Guia de Segurançapara IPHONEDicas práticas para proteger os seusdados

Por Olavo Jose Anchieschi GomesA reprodução ou distribuição deste material é permitido conforme a legislação de

direitos autorais, desde que citada a fonte e sua autoria.

1

SOBRE ESTE GUIA

Este guia oferece de forma didática informações para proteção de dados em dispositivos eletrônicos.Embora seja direcionado para os usuários do IPHONE, algumas dicas também podem ser utilizadas paratablets, Ipods e celulares de outros fabricantes.

CONSIDERAÇÕES INICIAIS

Antigamente mais precisamente no final da década de 90, a Internet surgiu como marco da era digitaltendo como principal característica o acesso à informação de forma global e democrática. Com elasurgiram diversos serviços incluindo Internet Banking e o Comércio Virtual visando facilitar ainda mais avida dos seres humanos.

Após sua popularização, passamos para a era da conectividade onde o desafio principal foi permitir amobilidade dos serviços com o aparecimento das novas tecnologias WIFI, RFID e BLUETOOTH.

No cenário atual estamos vivendo a era da interatividade onde o fator predominante é a integração deaplicativos em diversos dispositivos eletrônicos incluindo televisores, celulares, computadores,eletrodomésticos e tablets. Associado a isso, o surgimento das redes sociais contribuíram ainda maispara a consolidação desse cenário.

Por outro lado, riscos inerentes à privacidade, bem como o furto de informações passaram a seremfatores comuns em nossa sociedade.

Soma-se a isso como fato agravante, a falta de conscientização na utilização de SMART PHONES eTABLETS os quais possuem as mesmas funções que os notebooks e computadores pessoais.

Infelizmente no Brasil, as empresas ainda engatinham nos quesitos de segurança quanto àconscientização e o manuseio das informações em dispositivos móveis.

Para ilustrar este cenário, nos meados de 2010, os hackers Iozzo e Weinmann demonstraram aomundo, um ataque que permitiu o roubo de mensagens SMS por meio de uma vulnerabilidade queexplorava o navegador SAFARI.

Com o intuito de evitar exposição a terceiros ou pessoas mal intencionadas, este guia traz dicas práticasimportantes para aqueles que desejam reduzir os riscos inerentes no tratamento de informaçõessensíveis.

2

I. SEMPRE ATUALIZE O IOS (SISTEMA OPERACIONAL DO IPHONE)

A atualização do sistema operacional não somente auxilia na correção de vulnerabilidadescomo também permite a utilização de novas tecnologias e recursos de segurança. A Applereproduz boletins periodicamente com as vulnerabilidades e medidas corretivas.

Figura 1 – Boletins de Segurança

Para verificar qual a versão do sistema operacional instalado, navegue em AJUSTES > GERAL >SOBRE. Veja na tela qual é a versão e omodelo conforme exemplo abaixo.

Figura 2 – Informações do IOS

3

Para realizar a atualização, siga os procedimentos abaixo:

Conecte o IPHONE no computador; Execute o Itunes e clique sobre o seu dispositivo; Escolha a opção “Buscar Atualização” e siga as instruções.

Figura 3 – Tela do ITUNES para atualização do Sistema Operacional

II. NAVEGUE NA INTERNET COM SEGURANÇA

Os recursos de segurança dos browsers presentes nos smartphones ainda são menores do queos navegadores tradicionais. Ainda assim o Safari traz algumas opções que reduzem aexposição aos arquivos maliciosos.

4

POP-UPS

Ative o bloqueio de Pop- ups navegando por AJUSTES > SAFARI > BLOQUEAR POP-UPS. (Esterecurso vem habilitado por padrão, mas certifique que o mesmo esteja ativo)

Figura 4 – Habilitando o POP-UP

Preenchimento Automático

Embora seja útil esta função, o preenchimento automático utiliza recursos que envolvem oarmazenamento de informações sensíveis em cache tais como usuários e senhas de aplicações,formulários, e-mails dentre outros. Para desativar essa função navegue em AJUSTES > SAFARI >PREENCHIMENTO AUTOMÁTICO

Figura 5 – Preenchimento Automático no Internet Banking e E-mail.

5

Aviso de Fraude

O Safari traz um recurso para proteger o usuário de páginas maliciosas na Internet evitando ainfecção acidental. Para ativar esse recurso navegue em AJUSTES > SAFARI > AVISO DE FRAUDE.

Figura 6 – Habilitando o aviso de fraude do Safari

Limpeza de Histórico, Cache e Cookies

Diversos ataques podem ser realizados utilizando essas informações incluindo os famososataques Cross Site Script. Periodicamente realize a limpeza e permita somente oarmazenamento de cookies de sites visitados.

Figura 7 – Apagando o cache

Delete os Bancos de Dados

A remoção de banco de dados algumas vezes é necessária, pois com o advento de novastecnologias como HTML 5, alguns sites da Internet utilizam funções para mapear seucomportamento de navegação.

6

Assim sendo você pode apagar alguns bancos de dados que possam comprometer a suaprivacidade. Para ativar esse recurso navegue em AJUSTES > SAFARI > BANCO DE DADOS >EDITAR.

Figura 8 – Apagando Banco de Dados

III. DEFINA UMA SENHA DE BLOQUEIO COMPLEXA E ATIVE O BLOQUEIO AUTOMATICO

Por padrão o IPHONE não requer a definição de uma senha robusta sendo que antigamente aApple foi criticada por apenas permitir a composição de 4(quatro) dígitos.

Baseando-se em cálculos numéricos, hackers utilizam programas para gerar combinaçõesaleatórias visando ultrapassar os mecanismos de autenticação por senha. Avaliando o fator de 4dígitos, as combinações matemáticas para que um ataque tenha sucesso chegam a 10.000tentativas. Em 2010, o hacker Dino Dai Zovi demonstrou uma vulnerabilidade ultrapassando osmecanismos de autenticação do IPHONE em apenas 18 minutos.

Associado a isso, peritos forenses utilizam tecnologias similares para quebrar os mecanismos desenha tais como o Elcomsoft IOS Forensic Toolkit . Essa tecnologia também pode ser utilizadapor bandidos na remoção de senhas.

Com o recurso de senha complexa é possível utilizar números, letras e caracteres especiaisminimizando drasticamente os efeitos dessa tecnologia.

Para ativar essa função navegue por AJUSTES > GERAL > BLOQUEIO POR CÓDIGO > ATIVARCÓDIGO

7

Figura 9 – Alterando o código simples

Adicionalmente configure o requerimento do código (bloqueio automático) após 1 ou 5minutos conforme exemplo a seguir.

Figura 10 – Alterando a configuração de bloqueio

Sempre utilize o bom senso na escolha de sua senha de bloqueio conforme as diretrizesespecificadas:

Utilize números, letras e/ou combinações de ambas; Formule frases ou sequencias complexas de fácil memorização (Exemplo:

Amor&Odio+você); Evite senhas padrões do tipo 1234; 00000; abcde; 4321,etc; Evite utilizar informações pessoais como data de nascimento, nome e sobrenome, data

de casamento ou namoro, nome do cachorro, etc.

A Microsoft possui um software que mede a complexidade da senha e ainda traz um guia deauxilio.

Por fim é mandatória a utilização da função senha robusta nos casos em que queira utilizar oserviço “Find My Iphone” oferecido gratuitamente pela Apple . Esse procedimento ainda evita que nocaso de roubo, o individuo realize ligações não autorizadas.

IV. ATIVE A OPÇÃO “ELIMINAR DADOS”

Esta função tem como objetivo apagar todos os seus dados após 10(dez) tentativas sem sucesso deadivinhar a senha. Pode parecer um pouco exagerado, mas é melhor ter todos os dados do seucelular apagados (contatos, cartões de crédito, históricos de navegação, fotos, informaçõessigilosas, arquivos, etc.) do que fazerem mau uso de suas informações. Lembre-se o risco tangível éa perda ou roubo do dispositivo, mas o intangível está relacionado ao uso inadequado dainformação.

Para ativar a função Eliminar Dados navegue por AJUSTES > GERAL > BLOQUEIO POR CÓDIGO >ELIMINAR DADOS

8

Figura 11 – Função de eliminar dados após 10 tentativas

Não se esqueça de realizar backups com Itunes periodicamente para restaurar as informações casoseja necessário. A Apple ainda permite criptografar suas informações evitando que terceiros oupessoas mal intencionadas capturem-nas diretamente do seu computador.

V. SEGURANÇA DAS APLICAÇÕES

Evite utilizar as opções de “Mantenha-me conectado” nas aplicações moveis e sempre utilize afunção sair (logout). Diversos programas como Facebook, Linkedin, Twitter dentre outros utilizamessa função.

Caso o seu aparelho não esteja com proteção de senha, qualquer pessoa inclusive o assaltantepoderá ter acesso aos seus dados pessoais.

Baixe e utilize somente as aplicações necessárias, pois além de afetar o desempenho do dispositivo,o celular poderá ser alvo de ataques buffer overflow.

Ao utilizar a aplicação, atente-se às informações que são requisitadas para o seu funcionamento,tais como dados pessoais, fotos, acesso a diretórios dentre outros. Leia atentamente o acordo deprivacidade do fabricante e veja se concorda com suas atribuições.

VI. DESATIVE OS SERVIÇOS DE CONECTIVIDADE (WI-FI,BLUETOOTH)

É recomendável desativar o serviço de WIFI quando não estiver utilizando, pois além de economizarbateria, reduz a chance de ser alvo de ataques spoofing onde acidentalmente o IPHONE pode seconectar a uma rede não autorizada.

Somam-se a isso, ataques de captura de dados (sniffing), sendo comprovado que as redes de dadosdas operadoras fornecem mecanismos de criptografia mais robustos do que as encontradas nasredes sem fio.

Por padrão e conveniência, o IPHONE retêm as informações de configuração das redes paraconexão automática. Nos casos em que a utilização é feita baseada em autenticação HTML como os

9

hotsposts dos aeroportos, as credencias podem ser armazenadas no aparelho podendo ser alvo dehackers.

Para desativar o WIFI navegue por AJUSTES > GERAL > WIFI

Figura 12 – Desligando o WIFI

O mesmo procedimento deve ser feito para BLUETOOTH em AJUSTES > GERAL > BLUETOOTH.

Figura 13 – Desligando o Bluetooth

VII. UTILIZE AS OPÇÕES DE SEGURANÇA DO E-MAIL

Para navegar de forma segura utilize o protocolo Secure Socket Layer (SSL). Com isso, você garanteque seu usuário, senha e e-mails sejam protegidos evitando ataques de interceptação.

Essa função pode ser utilizada com o Servidor EXCHANGE de sua empresa e também paraprovedores de e-mails como Hotmail e Gmail.

Para ativar este item realize os seguintes passos:

Navegue em AJUSTES > MAIL, CONTATOS, CALENDÁRIOS; Selecione uma das contas de e-mails que possui; Escolha a opção Avançado; Ative a opção SSL.

10

Figura 14 – Utilização de recursos de segurança no e-mail

VIII. FORMATE OS DADOS

Sempre que decidir vender, trocar ou simplesmente levar o seu celular para a manutenção, não seesqueça de formatar os dados. Isso é muito importante, pois atualmente no mercado existemcentenas de aplicativos utilizados para perícia digital com o intuito de resgatar as informações.Existem duas maneiras de apagar os dados do seu telefone sendo a primeira pelo próprio celularativando a opção de RESET e a segunda pela utilização do ITUNES no modo de recuperação. Aindaassim suas informações poderão ser recuperadas caso as trilhas não sejam reescritas.

Para formatar os dados navegue em AJUSTES > GERAL > REDEFINIR > APAGAR TODO OCONTEÚDO E AJUSTES

Figura 15 – Formatando todos os dados do Iphone

No ITUNES, conecte o telefone e pressione o botão RESTAURAR.

Nos casos dos celulares com jailbreak, existe um programa chamado Ishredder que utilizatecnologia militar para deleção de dados baseado no padrão DOD 5220.22-M ECE.

Também está disponível na Apple Store.

11

Figura 16 – Ishredder em ação

IX. UTILIZAÇÃO DE JAILBREAK

Muitos usuários aderem ao Jailbreak visando customizar e instalar programas sem estaremconectados na Apple Store. Em termos de segurança, a utilização de programas como Green Poison,RedSnow, Absinthe dentre outros comprometem a segurança do dispositivo. Isto acontece porque aarquitetura do IOS da Apple é construída em formato SANDBOX onde o nível de menor privilégio éconcedido na execução dos programas permitindo mais segurança ao sistema operacional.

Uma vez que o celular esteja com jailbreak (destravado) é possível utilizar programas como SSH paraimputar comandos e aplicações. Assim sendo, a possibilidade de infecção por vírus ou exposição avulnerabilidades aumentam, pois não existem mecanismos de verificação de segurança, qualidade etestes antes da entrada de determinadas aplicações no mercado.

Figura 17 – Tela do Iphone customizada e o programa Greenpois0n

Além disso, os usuários com jailbreak tendem a não realizar atualização para o novo firmware, o queem tese, contribui ainda mais para deixar o dispositivo vulnerável.

12

X. UTILIZE ANTIVIRUS

As regras são as mesmas que seguimos com os computadores e notebooks. Sempre deixe atualizado oseu antivírus para evitar possíveis infecções de malware. Alguns ataques realizados por malwarelançam SMS para alvos determinados colaborando para o aumento da conta ou a redução de créditosem celulares pré-pagos. Segundo o relatório da JUNIPER NETWORKS, os dados não são nadaanimadores e os desafios para os próximos anos serão muitos em questão de segurança parasmartphones.

XI. QUESTÕES RELATIVAS A PRIVACIDADE

SMS

Apesar dos serviços de SMS apresentarem comodidade quanto a sua utilização, recomenda-sedesativar a função em que permite visualizar as mensagens com a tela do telefone travada. Muitasaplicações atualmente incluindo Internet Banking, Facebook e Google utilizam serviços deautenticação por SMS enviando informações consideradas sensíveis. Caso você utilize o celular paraenvio de mensagens de e-mail comprometedoras, certamente poderá passar por situaçõesconstrangedoras no ambiente familiar e profissional.

Figura 18 – Exemplos de envio de mensagens sensíveis com a tela bloqueada

Para desabilitar essa função navegue por AJUSTES > NOTIFICAÇÕES > MENSAGENS > VER NA TELABLOQUEADA

13

Figura 19 – Desativando o recurso “Ver na Tela Bloqueada”

Voz

Em relação a voz é possível ativar a funcionalidade na qual permite realizar ligações, acessaraplicativos e ouvir música mesmo com o celular travado. Um usuário mal intencionado pode utilizaressas funções prejudicando o proprietário do dispositivo. Caso não utilize os recursos de voz do seuaparelho é recomendável desativar.

Para desabilitar essa função navegue em AJUSTES > GERAL > BLOQUEIO POR CÓDIGO > DISCAR PORVOZ

Figura 20 – Comando de voz que pode ser utilizado pelo botão Home

Teclado

No arquivo dynamics-text.dat localizado no diretório var/mobile/Library/Keyboard são gravadastodas as informações digitadas pelo auto corretor incluindo número de contas correntes. Taisinformações ainda são armazenadas por um bom período sendo importante apagá-las periodicamente.Muitos especialistas utilizam ferramentas como Foremost e Scapel para vasculhar informações nosprincipais arquivos localizados no diretório Library. Para usar essa função navegue em AJUSTES > GERAL> REDEFINIR > REDEFINIR DICIONÁRIO DE TECLADO.

14

Figura 21 – Apagando informações do teclado

Figura 22 – Estrutura do diretório de armazenamento de informações do IPHONE

Geotagging

Geotagging é um recurso relacionado ao uso de GPS que vem ganhado terreno ultimamente. Elepermite adicionar informações de coordenadas nos arquivos de imagem (cabeçalho EXIF) tais comofotos e vídeos.

Para pessoas politicamente expostas ou famosas isso pode se tornar um problema visto que uma vezpostado uma foto em uma rede social ou simplesmente enviada por e-mail, paparazzi e pessoasinescrupulosas podem utilizar programas ou serviços para determinar a localização. Imagine você emsua casa de praia secreta aproveitando o dia quando seu filho resolve tirar uma foto pelo IPHONE eenviá-la pela rede social. Com a opção GEOTAGGING habilitada as coordenadas da localidade sãoenviadas juntamente com as fotos. Esse tema foi levantado pelo um General Americano preocupadocom operações militares onde soldados em terras estrangeiras sacavam fotos e enviavam para amigos,familiares ou postavam em redes sociais.

Para desabilitar essa funcionalidade navegue em AJUSTES > SERVIÇOS DE LOCALIZAÇÃO > CAMERA

15

Figura 23 – Desativando a função GEOTAGGING

Figura 24 – Exemplos de arquivos de foto e vídeo com informações de localização

Outra possibilidade é utilizar o programa gratuito Pixelgarde que remove os geotaggs de sua fotogarantindo mais privacidade.

16

Figura 25 – Programa gratuito Pixelgarde

XII. UTILIZE SOFTWARE DE LOCALIZAÇÃO GPS OU O FIND MY PHONE PARA PROTEÇÃO CONTRAPERDA, ROUBO OU FURTO.

A Apple possui um serviço gratuito que permite a localização do seu dispositivo em caso de perda,furto ou roubo. Este serviço conhecido como FIND MY IPHONE pode ser baixado diretamente pelaApple Store. É necessário ainda criar uma conta no mobileME e ter a funcionalidade de senharobusta ativa. É importante ressaltar que essa funcionalidade está disponível somente para aquelesdispositivos com o IOS 3.1 ou superior.

Figura 26 – Localização do celular pelo Find my Iphone

A grande vantagem desse serviço é a localização exata e em tempo real do dispositivo além doacionamento do mecanismo wipe na qual possibilita apagar os dados remotamente. Não seesqueça de ativar a tela de bloqueio, pois com ela desabilitada, o ladrão pode facilmente apagar aconta do mobileME desativando a funcionalidade por completo. Para aprender a configurar esseserviço acesse esse vídeo tutorial.

17

Existem ainda, programas no mercado que permitem a localização e informam por meio de SMS onúmero que a pessoa está utilizando no momento da troca do seu chip por outro após o roubo.Pesquise na Internet e verifique qual opção melhor se adapta as suas necessidades.

XIII. POLITICA DE USO DE CELULARES OU TECNOLOGIA MOVEL

Verifique se sua empresa possui uma política de privacidade, conformidade e segurança que mencione omodo pelo qual os dispositivos móveis devem ser utilizados. Como o correio eletrônico, o celularconcedido pela empresa pode ser classificado como um ativo passível de responsabilidade jurídica.

SOBRE O AUTOR

Olavo Jose Anchieschi Gomes é um estudioso na área de criminalidade cibernética atuando nasáreas de Segurança da Informação, Compliance, Riscos Empresariais, Direito Digital e Auditoria.Também é autor do Livro Segurança Total: Protegendo-se contra os hackers (Editora PearsonEducation). Já realizou diversos testes de segurança em redes e aplicações nos mais variadossegmentos do mercado.