Consumerização e jailbreak: como garantir a segurança com dispositivos móveis

Author Photo
11:26 am - 20 de março de 2012

No evento recente Sans Mobile Device Security Summit, que ocorreu em Nashville (Tenessee, EUA) ? houve um tema comum: o movimento traga seu próprio dispositivo (tradução livre de bring your own device, ou Byod) móvel está sobre nós, e os profissionais de segurança devem encarar seus desafios com essa política. É preciso acelerar, rapidamente, os conhecimentos sobre os problemas únicos de segurança que ocorrem com a vinda de dispositivos iOS, da Apple, e de Androids, do Google, para as companhias.

Enquanto algumas empresas escolhem seguir a rota tradicional de compra de um telefone celular específico e uma plataforma de gestão integrada para gestão end-to-end, a verdade da economia e as demandas dos trabalhadores fazem com que as organizações repensem suas estratégias e permitam dispositivos pessoais no ambiente corporativo. Porém, com esse movimento, a decisão deve ser tomada a partir do nível de controle corporativo que a companhia que impor no dispositivo pessoal de um empregado.

Mas qual é a melhor maneira de lidar com o movimento Byod? Implementar uma solução de gestão de dispositivos móveis (mobile device management, ou MDM) para controlar os aparelhos certamente é uma estratégia, mas pode ser difícil quando existe uma grande diversidade de tipos de dispositivos sendo usados pelos empregados. E também existe a questão de quanto controle deve ser exercido.

Já uma abordagem mais conservadora de vigilância e comunicação podem ajudar a aliviar os problemas de controle, enquanto a empresa continua a fornecer visibilidade para a população Byod. Qualquer coisa que se torna muito arriscada pode ser rapidamente tratada por um comando remoto ou com uma conversa com o proprietário do dispositivo.

As empresas que procuram adotar uma abordagem mais avessa aos riscos passaram a se concentrar em métodos para segregar os dispositivos móveis do restante dos recursos corporativos. Esse foi o tópico da palestra de Josh Feinblum, ?Protecting the Jewels: Mobile Device Segregation?, no Sans.

Feinblum analisou os riscos técnicos voltados para dispositivos móveis e as diferentes maneiras que as empresas poderiam aproveitar firewalls de rede existentes e implementações sem fio para encurralá-los em um ambiente desigual e segregado. A partir daí, eles poderiam interagir com um conjunto altamente controlado de servidores apenas para fins específicos, como Exchange, ActiveSync e Citrix.

Ou, melhor ainda, uma abordagem híbrida utilizando MDM para monitoramento com o mínimo de controle combinado com controle de redes para segregação acabaria com várias dessas preocupações.

Jailbreak

E sobre realizar o jailbreak em iPhones e Android? O consenso geral dos oradores e participantes da cúpula é que estes dispositivos alterados não têm lugar no ambiente corporativo. O consultor de segurança Kevin Johnson disse que é contra dispositivos desbloqueados nas empresas. Segundo ele, há certamente vantagens em ter um aparelho destravado, mas eles também representam riscos para inúmeras redes de dados.

E quais são os benefícios e riscos? Os benefícios primários são o acesso completo ao sistema operacional do dispositivo subjacente. Fabricantes de smartphones colocam em controles para limitar o acesso dos usuários. O jailbreaking ignora essas restrições para que o usuário tenha plenos direitos sobre a plataforma, semelhante a uma conta de administrador no Windows ou em Linux. Isto dá a capacidade de acessar arquivos e dados que antes eram inacessíveis, e, para dispositivos da Apple, a possibilidade de instalar aplicativos de outras fontes que a Apple App Store.

Segundo o palestrante e analista da VyStar Credit Union, Brent Morris, existem algumas excelentes aplicações disponíveis para dispositivos iOS que realmente fornecem um maior nível de segurança para iPhones desbloqueados e iPads. Em particular, aplicativos de firewall como o Firewall IP, que age como um firewall pessoal em um PC, permitindo que os usuários aceitem ou neguem o app de tráfego de rede móvel.

É claro que há o lado ruim de dispositivos móveis que sofreram o jailbreaking. O acesso adicional ao sistema de arquivos e componentes do sistema operacional também significa que os aplicativos de terceiros podem ter o mesmo nível de acesso. Isso poderia deixar dados confidenciais expostos e pode levar ao acesso a senhas em alguns casos.

Tom Eston, gerente de teste de penetração da SecureState, alerta as empresas para não permitir desbloqueios por causa das preocupações com a segurança que cercam o vazamento de dados e aplicativos de terceiros não vetados pela Apple. Ele especificamente chamou a atenção para o fato de que alguns controles internos de segurança dentro iOS são desativados quando um dispositivo sofre o jailbroken. Eston recomenda que as organizações impeçam a prática usando uma solução de MDM para ajudar a evitar problemas causados por esses dispositivos.

Será que existe uma resposta fácil para as empresas que procuram garantir a segurança de sua rede a partir do influxo de dispositivos mõveis? Não. Mas há possibilidades o suficiente que podem ser agrupadas com controles de segurança tradicionais para atender às necessidades das organizações.

Notícias relacionadas

Notícias
Meta amplia controle para adolescentes
Notícias
Alphabet quer levantar US$ 80 bi para financiar infraestrutura de IA
Notícias
Sberbank oferece IA soberana a países do Sul Global
Notícias
Palo Alto registra alta na procura por segurança em IA
Ver todas as noticias

Newsletter de tecnologia para você

Os melhores conteúdos do IT Forum na sua caixa de entrada.