Bezpieczeństwo urządzeń mobilnych

W wielu przypadkach ryzyko ataków na urządzenia mobilne można łatwo zminimalizować. Poważne zagrożenia wymagają od działu IT zaawansowanych środków zaradczych.

Gdy połączyć niedostatki dotyczące bezpieczeństwa dzisiejszych urządzeń mobilnych z faktem, że są one coraz częściej celem cyberprzestępców, pojawia się nieciekawy obraz. Większość urządzeń mobilnych stanowi otwarty cel, który tylko czeka na atak. Raport przedstawiony niedawno w Kongresie USA nie pozostawia wątpliwości. Dla przykładu, liczba wariantów złośliwego oprogramowania atakującego urządzenia mobilne wzrosła o ok. 185% (z 14 tys. do 40 tys. próbek) w czasie krótszym niż rok.

Przedstawiamy listę najważniejszych problemów związanych z bezpieczeństwem urządzeń mobilnych. Czasami można sobie z nimi poradzić w prosty sposób, w innych przypadkach ochrona wymaga skomplikowanych procedur.

Zobacz również:

1. Brak blokady hasłem. Rzadko telefony klasy smartfon i tablety mają włączone uwierzytelnienie hasłem. Nie ma kontroli dostępu do danych zapisanych na przenośnej pamięci urządzeń. Większość smartfonów ma opcje blokady za pomocą hasła, kodu PIN karty SIM, wzorów rysowanych na ekranie, niektóre mają nawet czytniki biometryczne skanujące linie papilarne. Chociaż możliwości techniczne związane z blokadą urządzeń są dostępne w smartfonach czy tabletach praktycznie od zaraz, niewielu użytkowników je uruchamia. Niekiedy włączają oni blokadę kodem PIN, ale ustalają prosty do odgadnięcia kod, taki jak 0000 czy 1234. A bez wprowadzenia zabezpieczeń poważnie wzrasta ryzyko utraty danych, gdyż mimo wszelkich starań telefon lub tablet zawsze może być skradziony, zgubiony lub pozostawiony bez nadzoru.

2. Zbyt słabe uwierzytelnienie użytkownika przy przeprowadzaniu ważnych transakcji lub dostępie do istotnych danych z urządzeń mobilnych. Z badań wynika, że użytkownicy korzystają ze statycznych haseł zamiast dwuskładnikowego uwierzytelnienia, co wiąże się z wyższym poziomem ryzyka. Hasło może dać się odgadnąć (w sieciach społecznościowych jest dużo informacji na ten temat), może ulec zapomnieniu, może zostać zapisane i skradzione, a także podejrzane podczas wpisywania. Użycie dwuskładnikowego uwierzytelnienia radykalnie zmniejsza ryzyko przejęcia haseł. Kod dostępu może być wygenerowany przez osobne urządzenie lub przesłany w wiadomości SMS. Należy pamiętać, że dostarczenie na ten sam telefon kodu SMS niweczy wszelkie zabezpieczenia, bo zarówno transakcja, jak i kod ją potwierdzający wychodzą z tego samego urządzenia.

3. Transmisja przez sieć bezprzewodową nie zawsze jest szyfrowana. Szczególnie dotyczy to poczty elektronicznej, gdyż nie każdy użytkownik ustawia szyfrowanie za pomocą SSL/TLS. Ponadto wiele aplikacji nie szyfruje danych przesyłanych do serwerów w nawiązanym połączeniu. Jeśli taka transmisja odbywa się przez sieć Wi-Fi, informacje można łatwo przechwycić. Nadal co najmniej połowa aplikacji mobilnych nie szyfruje wszystkich wysyłanych informacji.

4. W urządzeniach mobilnych może znajdować się złośliwe oprogramowanie. Może ono pochodzić z aplikacji zainstalowanych przez użytkownika, przemyconych do sklepu z aplikacjami jako gra, łata bezpieczeństwa, narzędzie użytkowe lub inne użyteczne oprogramowanie. Użytkownik nie zawsze jest w stanie odróżnić prawowitą aplikację od złośliwego oprogramowania. Niejednokrotnie jest to trudne. Gra lub inny program mogły zostać przepakowane do osobnej paczki, która następnie mogła być podstawiona użytkownikowi lub wprowadzona ponownie do sklepu z aplikacjami.

5. Brak antywirusów i podobnych narzędzi ochronnych. Większość urządzeń mobilnych nie ma preinstalowanych żadnych programów zabezpieczających przed złośliwym kodem, zwłaszcza pochodzącym z aplikacji. Nawet jeśli programy ochronne są dostępne dla platform mobilnych, zwalniają ich pracę, skracają czas działania akumulatora. Użytkownicy stosują je niechętnie. Jedną z przyczyn ich pomijania jest nieświadomość zagrożenia.

6. Nieaktualny system operacyjny. Aktualizacje usuwające luki w bezpieczeństwie systemów operacyjnych w urządzeniach mobilnych nie są instalowane na czas. Okres od zgłoszenia luki do dostarczenia aktualizacji liczy się w tygodniach, a nawet w miesiącach. Zależnie od podatności, proces opracowywania i dostarczenia luki może być skomplikowany i zazwyczaj obejmuje więcej niż jedną firmę. Jeśli deweloperzy Google usuną podatność w systemie Android, aktualizacje dla smartfonów i tabletów muszą być przygotowane przez dostawców telefonów, gdyż firmware jest specyficzne dla każdego producenta i modelu. Jeśli przy sporządzaniu obrazu niezbędne są własnościowe modyfikacje systemu, czas się wydłuża. Po wprowadzeniu aktualizacji przez producenta smartfonu lub tabletu poprawka musi być przetestowana przez operatorów telekomunikacyjnych przed dostarczeniem użytkownikom. Co ważniejsze, problemem może być także wiek telefonu. Niektóre aparaty starsze niż dwa lata nie otrzymują poprawek, gdyż producenci nie wspierają starszych konstrukcji. Wielu producentów przestaje dostarczać poprawki do systemów w smartfonach po 12-18 miesiącach od rozpoczęcia ich sprzedaży. Takie urządzenia mogą znacząco podwyższać ryzyko podatności na nowo wykryte luki w bezpieczeństwie.

7. Podatności w nieaktualizowanych aplikacjach mogą być równie groźne jak luki w systemie operacyjnym. Same aplikacje nie zawsze są opracowywane i wydawane w zorganizowany i zaplanowany w czasie sposób. Nie wszystkie aplikacje informują użytkownika, że dostępna jest aktualizacja. Przykładem są mobilne przeglądarki, rzadziej aktualizowane od desktopowych. Używanie przestarzałego oprogramowania podnosi ryzyko wykorzystania podatności w urządzeniach mobilnych.

8. Brak zapór sieciowych i podobnych opcji kontroli ruchu internetowego to duży problem w przypadku urządzeń mobilnych. Ze względu na brak zapór sieciowych, intruz może wykorzystać połączenie przez otwarty port, a następnie wykorzystać podatność, by ukraść dane. Czasami zabezpieczenia są wyłączane, np. w przypadku przeprowadzenia operacji jailbreak w telefonach iPhone, gdzie usługa SSH staje się widoczna z internetu. Proces łamania zabezpieczeń, w celu instalacji dodatkowego oprogramowania, na które nie pozwala producent ze względów marketingowych, daje dostęp użytkownikom do wrażliwych stref systemu operacyjnego. Część użytkowników łamie zabezpieczenia, by uruchomić zaporę sieciową, ale większość przeprowadza jailbreak, by zainstalować oprogramowanie spoza oficjalnego repozytorium. Ponieważ aplikacje te nie podlegają analizie przez producenta, mogą zawierać różny kod, także złośliwy. "Złamane" telefony nie zawsze otrzymają aktualizację systemu i aplikacji, nawet jeśli łaty są dostępne, gdyż nowy firmware wymaga łamania zabezpieczeń od nowa.

9. Niedostatecznie zabezpieczone kanały komunikacji, takie jak włączony Bluetooth w stanie widocznym, umożliwiają zestawienie połączenia przychodzącego do telefonu. Niekiedy udaje się w ten sposób aktywować kamerę lub mikrofon, by podsłuchiwać otoczenie telefonu. Można posłużyć się interfejsem sieci bezprzewodowej. Podatność w oprogramowaniu obsługującym sieć WLAN może otwierać drogę napastnikom. Ryzyko wydaje się niewielkie, ale odnotowano już ataki przez Bluetooth i przez Wi-Fi przy niezabezpieczonych hotspotach.

Jednym z najpoważniejszych ataków związanych z niezabezpieczonymi kanałami komunikacji jest pośredniczenie w transmisji, gdy intruz przechwytuje cały strumień komunikacji, od urządzenia do docelowego serwera. Jeśli informacja nie jest szyfrowana, a system operacyjny i aplikacja mają możliwe do wykorzystania błędy, można przechwycić poufne informacje.

Zabezpieczenia, które można szybko wprowadzić

Badacze zajmujący się problemami bezpieczeństwa urządzeń mobilnych twierdzą, że mimo tak poważnych problemów, proste środki zaradcze można wprowadzić od zaraz, by minimalizować ryzyko biznesowe związane z korzystaniem z urządzeń mobilnych.

W pierwszej kolejności należy wprowadzić uwierzytelnienie. Urządzenia powinny być skonfigurowane tak, by do dostępu wymagały hasła lub kodu PIN. Należy skonfigurować wygaszacz ekranu, by blokować urządzenie, gdy nie jest używane. Dwustopniowe uwierzytelnienie dla istotnych transakcji lub zasobów powinno być standardem. Chociaż to samo urządzenie może generować kody jednorazowe niezbędne do zalogowania do ważnych zasobów, o wiele lepszym pomysłem jest obliczanie i dostarczanie kodów poza smartfonem. Przejęcie kontroli nad systemem operacyjnym telefonu nie powoduje ryzyka przełamania zabezpieczeń. Razem z wprowadzeniem uwierzytelnienia należy włączyć szyfrowanie danych w pamięci urządzenia i na karcie.

Następne kroki wymagają dłuższych przygotowań, ale są kompleksowym podejściem do urządzeń i komunikacji, więc radykalnie zmniejszą wagę problemów, które mogą wprowadzić urządzenia mobilne.

Uzupełnieniem ochrony jest oprogramowanie antywirusowe i zapora sieciowa. Urządzenia mobilne również powinny być chronione za pomocą dedykowanego oprogramowania.

Dział IT musi weryfikować autentyczność aplikacji za pomocą skrótów kryptograficznych, by mieć pewność, że instalowane oprogramowanie nie zostało podmienione. To samo dotyczy poprawek dostarczanych przez producentów. Dobrym podejściem jest kontrola uruchamianych aplikacji za pomocą list dostępu. Niektóre urządzenia lub programy zabezpieczające umożliwiają dokładną kontrolę aplikacji, które mogą być uruchomione w telefonie lub tablecie.

Podobnie jak w systemach desktopowych, dział IT musi zadbać o aktualizacje aplikacji i systemu operacyjnego. Zazwyczaj realizuje się to w ramach kompleksowego zarządzania smartfonami i tabletami, w tym ich konfiguracją. Dzięki temu można zapewnić ochronę przed niedozwolonymi modyfikacjami przed, w trakcie i po wdrożeniu. W ten sposób będzie można także zdalnie zablokować lub wyczyścić skradzione urządzenie, a także zapewnić aktualizację wszystkich składników.

W firmie należy wdrożyć dobrze opracowaną politykę bezpieczeństwa, która będzie obejmować problemy związane z ryzykiem wynikającym z wprowadzenia urządzeń mobilnych. Jednocześnie niezbędne są szkolenia, które sprawią, że użytkownicy wszelkie decyzje będą podejmować świadomie.

Działania należy podejmować planowo, zgodnie z najlepszymi zaleceniami, przeprowadzając przy tym analizę ryzyka. Analiza ryzyka identyfikuje podatności i zagrożenia, wymienia potencjalne wektory ataku, ocenia możliwości sukcesu napastnika, a także szacuje potencjalne szkody udanych ataków na urządzenia mobilne.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200