Mobil eszközök biztonsági problémái Előházi János ZMNE doktorandusz J2EE szoftver fejlesztő Walt Disney Internet Group, International Engineering elohazi.janos@gmail.com
Mobil eszközök biztonsági problémái Okos telefonok Windows Mobile Blackberry 3G telefonok PDA-k 3G vagy GSM képesség WiFi Tablet PC-k Notebookok Mobil eszközök biztonsági problémái
Felhasználási területek Hozzáférés a vállalati erőforrásokhoz E-mail postafiókok Dokumentum-hozzáférés Intranet hozzáférés Személyi kommunikációs megoldások Azonnali üzenetküldő rendszerek Mobiltelefónia Általánosnál nagyobb tudással rendelkező eszközök Mobiltelefon Blackberry Felhasználhatóak személyes célokra is Vállalati és személyes adatok keveredése Mobil eszközök biztonsági problémái
Mobil eszközök biztonsági problémái Tulajdonságok Egyre kisebb méret Sok funkció E-mail Internet Kommunikáció WiFi 3G vagy GSM Bluetooth Nagy tároló kapacitás 1Gbyte – 100Gbyte Korlátozott számítási kapacitás 300MHz – 1-2GHz Korlátozott energia Sok féle operációs rendszer Biztonsági hiányosságok Tűzfal Vírusvédelem Vezeték nélküli megoldások Mobil eszközök biztonsági problémái
Mobil eszközök biztonsági problémái Adattípusok Személyes adatok Kapcsolati információk Szöveges és képi információk Tárolt személyes adatok (pl.: bankkártya információk) Üzleti adatok Munkavégzés során keletkező dokumentumok Levelezési információk Hozzáférési információk Mentett jelszavak Személyes és üzleti hálózatokhoz való hozzáférés Mobil eszközök biztonsági problémái
Mobil eszközök biztonsági problémái Fenyegetettségek Fizikai hozzáférés veszélye Elvesztés Eltulajdonítás Tárolt adatokhoz való hozzáférés Kommunikáció során Fizikai hozzáférés során Vezeték nélküli kommunikáció Bluetooth WiFi Mobil eszközök biztonsági problémái
Mobil eszközök biztonsági problémái Problémák Keletkező károk Anyagi károk: eszköz értéke Eszmei károk: elveszett és kompromittálódott információk Menedzsment problémák Heterogén összetétel Vállalati IT menedzsment Szoftver menedzsment problémák Felhasználás menedzsment Policy-rendszer készítése és betartatása Személyes célokra való felhasználás is Sokféle támadási felület Bluejacking Vírusok Tárcsázó programok Spoofing Szoftver hibák Mobil eszközök biztonsági problémái
Támadási példák - Bluetooth Bluesnarfing: teljes információ-hozzáférés, hívások átirányítása 2003-2004 között SW frissítéssel megoldották, BT rejtett üzemmódban nem lehetséges Bluebugging: BT utasítások végrehajtása a felhasználó tudta nélkül. Implementálási hiba. Bluejacking: BT névjegykártyaküldő funkció kihasználásával üzenetek küldése más eszközökre. DoS támadások: BT párosítás-kérés addig, amíg a másik eszköz le nem merül A BT protokoll szabvány a támadási teszteken hibátlanul szerepelt, azonban az implentálása során vétett programozói hibák tették sebezhetővé a gyakorlatban. Mobil eszközök biztonsági problémái
Mobil eszközök biztonsági problémái Támadási példák - WiFi Legnagyobb probléma: rádiós kommunikáció mindenki „hallja” Titkosítás szükségessége WEP – nem elég erős kulcsok alkalmazása, könnyű visszafejtés WPA – erős titkosító algoritmusok, authentikációs szerver Felderíthetőség Routerek védtelensége SSID elrejtése Alapértelmezett adminisztrációs jelszó megváltoztatása Támadások Lehallgatás Man in the middle támadás Jogosulatlan hálózathasználat és hozzáférés a hálózat eszközeihez Mobil eszközök biztonsági problémái
Támadási példák – Fizikai hozzáférés Következmények Elvesztés - Eltulajdonítás Tárolt személyes és üzleti adatokhoz és egyéb erőforrásokhoz való hozzáférés Információval való visszaélés Eszköz felhasználásával megszemélyesítés Információvesztés Védekezés Több pontú azonosítás Biometriai Tudás alapú Birtok alapú Tárolt adatok hardveres vagy szoftveres erős titkosítása Rendszeres biztonsági mentések készítése Mobil eszközök biztonsági problémái
Általános védekezési lehetőségek Humán rizikó faktor csökkentése Oktatás Felelősségi körök tisztázása Szabályrendszer megalkotása és betartatása Hozzáférés szabályozás Azonosítás: tudás-, birtokalapú, biometriai Automatikus adattitkosítás Szoftveres Hardveres Biztonsági mentések készítése Vírusvédelem (ahol lehetséges) Kommunikációs védelem Tűzfalak Folyamatos szoftverkarbantartás Nehézkes megoldások Mobil eszközök biztonsági problémái
Mobil eszközök biztonsági problémái Konklúzió Legnagyobb rizikófaktor a felhasználó Felelőtlenség Nem megfelelő fokú ismeretek Heterogén eszközrendszer nehéz és korlátozott karbantarthatósága Szerteágazó megoldások Sokféle eszköz, mind különböző megoldást igényel Szabályozások hiánya vagy figyelmen kívül hagyása IT támogatás hiányossága Összetett, de nem lehetetlen feladat Mobil eszközök biztonsági problémái
Köszönöm a figyelmet!