Quando as empresas começaram a conectar suas redes internas à internet, elas descobriram rapidamente a importância da segurança. Vírus de movimentos rápidos e worms como o "I Love you", "Melissa" e "Code Red" poderiam facilmente passar de desktop para desktop entupindo as redes e trazendo à infraestrutura de uma empresa inteira uma completa paralisação. Para combater essas ameaças, as empresas bloquearam seus desktops e servidores, forçaram a instalação de softwares antivírus, asseguraram que todos os sistemas tinham os patches mais recentes e softwares aprovados que só poderiam ser executados em seus sistemas proprietários.
Logo depois veio a mudança de desktop para laptop. Primeiro, eram os funcionários, que queriam trazer seus próprios computadores de casa para aproveitar a conexão rápida da internet no escritório. E em seguida, eram os vendedores e parceiros, que queriam se conectar remotamente às redes do escritório, através da internet, para verificar seus e-mails, ou obter a versão mais recente de uma apresentação. Essas conexões eram vistas como um grande risco, e declaradas proibidas por algumas corporações. Dessa forma, muitas empresas criaram um segmento de rede específico, para que os sistemas externos pudessem acessá-las, via internet, mas não interagir diretamente com os sistemas corporativos.
Mas hoje temos algo bem mais radical: o Bring Your Own Device (BYOD). Não são apenas alguns dispositivos que estão fora do controle do departamento de TI das organizações, mas as infinidades de atalhos de acesso e configurações de redes que já podem, potencialmente, significar comprometimento dos níveis de segurança. Uma situação que se torna especialmente preocupante quando dispositivos móveis, de várias origens, passam a ter acesso total ao servidor interno da empresa e aos diversos recursos de rede.
Nos dias de "Melissa" e "Code Red", contando-se com o fato de que tudo foi devidamente salvo via backup, os únicos riscos reais para as empresas eram a perda de produtividade e o tempo de recuperação. Hoje o risco é maior e potencialmente mais destrutivo, devido a ataques direcionados que procuram a propriedade intelectual de uma empresa e informações financeiras. Não basta garantir que os dados estejam copiados para assegurar uma proteção adequada contra perdas catastróficas.
Os dispositivos móveis são hardwares poderosos e têm mais opções de conexão de rede do que qualquer desktop. É quase natural que tais dispositivos disponham de kits para se conectar automaticamente a qualquer rede wi-fi visível. O telefone ou tablet no bolso de um funcionário pode ligar e desligar uma dúzia, ou mais, de redes diferentes em um espaço de tempo que você levaria para caminhar até a esquina para almoçar. Sem mencionar a ligação com dados, quase sempre fornecidos inadvertidamente pela operadora de telefonia móvel. Cada uma dessas conexões traz consigo o potencial para a instalação de um software malicioso. O funcionário, então, inconscientemente, traz esse dispositivo de volta ao escritório e se conecta automaticamente à rede corporativa.
O malware móvel é uma ameaça que vem aumentando exponencialmente. O Escritório de Contabilidade do Governo dos EUA (GAO) divulgou um relatório, em 2012, no qual aponta que o malware móvel aumentou 185% em menos de um ano, passando de 14 para 40 mil amostras. Algumas dessas amostras podem ser secretamente instaladas, sem o conhecimento do usuário, conforme eles visitam certas páginas, ou até mesmo quando eles se conectam a pontos de acesso Wi-fi gratuitos que estão comprometidos. Esses dispositivos comprometidos, então, sem saber, são trazidos para se conectar de volta à rede corporativa.
O risco é escalado quando se considera que muitos dispositivos móveis, particularmente aqueles com sistema operacional Android, não foram atualizados em meses ou até anos. Segundo o relatório de segurança "2013 Trustwave Global Security Report", no ano passado registrou-se um aumento de 400% no número de ocorrências com malware móvel. Todos os principais fornecedores, rotineiramente, emitem atualizações do sistema operacional, mas os fabricantes dos dispositivos não enviam essas atualizações para os usuários. Isso faz com que estes fiquem vulneráveis para códigos maliciosos que podem conter patches. Além do mais, as tais atualizações só serão úteis se o sistema operacional for modificado até a data de aparecimento de um novo malware. Por exemplo, a Verizon disponibilizou o Android versão 4.1 para o Motorola Droid 4 em março deste ano – oito meses após o Google tê-lo liberado!
Embora os malwares, em algumas plataformas móveis, sejam uma grande preocupação, não são a única. Inúmeros aplicativos móveis legítimos já foram utilizados para desviar contatos e outras informações a partir de um dispositivo móvel, sem o conhecimento do usuário. Assim, se o dispositivo do funcionário tem acesso ao diretório da empresa e ao banco de dados com contatos dos clientes, pode estar aí o risco de um duro golpe para qualquer empresa.
A perda do diretório corporativo poderia deixar toda a empresa aberta a um ataque de phishing com forte poder de estrago. Já a perda de dados de contatos de clientes poderia ser o ponto de partida para os clientes serem roubados pela concorrência. Enquanto as principais lojas de aplicativos fizeram um esforço para garantir que o aplicativo peça a permissão explícita do usuário, antes que possam acessar informações confidenciais, a maioria dos usuários irá cegamente clicar em "permitir" no aplicativo e, assim, possibilitar o acesso do aplicativo às informações de contato, sem perceber as implicações.
O 2013 Trustwave Global Security Report revela que 87,5% de todos os aplicativos iOS e Android sofreram algum tipo de defeito ou problema de segurança. As questões envolvem, geralmente, o cache de dados sensíveis no dispositivo, ou a transmissão dos dados sensíveis, através das muitas conexões de rede disponíveis. Muitas vezes, os desenvolvedores simplesmente incluem uma mera biblioteca ou framework para o aplicativo, e não estão mesmo cientes das ações que o próprio aplicativo está tomando.
O Webkit é o mecanismo de layout usado pelo navegador padrão no iOS, Android, e sistemas operacionais móveis do Blackberry 10, que suportam algumas das aplicações móveis mais disseminadas. Devido a isso, 90% das vulnerabilidades mais comuns em aplicações web de desktops também estavam presentes em aplicações móveis, tanto do Android como do iOS. O controle insuficiente de caches é um dos problemas mais comuns que afetam ambas as aplicações web, de Desktop e dispositivos móveis, permitindo que um invasor com acesso ao dispositivo abra as aplicações do cache para acessar informações valiosas. Por exemplo: em um ataque de repetição, o cibercriminoso é capaz de ouvir uma transação (através de engenharia social ou criptografia web mal configurada no aplicativo) e interceptar essa transação. O invasor pode, então, repetir essa operação ou alterar a sua lógica, sem ter que passar pelas etapas iniciais de autenticação e autorização. Há também a inserção de código, na qual um invasor pode injetar o código JavaScript em uma resposta enviada a partir de um servidor web. Como o aplicativo do cliente não valida a informação que recebe do servidor, o JavaScript será executado. Isso pode ser usado para roubar sessões de navegação ou, em um extremo, instalar malware no aplicativo.
Muitas pessoas pensam, erroneamente, que o Blackberry está imune a malwares. No entanto, a Blackberry tem visto uma parte da quota de malwares escrita em sua plataforma. O 2013 Trustwave Security Global Report revelou diversas variantes do Zeus, um dos mais populares trojans bancários, encontrados em aparelhos Blackberry, principalmente, na Alemanha, Itália e Espanha. A última versão do Blackberry, o Blackberry 10, virá instalada nos tão esperados novos dispositivos e, como acontece com qualquer lançamento, a segurança da plataforma ainda tem que ser testada. Considerando a base de usuários desses dispositivos, constituídas por executivos de alto nível e funcionários do governo, os invasores provavelmente tentarão comprometer a plataforma.
Não presuma que um dispositivo móvel que não tem conexão com o sistema de uma empresa não será valioso para um cibercriminoso. Eles ainda podem conter informações confidenciais, ou dados pessoais, que podem ser atraentes para um invasor online. Tais dispositivos têm realmente pouca idade, e, do ponto de vista da segurança, ainda estão na infância. Eles estão sujeitos a uma grande variedade de ameaças na forma de malwares, aplicativos mal codificados e sistemas operacionais desatualizados. Ao permitir o acesso de dispositivos móveis em suas redes, as empresas devem levar isto em conta, e procurar a proteção adequada em práticas como a segmentação da rede, autenticação, compartilhamento de dados e outras iniciativas para garantir a segurança dos dados da empresa.
Space Rogue é gerente de Inteligência de Ameaças da Trustwave