Mobil eszközök biztonsága

Krasznay CsabaKancellár.hu Kft.

Bevezetés

A mobil eszközök használata mindennapos dolog az összes cégnél.

Gondoljunk csak a mobiltelefonokra, a PDA-kra, az okostelefonokra, az ezekhez tartozó memóriakártyákra, és a hasonló eszközökre.

Annak ellenére, hogy ezek az eszközök is számtalan vállalati adatot tartalmaznak, szinte soha nem gondolnak arra, hogy erre a területre is kidolgozzanak biztonsági szabályokat.

A következő 25 percben bemutatjuk, hogy miért hibás ez a gondolkodás.

A mobil eszközöket fenyegető veszélyek

A mobil eszközök biztonsága három ponton kritikus: A géphez való idegen fizikai hozzáférés: a

kisméretű gépeket a legkönnyebb elveszíteni illetve ellopni.

Tárolt adatokhoz való idegen hozzáférés: minél több adat van egy gépen, annál nagyobb a valószínűsége, hogy érzékeny adat is van köztük.

Vezetéknélküli hálózatokhoz való hozzáférés: egy hordozható eszköz legkönnyebben vezeték nélkül tud csatlakozni az informatikai környezetéhez.

A géphez való idegen fizikai hozzáférés

Lopás, elvesztés: A becslések szerint évente több százezer mobiltelefon

és kéziszámítógép tűnik el a jogos tulajdonosoktól. A dolgozók egyharmada hagyja üzleti adatait

védtelenül a PDA-ján. Nagy többségük mind személyes (pl. bankkártya PIN

kód), mind üzleti (pl. hálózati jelszó) adatait rátölti a masinára.

Az elvesztés helye 40%-ban a taxi, további 20%-ban kocsmák és night clubok.

Ez becslések szerint az Egyesült Királyságban 1,3 milliárd Ł veszteséget okoz évente. (Forrás: Pointsec PDA Usage Survey 2003)

A géphez való idegen fizikai hozzáférés

Biztonsági mentés: Az eszközök ellopása/elvesztése után a rajta tárolt

adatok is elvesznek. Különösen pikáns a helyzet a PDA-knál azért, mert az

adatok a gép RAM-jában vannak tárolva, mely a tápellátás megszűnésekor törlődik.

Ezért vannak a memóriakártyák, melyek innentől a kézigépek integráns részei, azaz rájuk is alkalmazni kell minden biztonsági szabályt.

Egyébként a használt telefonokkal foglalkozó kereskedők néha kincseket találnak a hozzájuk kerülő eszközökön.

Tárolt adatokhoz való idegen hozzáférés

Ki a személyes eszköz tulajdonosa? Minél kisebb egy eszköz, a dolgozó egyre inkább saját

tulajdonaként kezeli, sőt akár saját maga veszi meg. Ellenben az adatok, amik a hordozható eszközre

rákerülnek, sokszor egyértelműen a vállalat tulajdonát képezik.

A vállalati IT felelős azonban a legtöbbször nem is tud róla, hogy ezek az adatok kikerültek a felelősségi köréből.

Márpedig így nem tudja megóvni vállalatát attól, hogy egy elégedetlen/figyelmetlen dolgozó nagyobb mennyiségű értékes adattal távozzon észrevétlenül.

Vezetéknélküli hálózatokhoz való hozzáférés

Rosszindulatú szoftverek: A PDA-k és okostelefonok is csak számítógépek, így

szintén fenyegetik a vírusok, férgek, trójaik, hátsókapuk, stb.

A Palm OS-re már 2000-ben megjelentek vírusok. Az első a Palm Phage volt.

2004. júliusában a Pocket PC is elveszítette az ártatlanságát a Duts féreggel.

Ezek érkezhetnek akár e-mailben, de a Cabir féreg óta tudjuk, hogy akár Bluetoothon keresztül is kaphatunk vírust. Ez egyébként Symbian alapú mobiltelefonokat fertőzött meg.

Vezetéknélküli hálózatokhoz való hozzáférés

Crackelés, hackelés: Minden hálózat annyit ér, amennyit a

leggyengébb pontja. A mobil eszközök is a hálózat részei,

ugyanolyan protokollok futnak rajtuk, mint a többi számítógépen (bár szerveralkalmazások igen ritkán).

Ugyanúgy előfordulhatnak hálózaton keresztül elérhető programhibák, amikre a múltban már volt precedens.

Védelmi intézkedések

A géphez való hozzáférés megakadályozása megfelelő azonosítással.

Tudásalapú, birtokalapú, biometriai. Ezek közül a biztonságos azonosításhoz

legalább kettőt alkalmazni kell. Mindegyik azonosításra van lehetőség a

kéziszámítógépeknél. Mobiltelefonoknál már nem ilyen könnyű a megoldás.

Védelmi intézkedések

A biztonsági mentés akár előre telepített, akár külső szoftverrel megoldható.

A mentés vagy egy tárolókártyára vagy egy PC-re kerül.

Kérdés, hogy ezek bizalmasságát hogyan lehet megőrizni?

Védelmi intézkedések

Mint minden számítógép esetén, a PDA-n és az okos telefonokon is kell vírusirtónak lennie.

Ezt pedig folyamatosan frissíteni kell – lehetőleg központilag.

Védelmi intézkedések

A hackerek elleni védekezés legjobb módja az állandó szoftverfrissítés, a tűzfal, a víruskereső telepítése. És a gép ésszerű használata…

Persze vannak dolgok, amiket így sem lehet kivédeni.

Az iPhone hack

Az Apple mobiltelefonját mindenki nagy érdeklődéssel várta.

Mellékszálként jegyezzük meg, hogy egy ideig a spamek is az iPhone-nal csábították áldozataikat a veszélyes weboldalakra.

A cég tájékoztatása szerint mindent megtettek azért, hogy a készülék biztonságos legyen

Ez nagyjából így is volt, hiszen a géphez alig lehetett hozzáférni, a böngészője csak bizonyos típusú fájlokat töltött le, és nyitott meg.

Az iPhone hack

Csak éppen egy dologra nem figyeltek: minden folyamat adminisztrátori privilégiummal futott, ráadásul a memóriahasználat is megjósolható volt, és a szabad forrású kódokból nem a legfrissebbeket telepítették.

Ezeket felhasználva Charlie Miller és csapata 2007. nyarán két hét alatt ki tudott fejleszteni egy olyan proof-of-concept kódot, amivel az iPhone kritikus információihoz hozzá lehet férni.

Ehhez az kell, hogy a telefon Safari böngészője letöltsön egy HTML oldalt.

Az ebben levő JavaScript segítségével letölthető egy olyan kód, ami jelszavakat, e-maileket, és minden más érzékeny adatot kiad a támadónak.

Az Apple erre a hibára augusztusban adott ki frissítést.

(Kék)fogas kérdések

A Bluetooth kapcsolatok sem olyan ártatlanok, mint amilyeneknek látszanak

Ha megvan a készülék és tudjuk róla az alapvető információkat, sejthetjük, hogy milyen támadásokra érzékeny

A bluetooth protokoll (egyelőre) NEM sérülékeny

A hiba (eddig) mindig a megvalósításban volt

BlueSnarf

Számtalan Bluetooth-os megvalósítási hibát találtak az elmúlt években.

A leglátványosabb talán a Bluesnarf. Az OBEX protokoll megvalósítási hibáját kihasználó támadás Az objektum PUSH, azaz feltöltés helyett PULL, azaz letöltés

parancsot ad ki Ezzel gyakorlatilag az eszköz összes érzékeny részéhez hozzá

lehet férni (el lehet olvasni az SMS-eket, a telefonszámokat, törölni is lehet ezeket, hívást lehet kezdeményezni a sérülékeny mobilról, stb.)

Nem szükséges hozzá párosítás A bluesnarfer alkalmazással a hiba egyszerűen kihasználható A Blooover nevű mobil java alkalmazással a támadás

mobiltelefonról is kezdeményezhető Régebbi, népszerű telefonok az igazán sérülékenyek (pl. Nokia

6310i)

Bluetooth-os támadások?

Paris Hilton telefonjáról kikerült a teljes névjegyzék és az SMS-ek

A hírek szerint telefonjának bluetooth kapcsolatán keresztül hackelték meg

Valójában a telefonja webes szinkronizálást használt, és ezt törték fel

Bluetooth-os támadások?

Bluetooth-os támadások?

A Cabir, és hozzá hasonló féregvírusok bluetooth-on keresztül fertőzik a telefonokat

A valóság az, hogy a férgek tényleg a bluetooth kapcsolatot használják a terjedésre

De a fertőzéshez minden esetben az kell, hogy a telefon tulajdonosa feltelepítse azokat a gépére.

Bluetooth-os támadások?

Bluetooth-os támadások?

A vírusirtókhoz olyan jelzések érkeztek, hogy a Lexus és Prius modellek fedélzeti számítógépeit a bluetooth-on keresztül terjedő féregvírusok fertőzik

Az F-Secure tesztje azonban kimutatta, hogy a beépített bluetooth rendszer egyik nyilvános támadásra sem érzékeny

Bluetooth-os támadások?

Bluetooth-os támadások?

A bluetooth-os kihangosítókat le lehet hallgatni a Car Whisperer segítségével

Valójában a bluetooth képes headsetek általában valamilyen egyszerű PIN kóddal kapcsolódnak a telefonhoz (pl. 1234)

A támadó ehhez a headsethez kapcsolódik hozzá, így beszélni tud a vezetőhöz, és hallja is őt

A támadás a gyenge PIN kód beállítást használja ki

Már számítógépek ellen is bevethető (bizonyos esetekben a driver nem használ PIN kódot a kapcsolódósához).

Tanulságok

A bluetooth biztonságos, egyik támadás sem a szabvány hibája miatt követhető el

A hiba mindig a megvalósításban vagy a felhasználóban van

Védekezni nagyon egyszerű: Csak akkor használjuk a bluetooth-t, ha muszáj Állítsunk be „bonyolult” PIN kódot Csak akkor fogadjunk bármit a telefonra, ha biztosan

tudjuk, hogy szükségünk van rá A támadások egyre inkább a számítógépek bluetooth

kapcsolatai ellen irányulnak. Azért a jelenleg népszerű telefonok is sérülékenyek

Bluetoothon keresztüli DoS támadásokra…

Tapasztalatok

Minden rendszer, hálózat, annyit ér, amennyit a leggyengébb láncszeme.

Minden informatikai biztonsági vezetőnek kötelessége lenne minden eshetőségre felkészülni.

Például a hordozható eszközök használatának szabályzatba foglalására is.

Ne felejtsék el tehát a hordozható eszközöket sem!

Köszönöm szépen!

krasznay.csaba@kancellar.hu

További információ a Kancellár.hu Kft.-ről a www.kancellar.hu oldalon.