Guia de Segurança

Fazer download em pdf ou txt
Fazer download em pdf ou txt
Você está na página 1de 9

Segurança de

comunicações digitais
em smartphones
Guia de Referência Rápida
Evandro Lorens,
Bruno Werneck e
Marcia Tsunoda
Guia de Referência Rápida 1

APRESENTAÇÃO Como funcionam as comunicações


digitais no modelo cliente-servidor
Em tempos de comunicação digital instantânea,
nos deparamos com questões importantes
relacionadas à segurança e privacidade dos usuários.
As preocupações são legítimas, considerando-se que
comunicações sensíveis trafegadas pela rede e arma-
zenadas nos smartphones possam ser acessadas
indevidamente. Entrada de mensa- Empacotamento* Tráfego pela rede Recepção pelo
gem pelo dispositi- e envio servidor
Não existe segurança 100%. Entretanto, o uso vo da origem
consciente e o melhor aproveitamento dos recursos
de segurança oferecidos pelos equipamentos e plata-
formas de serviços podem ser o diferencial em ter ou
não ter informações vazadas.
Este guia de referência rápida não é definitivo ou
exaustivo em sua abordagem. Antes, se propõe a
Tráfego pela rede Reempacotamento Armazenamento* Desempacotamento**
apresentar aspectos práticos do uso seguro das e envio*
comunicações digitais via smartphones, com
recomendações plausíveis e factíveis a qualquer
usuário. A ideia é que seja atualizado sempre e incor-
pore, a cada edição, novidades relevantes no tema.

Evandro Lorens, Bruno Werneck e Marcia Tsunoda. Recepção pelo Exibição da mensa-
dispositivo do Desempacotamento** gem no dispositivo
destinatário do destinatário

1. Os produtos e serviços citados nominalmente nessa publicação não representam endosso ou * Nestes pontos, pode ocorrer a encriptação da mensagem
crítica a qualquer fabricante ou entidade. Seu uso se dá apenas na conveniência de apoiar o leitor com
recomendações relacionadas a configurações. Não existe nenhum vínculo comercial ou de qualquer ** Nestes pontos, pode ocorrer a desencriptação da mensagem
espécie dos produtos e serviços mencionados com os autores.
Guia de Referência Rápida 2

ataques mais comuns


Engenharia social
Alvos potenciais: o próprio usuário, secretárias, assessores,
familiares e pessoas próximas
Argumentação comum: situação envolvendo solicitação ou
oferta de ajuda para serviços (TI, telecom, entregas, etc.)
Característica: uso de informação disponível em fontes aber-
tas ou fruto de mais engenharia social
Meios comuns: chat, e-mail, SMS, mensagem de aplicativos,
ligação telefônica
Objetivo comum: obter credenciais de acesso ou facilidades
para acessar recursos

Phishing
Argumentação: oferta de vantagens ou apresentação de situ-
ação urgente com link
Característica: engenharia social e pesquisa de dados aber-
tos para phishing direcionado (spear phishing)
Meios comuns: chat, e-mail, SMS, mensagem de aplicativos,
mídias sociais
Objetivo comum: instalação de malware, acesso a todos os
recursos, controle remoto do dispositivo
Guia de Referência Rápida 3

recomendações
Segurança de senhas
O que não usar para compor senhas: dados pessoais,
dados de familiares, dados sociais, dados de propriedades,
documentos, datas, etc;
Evitar o reuso de senhas (“rodízio” e “mesma senha para
tudo”);
Evitar armazenamento de senhas (rascunhos de e-mail,
arquivos em nuvem, arquivos no computador, etc);
Usar gerenciadores de senhas (por exemplo, Lastpass,
1password, Enpass, etc);
Usar senhas mais complexas para acessos mais sensíveis
(maior risco) como bancos, e-mail, nuvem, etc;
Pontos de Atenção: cuidado com dados e senhas em sites
de compras, compra com 1-click, armazenamento de cartões,
etc;

Desbloqueio de tela do smartphone


Evite usar desenho padrão (pontos conectados): fácil
dedução, padrões “mais usados”, rastro de gordura corporal;
Não deixar sem bloqueio de tela;
Não usar senhas de 4 dígitos;
Evite usar senhas de 6 dígitos;
Preferir senhas alfanuméricas com mais de 8 caracteres;
Preferir combinação de senha alfanumérica com mais de 8
caracteres com biometria (digital, face, etc).
Guia de Referência Rápida 4

VPN
Utilizar Redes virtuais privadas (VPN - Virtual Private Net-
work) para proteger o tráfego de dados em redes públicas ou
inseguras

Criptografia
Preferir aparelhos com recurso de criptografia nativa por
hardware (ativar!) (iPhone 7+, Samsung S8+, etc.)

Bloqueio de SIM Card


Ativar bloqueio do chip com PIN diferente do padrão da
operadora (TIM: 1010, Vivo: 8486, Claro: 3636, Oi: 8888)
Guia de Referência Rápida 5

segurança no whatsapp Duplo fator de


autenticação
Modelo cliente-servidor
Criptografia ponta a ponta – algoritmo de curvas
elípticas Curve25519 (128 bits) não proprietário
Armazena mensagens em servidores enquanto não
entregues por até 30 dias
Duplo fator de autenticação (2FA) – opcional!

Pontos de atenção:
1. WhatsApp Web – exibição das conversas do
WhatsApp em outros computadores – acesso físico ou
remoto a esses computadores; Notificações de segurança
2. Conversas sensíveis em grupos e com contas de Mudanças em chaves de criptografia de parceiros
empresas – não há garantia de não vazamento ;
3. Permite desabilitar 2FA sem exigir nenhuma aut-
enticação;
4. Declaração do fabricante: “nós podemos coletar,
usar, preservar e compartilhar informações de usuários se
acreditarmos de boa fé que isso é necessário para (a) ... (b)
... (c) ..., e (d) cumprir os nossos termos e as nossas políticas.
Isso pode incluir informações sobre como alguns usuários
interagem entre si ao usar o nosso serviço. ”;
5. Permite realizar backup das mensagens (Google
Drive ou iCloud) (opcional).
Guia de Referência Rápida 6

segurança no TELEGRAM Duplo fator de


autenticação
Modo normal: modelo cliente servidor – tráfe-
go e armazenamento criptografado em nuvem;
Chat secreto: modelo cliente servidor (sem ra-
stros no servidor) – criptografia ponta a ponta –
duas camadas, temporizador de autodestruição.

Criptografia baseada em padrão AES (256 bits)


Duplo fator de autenticação (2AF) – opcional!
Senha de bloqueio (combinada com biometria)

Pontos de atenção:

1. Telegram web e cliente desktop – exibição


das conversas em outros computadores –
acesso físico ou remoto ao computador;
2. Conversas sensíveis em grupos e com
contas de empresas – não há garantia de não
vazamento;
3. Declaração do fabricante: “nós somente
armazenamos os dados que o Telegram precisa para
funcionar como um serviço de mensagens seguro e
rico em recursos”
Guia de Referência Rápida 7

Ativação de senha Controle de


de bloqueio sessões ativas
Leituras Recomendadas
A Arte de Enganar: Ataques de Hackers: Controlando o Fator Humano na Segu-
rança da Informação - Kevin D. Mitnick e William L. Simon
Cartilha de segurança para Internet CERT.br – disponível em https://cartil-
ha.cert.br/livro/cartilha-seguranca-internet.pdf
SS7 vulnerabilities and attack exposure report, 2018 – disponível em https://ww-
w.ptsecurity.com/ww-en/analytics/ss7-vulnerability-2018/
Telegram FAQ for the Technically Inclined – disponível em https://core.tele-
gram.org/techfaq
WhatsApp Encryption Overview – disponível em https://www.whatsapp.com/se-
curity/WhatsApp-Security-Whitepaper.pdf

1ª Edição
Agosto de 2019

Você também pode gostar