seg da informação e comp movel novos desafios
DESCRIPTION
A computação móvel e sem fio oferece à empresas e usuãrios muitos benefícios como portabilidade, flexibilidade e mobilidade. Em paralelo a estas vantagens novos desafios surgem na forma de riscos e vulnerabilidades nesta nova plataforma. A palestra irá abordar esta nova realidade apresentando as formas mais comuns de ataque e os procedimentos e ferramentas hoje disponíveis para proteção.TRANSCRIPT
1
Gilberto Sudré
Gilberto Sudré
http://www.unitera.com.br
http://vidadigital.blog.br
Segurança da Informação eComputação móvel
Novos Desafios
2
Gilberto Sudré
3
Gilberto Sudré
Agenda
» Novos paradigmas da computação
» Privacidade
» Classificação das vulnerabilidades
» Dispositivos móveis
» Segurança em redes sem fio
» Checklist de segurança
Novos Paradigmas
5
Gilberto Sudré
» Mobilidade
» Dispositivos móveis
» Acesso remoto
• Tele-trabalho (“telecommuters”)
» Redes sem fio
» M-Serviços
• M-Commerce, M-Banking, M-Qualquer coisa . . .
» Reflexos em nossa privacidade
Novos Paradigmas
6
Gilberto Sudré
Privacidade
» Privacidade é a habilidade de controlar as suas informações ou aquelas armazenadas sobre você
» Por exemplo informações sobre a sua localização
• Aquisição
• Armazenamento
• Uso
• Compartilhamento
• Combinação
7
Gilberto Sudré
Privacidade
» Você já pensou de quantas formas diferentes você foi localizado hoje?
» Vamos experimentar ...
8
Gilberto Sudré
Privacidade
» Você já pensou de quantas formas diferentes você foi localizado hoje?
• Você usou o cartão de crédito?
• Sua imagem foi capturada por alguma câmera de segurança?
• Seu celular está ligado?
• Você usou seu notebook conectado em alguma rede?
9
Gilberto Sudré
» M-commerce é o processo de compra ou venda de produtos e serviços através de dispositivos sem fio portáteis
» Significados diferentes
• Navegar e pagar através do dispositivo móvel
• Navegar com o Micro e pagar através do dispositivo móvel
• Utilizar o dispositivo móvel para pagar algum bem ou serviço
» Pode ser feito a partir de Celulares, Laptops ou PDAs
M-Commerce
10
Gilberto Sudré
Classificação das Vulnerabilidades» No dispositivo do cliente
• Dispositivos móveis são fisicamente vulneráveis
» Na transmissão de dados pelo ar
• Sistemas de segurança utilizados no link sem fio nem sempre garantem a segurança suficiente
» No provedor de acesso ou dentro de redes internas
• Processos de acesso a rede sem sempre garantem a identificação correta do usuário
Segurança da Informação
12
Gilberto Sudré
Definições de Segurança
“Segurança da Informação é uma proteção da informação de um grande número de ameaças, para assegurar a continuidade do negócio, minimizar o risco aos negócios e maximizar o retorno dos investimentos e oportunidade de negócios”
Cláusula 0.1 ISO/IEC 17799:2005
13
Gilberto Sudré
Serviços de Segurança da Informação
» Existem diferentes aspectos que caracterizam a segurança de um sistema de computadores. Estes aspectos são denominados serviços de segurança.
» Os serviços de segurança devem ter:• Confidencialidade
• Integridade
• Autenticidade
• Disponibilidade
• Controle de acesso
• Não-repúdio
• Auditoria
Dispositivosmóveis
15
Gilberto Sudré
Dispositivos móveisAmeaças e vulnerabilidades
» Pequenos, fáceis de perder, esquecer, etc
» Comunicação sem fio
• Conexão via infra-vermelho
• Redes sem fio 802.11
• Redes de celular (2,5G, 3G)
» Vírus
• Múltiplas formas de infecção
• Anexos de e-mails, Bluetooth, HotSync com o PC
• Antivírus nesta plataforma ainda pouco utilizado
16
Gilberto Sudré
Dispositivos móveisAmeaças e vulnerabilidades
» Grande capacidade de armazenamento
• Dispositivo de memória removível
» Ataques ao SIM card ou aos dados internos em busca de:
• Ligações executadas ou recebidas
• Agenda de contatos
• Mensagens e documentos
• Fotos e filmes
» A maioria dos fabricantes já tem disponível aplicativos para acesso a estas informações.
• Necessário o PIN code do chip ou acesso físico a memória flash.
17
Gilberto Sudré
Dispositivos móveisAmeaças e vulnerabilidades
18
Gilberto Sudré
Dispositivos móveisAmeaças e vulnerabilidades
» Sistema Operacional
• Senha de acesso
• Todos são administradores
• Métodos de digitação
• Caneta ou teclado numérico (escolha de senhas simples)
• Poucos sistemas operacionais suportam o armazenamento de dados criptografados
• Necessário o uso de aplicativos de terceiros
• Muitas vulnerabilidades ainda em aberto
19
Gilberto Sudré
Dispositivos móveisLimitações
» Energia
• Bateria suporta apenas algumas horas quando conectados a uma rede sem fio
• Pouco tempo para execução de aplicativos
• Autonomia é hoje a maior limitação
» Poder de processamento
• Adequado para a maioria das operações criptográficas
» Memória
• Não é mais uma limitação
• Cartões de expansão com muitos GBytes
20
Gilberto Sudré
Dispositivos móveisVulnerabilidades do GSM
» Algoritmos de geração de chaves entre o dispositivo móvel e a estação base
• Trabalhos científicos comprovam o sucesso da técnica através do ataque com o uso de textos planos conhecidos
» Algoritmo de criptografia
• Já quebrado através do acesso ao cartão SIM ou por requisições “através do ar” ao telefone
Segurança em Redes sem Fio
(Wi-Fi)
22
Gilberto Sudré
Políticas de Segurança
» Levantamento dos riscos e vulnerabilidades
» Definição de procedimentos para ativação e uso das Redes sem Fio
• Quem, quando e onde
» Proibição de Access Points e “redes ad-hoc” não autorizados
» “No final de 2004 o uso de Access Points e redes ad-hoc’s não autorizadas será responsável por mais de 50% das vulnerabilidades em redes sem fio (probabilidade de 0.8)”
Gartner Group - Set/2002
23
Gilberto Sudré
WEP - Wired Equivalent Privacy
» Criptografia entre o cliente e o Access Point
» Opera na camada de enlace
• Não provê segurança fim-a-fim
» Utilizado também para confidencialidade e controle de acesso
24
Gilberto Sudré
WEP - Wired Equivalent Privacy
» Vulnerável a ataques
• Ataques passivos podem decriptografar o tráfego baseado em analises estatísticas
» Os cabeçalhos dos quadros continuam em texto plano, permitindo ao atacante “ver”
• Origem e destino (MAC)
• ESSID
25
Gilberto Sudré
Quebra de Chaves WEP
» Quebra de Chaves WEP com Backtrack (Vídeo)
26
Gilberto Sudré
WPA – Wi-fi protected access
» Tenta solucionar os problemas do WEP
• Criptografia mais forte
• Troca periódica de chaves
» Inclui a característica de autenticação
• 802.1x
• EAP – Extensible Authentication Protocol
27
Gilberto Sudré
WPA – Wi-fi protected access
» Dois tipos
• WPA-PSK
• Similar ao WEP
• Chave compartilhada
• Troca de chaves automatizada (TKIP – Temporal Key Integrity Protocol)
• Vetor de inicialização de 48 bits
• Infra-estrutura
• Requer um servidor de autenticação (RADIUS)
• Opcionalmente pode necessitar de uma Infra-estrutura de chaves públicas (PKI / ICP)
28
Gilberto Sudré
Quebra de Chaves WPA
» Quebra de Chaves WPA (Vídeo)
29
Gilberto Sudré
APs Impostores
» Em redes abertas
• Quem impede do atacante instalar seu próprio Access Point?
» Em redes fechadas
• Conhecendo-se as configurações e a chave WEP
• Ataque Man-in-the-Middle
» Pode ser detectado por alguns aplicativos de monitoração
» WarDriving “inverso”
30
Gilberto Sudré
APs Impostores
» Forma de ataque
Access Pointcorreto
SSID: “Verdadeiro” SSID: “Falso”
Access Pointmais perto ou como sinal mais forte
Checklist de segurança
32
Gilberto Sudré
Checklist de segurança
» Mantenha seu sistema operacional, aplicações e utilitários atualizados
» Utilize um bom anti-vírus e anti-spyware e os mantenha atualizados
» Configure seu browser para que este utilize as opções mais seguras de navegação
» Utilize senhas fortes
» Tenha um Firewall pessoal e corporativo instalado e atualizado
c
33
Gilberto Sudré
Checklist de segurança
» Sempre que possível estabeleça uma VPN (Virtual Private Network) para a comunicação
» Desabilite o compartilhamento de impressoras e arquivos
» Nunca use senhas importantes ou outras informações sensíveis em computadores públicos
» Mantenha os dispositivos móveis e meios de armazenamento digital com você ou em algum local protegido por cadeado ou chave
c
34
Gilberto Sudré
Checklist de segurança
» Mude imediatamente sua senha caso suspeite que ela tenha sido comprometida
» Criptografe os dados armazenados (principalmente em pen-drives)
» Exclua completamente os dados sensíveis depois de utilizá-los e destrua mídias antigas antes de descarta-las
» Mantenha backups atualizados
» Escolha cuidadosamente a rede sem fio que você irá se conectar
c
Conclusão
36
Gilberto Sudré
Conclusão
» Dispositivos móveis fazem parte do dia a dia de pessoas físicas e corporações
» Usuários são afetados diretamente por questões de segurança e privacidade quando utilizam os dispositivos móveis
» Os usuários são peça fundamental no uso responsável destes dispositivos para evitar falhas e vazamento de informações
» Já existem procedimentos e ferramentas que podem estabelecer uma solução de segurança adequada no uso de dispositivos móveis
37
Gilberto Sudré
» Serviços Gerenciados de Segurança de Perímetro
» Soluções de proteção contra malwares e spywares
» Soluções em Software Livre
» Outsourcing Parcial ou Total de Infra-Estrutura
» Perícia em:
• Equipamentos de informática
• Dispositivos de armazenamento digital Smartphones e PDA's
» Análise de invasão
» Testes de Penetração
» Gestão de Risco
www.unitera.com.br www.labseg.com.br
Perguntas !! Perguntas !!
39
Gilberto Sudré
Gilberto Sudré
http://www.unitera.com.br
http://vidadigital.blog.br
Segurança da Informação eComputação móvel
Novos Desafios