Tuesday, August 20, 2002

PDA - Pequenos no tamanho, grandes no risco

Fabio F. Ramos, CISSP, CISM, CIFI, consultor da Axur Information Security

A dimensão da análise de risco, enquanto disciplina de um processo segurança da informação, nos permite diversas interpretações acaso trouxermos a salvaguarda do conhecimento ao nosso particular. Somos todos integrantes da aldeia global - talvez, você principalmente, leitor deste artigo que trata de tecnologia da informação -, e preciosismos a parte: não podemos tanto, quando longes do nosso notebook, da nossa conexão com a Internet e de nosso handheld. Afinal de contas, estes dispositivos portáteis, principalmente o handheld, oferece alguma proteção? Quais são os seus riscos e controles de segurança?

Nenhuma outra frase explica melhor o papel de um handheld que o já famoso “Organize sua vida”, e fica fácil entender o porquê, além de gerenciar números de telefone, datas de aniversário, senhas de diversos sistemas, despesas de viagem e listas de tarefas, ele ainda cabe em sua mão. Diria, ao exemplo do que já foi experimentado em todas as panacéias tecnológicas: centralize a solução e terás um ponto único de falha.

São poucas as técnicas especialmente desenvolvidas para a burla destes dispositivos, mas não tenha dúvida, conforme for sua evolução e participação no way-of-life do profissional moderno – expondo à atenção dos habituais “hackers” -, sentiremos a premente necessidade de certificar a segurança do nosso equipamento. Neste espectro de soluções de segurança para handhelds, podemos sugerir deste uma discreta senha de acesso ao sistema operacional, até backup automático e criptografia de todos os seus componentes.

Dependência é a palavra-chave, seguida pela privacidade – pilares que sustentam a segurança da informação, representantes legítimos da disponibilidade e da confidencialidade. Imagine perder aquela sua imensa lista de contatos, ou aquela lista de tarefas planejada para médio e longo prazo. É claro que existe um recurso que já permite o backup automático deste tipo de informação, mas e a lacuna entre as atualizações, uma vez que a autonomia destes dispositivos pode chegar a quinze dias?

Atualmente, qualquer sujeito que possuir acesso ao seu handheld ou ao dado sincronizado na sua base, pode acessar esta informação – pelo menos na forma padrão como é utilizado o dispostivo.

Quando lembramos que o ataque mais popular entre os espiões digitais continua sendo a engenharia social, talvez pareça que obter acesso a uma simples lista de tarefas ou agenda telefônica possa ser a chave para persuadir outrem a dispor de informações ainda mais sigilosas. Imagine que já existe um programa chamado “No Security”, facilmente encontrado na Internet, que permite o acesso aos conteúdos do dispositivo mesmo quando este está protegido pela autenticação nativa do sistema.

Façamos então uma rápida análise dos riscos frente aos handhelds: sem muito esforço identificamos uma série de ameaças que exploram suas vulnerabilidades – inerentes à tecnologia, onde destacamos a possibilidade do roubo, quebra ou perda do equipamento, visualização indevida da informação e interceptação de dados (quando do uso da tecnologia de infra-vermelho) por terceiros. Para a grande maioria dos riscos, felizmente, há uma solução, onde destacamos:

§ Encriptação completa de dados: alguns programas já permitem a encriptação de 128 ou 512 bits, utilizando o algorítimo Blowfish
§ Encriptação sob-demanda: transforma determinados documentos em conteúdo cifrado
§ Senha one-way: transforma a senha armazenada em um hash, evitando que a mesma seja lida
§ Auto-lock: tranca o sistema após período pré-determinado de não utilização
§ Máscara para senhas: proteção contra a visualização da senha durante sua entrada

Estes são apenas alguns dos diversos meios de proteger seu handheld, tecnologias que são comercializadas e podem ser encontradas em portais especializados.

Enquanto assistimos a transformação de velhos conceitos, tendendo a redução do fator “complicação” em ferramentas de uso profissional, concluimos: assim também deve ser com a gerência do risco. Diria, além da utillização de uma boa senha, do backup e da criptografia de dados classificados sensíveis ou confidenciais, sobra muito pouco senão recomendar “redobre seu cuidado”. A exemplo do que já é canto dominical para participantes de programas de conscientização de segurança da informação quando o assunto é laptops ou similares, evocamos o aforismo “fique de olho”. Na utilização destes pequenos equipamentos de processamento e armazenamento da informação, você é o mais eficiente controle de segurança.

No comments: