BYOD: Bring Your Own Device ou Breaking Your Own Defenses?

O significado da sigla BYOD é bring your own device (traga o seu próprio dispositivo). Com a tendência da consumerização de TI, BYOD é um conceito que se adotou para se referir aos funcionários que trazem seus próprios dispositivos de computação – como smartphones, tablets e laptops – ao local de trabalho, com disponibilidade para uso e conectividade com a rede corporativa.

Mas nada é simples. Os smartphones podem ser convertidos em armas de propagação de malware, bem como de escuta e espionagem de usuários e o significado da sigla BYOD bem poderia ser breaking your own defenses. Vejamos alguns aspectos sobre os smartphones:

• São operados em ambos os lados do firewall
• Armazenam dados pessoais, bem como dados sensíveis da organização
• Geralmente estão fora do controle de IT Security
• Podem executar códigos não testados, de origem desconhecida

Diante de tais facilidades, ataques sofisticados tiram vantagens do quanto os dispositivos móveis estão integrados na vida das pessoas, bem como da combinação de recursos somente encontráveis neles:

• Sempre conectados (Wi-Fi, 3G / 4G)
• Comunicação por voz
• Câmeras
• Envio e recebimento de mensagens (email, messaging)
• GPS / Cell-ID
• Passwords
• Agenda, lista de contatos, fotos e vídeos

Sensores existentes nos dispositivos (microfones, câmeras e sinais – GPS, Wi-Fi e Bluetooth) oferecem acessos à realidade de operação da empresa, através da captura de imagens e sons de conversas entre executivos e outros colaboradores detentores de informações sensíveis:

• Microfones: possibilitam a escuta e compreensão do que está sendo verbalmente discutido, como por exemplo em reuniões do comitê executivo, da área jurídica, de estratégia de negócios e novos projetos, assuntos financeiros, etc.

• Câmeras: possibilitam a visualização e captura de imagens dos ambientes por onde circula o usuário (em ambos os lados dos firewalls), telas de computadores, senhas, listas de pessoas, etc.

• Sinais de GPS, Wi-Fi e Bluetooth: possibilitam o rastreamento da movimentação e da localização do usuário, podendo conhecer hábitos, estilo de vida, lugares de trabalho e de entretenimento, bem como relacionamentos – com base nas pessoas com quem o usuário se encontra.

Há grandes preocupações sobre as possibilidades de coleta de dados através desses sensores, até porque é difícil a detecção de ameaças em função da escassez de ferramentas que possam analisar e proteger os dispositivos em todos os níveis – chips, placas, firmware, sistemas operacionais e aplicativos. A exposição dos dados coletados através dos sensores pode levar a impactos significativos para a operação e gestão do negócio, com possíveis danos à credibilidade da organização.