Consumerização e jailbreak: como garantir a segurança com dispositivos móveis

No evento recente Sans Mobile Device Security Summit, que ocorreu em Nashville (Tenessee, EUA) – houve um tema comum: o movimento traga seu próprio dispositivo (tradução livre de bring your own device, ou Byod) móvel está sobre nós, e os profissionais de segurança devem encarar seus desafios com essa política. É preciso acelerar, rapidamente, os conhecimentos sobre os problemas únicos de segurança que ocorrem com a vinda de dispositivos iOS, da Apple, e de Androids, do Google, para as companhias.

Enquanto algumas empresas escolhem seguir a rota tradicional de compra de um telefone celular específico e uma plataforma de gestão integrada para gestão end-to-end, a verdade da economia e as demandas dos trabalhadores fazem com que as organizações repensem suas estratégias e permitam dispositivos pessoais no ambiente corporativo. Porém, com esse movimento, a decisão deve ser tomada a partir do nível de controle corporativo que a companhia que impor no dispositivo pessoal de um empregado.

Mas qual é a melhor maneira de lidar com o movimento Byod? Implementar uma solução de gestão de dispositivos móveis (mobile device management, ou MDM) para controlar os aparelhos certamente é uma estratégia, mas pode ser difícil quando existe uma grande diversidade de tipos de dispositivos sendo usados pelos empregados. E também existe a questão de quanto controle deve ser exercido.

Já uma abordagem mais conservadora de vigilância e comunicação podem ajudar a aliviar os problemas de controle, enquanto a empresa continua a fornecer visibilidade para a população Byod. Qualquer coisa que se torna muito arriscada pode ser rapidamente tratada por um comando remoto ou com uma conversa com o proprietário do dispositivo.

As empresas que procuram adotar uma abordagem mais avessa aos riscos passaram a se concentrar em métodos para segregar os dispositivos móveis do restante dos recursos corporativos. Esse foi o tópico da palestra de Josh Feinblum, “Protecting the Jewels: Mobile Device Segregation”, no Sans.

Feinblum analisou os riscos técnicos voltados para dispositivos móveis e as diferentes maneiras que as empresas poderiam aproveitar firewalls de rede existentes e implementações sem fio para encurralá-los em um ambiente desigual e segregado. A partir daí, eles poderiam interagir com um conjunto altamente controlado de servidores apenas para fins específicos, como Exchange, ActiveSync e Citrix.

Ou, melhor ainda, uma abordagem híbrida utilizando MDM para monitoramento com o mínimo de controle combinado com controle de redes para segregação acabaria com várias dessas preocupações.

Jailbreak

E sobre realizar o jailbreak em iPhones e Android? O consenso geral dos oradores e participantes da cúpula é que estes dispositivos alterados não têm lugar no ambiente corporativo. O consultor de segurança Kevin Johnson disse que é contra dispositivos desbloqueados nas empresas. Segundo ele, há certamente vantagens em ter um aparelho destravado, mas eles também representam riscos para inúmeras redes de dados.

E quais são os benefícios e riscos? Os benefícios primários são o acesso completo ao sistema operacional do dispositivo subjacente. Fabricantes de smartphones colocam em controles para limitar o acesso dos usuários. O jailbreaking ignora essas restrições para que o usuário tenha plenos direitos sobre a plataforma, semelhante a uma conta de administrador no Windows ou em Linux. Isto dá a capacidade de acessar arquivos e dados que antes eram inacessíveis, e, para dispositivos da Apple, a possibilidade de instalar aplicativos de outras fontes que a Apple App Store.

Segundo o palestrante e analista da VyStar Credit Union, Brent Morris, existem algumas excelentes aplicações disponíveis para dispositivos iOS que realmente fornecem um maior nível de segurança para iPhones desbloqueados e iPads. Em particular, aplicativos de firewall como o Firewall IP, que age como um firewall pessoal em um PC, permitindo que os usuários aceitem ou neguem o app de tráfego de rede móvel.

É claro que há o lado ruim de dispositivos móveis que sofreram o jailbreaking. O acesso adicional ao sistema de arquivos e componentes do sistema operacional também significa que os aplicativos de terceiros podem ter o mesmo nível de acesso. Isso poderia deixar dados confidenciais expostos e pode levar ao acesso a senhas em alguns casos.

Tom Eston, gerente de teste de penetração da SecureState, alerta as empresas para não permitir desbloqueios por causa das preocupações com a segurança que cercam o vazamento de dados e aplicativos de terceiros não vetados pela Apple. Ele especificamente chamou a atenção para o fato de que alguns controles internos de segurança dentro iOS são desativados quando um dispositivo sofre o jailbroken. Eston recomenda que as organizações impeçam a prática usando uma solução de MDM para ajudar a evitar problemas causados por esses dispositivos.

Será que existe uma resposta fácil para as empresas que procuram garantir a segurança de sua rede a partir do influxo de dispositivos mõveis? Não.  Mas há possibilidades o suficiente que podem ser agrupadas com controles de segurança tradicionais para atender às necessidades das organizações.