Mobil eszközök biztonsága Krasznay Csaba Kancellár.hu Kft.

Bevezetés A mobil eszközök használata mindennapos dolog az összes cégnél. Gondoljunk csak a mobiltelefonokra, a PDA-kra, az okostelefonokra, az ezekhez tartozó memóriakártyákra, és a hasonló eszközökre. Annak ellenére, hogy ezek az eszközök is számtalan vállalati adatot tartalmaznak, szinte soha nem gondolnak arra, hogy erre a területre is kidolgozzanak biztonsági szabályokat. A következő 25 percben bemutatjuk, hogy miért hibás ez a gondolkodás.

A mobil eszközöket fenyegető veszélyek A mobil eszközök biztonsága három ponton kritikus: A géphez való idegen fizikai hozzáférés: a kisméretű gépeket a legkönnyebb elveszíteni illetve ellopni. Tárolt adatokhoz való idegen hozzáférés: minél több adat van egy gépen, annál nagyobb a valószínűsége, hogy érzékeny adat is van köztük. Vezetéknélküli hálózatokhoz való hozzáférés: egy hordozható eszköz legkönnyebben vezeték nélkül tud csatlakozni az informatikai környezetéhez.

A géphez való idegen fizikai hozzáférés Lopás, elvesztés: A becslések szerint évente több százezer mobiltelefon és kéziszámítógép tűnik el a jogos tulajdonosoktól. A dolgozók egyharmada hagyja üzleti adatait védtelenül a PDA-ján. Nagy többségük mind személyes (pl. bankkártya PIN kód), mind üzleti (pl. hálózati jelszó) adatait rátölti a masinára. Az elvesztés helye 40%-ban a taxi, további 20%-ban kocsmák és night clubok. Ez becslések szerint az Egyesült Királyságban 1,3 milliárd Ł veszteséget okoz évente. (Forrás: Pointsec PDA Usage Survey 2003)

A géphez való idegen fizikai hozzáférés Biztonsági mentés: Az eszközök ellopása/elvesztése után a rajta tárolt adatok is elvesznek. Különösen pikáns a helyzet a PDA-knál azért, mert az adatok a gép RAM-jában vannak tárolva, mely a tápellátás megszűnésekor törlődik. Ezért vannak a memóriakártyák, melyek innentől a kézigépek integráns részei, azaz rájuk is alkalmazni kell minden biztonsági szabályt. Egyébként a használt telefonokkal foglalkozó kereskedők néha kincseket találnak a hozzájuk kerülő eszközökön.

Tárolt adatokhoz való idegen hozzáférés Ki a személyes eszköz tulajdonosa? Minél kisebb egy eszköz, a dolgozó egyre inkább saját tulajdonaként kezeli, sőt akár saját maga veszi meg. Ellenben az adatok, amik a hordozható eszközre rákerülnek, sokszor egyértelműen a vállalat tulajdonát képezik. A vállalati IT felelős azonban a legtöbbször nem is tud róla, hogy ezek az adatok kikerültek a felelősségi köréből. Márpedig így nem tudja megóvni vállalatát attól, hogy egy elégedetlen/figyelmetlen dolgozó nagyobb mennyiségű értékes adattal távozzon észrevétlenül.

Vezetéknélküli hálózatokhoz való hozzáférés Rosszindulatú szoftverek: A PDA-k és okostelefonok is csak számítógépek, így szintén fenyegetik a vírusok, férgek, trójaik, hátsókapuk, stb. A Palm OS-re már 2000-ben megjelentek vírusok. Az első a Palm Phage volt. 2004. júliusában a Pocket PC is elveszítette az ártatlanságát a Duts féreggel. Ezek érkezhetnek akár e-mailben, de a Cabir féreg óta tudjuk, hogy akár Bluetoothon keresztül is kaphatunk vírust. Ez egyébként Symbian alapú mobiltelefonokat fertőzött meg.

Vezetéknélküli hálózatokhoz való hozzáférés Crackelés, hackelés: Minden hálózat annyit ér, amennyit a leggyengébb pontja. A mobil eszközök is a hálózat részei, ugyanolyan protokollok futnak rajtuk, mint a többi számítógépen (bár szerveralkalmazások igen ritkán). Ugyanúgy előfordulhatnak hálózaton keresztül elérhető programhibák, amikre a múltban már volt precedens.

Védelmi intézkedések A géphez való hozzáférés megakadályozása megfelelő azonosítással. Tudásalapú, birtokalapú, biometriai. Ezek közül a biztonságos azonosításhoz legalább kettőt alkalmazni kell. Mindegyik azonosításra van lehetőség a kéziszámítógépeknél. Mobiltelefonoknál már nem ilyen könnyű a megoldás.

Védelmi intézkedések A biztonsági mentés akár előre telepített, akár külső szoftverrel megoldható. A mentés vagy egy tárolókártyára vagy egy PC-re kerül. Kérdés, hogy ezek bizalmasságát hogyan lehet megőrizni?

Védelmi intézkedések Mint minden számítógép esetén, a PDA-n és az okos telefonokon is kell vírusirtónak lennie. Ezt pedig folyamatosan frissíteni kell – lehetőleg központilag.

Védelmi intézkedések A hackerek elleni védekezés legjobb módja az állandó szoftverfrissítés, a tűzfal, a víruskereső telepítése. És a gép ésszerű használata… Persze vannak dolgok, amiket így sem lehet kivédeni.

Az iPhone hack Az Apple mobiltelefonját mindenki nagy érdeklődéssel várta. Mellékszálként jegyezzük meg, hogy egy ideig a spamek is az iPhone-nal csábították áldozataikat a veszélyes weboldalakra. A cég tájékoztatása szerint mindent megtettek azért, hogy a készülék biztonságos legyen Ez nagyjából így is volt, hiszen a géphez alig lehetett hozzáférni, a böngészője csak bizonyos típusú fájlokat töltött le, és nyitott meg.

Az iPhone hack Csak éppen egy dologra nem figyeltek: minden folyamat adminisztrátori privilégiummal futott, ráadásul a memóriahasználat is megjósolható volt, és a szabad forrású kódokból nem a legfrissebbeket telepítették. Ezeket felhasználva Charlie Miller és csapata 2007. nyarán két hét alatt ki tudott fejleszteni egy olyan proof-of-concept kódot, amivel az iPhone kritikus információihoz hozzá lehet férni. Ehhez az kell, hogy a telefon Safari böngészője letöltsön egy HTML oldalt. Az ebben levő JavaScript segítségével letölthető egy olyan kód, ami jelszavakat, e-maileket, és minden más érzékeny adatot kiad a támadónak. Az Apple erre a hibára augusztusban adott ki frissítést.

(Kék)fogas kérdések A Bluetooth kapcsolatok sem olyan ártatlanok, mint amilyeneknek látszanak Ha megvan a készülék és tudjuk róla az alapvető információkat, sejthetjük, hogy milyen támadásokra érzékeny A bluetooth protokoll (egyelőre) NEM sérülékeny A hiba (eddig) mindig a megvalósításban volt

BlueSnarf Számtalan Bluetooth-os megvalósítási hibát találtak az elmúlt években. A leglátványosabb talán a Bluesnarf. Az OBEX protokoll megvalósítási hibáját kihasználó támadás Az objektum PUSH, azaz feltöltés helyett PULL, azaz letöltés parancsot ad ki Ezzel gyakorlatilag az eszköz összes érzékeny részéhez hozzá lehet férni (el lehet olvasni az SMS-eket, a telefonszámokat, törölni is lehet ezeket, hívást lehet kezdeményezni a sérülékeny mobilról, stb.) Nem szükséges hozzá párosítás A bluesnarfer alkalmazással a hiba egyszerűen kihasználható A Blooover nevű mobil java alkalmazással a támadás mobiltelefonról is kezdeményezhető Régebbi, népszerű telefonok az igazán sérülékenyek (pl. Nokia 6310i)

Bluetooth-os támadások? Paris Hilton telefonjáról kikerült a teljes névjegyzék és az SMS-ek A hírek szerint telefonjának bluetooth kapcsolatán keresztül hackelték meg Valójában a telefonja webes szinkronizálást használt, és ezt törték fel

Bluetooth-os támadások?

Bluetooth-os támadások? A Cabir, és hozzá hasonló féregvírusok bluetooth-on keresztül fertőzik a telefonokat A valóság az, hogy a férgek tényleg a bluetooth kapcsolatot használják a terjedésre De a fertőzéshez minden esetben az kell, hogy a telefon tulajdonosa feltelepítse azokat a gépére.

Bluetooth-os támadások?

Bluetooth-os támadások? A vírusirtókhoz olyan jelzések érkeztek, hogy a Lexus és Prius modellek fedélzeti számítógépeit a bluetooth-on keresztül terjedő féregvírusok fertőzik Az F-Secure tesztje azonban kimutatta, hogy a beépített bluetooth rendszer egyik nyilvános támadásra sem érzékeny

Bluetooth-os támadások?

Bluetooth-os támadások? A bluetooth-os kihangosítókat le lehet hallgatni a Car Whisperer segítségével Valójában a bluetooth képes headsetek általában valamilyen egyszerű PIN kóddal kapcsolódnak a telefonhoz (pl. 1234) A támadó ehhez a headsethez kapcsolódik hozzá, így beszélni tud a vezetőhöz, és hallja is őt A támadás a gyenge PIN kód beállítást használja ki Már számítógépek ellen is bevethető (bizonyos esetekben a driver nem használ PIN kódot a kapcsolódósához).

Tanulságok A bluetooth biztonságos, egyik támadás sem a szabvány hibája miatt követhető el A hiba mindig a megvalósításban vagy a felhasználóban van Védekezni nagyon egyszerű: Csak akkor használjuk a bluetooth-t, ha muszáj Állítsunk be „bonyolult” PIN kódot Csak akkor fogadjunk bármit a telefonra, ha biztosan tudjuk, hogy szükségünk van rá A támadások egyre inkább a számítógépek bluetooth kapcsolatai ellen irányulnak. Azért a jelenleg népszerű telefonok is sérülékenyek Bluetoothon keresztüli DoS támadásokra…

Tapasztalatok Minden rendszer, hálózat, annyit ér, amennyit a leggyengébb láncszeme. Minden informatikai biztonsági vezetőnek kötelessége lenne minden eshetőségre felkészülni. Például a hordozható eszközök használatának szabályzatba foglalására is. Ne felejtsék el tehát a hordozható eszközöket sem!

Köszönöm szépen! krasznay.csaba@kancellar.hu További információ a Kancellár.hu Kft.-ről a www.kancellar.hu oldalon.