Segurança Cibernética

Aprenda a dar um passo a mais na segurança do seu dispositivo

Avast Security News Team, 12 Março 2018

A segurança do seu dispositivo foi manchete nesta semana: novas medidas para segurança dos dispositivos inteligentes (IoT), um Android mais seguro e um processo judicial contra a Uber.

Legisladores exigem maior segurança para dispositivos inteligentes

A primeira indicação de que a Internet das Coisas (IoT) trouxe uma ameaça à segurança real veio em outubro de 2016 quando uma rede zumbi – composta de dispositivos como, por exemplo, câmeras de segurança infectadas com o malware Mirai – atacou a Dyn, um provedor de serviços de DNS nos Estados Unidos. O ataque veio na forma de DDoS (negação distribuída de serviço) nos servidores da Dyn. Ao disparar múltiplas solicitações a cada segundo, o ataque tirou do ar sites em todo os Estados Unidos e na Europa, já que os servidores DNS foram inundados com pedidos de milhões de dispositivos infectados.

Nos últimos dois anos, o triste estado de segurança de tantos dispositivos IoT tornou-se quase um clichê. Por isso, a boa notícia desta semana foi que o Reino Unido publicou um relatório sobre a segurança dos dispositivos IoT que inclui um código de melhores práticas para todos os dispositivos conectados.

Embora, às vezes, os governos parecem ineptos quando se trata de tecnologia (quem poderia esquecer o anúncio do primeiro ministro australiano Malcolm Turnbull de que as leis da Austrália superam as leis de matemática?), o Departamento de Cultura, Mídia e Esporte do Reino Unido parece ter feito um bom trabalho identificando problemas com dispositivos IoT e propondo um conjunto razoável de padrões.

Primeiro, o código exige o fim das senhas padrão – uma fraqueza crítica de muitos desses dispositivos. Como os consumidores, muitas vezes nem sequer sabem que seu dispositivo está usando uma senha padrão e pública, que pode ser encontrada na internet, e que eles sempre devem mudar a senha de um novo dispositivo, se as pessoas seguissem o código, isso deveria ajudar muito a proteger a Internet das Coisas.

O código de prática proposto também exige uma política de divulgação de vulnerabilidades, que permite, entre várias coisas, que:

  • Os pesquisadores e outros possam entrar facilmente em contato para relatar problemas
  • O software seja atualizado quando necessário e a funcionalidade do dispositivo seja monitorada constantemente
  • As credenciais sejam armazenadas de forma segura e todos os dados sejam criptografados quando forem enviados via internet

O código também diz que todos os dispositivos e serviços devem seguir o princípio do privilégio mínimo, o que se traduz em dar aos usuários um acesso maior do que precisam e verificar o software em dispositivos com mecanismos de inicialização seguros, que garantam que um software comprometido não se conecte sem a aprovação do administrador.

O código também exige que os dados pessoais estejam protegidos, que os sistemas resistam em caso de interrupção de energia e que os usuários possam excluir seus dados pessoais (que também fazem parte do próximo Regulamento Geral de Proteção de Dados da União Europeia). A instalação e manutenção dos dispositivos devem ser diretas, diz o código, e os provedores de IoT devem monitorar todos os dados de telemetria que coletem para resolver problemas com segurança de hardware ou software. Finalmente, o código exige que qualquer entrada de dados deva ser validada para que os sistemas não possam ser comprometidos caso recebam determinados dados ou códigos.

Do ponto de vista da segurança, os dispositivos IoT têm um longo caminho a percorrer antes de serem robustos e confiáveis. Histórias como a dos brinquedos CloudPets comprometidos permanecerão na mente dos profissionais de segurança por um longo tempo, mas este código de prática é um ótimo começo.

P é para privacidade

Esta semana, os pesquisadores de Android estiveram focados nos planos da Google para a próxima versão do seu sistema operacional móvel, já que a organização divulgou a sua primeira versão do desenvolvedor do que é conhecido agora como Android P.

O Android tem sido considerado uma plataforma menos segura. Suas raízes e fontes de código aberto fornecem uma ampla superfície de ataque e oferecem controles de privacidade menos robustos, mas é claro que, com esta última versão, o Google está focado em recursos que garantam que protejam melhor o sistema operacional.

Uma atualização chave é que o Android P irá criptografar todo o tráfego dos aplicativos, ainda que os desenvolvedores possam optar por não fazer isso em seus aplicativos. A Google diz em sua postagem no blog anunciando a versão: "Agora você precisará fazer conexões usando o TLS, a menos que você opte explicitamente por fazê-las na forma aberta com domínios específicos".

Além disso, é bom que, com esta nova versão, os aplicativos não poderão acessar o microfone, a câmera ou os sensores do seu telefone enquanto estiverem ociosos, a menos que deixem claro que irão fazer isso. A Google explica aos desenvolvedores: "Enquanto o UID do seu aplicativo estiver ocioso, o microfone informará que o áudio está vazio e os sensores irão parar de reportar eventos. As câmeras usadas pelo seu aplicativo serão desconectadas e gerarão um erro se o aplicativo tentar utilizá-las".

Os backups em nuvem do seu dispositivo também estarão melhor protegidos no Android P. Se você quiser restaurar o seu telefone, você receberá as opções dos backups salvos, como já é agora, mas para acessar um desses, você precisará inserir o código de desbloqueio do seu dispositivo. Como esses backups são criptografados, eles não são acessíveis a ninguém sem o seu código de bloqueio, então nem mesmo o Google poderá abri-los.

Sua navegação também estará melhor protegida. Além de forçar o tráfego do aplicativo via HTTPS, o Android P ofuscará o seu endereço MAC (o número exclusivo que identifica o seu dispositivo na rede). Você poderá gerar um endereço MAC aleatório para cada rede, tornando muito mais difícil para as redes de propaganda rastrear você e o seu telefone.

Essa versão de testes está disponível para os desenvolvedores, mas saiba que é uma versão inicial e pode não ser estável. Você terá que carregá-la manualmente no seu dispositivo se quiser testá-la. Atualmente, está disponível apenas para os dispositivos Pixel, Pixel XL, Pixel 2 e Pixel 2 XL da próprio Google. Espera-se que um programa beta mais acessível esteja disponível após o Google I/O em maio .

A Uber está sendo processada pelo vazamento de dados

A Uber passou por vários enfrentamentos por sua política de privacidade para com os motoristas e clientes e, esta semana, enfrentou outro golpe para sua reputação, quando o procurador-geral do Estado da Pensilvânia, Josh Shapiro, disse que estava processando a empresa por ter deixado de divulgar em tempo hábil um vazamento de dados.

ação judicial alega que a Uber quebrou a lei de divulgação de invasão do Estado quando não notificou 13.500 motoristas da Pensilvânia que seus dados pessoais estavam entre os que foram roubados por cibercriminosos em outubro de 2016.

Acredita-se que a violação tenha afetado 57 milhões de americanos. Se isso não fosse ruim o suficiente, a Bloomberg relatou em novembro do ano passado que a Uber pagou a esses cibercriminosos um resgate de 100.000 dólares para encobrir o roubo dos dados.

A Uber manteve silêncio sobre o vazamento por mais de um ano, o que significa, diz Shapiro, que a "Uber violou a lei da Pensilvânia ao não informar em tempo hábil os nossos residentes sobre este massivo vazamento de dados". (Quanto antes as pessoas afetadas saibam, antes poderão tomar as medidas para mitigar os prejuízos do vazamento de dados privados).

Shapiro acrescentou que "em vez de notificar os consumidores afetados pelo vazamento dentro de um período razoável, a Uber escondeu o incidente por mais de um ano – e, na verdade, pagou os cibercriminosos para que excluíssem os dados e ficassem calados. Isso é uma conduta corporativa ultrajante, e eu os estou processando para responsabilizá-los e recuperar os prejuízos das pessoas da Pensilvânia".

Não há um prazo definido para a divulgação de vazamentos, mas Shapiro e outros acham que não divulgar o vazamento por mais de um ano, e (supostamente) contribuir ativamente para o encobrir, excede o que pode ser descrito como "razoável".