Miért? A vállalatok az IT-biztonságra sok esetben jelentős összegeket fordítanak. Főként az adatvesztés, adatlopás, teljesítményvesztés, produktivitási gondok, valamint a megfelelőségi szabályozások kielégítése jelentenek kihívást. Ezek javarészt inkább szervezési kérdések. Az előbbieket a megfelelő tűzfal, antivírus alkalmazásával és esetleg jogosultságkezeléssel ki is pipálják az ellenőrzőlistán, pedig nem kellene. A mobileszközök teljes mértékben ki tudják kerülni ezeket a védelmi vonalakat és gyakorlatilag egyazon szinten képesek kezelni a vállalati erőforrásokat, mint nagyobb társaik.
Kikre vonatkozik?
A menedzselés rögtön számos kérdést vet fel, amelyek közül a legfontosabb, hogy milyen eszközökön kell érvényesíteni a vállalati IT-biztonság erre vonatkozó szabályzatát, mivel azok céges flottában és magántulajdonban egyaránt lehetnek, valamint kérdés az is, hogy mit érdemes szabályozni.
A határt ott tudjuk meghúzni, amikor az eszközt - függetlenül attól, kinek a tulajdonát képzi - munkára használják, amelyek elérik, elérhetik a vállalat információs forrásait, mint a céges levelezés, VPN kapcsolatok stb. Számot kell vetni azzal is, hogy ezekre az eszközökre futnak be a hanghívások, szöveges üzenetek, valamint GPS lokátorként is tud funkcionálni, ami által szintén számos biztonsági rést generál. Nem kell távolra nézni az ügyben sem, hogy ki bíz meg egy profi hekkert az ügyféllista vagy levelezés ellopásával. Elég egy rosszul kezelt munkakapcsolat, és a szándék már meg is van, eszköz pedig némi informálódás után jócskán akad a piacon, amivel olyan adatokhoz lehet jutni, mely több fronton is visszaélésre alkalmas információkkal szolgálhat. Hogy csak a „legbugyutább” programot említsem, amihez nem kell képzettség - elég csupán pár száz dollárt kifizetni és ébernek lenni -, az a Flexyspy.
Milyen kockázatokkal kell számolni?
A fenyegetettség lehet szándékos vagy véletlen, belső vagy külső. A jelenlegi statisztikai adatok alapján fel kell vértezni rendszerünket mindegyik eshetőségre. A kockázatokat legjobban androidos eszközökkel lehet vázolni - adottságuk végett, mivel a rendelkezésre állnak nyílt forráskódú alkalmazások, a Linux-kernel, valamint a flash-meghajtóként történő alkalmazás.
A szándékos külső vagy belső támadás egyik legkihasználhatóbb hadszíntere a wifi-hálózat. Vezeték nélküli hálózatok kihasználásával számos úton be lehet jutni, vagy legalábbis közelebb lehet kerülni a célpontokhoz, amennyiben valaki bizonyos forrásokat akar elérni. A belső munkatársaknak relatív egyszerű dolguk van a rendelkezésre álló információk, lehetőségek miatt.
A nem belső behatolóknak sem annyira bonyolult, mivel ezen hálózatok hatósugarát nehéz szabályozni, így már akár az épületbe való bejutás nélkül is elérhetjük a célrendszert, akár egy autóból, étteremből vagy kávézóból. Be lehet jutni interjúkon, esetleg üzleti megbeszéléseken keresztül, de alkalmat adhat rá egy házhozszállítás, takarítás, nyílt nap, vagy egy rendezvény is. A művelethez nagyjából bármely nagyobb teljesítményű „rootolt” androidos eszköz megfelel. Az első körös mobilalkalmazás lehet a Network Discovery, amely elérhető a Google Play-ből, de egyéb más felderítő programok is veszélyt jelenthetnek. Ez a program ingyenes, és nem igényel rootolást sem. Felülete átlátható és könnyen kezelhető. Sok igen hasznos program elérhető már iOS-en is. A wifi-hálózathoz való csatlakozás után az alkalmazás felismeri a csatlakozott eszközök gyártóját, típusát és operációs rendszerét. A hálózati felderítés, mappelés csak egy dolog, ami mindössze a nyílt wifi-hálózatok szkennelésére alkalmas.
Ha azonban sérülékenységeket, portszkent és más dolgokat akar csinálni a behatoló, akkor több programra is szüksége van. Egy izraeli biztonsági cég, a Zimperium megalkotta azt a kompakt arzenált, amelyet ANTI-nak (Andoid Network Toolkit) kereszteltek el. Gyakorlatilag nem kell Linux Lászlóvá válnunk, megtanulnunk a TCP/IP alapokat, még csak nmap zenmasternek sem kell lennünk, ha be akarunk törni a hálózatba. Az integrált eszköztár igen széles, ráadásul könnyen értelmezhető egy laikus számára is. Miután a program elindul - a telepítéshez rootolás szükséges - elvégzi a szkent a hálózaton, ahogyan a Network Discovery-nél is. Az ANTI meghatározza a csatlakoztatott eszközöket, és itt már a sérülékenységekről is átfogó képet kaphatunk. Ezeken exploitokat lehet elhelyezni Metasploit-ból és ExploitDB-ből, amikkel célzott támadásokat lehet indítani. Lehetőség van képernyőképeket lopni, MITM-támadásokat beékelni, brute force attack-es jelszótörésre, számos integrált könyvtár segítségével. A „Cracker” funkció feltárja az eszközök nyitott portjait a hálózaton belül, ami eltarthat egy ideig - a portoktól és a támadásban használt könyvtáraktól függően.
A wifi monitor méri az elérhető hálózatok jelerősségét és a MAC cím is leolvasható vele. „Intrúzív” szkenneléssel pedig felderíthetőek a potenciális sebezhetőségek. A támadásokat egy a hálózaton kívüli HTTP szerverről is el lehet végezni egy hasznos modul segítségével. Egy másik igen robusztus megoldás a Network Spoofer (már nem elérhető a store-ból), amely ARP Spoofing-ra ad lehetőséget, ahol is módosított webes forgalmat tudunk küldeni a hálózatra vagy egy gépre. Tulajdonságait tekintve egy 600MB-os Debian disztribúcióról beszélünk, amely rendelkezik Squid proxyval is. Számos egyéb támadásra is kiváló ez az alkalmazás, bár a WPA/WPA2-es hálózatot lelassítja, vagy akár meg is béníthatja. A Network Spoofer képes átirányítani a teljes forgalmat a telefonra, ebből kifolyólag egy Shark for root nevű alkalmazással el is tudjuk kapni a csomagokat és menteni az SD kártyára pcap formátumban. Ezeket az összegyűjtött adatokat utána szépen be lehet rendezni profi térképbe például a Maltego nevű alkalmazással. Lehetne itt számos más programot is említeni - például Dsploit -, de amire ezekkel fel akartam hívni a figyelmet, az a megfelelő szabályok végrehajtása az alkalmazások és telefonok root/jailbreak-jogaival kapcsolatban.
Malware, APT: A mobilra készített antivírus-programok nagyon sok helyet és erőforrást vesznek el az eszköztől, így az alsókategóriás eszközök gyakorlatilag megsülnek. Erre jó megoldás egy REST-bázisú szolgáltatás, mellyel az APT-ket (Advanced Presistent Threats) tudjuk kivédeni. Az APT-k a jövőben egyre nagyobb teret fognak nyerni, mivel célzottak és rendkívül hatékonyak. Az APT-k és malware-ek elleni védekezéshez használhatunk felhőalapú szolgáltatásokat, melyek megkímélik az eszközöket a robusztus, szignatúraalapú ellenőrzésektől anélkül, hogy viselnék a felhő kitettségéből fakadó kockázatokat.
Általánosságban elmondható, hogy a mobil malware-ek is jelentősen szaporodnak, amelyeknek a forrásai legfőképpen a web és az alkalmazások. Az internetes védelem egészen egyszerűen működik: mielőtt végrehajtódna a parancs, az URL-ben a HTTP/HTTPS proxy kiszűri malware-eket, így egyazon védelemben részesülnek a mobilok és tabletek, mint PC- és Mac-társaik. Ezt egy intelligensebb UTM-céleszköz el tudja látni. A malware-ek másik nagy forrásai az alkalmazások, amiket már a compliance-ben listázással részben kezelhetünk, ám ezeket át kell vizsgálni a telepítés előtt, amit az antivírus-funkciók igen jól elvégeznek.
Phising: az emberi tényező itt meghatározó, így a már említett IPS és antispam mellett oktatni kell, meglehetősen sokat. Számos BELSŐ használatú automatizált penteszter céleszközt kínál a piac, amivel ezeknek az oktatásoknak az eredményét tudja mérni. Például személyre szabott phising SMS saját szerverről.
Mit javasolt szabályozni?
A sokrétű operációs rendszerek keveréke miatt óriási kihívásokkal néz szembe egy vállalat IT-szakértője. Az egyik legfontosabb feladat a gyakran könnyen kiaknázható operációs rendszerek, szolgáltatások és alkalmazások frissítéseinek szabályzása. Meghökkentő lehet, ám egy iOS-eszköz hozzávetőlegesen 400 sérülékenységet hordoz magában, míg egy androidos készülék „alig” 120-at, és itt nem a malware-eket vizsgáljuk, abban nyilván az utóbbi vezet behozhatatlanul. Ezek a hiányosságok igen jól kezelhetőek megfelelő patch-menedzseléssel és az előírt minimum rendszerkövetelménnyel, ha például a hálózathoz kizárólag Android ICS 4.0-nál frissebb operációs rendszerű eszközök csatlakozhatnak. A passcode előírása is igen kritikus fontosságú, mellyel számos adatbiztonsági problémát orvosolhatunk. Ehhez a témakörhöz tartozik az alkalmazásleltár is, amiben személyre szabhatóak a felhasználók által telepíthető alkalmazások, fehér és feketelista alapján. Az átfogó kép elérésének érdekében ellenőrzési listát szükséges készíteni.
Hogyan védekezzünk?
Számos rizikófaktorral kell számolni, amelyek lehetnek véletlenek és szándékosak egyaránt. Az adatvédelem súlyozott kategóriába tartozik, amit számos úton-módon abszolválhatunk. Ilyen eszköz a kezünkben a titkosítás, a beépített biztonsági funkciók centralizálása, mint a távoli elérésű törlés, riasztás, zárolás és a lokalizálás (koordináta, cellainformáció, google map link). Sajnos a hazai IT-szakma képviselői és a felhasználók sem szeretik alkalmazni a titkosítási eljárásokat, pedig megannyi problémától képes megóvni, ráadásul a mai korszerű személyes visszaállítási lehetőségeknek köszönhetően nem terhelik az IT-részleget sem. Az adatvédelem itt a csatlakoztatott eszközök szintjén is kérdés: mit, mikor és kinek engedjünk szinkronizálni, valamint másolni.
Fel van adva a lecke, ám a fent említett megoldások javát egy központi konzolból lehetséges menedzselni. Az AD-hez hasonlóan itt is létrehozhatóak csoport-, egyéni- és kivételszabályok. Emellett a felhasználóknak is van egy személyes portálja, ahol lehetőségük van lokalizálni, törölni és blokkolni, így kevesebb dolga lesz az IT-részlegnek. A rendszerek mindent naplóznak, pl. ha valaki indít egy portszkent egy eszköz ellen, a biztonsági program azonnal bontja a mobileszköz internetkapcsolatát, naplózza, megjeleníti dashboardon, és riasztja a rendszergazdát.
Compliance ellenőrző-lista mintája:
- Root-olt, Jailbreak-elt eszközök engedélyezése/tiltása
- Minimum OS-verzió
- Nem hivatalos „market”-alkalmazások engedélyezése/tiltása
- Titkosítás előírása
- Hívás- és adatforgalmi szabályok pl.: adatroaming engedélyezése/tiltása
- Szinkronizálási ütemezés
- Hotspot-engedélyezés/tiltás (igen fontos, mivel az engedélyezésével a felhasználó és a hotspotra csatlakozott felhasználók vagy támadók kollektíve megkerülhetik webes szabályzatunkat)
- A szabályzást ki lehet terjeszteni a hívásokra vonatkozóan is, ahol lehetőség van tiltani a nemzetközi, emelt díjas vagy magáncélból indított hívásokat.
