Jennifer Lawrence e a segurança do iCloud e serviços similares

Posted: Setembro 2, 2014 in Apple, Cloud, iCloud, Uncategorized
Tags:

Não pela primeira vez, fotos de celebridades foram tornadas públicas. Jennifer Lawrence foi a vítima, mas poderia ter sido eu ou um qualquer dos leitores deste blog. Foi já confirmada a veracidade das fotos publicadas e, a julgar pelo que sabemos até ao momento, há a alegação de que as mesmas foram acedidas através do serviço iCloud. A Apple ainda não reagiu ou confirmou.

Ainda que não se confirme que as fotos foram acedidas através do serviço iCloud, importa dizer algumas coisas acerca da segurança deste tipo de serviço (serviços semelhantes incluem por exemplo o Amazon Cloud Drive, Box, DropBox, Google Drive ou Microsoft OneDrive, embora existam muitos outros, sobretudo ao serviço das empresas).

Não é a descrição mais atualizada na área da segurança Cloud, mas o documento Top Threats to Cloud Computing, editado pela Cloud Security Alliance, contém as ameaças essenciais aos serviços de Cloud Computing, sobretudo numa visão empresarial. A sua leitura é recomendada.

Para um utilizador/usuário não empresarial, como são a maioria dos leitores deste blog, convém reter que:

  • Os dados existentes na maioria dos serviços Cloud são encriptados, quer nos servidores, quer em trânsito;
  • Muitos dos ataques são efetuados através da obtenção das credenciais de acesso ao serviço, tipicamente um username e uma password. Há, no entanto, outro tipo de vulnerabilidades que são exploradas;
  • As credenciais de acesso baseadas na dupla username/password não são robustas o suficiente e os serviços mencionados estudam ou têm já outras formas de garantir o acesso (por exemplo o método de verificação de dois passos da Apple, que solicita ao utilizador/usuário que esteja a tentar aceder ao serviço a partir de um device diferente do habitual um código de 4 dígitos).

Para diminuir a probabilidade deste tipo de ataque:

  • Nos emails, não abra links suspeitos, anexos ou de pedidos de alteração de password, apenas para citar alguns exemplos;
  • Use passwords complexas;
  • Mude as suas passwords pelo menos uma vez a cada seis meses e sempre que tiver conhecimento de um ataque ou violação de um serviço;
  • Não utilize a mesma password para todos os serviços. Cada serviço/site deve ter a sua password própria;
  • Guarde as suas passwords apenas de forma encriptada. Existem boas apps disponíveis (pessoalmente uso a app 1Password);
  • Quando responder a questões de segurança para recuperação de password, não facilite. Pode ser bem mais simples saber o nome do seu gato do que imagina;
  • Por defeito, se aceder ao serviço através dos seus devices, como os tablets ou smartphones, ative as credenciais de acesso das aplicações locais (quase todos as app permitem a introdução de um pin para aceder). Assim, se perder o seu device, não há acesso automático a todos os conteúdos;
  • Ative a eliminação de dados remota nos seus devices e, se acessível, a eliminação de dados após n tentativas de acesso sem sucesso;
  • Apague os conteúdos comprometedores dos serviços Cloud. Assuma que o único serviço seguro é o que está desligado.

 

 

 

 

 

Deixe uma Resposta

Preencha os seus detalhes abaixo ou clique num ícone para iniciar sessão:

Logótipo da WordPress.com

Está a comentar usando a sua conta WordPress.com Terminar Sessão / Alterar )

Imagem do Twitter

Está a comentar usando a sua conta Twitter Terminar Sessão / Alterar )

Facebook photo

Está a comentar usando a sua conta Facebook Terminar Sessão / Alterar )

Google+ photo

Está a comentar usando a sua conta Google+ Terminar Sessão / Alterar )

Connecting to %s