patches de segurança se-jam disponibilizados.

SISTEMA OPER ATIVO

O sistema operativo deve ser atualizado de forma reg-ular e automáticade forma a incorporar os patches de segurança mais recentes. Qualquer dispositivo que não permita mais mudanças de suporte no sistema operativo deve ser substituído.

DADOS E COMUNICAÇÕES

- As ligações sem fios (Bluetooth e WiFi) e sem contato (NFC exemplo) têm de ser desativadas quando não es-tiverem a ser utilizadas.- Desativaar a associação automática com os pontos de acesso Wi-Fi configurados no terminal, de modo a manter o controlo sobre a activação da ligação sem fios.- Evitar a ligação a redes sem fios desconhecidas e que não sejam confiança.- O armazenamento removível e armazenamento inter-no deve ser criptografado através de uma solução de criptografia forte.-Qualquer troca de informação sensível deve ser feita através de um canal encriptado para garantir a confi-dencialidade e a integridade dos dados de ponto a pon-to.

Manter a segurança online é responsabilidade de todos!

Mais informação emCentro Nacional de Cibersegurança (CNCS)www.cncs.gov.ptcncs@cncs.gov.pt

CiBerDocs | BP_SDM_0001_v1.0 | mar2018

Copyright@2018

Proteja-se para ser ciberseguro/a.

POLÍTICA BYOD

A coexistência de utilização profissional e pessoal no mesmo dispositivo deve se cuidadosamente avaliada. A política de BYOD deve ser tida em especial consid-eração aquando da utilização de dispositivos pessoais dentro da organização. Se o uso de um único smartphone para ambos os con-textos não pode ser evitada e dependendo da sensib-ilidade dados corporativos que são processados pelo telefone, é necessária a implementação de soluções dedicadas para compartimentar cada ambiente (pes-soal, organizacional).

PERDA DE DISPOSITIVO

O atacante pode aceder rapidamente aos dados con-fidenciais armazenados nos dispositivos apenas por desleixo do utilizador em relação ao respeito pelas medidas básicas de segurança. Apenas uma solução criptografia de dados robusto pode reduzir significativa-mente o risco de vazamento de informações e barreira adicional contribui para a defesa em profundidade do terminal.

APLICAÇÕES MALICIOSAS

uma aplicação que tem permissão para acessar tan-to o cartão de armazenamento de dados e internet Removível poderia, por exemplo contrabandeá-los completamente para um servidor de propriedade de indivíduos malicioso. Grande parte dos aplicativos at-ualmente disponíveis em lojas de aplicativos executar operações que caem fora da sua função principal, tudo sem o conhecimento de usuários. Estas aplicações são a maior parte do tempo livre e oferecer serviços de for-ma voluntária muito atraente.Sabendo-se que é difícil saber que uma aplicação concreta, cada potencialmente Trojan e, sem poste-rior análise, deve ser considerado como tal. Por con-seguinte, é essencial controlar rigorosamente os apli-cativos instalados nos terminais. Um ataque com frequência é observado para um atacante para obter uma aplicação popular em um mercado de aplicativos, para adicionar uma carga maliciosa e depois distribuir o produto resultante em outro mercado. Um e aplicação confiável inicialmente se pode provar ser um software preso. É, portanto, extremamente importante assegurar que a aplicação resultante é realmente a partir da sua editora legítima como exigido pela enchendo com ele

FALHAS NAS APLICAÇÕESOs sistemas operacionais de dispositivos móveis têm vulnerabilidades. eles permitem por vezes, o acesso a camadas inferiores do sistema e pode ser utilizado por exemplo para adicionar backdoors ou intercepção códi-gos de portas. Estas vulnerabilidades são muitas vez-es explorados por meio de aplicativos ou diretamente através do interfaces de terminal (USB, placa WiFi ou Bluetooth, etc.). Pobre aviso, o compromisso resultante permite que um atacante ter o controle total do terminal para interceptar todos os dados discretamenteou para ativar o equipamento de câmera e microfone. Deve notar-se aqui que os terminais “desbloqueado” ou “Rootes” expor utilizador especialmente seu siste-ma de baixo nível e compromissos, muitas vezes difi-cultam a implementação de patches de segurança, o que é por isso que eles são fortemente proibida. Na ver-dade, o terminal “jailbreak” é geralmente baseado na exploração de uma falha que é projetado para executar código muito privilegiada e muitas vezes descontrola-da ou até mesmo desativar as proteções impostas pelo fabricante terminal (por exemplo, verificação de integri-dade de atualizações de software). Da mesma forma, os sistemas alternativos disponível para alguns dispos-itivos não são recomendados devido à sua qualidade altamente variável e difícil de avaliar mas também pela falta de visibilidade sobre a sua segurança contínua. Por outro lado, aplicações legítimos e confiáveis tam-bém pode ser vulnerabilidades.Assim como os sistemas operacionais de estações de trabalho, aplicações de leitura Arquivos PDF ou navegação na web são, por exemplo, muitas vezes afe-tados. Uma então encontra em terminais movendo as mesmas questões de segurança como estações de tra-balho. É, por conseguinte necessária a implementação de perfis de configurações de segurança adaptado e não pode ser editado pelo usuário. Além disso, muitas aplicações para os dispositivos móveis são uma qual-idade bastante baixa. É não aplicações incomuns têm vulnerabilidades significativas, tornando-se assim as portas Involuntário roubado. É por isso que é essencial para limitar o número de aplicações validado

INTEGR AÇÃO COM HARDWAREDiferentes componentes de um terminal móvel incluem, de fato, funções de baixo nível (de depuração, etc.) um invasor pode usar a sua vantagem para assumir o con-trole do terminal. Este risco, embora baixo, ainda é ter em mente em contextos sensíveis de uso.