Małe urządzenie duży problem

Hakerzy niekoniecznie muszą się głowić nad pokonywaniem zabezpieczeń sieci korporacyjnych, bo tajemnice przedsiębiorstw od dawna wędrują na dyskach laptopów, w smartfonach, palmtopach lub pamięciach pendrive.

Hakerzy niekoniecznie muszą się głowić nad pokonywaniem zabezpieczeń sieci korporacyjnych, bo tajemnice przedsiębiorstw od dawna wędrują na dyskach laptopów, w smartfonach, palmtopach lub pamięciach pendrive.

Przez lata bezpieczeństwu danych zapisywanych w urządzeniach mobilnych nie poświęcano zbyt wiele uwagi. Dopiero obecnie problem skutecznej ochrony informacji zapisanych w komputerach przenośnych, miniaturowych nośnikach USB lub nowoczesnych telefonach komórkowych stał się na tyle nagłośniony, że szefowie działów IT i zarządy firm zaczęły zwracać większą uwagę na zabezpieczanie takich danych.

Rosnąca świadomość zagrożenia sprawiła, że coraz większym zainteresowaniem cieszą się m.in. rozwiązania zapobiegające wyciekowi danych, tzw. systemy DLP (Data Leakage Prevention). Początkowo działały one w zasadzie jako pochodne systemów filtrowania treści – koncentrowały się na poczcie elektronicznej i komunikatorach. Teraz na rynku dostępne są zaawansowane systemy kontrolujące nie tylko przesyłanie treści przez popularne protokoły, np. SMTP, FTP, IM, ale również wykorzystanie fizycznych portów w komputerach.

Jednym ze znanych tego typu produktów jest oprogramowanie Pointsec Protector, oferowane przez Check Point. Zapewnia ono ochronę przed wyciekiem firmowych danych na dyskach optycznych lub nośnikach Flash USB. Działa nie tylko jako "strażnik portów" (USB, FireWire, Wi-Fi, IDE, Bluetooth, itp.), ale pełni również funkcje rozwiązania do filtrowania treści. Pointsec Protector umożliwia też wymuszanie szyfrowania danych zapisywanych na nośnikach wymiennych, a dzięki funkcji audytu pozwala stwierdzić, czy lub kiedy pracownik podłączał do swojego komputera np. iPoda.

Aplikacje o podobnej funkcjonalności pozwalające na zarządzanie dostępem do portów oferują również m.in. firmy McAfee (Data Loss Prevention); SafeBoot (przejęta przez McAfee); Provilla (kupiona ostatnio przez Trend Micro, oprogramowanie Provilla LeakProof), czy też Vontu przejęta właśnie przez Symantec, a oferująca kilka rozwiązań z obszaru DLP, w tym pakiet Endpoint Data Monitoring and Prevention.

Laptop jak twierdza

Należy się spodziewać, że szybciej od wdrożeń kompleksowych systemów DLP w przedsiębiorstwach, jako powszechna przyjmie się praktyka zabezpieczania dostępu do komputerów przenośnych. Na przykład niektóre notebooki IBM (oddziału tej firmy przejętego przez Lenovo), podobnie jak modele oferowane przez Fujitsu-Siemens i kilku innych producentów, już od kilku lat są wyposażane w czytniki linii papilarnych, które mają uniemożliwić uruchomienie komputera i dostęp do danych osobom niepowołanym.

Specjaliści od bezpieczeństwa są jednak zgodni co do tego, że odpowiedni poziom ochrony danych zapewnia tylko pełne szyfrowanie dysków. Złodziejowi laptopa nie można dać żadnego punktu zaczepienia nawet w postaci widoczności zaszyfrowanych plików lub katalogów. Dysk skradzionego sprzętu powinien być bezużyteczny, także wtedy gdy zostanie przełożony do innego komputera zawierającego narzędzia do przeglądania pojedynczych sektorów.

Na rynku jest coraz więcej zaawansowanych rozwiązań do takiego zabezpieczania danych. Przykładowo, funkcje szyfrowania dysków zawiera system Vista (w wersjach Ultimate i Corporate). Jest on wyposażony w aplikację BitLocker zapewniającą szyfrowanie całej zawartości dysku (z wyjątkiem tzw. partycji rozruchowej) i współpracującą ze sprzętowym układem kryptograficznym TPM (Trusted Platform Module) instalowanym na płycie głównej komputera. W razie braku takiego układu w komputerze możliwe jest wykorzystanie pamięci Flash do obsługi kluczy szyfrujących.

Ale na rynku jest też wiele innych rozwiązań do szyfrowania dysków, plików i nośników wymiennych. Wśród nich można wymienić: Utimaco SafeGuard, FREE CompuSec, SafeBoot Device Encryption, Pointsec PC, SafeNet Protect Drive lub DriveCrypt Plus Pack firmy SecureStar. To ostatnie rozwiązanie umożliwia szyfrowanie fragmentów lub całych dysków, przy czym oferuje wybór kilku algorytmów szyfrowania (m.in. AES, DES, 3DES, Blowfish) i – co niespotykane – kluczy szyfrujących o długości do 1344 bitów.

W DriveCrypt zaimplementowano ciekawą funkcję tworzenia tzw. wirtualnych dysków, które po zaszyfrowaniu widoczne są pod postacią pojedynczych plików. Można je zapisać w dowolnej lokalizacji na dysku lub innym nośniku. Atrybuty takiego pliku nie zdradzają, że de facto jest on repozytorium informacji. SecureStar podkreśla, że jego rozwiązanie umożliwia ukrycie danych np. w plikach dźwiękowych .WAV i to bez szkody dla jakości ich odtwarzania. Podobny patent można zastosować np. do kluczy szyfrujących, ukrywając je pod postacią pliku BMP.

Podsłuch w sieciach komórkowych

Niemiecka firma CryptoPhone przekonuje, że podsłuchiwanie rozmów telefonicznych w sieciach komórkowych - mimo że są one szyfrowane - z technicznego punktu widzenia jest wykonalne, a nawet stosunkowo łatwe i w kontekście szpiegostwa przemysłowego stanowi coraz większy problem dla przedsiębiorstw. CryptoPhone wprowadziła na rynek telefony komórkowe bazujące na Pocket PC, które zapewniają silne szyfrowanie połączeń kombinacją algorytmów AES256 i Twofish. Aby zwiększyć wiarygodność, firma wraz z aparatami udostępnia pełny kod źródłowy aplikacji szyfrującej. Wykorzystanie aparatów CryptoPhone ma zapewniać pełną poufność rozmów, ale trzeba pamiętać, że połączenia między takimi telefonami dokonywane są tylko w kanale transmisji danych.

Palmtop i telefon pod ochroną

Masę krytyczną powoli zyskuje rynek zaawansowanych narzędzi do zabezpieczania palmtopów i smartfonów. Mobilne oprogramowanie antywirusowe na razie stanowi niewielki procent sprzedaży, ale należy spodziewać się, że segment ten będzie wzrastał proporcjonalnie do zaawansowania i ilości użytkowanych na rynku smartfonów i palmtopów. Aparaty takie jak Nokia N95 producent już reklamuje hasłem "Nowe wcielenie komputera".

Oprogramowanie antywirusowe w wersji dla platform mobilnych oferują już m.in. Kaspersky (Kaspersky Anti-Virus Mobile), McAfee (McAfee Mobile Security for Enterprise), polski Arcabit (ArvaVir for Pocket PC), Symantec (Mobile Security Suite) i F-Secure (F-Secure Mobile Anti-Virus). Funkcjonalność tych aplikacji jest podobna i obejmuje ochronę w czasie rzeczywistym przed złośliwym kodem pochodzącym np. z wiadomości SMS, MMS, synchronizowanych plików lub aplikacji pobieranych z Internetu. Aktualizacje sygnatur są znacznie rzadsze niż w przypadku "dużych" systemów operacyjnych i mogą być przeprowadzane drogą bezprzewodową (np. po WAP/HTTP).

Funkcje antywirusowe to nie wszystko. Przykładowo, Kaspersky Anti-Virus Mobile zawiera moduł antyspamowy dla SMS/MMS, który przekierowuje lub kasuje od razu niechciane wiadomości i umożliwia tworzenie czarnych list nadawców. F-Secure w swoim pakiecie Mobile

Security oferuje dodatkowo zaporę firewall dla aparatów Nokia Communicator. Szeroką funkcjonalność proponuje Symantec w pakiecie Mobile Security Suite dla urządzeń i smartfonów działających pod kontrolą Windows Mobile 5. Oprócz funkcji antywirusa i zapory oprogramowanie to zapewnia ochronę dostępu hasłem, szyfrowanie plików, funkcję wymazywania danych, możliwość blokowania komunikacji Bluetooth, Wi-Fi czy synchronizowania danych. Z kolei programy Utimaco SafeGuard PDA lub Pointsec Mobile nie oferują bezpośrednio ochrony antywirusowej, ale skupiają się na zabezpieczaniu dostępu do danych. Utimaco SafeGuard PDA zapewnia funkcje uwierzytelniania (hasłem, kodem PIN lub przy użyciu karty smartcard w standardzie MMC), umożliwia także dezaktywacje portów WLAN i Bluetooth, blokowanie obsługi zewnętrznych kart pamięci lub w ogóle korzystanie z funkcji telefonu. Jest dostępna także funkcja zablokowania urządzenia lub wymazywania wszystkich zapisanych w nim danych w razie przekroczenia określonej ilości nieudanych prób uwierzytelniania.

Z punktu widzenia przedsiębiorstw istotną kwestią jest możliwość centralnego zarządzania tego typu aplikacjami za pomocą dedykowanej kontroli administracyjnej i wdrażania określonych polityk bezpieczeństwa przez mechanizmy usług katalogowych. Zarządzanie może odbywać się także bezprzewodowo. Fińska Nokia oferuje przedsiębiorstwom – opisywany już w Computerworld pakiet do zarządzania flotą komórek – Intellisync Device Management. Z jednej strony pozwala on zautomatyzować proces inwentaryzacji firmowych komórek i ładowania aplikacji, ale zapewnia też rozbudowane funkcje ochrony danych. W razie kradzieży lub zgubienia telefonu administrator IT może wysłać do takiego aparatu komendę powodującą wykasowanie wszystkich zapisanych w nim informacji. Również wprowadzenie niewłaściwego kodu PIN może aktywować funkcję wymazywania danych lub całkowitego zablokowania aparatu.

<hr size=1 noshade />Dla Computerworld komentuje Patryk Gęborys, prezes ISSA Polska,Stowarzyszenia ds. bezpieczeństwa systemów informacyjnych

Małe urządzenie duży problem

Patryk Gęborys

Obecnie palmtop z Wi-Fi czy smartfon nie jest już niczym niezwykłym. Z kosztownego i nieporęcznego gadżetu stał się narzędziem codziennej pracy. Nie wszyscy jednak pamiętają, że równocześnie jest to w pełni funkcjonalny i uniwersalny komputer, ze wszystkimi jego zaletami i wadami, także jeśli chodzi o bezpieczeństwo. Choć zaprezentowano już udane ataki na telefony z różnymi systemami operacyjnymi, wydaje się, że użytkownicy nie przywiązują jeszcze wystarczającej wagi do ochrony informacji zgromadzonych na tych urządzeniach.

A wrażliwych danych jest w nich coraz więcej: kontakty biznesowe, kalendarze spotkań, notatki biznesowe, a nawet pikantne SMS-y. Dochodzi do tego poczta elektroniczna i dostęp do intranetu, a co za tym idzie, często do istotnych dla firmy informacji. Specjaliści są zgodni, w przyszłości właśnie urządzenia mobilne, podłączone non stop do sieci, będą głównym celem cyberprzestępców.

Duże firmy działające w regulowanym środowisku, jak np. banki, już dawno dostrzegły to zagrożenie. Jednak dopiero od niedawna są dostępne produkty, które w pełni pozwalają kontrolować, co się dzieje z wrażliwymi informacjami zapisanymi w urządzeniach mobilnych. Wkrótce nie będziemy musieli wybierać pomiędzy bezpieczeństwem danych a wygodą w dostępie do informacji. O ile antywirus w komórce na razie wydaje się pewną fanaberią, o tyle już rozwiązania typu DLP czy też szyfrowania budzą bardzo duże zainteresowanie wśród przedsiębiorstw.

Od niedawna w standardzie dla niektórych rozwiązań korporacyjnych pojawiła się możliwość zdalnego zarządzania, ze zdalnym wymazaniem informacji włącznie. Wygląda na to, że segment tego typu rozwiązań ma przed sobą dynamiczny rozwój.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200