Saiba porque dados corporativos estão em risco com Apps Freemium

 

Introdução

Aplicativos Freemium, como WhatsApp e Telegram, cresceram e ganharam muito em popularidade nos últimos anos, surfando a onda do aumento do uso dos smartphones pelo mundo. Em termos estatísticos, em torno de 90% dos usuários de dispositivos móveis têm um destes aplicativos instalados, fazendo uso diariamente. No entanto, apesar desta estatística estar muito relacionada ao espaço de usuários comuns, muitas organizações (incluindo entidades governamentais) fazem destes aplicativos canais para tráfego de informações sigilosas, o que claramente constitui um erro estratégico.

O Mercado

O mercado de consumo é um dos grandes responsáveis pelo aumento do uso de dispositivos móveis e, consequentemente, aplicativos de comunicação. No que tange aos usuários – de maneira geral – a acordo é claro: o benefício de um aplicativo sem custos em troca da coleta de informações pessoais. No entanto, para ambientes corporativos o uso de informações provoca reações imediatas para os profissionais de Tecnologia de Informação, especialmente os de Segurança.

Consultorias especializadas, como o Gartner, que produzem relatórios relevantes como Market Guide for Secure Mobile Communications1, indicam que:

  • Líderes de mobilidade e segurança nas organizações devem selecionar e implementar soluções seguras de comunicação instantânea
  • Aplicativos gratuitos, como o WhatsApp, não oferecem recursos e a segurança que as organizações precisam
  • Produtos deste espectro devem proteger a confidencialidade das comunicações em redes móveis e sem fio.

As recomendações não param por aí, indicando cuidado redobrado e sugerindo o não uso de aplicativos que tenham histórico de vazamento de informações ou que tenham políticas de privacidade pouco claras ou até mesmo desfavoráveis para o usuário; considerando este fato,

1. https://www.gartner.com/en/documents/3372117/market-guide-for-secure-mobile-communications

não é difícil encontrar referências na Internet de aplicativos que apresentam este tipo de problema 2.

WhatsApp hack allowed surveillance of key users of Facebook’s ‘secure’ chat app

Freedom of speech privacy just got kicked in the nads

WhatsApp hack allowed surveillance of key users of Facebook's 'secure' chat app
Figura 1: Artigo sobre falha no WhatsApp
2. https://edition.cnn.com/2019/05/14/tech/whatsapp-attack/index.html

https://www.theinquirer.net/inquirer/news/3075717/whatsapp-spyware-hack

somente chega a esta conclusão quando informações estratégicas ou confidenciais (incluindo dados sensíveis de clientes) já estão em posse de criminosos.

Falhas em aplicativos Freemium são frequentes, tanto que no momento da escrita deste artigo mais um problema surgiu: a manipulação maliciosa em arquivos de mídia recebidos via WhatsApp e Telegram3.

How Does “Media File Jacking” Attack Work?

Figura 2: Ataque “Media File Jacking”

Eventos Recentes

Casos recentes, e simbólicos, ocorreram no Governo Federal do Brasil4 que, de maneira recorrente, insiste em utilizar aplicativos Freemium para assuntos de interesse governamental. Não entrando no mérito da legalidade, mesmo porque as ferramentas escolhidas para uso por empresas nacionais devem estar em conformidade com o Marco Civil da Internet, o fato de utilizar ferramentas Freemium já abre portas para, no mínimo, possibilidade de vazamento de dados para entidades estrangeiras, e em se tratando de governo isto pode se transformar em um ponto de partida certo para crises e instabilidade política e econômica, afetando ciclos e projetos de médio e longo prazo.

Novos vazamentos: “Moro viola o sistema acusatório”, disse procuradora

Nos diálogos divulgados pelo The Intercept Brasil, membros da força-tarefa da Lava Jato ainda se preocupam com a ida do ex-juiz para o MJ

Figura 3: Vazamentos da Operação Lava Jato
Figura 3: Vazamentos da Operação Lava Jato

 

3. https://thehackernews.com/2019/07/media-files-whatsapp-telegram.html

4. https://www.metropoles.com/brasil/politica-br/novos-vazamentos-moro-viola-o-sistema-acusatorio-disse-procuradora

https://www.dw.com/pt-br/os-vazamentos-da-lava-jato/a-38080429-0

Motivados por interesses políticos, roubo de informações confidenciais, segredos industriais, informações de propriedade intelectual, dentre inúmeras outras, o roubo de informações por meio de dispositivos móveis tem sido um tema recorrente não somente no Brasil, mas em vários países.

O amadurecimento quanto ao uso de ferramentas de comunicação apropriadas para o ambiente corporativo já vem ganhando espaço em grandes corporações, vide o caso da Continental5, empresa alemã do ramo de autopeças com mais de 240.000 empregados globalmente, que recentemente baniu o uso de WhatsApp e Snapchat para atividades corporativas, preocupando-se com questões de privacidade e proteção de informações

5. https://www.securityweek.com/germanys-continental-bans-whatsapp-work-phones

A Escolha

Entrando em aspectos técnicos, a escolha de um aplicativo de comunicação, em primeiro lugar deve buscar os 5 princípios básicos da segurança da informação:

  • Integridade
  • Autenticidade
  • Confidencialidade
  • disponibilidade
  • Não-repúdio

Muitos aspectos técnicos envolvem os cinco itens acima, não sendo simples esgotá-los em um artigo, mas estes devem servir como referência para profissionais de Tecnologia da Informação ao gerar critérios para contratação de Aplicativos de comunicação segura.

Ferramentas de uso corporativo, por natureza, baseiam-se em algumas premissas para fortalecer seus produtos, tais como:

  • Suporte profissional, com SLA (Service Level Agreement) bem definido
  • Garantia de correção de bugs, com rapidez
  • Evolução de funcionalidades e produto, sem custo adicional para clientes existentes
  • Estar em conformidade com a legislação local, evitando dores de cabeça e disputas jurídicas para seus clientes
  • Opções de hospedagem em Nuvem Privada ou Datacenter de terceiros, como Azure ou Amazon
  • Oferecer ferramentas robustas de gestão para controle de grandes bases de usuários
  • Programas permanentes de treinamento e transferência de tecnologia

Não existem atalhos quando dados organizacionais precisam ser resguardados, o uso de aplicativos Freemium (muito populares e sem custo) parecem – à primeira vista – uma escolha relativamente natural, considerando que “fazem o serviço”, mas quando os problemas chegam e os vazamentos de informações ocorrem, o barato com certeza sairá muito caro.

Comparativo

Sendo o Sikur um provedor de uma solução reconhecidamente corporativa e adequada para este espaço de mercado, produzimos uma tabela comparativa para auxiliar a escolha, destacando as principais diferenças entre uma solução desenhada para negócios e governos, e aplicativos desenhados para o consumidor, portanto inadequados para organizações que desejam ter seus dados protegidos e íntegros, fim a fim.

Além do comparativo de funcionalidades, para uma solução corporativa é fundamental atentar para o modelo de disponibilização da infraestrutura da solução. No caso do Sikur dois modelos estão disponíveis, com o objetivo de atender aos cenários organizacionais mais solicitados:

  1. Nuvem Privada
  2. Nuvem Pública (em infraestrutura de terceiros)

O modelo (1) privilegia clientes que desejam geralmente conformidade com questões regulatórias ou até mesmo legislações específicas que demandam dados sendo armazenados localmente, algo relativamente comum para entidades governamentais. Este modelo vai de encontro aos anseios das organizações que desejam se resguardar de desastres relacionados à infraestrutura em casos extremos, por exemplo.

O modelo (2) foi desenhado pensando na otimização máxima dos custos de propriedade (CAPEX) e de operações (OPEX), pois neste cenário o cliente não necessita possuir ou sequer gerir qualquer infraestrutura física de Datacenter para hospedar a solução e nem precisa de possuir um corpo técnico capacitado para se responsabilizar pela administração do produto. Trata-se de uma típica solução de SaaS (Software as a Service), hospedada em Datacenters profissionais e mundialmente provados, como Microsoft Azure.

Além disso, um outro elo fraco dos aplicativos Freemium está na autenticação, que utiliza o número de telefone como identificador único, que pode ser clonado com relativa facilidade; no caso do Sikur somente a chave privada do usuário oferece acesso às informações.

Mais: https://www.linkedin.com/pulse/saiba-porque-dados-corporativos-est%25C3%25A3o-em-risco-com-apps-vasconcelos/

 

Mais do que uma solução tecnológica, somos uma decisão estratégica para as organizações.

Nossa missão é redefinir a relação das empresas com a cibersegurança e a experiência dos usuários no processo de autenticação e acesso a ativos tecnológicos.