A rápida adoção do dispositivo móvel no local de trabalho teve duas consequências óbvias: aumento da produtividade e capacidade, bem como aumento correspondente dos riscos à segurança. Os arquitetos de dispositivos móveis sempre fizeram um tradeoff entre segurança e os recursos, inclinando-se quase sempre para novos recursos, deixando a segurança como opção tardia. Embora novos recursos de segurança ajudaram a reduzir um pouco os problemas presentes, muitos dos dispositivos ainda têm problemas a serem resolvidos.
Uma grande parte de problemas nos ambientes empresariais é que os dispositivos pertencentes a indivíduos transitam dentro e fora do ecossistema empresarial. Os dispositivos que são usados tanto para fins pessoais quanto empresariais acabam misturando as necessidades de segurança e os tipos de dados de ambas as áreas de uma maneira potencialmente insegura. Os gerentes de segurança de muitas organizações tiveram de lidar com dispositivos de propriedade pessoal acessando serviços corporativos, exibindo dados corporativos e conduzindo operações comerciais. O problema é que esses dispositivos pessoais não são gerenciados pela organização, o que significa que qualquer coisa armazenada neles não é gerenciada.
Objetivos da segurança mobile
Os sistemas operacionais móveis têm quatro opções, basicamente: Blackberry, Windows Mobile, Google Android e Apple iOS. Destes, os sistemas operacionais Apple iOS e Google Android são de longe os mais comumente encontrados nos dispositivos modernos. A fim de simplificar, iremos discutir apenas iOS e Android.
Dos sistemas operacionais móveis disponíveis, o sistema operacional Android domina com cerca de 83 por cento da quota de mercado. Segundo lugar no mercado é iOS da Apple com cerca de 14 por cento e Windows e Blackberry possuir 2,6 por cento e 0,3 por cento, respectivamente.
Estima-se que cerca de 1,5 bilhões de dispositivos estejam rodando o sistema operacional Android em todo o mundo, e essa tendência não está mostrando sinais de desaceleração em breve.
Ambos os sistemas operacionais foram projetados para solucionar algumas das ameaças e riscos mais básicos, como os seguintes:
- Ataques baseados na Web
- Ataques baseados em rede
- Malware
- Ataques de engenharia social
- Abuso de disponibilidade de recursos e serviços
- Perda de dados maliciosa e não intencional
- Ataques à integridade dos dados
Antes de analisar os modelos de segurança desses dois sistemas operacionais, pode ser útil uma breve recapitulação de cada um desses ataques em relação a dispositivos móveis:
- Ataques na Web e na Rede – Normalmente são lançados por sites maliciosos ou sites legítimos comprometidos. O site de ataque envia conteúdo de rede mal formado para o navegador da vítima, fazendo com que o navegador execute uma lógica maliciosa escolhida pelo invasor.
- Malware – Pode ser dividido em três categorias de alto nível: vírus de computador tradicional, vermes de computador e cavalo de Tróia. Assim como os sistemas tradicionais, os malwares afetam os sistemas móveis e, de fato, existem pedaços de malware projetados exclusivamente para dispositivos móveis.
- Ataques de Engenharia Social – Os ataques de engenharia social como a tentativa de phishing para enganar o usuário para que divulgue informações confidenciais. Os ataques de engenharia social também podem ser usado para atrair um usuário para instalar malware em um dispositivo móvel. Em muitos casos, os ataques de engenharia social são mais fáceis de realizar em dispositivos móveis, em grande parte, devido à sua natureza pessoal e ao fato de que eles já são usados para compartilhar informações sobre mídias sociais e outros serviços similares.
- Perda de dados – A perda de dados ocorre quando um dispositivo usado para armazenar dados sensíveis é transportado por uma pessoa maliciosa ou é perdido. Embora muitas dessas situações possam ser mitigadas através de criptografia e limpezas remotas, o problema ainda é muito sério.
- Roubo de Dados – Este é um dos maiores problemas que emergiram com dispositivos móveis, pois criminosos miram nas informações que tem neles. Malware foi observado em dispositivos móveis que rouba informações confidenciais.
Sugestões de livros:
Diego Macêdo
Sou bacharel em Sistemas de Informação pela Estácio de Sá (Alagoas), especialista em Gestão Estratégica da Tecnologia da Informação pela Univ. Gama Filho (UGF) e pós-graduando em Gestão da Segurança da Informação pela Univ. do Sul de Santa Catarina (UNISUL). Certificações que possuo: EC-Council CEH, CompTIA (Security+, CySA+ e Pentest+), EXIN (EHF e ISO 27001), MCSO, MCRM, ITIL v3. Tenho interesse por todas as áreas da informática, mas em especial em Gestão e Governança de TI, Segurança da Informação e Ethical Hacking.