Problemas comuns com dispositivos móveis

Os dispositivos móveis são comuns. No entanto, um monte de problemas comuns também ocorrem que poderiam ser maneiras fáceis para um atacante causar danos:

  • Um dos problemas mais comuns com dispositivos móveis é que muitas vezes eles não têm senhas definidas, ou as senhas são incrivelmente fracas. Enquanto alguns dispositivos oferecem sistemas biométricos simples de usar e eficazes para autenticação em vez de senhas, eles estão longe de ser um padrão. Embora a maioria dos dispositivos suporte senhas, códigos PIN e autenticação baseada em gestos, muitas pessoas não usam esses mecanismos, o que significa que se o dispositivo for perdido ou roubado, seus dados podem ser facilmente acessados.
  • Conexões sem fio desprotegidas também são um problema conhecido em muitos dispositivos e parecem ser piores em dispositivos móveis. Isso é mais do que provável, devido aos proprietários desses dispositivos estarem fora e em busca de  um ponto de acesso aberto e conectar sem levar em conta se ele está protegido ou não.
  • Problemas de malware parecem ser mais um problema com dispositivos móveis do que com outros dispositivos. Isto é devido aos proprietários que transferem apps do Internet com pouca preocupação que podem conter o malware e não ter um scanner antimalware no dispositivo.
  • Os usuários negligenciam a instalação de software de segurança em dispositivos móveis, mesmo que esse software esteja prontamente disponível nos principais fornecedores sem restrições e seja gratuito. Muitos proprietários desses dispositivos podem até acreditar que o malware não existe para dispositivos móveis ou que eles são imunes.
  • Softwares descontinuados e desatualizados do sistema operacional é um grande problema. Da mesma forma que os sistemas de desktop, patches e correções para software de SO móvel também são liberados de vez em quando. Esses patches podem não ser aplicados por uma série de razões. Quando isso acontece, os patches e atualizações que o Google lança podem não funcionar nas versões alteradas pelas operadoras. Nesse caso, você precisaria aguardar que sua operadora faça alguma atualização para seu dispositivo antes de poder aplicar o patch. Este processo pode levar meses ou mesmo um ano e em alguns casos nunca.
  • Muito parecido com o sistema operacional, pode haver software no dispositivo que não está corrigido e está desatualizado.
  • Conexões com a Internet podem estar ligadas e inseguras, o que pode levar alguém a entrar no sistema da mesma maneira que uma invasão outra sistema.
  • Os dispositivos móveis podem estar enraizados ou jailbroken, o que significa que se esse dispositivo estiver conectado à sua rede, pode ser uma maneira fácil de introduzir malware em seu ambiente.
  • A fragmentação é comum em dispositivos Android. Especificamente, isso se refere ao fato de que, ao contrário do iOS, há um grande número de versões do sistema operacional Android com diferentes recursos, interfaces e muito mais. Isso pode levar a problemas de suporte para a empresa devido à quantidade de variação e inconsistência.

Embora estes sejam alguns dos problemas conhecidos que existem nos dispositivos móveis, eles não representam necessariamente o estado atual das ameaças e você deve fazer a devida diligência se você estiver gerenciando um ambiente que permite esses dispositivos.

Uma maneira de ajudá-lo a obter uma ideia geradl dos problemas conhecidos na área móvel é usar o Open Web Application Security Project (OWASP). OWASP é uma organização que mantém o controle de várias questões, tais como preocupações de aplicação web, e também mantém as listas top 10 de várias questões, incluindo problemas de dispositivos móveis. Você pode querer dar uma olhada através do site www.owasp.org, periodicamente para aprender os últimos problemas que podem estar aparecendo e que você pode usar em seu processo de teste.

No entanto, ainda há mais uma área que os dispositivos móveis realmente trouxe para a frente que precisamos dar uma olhada, e que é o Bring Your Own Device (BYOD).

Traga seu próprio dispositivo / traga seus próprios problemas

BYOD tem sido uma tendência ao longo dos últimos anos no mundo dos negócios e tem acelerado em popularidade. Simplificando, o conceito de BYOD é aquele em que os funcionários fornecem seu próprio equipamento na forma de smartphones, laptops, tablets e outros tipos de eletrônicos. Hoje em dia, quando os funcionários trazem suas próprias coisas, é principalmente na forma de tablets, smartphones, laptops e notebooks simplesmente por serem pequenos e poderosos. Esses dispositivos são conectados à rede corporativa e os funcionários usam os dispositivos para fazerem seus trabalhos.

Hoje, muitos funcionários esperaram que eles sejam capazes de usar seus smartphones e outros dispositivos pessoais, como tablets no trabalho. O problema com esta situação é que manter um ambiente seguro com o equipamento que a companhia não possui e não pode ter toda a gerência sobre eles. Enquanto as empresas tomaram medidas para definir sua posição sobre como esses dispositivos serão autorizados a interagir com serviços corporativos, ainda há preocupações. Os departamentos de TI, por necessidade, têm de ser extremamente vigilantes sobre as questões de segurança que podem aparecer neste ambiente.

Uma das maiores defesas que podem ser usadas inicialmente é que a TI e a segurança detalhem claramente os requisitos que cada dispositivo deve atender antes de serem usados no ambiente corporativo. Por exemplo, uma política pode precisar ser estabelecida, afirmando que os dispositivos atendem a certos padrões, como patches, requisitos de antimalware, requisitos de senha, aplicativos permitidos e bloqueados, bem como requisitos de criptografia. Além disso, a empresa nunca deve deixar de usar dispositivos de detecção de intrusão na própria rede para controlar as atividades desses hosts quando eles aparecem.

Na prática, duas coisas devem acontecer administrativamente para garantir que as coisas sejam feitas corretamente. Em primeiro lugar, deve existir uma política que estabelece as responsabilidades do administrador do sistema em relação ao seu manuseio de dispositivos móveis. Em segundo lugar, uma política deve ser criada e tornada consciente para os usuários finais para que eles compreendam a responsabilidade que vem com seus dispositivos pessoais à rede.

Muitas pessoas que conectaram seus smartphones pessoais às redes corporativas descobriram a maneira mais difícil  e custosa por ter feito istozê-lo. Especificamente, tem acontecido alguns casos em que os indivíduos que anexaram seus próprios dispositivos pessoais na rede da empresa tiveram seu telefone pessoal limpado, com todos os seus dados e outras informações perdidas estavam armazenados neles. Por quê isso aconteceu? Simplesmente imagine, um administrador do sistema enviou um comando de limpeza remota para o dispositivo e instruiu-o a limpar-se de todos os aplicativos e dados para evita-lo de cair nas mãos erradas. Ou um administrador pode ter encontrado o dispositivo e não reconhecê-lo, então limpou como uma ação de resposta.

Para evitar o problema que vem com o apagamento remoto de dispositivos de propriedade pessoal, as empresas devem fazer os funcionários assinar um documento declarando que aceitam a possibilidade de que isso possa acontecer.

A fim de tornar o BYOD e a integração de dispositivos móveis mais fáceis, muitas empresas recorreram a soluções de software de gerenciamento. Essas soluções permitem o rastreamento, monitoramento e gerenciamento de dispositivos móveis no mesmo sentido que as soluções de gerenciamento de ativos empresariais tradicionais. As soluções incluem o software Microsoft System Center Mobile Device Manager e a tecnologia de gerenciamento MaaS360 da IBM.

Sugestões de livros:

Sou bacharel em Sistemas de Informação pela Estácio de Sá (Alagoas), especialista em Gestão Estratégica da Tecnologia da Informação pela Univ. Gama Filho (UGF) e pós-graduando em Gestão da Segurança da Informação pela Univ. do Sul de Santa Catarina (UNISUL). Certificações que possuo: EC-Council CEH, CompTIA Security+, EXIN EHF, EXIN ISO 27001, MCSO, MCRM, ITIL v3. Tenho interesse por todas as áreas da informática, mas em especial em Gestão e Governança de TI, Segurança da Informação e Ethical Hacking.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *