Bezpieczeństwo komunikacji mobilnej

Wprowadzono wreszcie proces weryfikacji integralności danych (dzięki wykorzystaniu protokołu F9), w zasadzie uniemożliwiając w ten sposób ataki typu Man-in-the-Middle.

Obecnie jednym z typowych ataków jest tzw. bidding down attack (inaczej: degradation attack). Polega on na wykorzystaniu współistnienia technologii 2G/2,5G z 3G. Nie wszystkie urządzenia mobilne potrafią pracować w trybie 3G, konieczne jest więc zapewnienie obsługi dla starszych technologii. Atak degradacyjny sprowadza się więc do obniżenia poziomu zabezpieczeń z generacji trzeciej do drugiej, a to z kolei pozwala wykorzystywać jej niedoskonałości.

Niebezpiecznie z laptopem

802.1x w działaniu

802.1x w działaniu

Przykładem źródła innego zagrożenia jest fakt wyposażania coraz większej liczby laptopów w zintegrowane karty 3G. Z technologicznego punktu widzenia najsłabszym ogniwem jest sposób komunikacji pomiędzy aplikacjami znajdującymi się na karcie abonenckiej SIM/USIM a zintegrowanym nadajnikiem 3G. Ta nie jest niestety w żaden sposób szyfrowana. Jeżeli więc pracując na takim komputerze zostaniemy zainfekowani przez szczególny rodzaj kodu złośliwego, dane płynące pomiędzy aplikacjami karty SIM/USIM a nadajnikiem mogą zostać przechwycone i w zasadzie dowolnie zmodyfikowane.

Jak więc widać, wraz z uzyskaniem dostępu do internetu za pośrednictwem sieci komórkowych zaczynają obowiązywać podobne zasady zabezpieczania się przed zagrożeniami, jak w przypadku innych mediów dostępowych. Jednak w przeciwieństwie do nich telefonia komórkowa oferuje bardzo duży wybór platform sprzętowych, które mogą być celem ataków i które trzeba jakoś zabezpieczać. Oprócz laptopów wyposażonych w karty dostępu szerokopasmowego (usługi iPlus, Era Blueconnect, Orange Free/Business Everywhere) są też z systemem Symbian czy PDA z Windows Mobile.

Przykłady komórkowych zagrożeń można mnożyć. Typowe to wirus "Commwarrior" zagrażający Symbianowi S60, czy trojan "Redbrowser" czyhający na systemy obsługujące J2 ME. Klasyczny przykład to również darmowe aplikacje dla komórek jak "Skulls" czy "Hobbes", które w rzeczywistości nie są odpowiednio menedżerem tematów czy programem antywirusowym, ale złośliwym kodem. Nie brakuje też zagrożeń związanych z niewłaściwą implementacją poszczególnych protokołów, np. OBEX.

Nic więc dziwnego, że w bardzo szybkim tempie posiadanie i antyspyware'owego na urządzeniach zaczyna być koniecznością. Dostrzegają to skwapliwie producenci, oferując wiele rozwiązań, np. F-Secure Mobile Anti-Virus, McAffee Virus Scan Mobile czy Symantec Mobile Security - wszystkie dla Symbiana.

Sieci WLAN

A co z poziomem bezpieczeństwa sieci WLAN opartych na standardach z serii 802.11? O tym pisano i w dalszym ciągu pisze się bardzo dużo. O słabościach protokołów można napisać całą książkę. Skupmy się więc na tym, co robić, aby uniknąć zagrożeń. Jakie podstawowe kroki można podjąć, żeby poprawić poziom bezpieczeństwa sieci bezprzewodowej?

Kluczowe są dwie sprawy - odpowiednie zaprojektowanie, a następnie wdrożenie sieci WLAN i opracowanie jasnej polityki bezpieczeństwa określającej standardy obowiązujące dla sieci WLAN.

Niezwykle istotne jest właściwe dobranie sprzętu - powinien dawać możliwość centralnego zarządzania i monitorowania tego, co dzieje się w sieci bezprzewodowej. Punkty bezprzewodowe powinny więc pochodzić od tego samego producenta i dzięki temu zapewniać jednolity poziom bezpieczeństwa, co jest szczególnie ważne w przypadku firm wielodziałowych. Rozwiązania scentralizowane umożliwiają wyłączanie interfejsów bezprzewodowych punktów dostępu poza godzinami pracy i warto z takiej możliwości skorzystać. Z wdrożeniem nie wolno się spieszyć i wychodzić z założenia "byle działało". Przed uruchomieniem punktów bezprzewodowych należy dostosować ich siłę sygnału do otoczenia, w którym pracują. Częstym błędem jest ustawianie maksymalnej mocy nadajników, przez co punkt widoczny jest poza planowanym obszarem działania. Natomiast co do zaleceń konfiguracji, to każdy szanujący się administrator powinien zapomnieć o istnieniu protokołu WEP (Wired Equivalent Privacy). Czasami spotyka się opinie, że minimalnym poziomem szyfrowania powinien być 128-bitowy WEP. Niestety żadna forma WEP nie może być obecnie akceptowana. Sposób implementacji, powiązanie z szyfrem strumieniowym RC4 zupełnie nienadającym się do wykorzystania w środowisku tak podatnym na zakłócenia jak sieć bezprzewodowa, kolizyjność wektorów inicjalizujących (IV) i wiele innych słabości powodują, że jego złamanie to kwestia minut. Protokół WPA powinien być zatem absolutnym minimum - jak mówią prawnicy warunkiem sine qua non. Tym bardziej że wszystkie dostępne dzisiaj na rynku karty bezprzewodowe obsługują standard WPA, a większość WPA2 (802.11i). Dobrym pomysłem jest skorzystanie ze standardu 802.1X, protokołu EAP--TLS i serwera RADIUS, które pozwalają na uwierzytelnianie urządzeń podłączanych do sieci LAN lub WLAN.

Ważna świadomość

A co powinni wiedzieć pracownicy i użytkownicy sieci WLAN - zwłaszcza korzystający z jednego z największych dobrodziejstw, ale też i źródeł zagrożeń - hot spotów, oferujących właściwie niekontrolowany w żaden sposób dostęp do sieci, często niezabezpieczonych w żaden sposób? Posiadając wrażliwe dane na komputerze, w zasadzie nie powinno się w ogóle korzystać z hot spotów. Jeżeli jednak już do tego dojdzie, należy zrobić wszystko, żeby ograniczyć niebezpieczeństwo do minimum. Wszystkie poniższe zalecenia wydają się banałami, ale patrząc na prowadzone przez różne instytucje badania wcale nie jest to takie oczywiste. A więc "w kilku żołnierskich słowach": posiadanie zapory ogniowej, aktualnego oprogramowania AV i zaktualizowanego systemu operacyjnego to oczywista podstawa. Miejsca takie jak porty lotnicze, to znakomity teren działania dla "rzezimieszków" komputerowych wystawiających własne hot spoty, a następnie snifujących wszystko, co przez nie przepływa. Przed ustanowieniem połączenia z hot spotem dobrze jest więc sprawdzić, czy rozgłaszany SSID (numer identyfikacyjny hot spotu) jest faktycznie "wystawiany" przez np. kawiarnię internetową, w której jesteśmy. Częstym błędem jest też ustawianie we właściwościach połączenia Wi-Fi automatycznego łączenia się z dowolną widoczną siecią bezprzewodową. Kolejnym - włączanie trybu ad-hoc, który pozwala na nawiązywanie połączeń z naszym laptopem. Należy także unikać przesyłania ważnych dokumentów, a jeżeli jest to konieczne powinny zostać wcześniej zaszyfrowane. Łączenie z firmą powinno odbywać się tylko poprzez VPN.

Wszystkie opisane powyżej bolączki i sposoby na ich uniknięcie to tylko wierzchołek góry lodowej. Przestudiowanie wszelkich braków w strukturze zabezpieczeń sieci bezprzewodowych - bez względu czy są to sieci komórkowe, 802.11, WiMAX czy inne - to opracowanie na kilka tomów. Na szczęście z większością powyższych problemów, przy zachowaniu minimum roztropności, przeciętny pracownik mobilnego biura nie będzie miał styczności. Warto jednak wiedzieć, że rezygnacja z kabli na rzecz rozwiązań bezprzewodowych, oprócz niewątpliwych zalet, niesie także potencjalne niebezpieczeństwa.


TOP 200