Seg da Informação e Comp Movel Novos Desafios

4.289 visualizações

Publicada em

A computação móvel e sem fio oferece à empresas e usuãrios muitos benefícios como portabilidade, flexibilidade e mobilidade. Em paralelo a estas vantagens novos desafios surgem na forma de riscos e
vulnerabilidades nesta nova plataforma. A palestra irá abordar esta nova realidade apresentando as formas mais comuns de ataque e os procedimentos e ferramentas hoje disponíveis para proteção.

Publicada em: Tecnologia
0 comentários
3 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

Sem downloads
Visualizações
Visualizações totais
4.289
No SlideShare
0
A partir de incorporações
0
Número de incorporações
31
Ações
Compartilhamentos
0
Downloads
91
Comentários
0
Gostaram
3
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Seg da Informação e Comp Movel Novos Desafios

  1. 1. Segurança da Informação e Computação móvel Novos Desafios Gilberto Sudré gilberto@unitera.com.br http://www.unitera.com.br http://vidadigital.blog.br 1 Gilberto Sudré
  2. 2. 2 Gilberto Sudré
  3. 3. Agenda » Novos paradigmas da computação » Privacidade » Classificação das vulnerabilidades » Dispositivos móveis » Segurança em redes sem fio » Checklist de segurança 3 Gilberto Sudré
  4. 4. Novos Paradigmas
  5. 5. Novos Paradigmas » Mobilidade » Dispositivos móveis » Acesso remoto • Tele-trabalho (“telecommuters”) » Redes sem fio » M-Serviços • M-Commerce, M-Banking, M-Qualquer coisa . . . » Reflexos em nossa privacidade 5 Gilberto Sudré
  6. 6. Privacidade » Privacidade é a habilidade de controlar as suas informações ou aquelas armazenadas sobre você » Por exemplo informações sobre a sua localização • Aquisição • Armazenamento • Uso • Compartilhamento • Combinação 6 Gilberto Sudré
  7. 7. Privacidade » Você já pensou de quantas formas diferentes você foi localizado hoje? » Vamos experimentar ... 7 Gilberto Sudré
  8. 8. Privacidade » Você já pensou de quantas formas diferentes você foi localizado hoje? • Você usou o cartão de crédito? • Sua imagem foi capturada por alguma câmera de segurança? • Seu celular está ligado? • Você usou seu notebook conectado em alguma rede? 8 Gilberto Sudré
  9. 9. M-Commerce » M-commerce é o processo de compra ou venda de produtos e serviços através de dispositivos sem fio portáteis » Significados diferentes • Navegar e pagar através do dispositivo móvel • Navegar com o Micro e pagar através do dispositivo móvel • Utilizar o dispositivo móvel para pagar algum bem ou serviço » Pode ser feito a partir de Celulares, Laptops ou PDAs 9 Gilberto Sudré
  10. 10. Classificação das Vulnerabilidades » No dispositivo do cliente • Dispositivos móveis são fisicamente vulneráveis » Na transmissão de dados pelo ar • Sistemas de segurança utilizados no link sem fio nem sempre garantem a segurança suficiente » No provedor de acesso ou dentro de redes internas • Processos de acesso a rede sem sempre garantem a identificação correta do usuário 10 Gilberto Sudré
  11. 11. Segurança da Informação
  12. 12. Definições de Segurança “Segurança da Informação é uma proteção da informação de um grande número de ameaças, para assegurar a continuidade do negócio, minimizar o risco aos negócios e maximizar o retorno dos investimentos e oportunidade de negócios” Cláusula 0.1 ISO/IEC 17799:2005 12 Gilberto Sudré
  13. 13. Serviços de Segurança da Informação » Existem diferentes aspectos que caracterizam a segurança de um sistema de computadores. Estes aspectos são denominados serviços de segurança. » Os serviços de segurança devem ter: • Confidencialidade • Integridade • Autenticidade • Disponibilidade • Controle de acesso • Não-repúdio • Auditoria 13 Gilberto Sudré
  14. 14. Dispositivos móveis
  15. 15. Dispositivos móveis Ameaças e vulnerabilidades » Pequenos, fáceis de perder, esquecer, etc » Comunicação sem fio • Conexão via infra-vermelho • Redes sem fio 802.11 • Redes de celular (2,5G, 3G) » Vírus • Múltiplas formas de infecção • Anexos de e-mails, Bluetooth, HotSync com o PC • Antivírus nesta plataforma ainda pouco utilizado 15 Gilberto Sudré
  16. 16. Dispositivos móveis Ameaças e vulnerabilidades » Grande capacidade de armazenamento • Dispositivo de memória removível » Ataques ao SIM card ou aos dados internos em busca de: • Ligações executadas ou recebidas • Agenda de contatos • Mensagens e documentos • Fotos e filmes » A maioria dos fabricantes já tem disponível aplicativos para acesso a estas informações. • Necessário o PIN code do chip ou acesso físico a 16 Gilberto Sudré memória flash.
  17. 17. Dispositivos móveis Ameaças e vulnerabilidades 17 Gilberto Sudré
  18. 18. Dispositivos móveis Ameaças e vulnerabilidades » Sistema Operacional • Senha de acesso • Todos são administradores • Métodos de digitação • Caneta ou teclado numérico (escolha de senhas simples) • Poucos sistemas operacionais suportam o armazenamento de dados criptografados • Necessário o uso de aplicativos de terceiros • Muitas vulnerabilidades ainda em aberto 18 Gilberto Sudré
  19. 19. Dispositivos móveis Limitações » Energia • Bateria suporta apenas algumas horas quando conectados a uma rede sem fio • Pouco tempo para execução de aplicativos • Autonomia é hoje a maior limitação » Poder de processamento • Adequado para a maioria das operações criptográficas » Memória • Não é mais uma limitação • Cartões de expansão com muitos GBytes 19 Gilberto Sudré
  20. 20. Dispositivos móveis Vulnerabilidades do GSM » Algoritmos de geração de chaves entre o dispositivo móvel e a estação base • Trabalhos científicos comprovam o sucesso da técnica através do ataque com o uso de textos planos conhecidos » Algoritmo de criptografia • Já quebrado através do acesso ao cartão SIM ou por requisições “através do ar” ao telefone 20 Gilberto Sudré
  21. 21. Segurança em Redes sem Fio (Wi-Fi)
  22. 22. Políticas de Segurança » Levantamento dos riscos e vulnerabilidades » Definição de procedimentos para ativação e uso das Redes sem Fio • Quem, quando e onde » Proibição de Access Points e “redes ad-hoc” não autorizados » “No final de 2004 o uso de Access Points e redes ad-hoc’s não autorizadas será responsável por mais de 50% das vulnerabilidades em redes sem fio (probabilidade de 0.8)” 22 Gilberto Sudré Gartner Group - Set/2002
  23. 23. WEP - Wired Equivalent Privacy » Criptografia entre o cliente e o Access Point » Opera na camada de enlace • Não provê segurança fim-a-fim » Utilizado também para confidencialidade e controle de acesso 23 Gilberto Sudré
  24. 24. WEP - Wired Equivalent Privacy » Vulnerável a ataques • Ataques passivos podem decriptografar o tráfego baseado em analises estatísticas » Os cabeçalhos dos quadros continuam em texto plano, permitindo ao atacante “ver” • Origem e destino (MAC) • ESSID 24 Gilberto Sudré
  25. 25. Quebra de Chaves WEP » Quebra de Chaves WEP com Backtrack (Vídeo) 25 Gilberto Sudré
  26. 26. WPA – Wi-fi protected access » Tenta solucionar os problemas do WEP • Criptografia mais forte • Troca periódica de chaves » Inclui a característica de autenticação • 802.1x • EAP – Extensible Authentication Protocol 26 Gilberto Sudré
  27. 27. WPA – Wi-fi protected access » Dois tipos • WPA-PSK • Similar ao WEP • Chave compartilhada • Troca de chaves automatizada (TKIP – Temporal Key Integrity Protocol) • Vetor de inicialização de 48 bits • Infra-estrutura • Requer um servidor de autenticação (RADIUS) • Opcionalmente pode necessitar de uma Infra- estrutura de chaves públicas (PKI / ICP) 27 Gilberto Sudré
  28. 28. Quebra de Chaves WPA » Quebra de Chaves WPA (Vídeo) 28 Gilberto Sudré
  29. 29. APs Impostores » Em redes abertas • Quem impede do atacante instalar seu próprio Access Point? » Em redes fechadas • Conhecendo-se as configurações e a chave WEP • Ataque Man-in-the-Middle » Pode ser detectado por alguns aplicativos de monitoração » WarDriving “inverso” 29 Gilberto Sudré
  30. 30. APs Impostores » Forma de ataque Access Point mais perto ou com Access Point o sinal mais forte correto SSID: “Verdadeiro” SSID: “Falso” 30 Gilberto Sudré
  31. 31. Checklist de segurança
  32. 32. c Checklist de segurança » Mantenha seu sistema operacional, aplicações e utilitários atualizados » Utilize um bom anti-vírus e anti-spyware e os mantenha atualizados » Configure seu browser para que este utilize as opções mais seguras de navegação » Utilize senhas fortes » Tenha um Firewall pessoal e corporativo instalado e 32 Gilberto Sudré atualizado
  33. 33. c Checklist de segurança » Sempre que possível estabeleça uma VPN (Virtual Private Network) para a comunicação » Desabilite o compartilhamento de impressoras e arquivos » Nunca use senhas importantes ou outras informações sensíveis em computadores públicos » Mantenha os dispositivos móveis e meios de armazenamento digital com você ou em algum local protegido por cadeado ou chave 33 Gilberto Sudré
  34. 34. c Checklist de segurança » Mude imediatamente sua senha caso suspeite que ela tenha sido comprometida » Criptografe os dados armazenados (principalmente em pen- drives) » Exclua completamente os dados sensíveis depois de utilizá- los e destrua mídias antigas antes de descarta-las » Mantenha backups atualizados » Escolha cuidadosamente a rede sem fio que você irá se 34 Gilberto Sudré conectar
  35. 35. Conclusão
  36. 36. Conclusão » Dispositivos móveis fazem parte do dia a dia de pessoas físicas e corporações » Usuários são afetados diretamente por questões de segurança e privacidade quando utilizam os dispositivos móveis » Os usuários são peça fundamental no uso responsável destes dispositivos para evitar falhas e vazamento de informações » Já existem procedimentos e ferramentas que podem estabelecer uma solução de segurança adequada no uso de dispositivos móveis 36 Gilberto Sudré
  37. 37. www.unitera.com.br www.labseg.com.br » Serviços Gerenciados de » Perícia em: Segurança de Perímetro • Equipamentos de informática » Soluções de proteção contra • Dispositivos de malwares e spywares armazenamento digital Smartphones e PDA's » Soluções em Software Livre » Análise de invasão » Outsourcing Parcial ou Total » Testes de Penetração de Infra-Estrutura » Gestão de Risco 37 Gilberto Sudré
  38. 38. Perguntas !!
  39. 39. Segurança da Informação e Computação móvel Novos Desafios Gilberto Sudré gilberto@unitera.com.br http://www.unitera.com.br http://vidadigital.blog.br 39 Gilberto Sudré

×