Princípio do menor privilégio: a estratégia de limitar o acesso ao que é essencial

Princípio do menor privilégio: a estratégia de limitar o acesso ao que é essencial

O princípio do menor privilégio é uma estratégia de segurança, aplicável a diferentes áreas, que se baseia na ideia de conceder autorizações apenas quando realmente sejam necessárias para o desempenho de uma atividade específica.

O princípio do menor privilégio é uma estratégia de segurança, aplicável a diferentes áreas, que se baseia na ideia de conceder autorizações apenas quando realmente sejam necessárias para o desempenho de uma atividade específica.

Recentemente, em uma conversa com o analista de marketing da ESET México, Juan Carlos Fernández, falamos sobre o caso relacionado a uma fraude realizada por uma empresa fantasma durante seu período como estudante universitário. A empresa, que supostamente recrutou estudantes, coletou informações que estavam no currículo dos candidatos.

Claro que nenhum estudante foi contratado, mas as informações pessoais foram entregues de forma voluntária. O caso pode não parecer relevante, exceto pelo fato de que um currículo geralmente inclui informações e dados pessoais que, no caso de cair em mãos erradas, pode comprometer a segurança das pessoas. Um estudante universitário, por exemplo, certamente inclui dados como foto, endereço, informações de contato, contas de redes sociais ou outros tipos de informações.

Embora para alguns recrutadores essas informações possam ser necessárias, é muito provável que não sejam uma informações imprescendíveis para a seleção de um profissional. A ideia de fornecer apenas as informações necessárias, bem como o acesso a elas, pode ser aplicada em diferentes áreas, onde a segurança cibernética não é a exceção. Essa boa prática é conhecida como o menor privilégio e será o assunto deste artigo.

O menor privilégio, uma boa prática de segurança

No campo da segurança cibernética, a atribuição de permissões que um usuário pode ter sobre um sistema ou às informações é uma prática de segurança que deve ser aplicada continuamente. Por exemplo, os sistemas operacionais são desenvolvidos com diferentes funções (e, é claro, privilégios), projetados para diferentes perfis de usuários, de acordo com suas atividades e responsabilidades.

Operar tendo em conta o princípio do menor privilégio, como o próprio nome sugere, parte da premissa de fornecer as permissões necessárias e suficientes para que um usuário possa realizar suas atividades, por um tempo limitado e com os direitos mínimos necessários para as suas tarefas. Uma prática que pode ser implementada em quanto ao uso da tecnologia, com o objetivo de garantir a segurança das informações, bem como a nossa privacidade.

A atribuição de permissões a um usuário, além dos direitos necessários para realizar uma determinada atividade, pode permitir que ele execute atividades para as quais não está autorizado, como acessar, obter ou modificar informações. Além disso, devem ser considerados privilégios para que as entidades ou serviços possam atingir seus objetivos, sem comprometer a privacidade ou a segurança. No entanto, essa tarefa exige que os usuários sejam responsáveis por conhecer e conceder as licenças necessárias e suficientes.

O menor privilégio nas redes sociais?

Os recentes acontecimentos relacionados com o Facebook e a Cambridge Analytica mostram o real valor dos dados pessoais e a responsabilidade que temos, como usuários, na administração de nossas informações pessoais.

Embora os paradigmas da privacidade sejam alterados com o tempo, não devemos ignorar que é uma preocupação constante, especialmente na era digital, em que até mesmo as novas legislações procuram conceder mais direitos aos usuários sobre suas informações.

Com base nessa ideia, uma boa prática é fornecer as informações básicas necessárias para fazer uso das redes sociais, sem a necessidade de compartilhar informações sensíveis ou confidenciais com qualquer outro usuário, especialmente quando não conhecemos as pessoas que podem estar por trás de um perfil falso.

Portanto, além de cuidar das informações que publicamos nas diferentes plataformas sociais, é conveniente configurar as opções de privacidade e segurança, bem como as restrições a outros usuários sobre as publicações ou dados expostos. Sem cair na paranóia de sentir que é necessário parar de usar essas novas formas de comunicação e interação, especialmente se defendemos o uso consciente, responsável e seguro, em que poderíamos também aplicar a idéia do menor privilégio.

Princípio do menor privilégio em dispositivos móveis

Os aplicativos que instalamos em nossos dispositivos também devem ser limitados por privilégios no dispositivo. Um aplicativo pode ser considerado intrusivo (e até malicioso), devido às permissões solicitadas no momento da instalação e, é claro, às atividades realizadas no dispositivo.

Existem inúmeros casos em que os aplicativos solicitam permissões que geralmente são desnecessárias para a função que pretendem executar no telefone. Pense no caso de aplicativos de lanterna. Esses aplicativos que ligam e desligam o led dos dispositivos não precisam acessar informações do telefone, como localização, contatos, registro de ligações ou mensagens SMS. Nesse caso, o menor privilégio também desempenha um papel importante.

Em um caso específico relacionado a esse tipo de aplicativo de lanterna, conseguiram descobrir um trojan bancário direcionado a usuários do Android. Depois que a ameaça é instalada e executada, o aplicativo solicita permissões de administrador do dispositivo.

Além de conceder a funcionalidade de lanterna prometida, a ameaça, controlada remotamente, buscava roubar credenciais bancárias das vítimas. Sem dúvida, o menor privilégio também pode ser aplicado neste contexto, a fim de fornecer o mínimo de permissões necessárias para o funcionamento.

O princípio do menor privilégio: uma estratégia de segurança aplicável a diferentes áreas

Seguindo o caso inicialmente exposto, sabemos que critérios diferentes podem ser considerados ao contratar uma pessoa, mas por razões de segurança e também de privacidade, provavelmente um recrutador não deve conhecer todas as nossas informações, especialmente se todos esses dados não forem administrados de forma segura.

Portanto, se trata de fornecer apenas dados, privilégios ou recursos mínimos necessários para realizar uma atividade ou cumprir um propósito, se falamos de uma rede social, uma aplicação, sistema operacional ou mesmo, como destacamos no início deste artigo, ao entregar um currículo.

Discussão