Przenośne (nie)bezpieczeństwo

Popularyzacja smartphonów i palmtopów z interfejsami telekomunikacyjnymi przysparza problemów administratorom systemów IT.

Popularyzacja smartphonów i palmtopów z interfejsami telekomunikacyjnymi przysparza problemów administratorom systemów IT.

W miarę rozwoju technologii mobilnych i postępującej integracji z infrastrukturą teleinformatyczną przedsiębiorstwa wzrasta ryzyko związane z naruszeniem bezpieczeństwa. Niewielu decydentów przywiązuje jednak należytą wagę do zabezpieczenia urządzeń mobilnych PDA lub telefonów smartphone, a jest to poważny błąd. Ludzie zarządzający informatyką w dużych przedsiębiorstwach mają tendencję do działań szablonowych, zgodnych z opracowywanymi (bywa, że przez całe lata) procedurami. Są zatem bardzo przewidywalni. Jednocześnie nie doceniają znaczenia zabezpieczeń urządzeń mobilnych innych niż notebooki. Tymczasem amatorzy cudzych danych nie muszą już łamać wyrafinowanych, wielostopniowych zabezpieczeń dostępu do sieci i serwerów przedsiębiorstw. Kadra zarządzająca korzysta już z urządzeń przenośnych, w których znajdują się kopie ważnych dokumentów, listów, notatek i kontaktów właśnie po to, aby mieć je zawsze przy sobie. Jest to łakomy kąsek nie tyko dla złodziei zainteresowanych samym, często dość kosztownym sprzętem, ale także dla konkurencji.

Od razu nasuwa się rozwiązanie, które usuwa tę dziurę w bezpieczeństwie - szyfrowanie informacji. I tu pojawia się pierwszy problem. W odróżnieniu od notebooków, telefony klasy smartphone i komputery przenośne PDA mają małą moc obliczeniową procesorów i bardzo ograniczone zasoby pamięci. W notebookach narzut związany z szyfrowaniem danych powoduje odczuwalne zmniejszenie prędkości pracy tylko przy starcie, zamykaniu i hibernacji komputera. Podczas normalnej pracy z reguły nie sprawia poważnych problemów, o ile komputer ma wystarczającą pojemność pamięci RAM. Nie można tego powiedzieć o PDA, gdyż obecnie dostępne modele są często zbyt mało wydajne nawet do obsługi niektórych aplikacji, a po zainstalowaniu pakietu szyfrującego następuje takie spowolnienie ich działania, że staje się to irytujące i trudne do zaakceptowania przez użytkownika. Jest to jednak cena, jaką trzeba zapłacić za znaczące podwyższenie bezpieczeństwa firmy i załatanie ważnej luki w systemie bezpieczeństwa.

Programy szyfrujące

Na rynku jest już oprogramowanie do szyfrowania zawartości PocketPC, najpopularniejszym pakietem jest produkt firmy PointSec. Program wykorzystuje AES z kluczem 128-bitowym, zaś dla ułatwienia korzystania z niego, zamiast długiego i kłopotliwego hasła stosuje się logowanie przy użyciu obrazków. Użytkownik wprowadza hasło, wybierając kilkakrotnie jeden z kilku obrazków. Ich położenie zmienia się za każdym razem. W ten sposób można się zalogować do PocketPC bez użycia rysika lub alfanumerycznego hasła - użytkownik wybiera kolejne obrazki, które składają się w znaną tylko jemu "historyjkę".

Program PointSec jest przystosowany do pracy w środowisku dużej firmy, gdyż posiada centralne zarządzanie, przewidziane jest wymuszanie odpowiednich polis bezpieczeństwa, a także odzyskiwanie hasła za pomocą bezpiecznych procedur pytanie-odpowiedź. Program nie jest drogi, jedna licencja kosztuje ok. 250 zł, a więc jest niska w porównaniu ze stratami, jakie firma mogłaby ponieść w przypadku wykorzystania wrażliwych danych przechowywanych w PDA. Produkt PointSec jest przystosowany wyłącznie dla PDA z systemem PocketPC.

Podobnym produktem jest Ultimaco Safeware - SG PDA. Program ten także szyfruje dane PocketPC, niemniej logowanie może się odbyć za pomocą analizy odręcznego podpisu lub czytnika linii papilarnych. Jest też nieco tańszy od programu PointSec. W obu przypadkach dane kalendarza, kontakty, zadania, notatki i pliki w PDA są szyfrowane w czasie rzeczywistym.

Poważne problemy może sprawiać PDA wyposażone w funkcje telefonu. Kłopot polega na tym, że moduł telefoniczny w momencie nadejścia połączenia przychodzącego musi "wybudzić" PDA, uruchomić system operacyjny i wyświetlić stosowny ekran zawierający informacje. A gdy zainstalowane jest oprogramowanie szyfrujące, pojawia się żądanie wprowadzenia hasła zanim system operacyjny będzie mógł cokolwiek wyświetlić. Istnieją rozwiązania niwelujące ten problem, ale nie zawsze są skuteczne. Dla telefonów z systemem PocketPC przewidziano osobne wersje oprogramowania szyfrującego. Użytkownicy systemu Symbian nie mają takich problemów. posiada szyfrowanie danych i jest na pewno bezpieczniejsze niż zwykły PocketPC, niemniej wymaga komunikacji sieci przedsiębiorstwa z dostawcą usług.

Zdaniem wielu specjalistów używanie PDA wyposażonego w funkcje telefonu jest albo niewygodne, albo niebezpieczne. Wielu administratorów zabrania dostępu do poczty elektronicznej w firmie (a także przechowywania dokumentów) na przenośnych urządzeniach, które nie zawierają oprogramowania szyfrującego. W praktyce znacznie lepiej sprawuje się normalny telefon GSM i osobno PocketPC wyposażony w szyfrowanie danych. Dodatkowym argumentem przeciw PocketPC z opcją telefonu jest względnie krótki czas pracy (mniej niż pięć godzin) i kłopoty z połączeniami wymagające częstych restartów urządzenia.

Nowe źródła infekcji

Zmartwienia związane z urządzeniami przenośnymi nie kończą się na kradzieży danych na nich zapisanych. Nowoczesne telefony czy PDA stają się częścią infrastruktury firmy. Możliwe jest bezpośrednie połączenie między nimi a siecią lokalną za pomocą sieci bezprzewodowej lub przy wykorzystaniu wirtualnych sieci prywatnych VPN. Zatem należy zwrócić uwagę na to, że PDA może być nośnikiem wirusa komputerowego atakującego również inne urządzenia.

Dotychczasowe wirusy atakowały głównie telefony i roznosiły się przez lub MMS. Najczęściej dotykały platformy Symbian, gdyż starsze wersje PocketPC nie znajdowały szerokich zastosowań w telefonach. Szkodliwość znanych złośliwych kodów dla firmowych danych nie była dotąd krytyczna, ale w stosunkowo krótkim czasie mogą się pojawić specjalizowane wirusy, które są przeznaczone do kradzieży danych. Warto zwrócić uwagę, że zwykłe szyfrowanie danych PocketPC nie ochroni przed wirusem, bowiem przeważnie działa on w przestrzeni użytkownika, korzystając z już odszyfrowanych danych. Jeśli tylko wirus będzie dobrze napisany, ma dostępne wszystkie informacje i pozostaje mu tylko wysłać je na odległy serwer. Należy mieć na uwadze fakt, że ma słabe zabezpieczenia przed obcym kodem. Symbian jest pod tym względem lepszy, ale zawiera błędy i w 2005 r. pojawiły się kolejne robaki przeznaczone dla tej platformy.

Warto o tym pamiętać i zapobiegać szkodom, instalując odpowiedni program antywirusowy. Jego ważnymi elementami są nie tylko mechanizm skanowania wirusów, ale również zapora sieciowa i moduł do kontroli procesów synchronizacji. Ten ostatni powinien chronić przed synchronizacją z niezaufanymi urządzeniami.

To bardzo poważny problem, bowiem można dokonać synchronizacji z nieznanym urządzeniem PocketPC za pomocą odpowiednio skonfigurowanego ActiveSync przez interfejs Bluetooth łatwo łamiąc proste zabezpieczenia. Przeważająca większość telefonów klasy smartphone z Windows Mobile włącza domyślnie interfejs Bluetooth podczas korzystania z telefonu i nie wyłącza go samoczynnie. Na rynku są już programy antywirusowe takich firm, jak Trend Micro, Symantec i Sophos, dedykowane dla PDA i telefonów smartphone.

Oczywiście złośliwy kod to nie tylko wirusy. Mogą to też być programy instalowane przez samego użytkownika. Dlatego też administratorzy powinni mieć możliwość kontroli PDA i eliminacji szkodliwych aplikacji. Obecnie dostępne oprogramowanie do zarządzania nie oferuje zbyt wielu funkcji wspomagających administratorów w tej trudnej walce. Można jednak oczekiwać, że już wkrótce pojawią się na rynku rozwiązania umożliwiające centralizację zarządzania palmtopami i telefonami smartphone z tej samej konsoli administratora wykorzystywanej obecnie do kontroli stacjonarnych PC i notebooków.