O Globo Informática
Etc..
Quebra de segurança
Por André Machado
A maior ameaça à segurança da informação
está... no ar. Na era em que a computação
se vale mais e mais de tecnologias como Bluetooth e Wi-Fi, os
micrinhos de mão se tornam uma ponta ainda desprotegida
das grandes estruturas de TI. Até porque estão
mais parecidos com seus irmãos mais velhos, os notebooks.
— O que encontramos nos PDAs hoje é o que encontrávamos
anos atrás nos notebooks — diz Alexandre
Freire, consultor de segurança sênior
da Atos Origin. — E muitos executivos levam para reuniões
informações delicadas anotadas em seus handhelds
sem a menor proteção.
Um estudo da Trend Micro categoriza as maiores ameaças
ao mundo wireless em três: ataques via aplicações,
via conteúdo e um mix dos dois primeiros. No caso das
ameaças através de programas em micrinhos, uma
das primeiras a surgir, segundo o estudo, foi o cavalo-de-tróia
Liberty Crack, em que o programinha simulava transformar em
registrada a versão shareware de um game — mas
na verdade deletava todos os arquivos executáveis do
handheld (que medo). Depois veio o primeiro vírus, o
Palm Phage, que se escondia nos executáveis e se transmitia
a outros PDAs via sincronização ou Bluetooth e
daí para o restante da rede sem fio.
Não deixe seu micrinho de mão destrancado
Já nas ameaças wireless via conteúdo,
o estudo mostra o poder do spam sem fio, relembrando o pavoroso
script em Visual Basic Timofonica que afetou a rede da Telefónica
na Espanha em 2000, através de emails infectados no Outlook
e também mensagens do tipo SMS.
Mais recentemente, outra ameaça wireless foi o vírus
para celulares Cabir, desenhado para afetar smartphones (celulares
com funções de PDA) com o sistema operacional
Symbian. Segundo Freire, o que ele
faz é ligar automaticamente o Bluetooth do celular e
ficar procurando outros dispositivos com a tecnologia, gastando
toda a bateria do aparelho.
— Esse tipo de ameaça ainda é no estilo
“prova de conceito”, em que os crackers mostram
que uma tecnologia está vulnerável — diz.
— Mas há outras maneiras de acessar os dados de
um dispositivo móvel. Digamos que você use seu
PDA para comunicação com uma rede com a ajuda
de um hotspot Wi-Fi num aeroporto. Se o fizer sem nenhuma proteção,
o hacker pode interceptar seus dados numa transferência
de email via sniffing, análise do tráfego wireless,
ou até mesmo se associando ao access point para chegar
a um endereço IP numa rede e capturar os dados das próprias
máquinas que estiverem na rede. Ou seja, ele passa a
ser mais um nó da rede e tem acesso a tudo, se não
houver um firewall no Windows Mobile, por exemplo.
Wardriving e warchalking, perigos em potencial
Tais ações fazem parte dos procedimentos de wardriving
e warchalking para achar redes wireless, explica Alberto Bastos,
sócio-fundador da Módulo Security.
— A técnica de wardriving consiste em percorrer
locais públicos de carro, utilizando dispositivos capazes
de detectar redes sem fio (notebooks, handhelds e etc...). Após
a detecção das redes, o hacker tenta obter acesso
a elas para usá-las como ponte para ataques.
O warchalking complementa o procedimento anterior, e nele o
hacker desenha símbolos que indicam a presença
e o estado de uma rede sem fio, permitindo que outros utilizem
aquele mesmo ponto de acesso. Por fim, pode-se ainda tentar
quebrar a criptografia mesmo que a rede sem fio use o protocolo
encriptante WEP (acrônimo de Wireless Equivalent Protection).
— De fato, o WEP ainda não é uma criptografia
muito forte — diz Mariano Miranda, sócio-fundador
da Winco, distribuidora do antivírus AVG no Brasil e
desenvolvedora de várias soluções de software.
— Até pouco tempo atrás, se se capturassem
bastante dados, era possível descobrir a chave. Agora,
se trabalha num padrão mais seguro de Wi-Fi, o 802.11i,
do qual foi extraída uma simplificação
chamada WPA (Wi-Fi Protected Access) para proteger via chaves
dinâmicas (trocadas a toda hora na transmissão
sem fio) as redes nos padrões 802.11 b e g.
Segundo Rafael Montello, gerente de marketing da Leadership,
que lida com vários dispositivos sem fio, o padrão
WEP estava até há pouco limitado à criptografia
de 128 bits, mas agora já trabalha com 256, ficando mais
seguro.
Como proteger bem, então, seu handheld? Freire
faz uma lista básica:
1. Utilizar sempre senha para acessar o sistema do dispositivo.
Senha longa, misturando números e letras.
2. Preferir PDAs que dêem nível maior de segurança
na autenticação — além de senha,
biometria, por exemplo.
3. Usar softwares de criptografia forte no sistema de arquivos.
Criptografar as informações na memória
do handheld ou no flashcard usado para expandir essa memória.
Por exemplo, com o Sentry 2020 para Pocket PCs, que usa PKI,
com estrutura de chave pública e privada e criptografia
assimétrica.
4. Armazenar a chave privada sempre fora do PDA, num dispositivo
externo (memory key, flashcard, token) para evitar problemas
caso o aparelho caia em mãos erradas.
5. Usar firewalls no handheld. Como o da Bluefire, que tenta
brecar as fraquezas da comunicação wireless. Ele
já chega desligando todos os dispositivos de comunicação
usados pelo micrinho, minimizando a exposição
desnecessária.
6. Desabilitar as funcionalidades de Wi-Fi e Bluetooth quando
não estiver usando. No Windows Mobile, pode-se fazer
isso com um clique.
7. Baixar constantemente atualizações dos sistemas
operacionais contra bugs e atualizar protocolos Wi-Fi e Bluetooth,
bem como drivers e funcionalidades.
8. Guardar com cuidado o equipamento, de preferência
numa pasta. Se em público, procurar usá-lo num
local mais reservado, para não dar muito na pinta.
9. Fazer um backup dos dados importantes no handheld e apagá-los
do aparelho ao enviá-lo para o conserto.
Alberto Bastos avisa que mais cuidados podem ser tomados do
ponto de vista de uma empresa, como criar uma lista que dê
o acesso a uma rede através destes dispositivos apenas
a usuários autorizados e utilizar um servidor de autenticação
para validação dos usuários.
— E, last but not least , vale lembrar que a melhor proteção
é a boa configuração do equipamento —
sentencia
Software para Pocket PC
No site do Windows Mobile, há várias alternativas
de programas de segurança para o iPaq Pocket PC. Veja
em <www.microsoft.com/windowsmobile/catalog/default. aspx?xslt=category&subID=22&pgn=11e0076e-e11e-40af-80fa-fd534a5888c4&tab=2>.
Os softwares vão desde o antivírus móvel
da Airscanner, que faz scans para cavalos-de-tróia e
vírus, até o SafeGuard PDA, que busca proteger
o Pocket PC de tentativas de acesso indevidas por terceiros,
trabalhando com criptografia e encriptação.
A Symantec também comparece com um antivírus
wireless, inclusive com alertas sonoros, enquanto há
contra-sniffers como o da Airscanner, para evitar os wardrivers
e warchalkers de plantão em logradouros públicos.
Gerenciadores de informações pessoais e profissionais
incluem o CodeWallet Pro e o eWallet, além do myVault
.Net. Há ainda exemplos de VPNs (redes virtuais privadas,
na sigla em inglês) móveis, para proteger os dados
transmitidos, e programas de criptografia como o F-Secure File
Crypto e o Encryption Toolkit.
Na lista consta pelo menos um programa curioso, que permite
o uso de uma imagem como senha (isso não parece lá
muito seguro...).
Programas de segurança para Palm OS
No site da Palm, há dicas de softwares de segurança
para Palm OS na URL <www.palm brasil.com.br/programas/segurança.html>.
Um deles é o TealLock, que bloqueia o uso do infravermelho,
do HotSync e da saída serial caso necessário,
provê criptografia de 128 bits na hora da confecção
de senhas e para arquivos cruciais. E também tem, segundo
seu desenvolvedor, a TealPoint, a versão móvel
(e opcional) daquele dispositivo de autodestruição
que vemos nos filmes de ficção científica
ou em “Missão Impossível”. Calma,
seu Palm não vai explodir! A autodestruição
é dos dados contidos no micrinho em caso de tentativa
de violação.
A mesma softwarehouse tem o TealSafe, com vários níveis
de senha, que protege com criptografia de 128 bits dados cobiçáveis
como números de cartão de crédito e outras
informações pessoais (mas é melhor guardar
isso na cachola, por via das dúvidas). Há ainda
outro organizador de informações delicadas, o
SplashID, com um número enorme de categorias customizáveis.
Por fim, para aqueles filhos que gostam de bisbilhotar o Palm
do pai ou da mãe, existe a opção de usar
o KidZone, um gerenciador de aplicações que permite
definir que programas podem ser mostrados e executados pelas
crianças. Se elas entram num programa proibido, os botões
do micrinho são desabilitados automaticamente.
RETORNAR
PARA PÁGINA PRINCIPAL |
