11/07/2013

Czy masz szpiega w kieszeni?

Porady

Jeżeli przyjmiemy, że komputery są stosunkowo niedawnym wynalazkiem, urządzenia mobilne będą w tej skali odniesienia niewiarygodnie nowe. Tak jak przez większą część ostatnich dwóch lub trzech dekad zastanawialiśmy się, jak zabezpieczyć tradycyjny komputer, przed nami prawdopodobnie długa droga również jeśli chodzi o bezpieczeństwo mobilne.

45_perils_securing_mobile

Smartfony i tablety mają wszystko, i jeszcze więcej, w porównaniu z komputerami osobistymi, które same w sobie stanowią wyzwanie dla bezpieczeństwa. O wiele większym problemem jest jednak to, że urządzenia te „egzystują” w kieszeniach oraz torebkach i towarzyszą nam niemal wszędzie, gdzie się udajemy. W przeciwieństwie do komputera stacjonarnego, który jest umieszczony na biurku i połączony ze ścianą kablem, urządzenia mobilne można bardzo łatwo zgubić.

Zagrożenia związane z komputerami PC są dość podobne do tych, z jakimi stykamy się, korzystając z urządzeń mobilnych, istnieją jednak kluczowe różnice: komputery PC (oraz w mniejszym stopniu laptopy) nie są mobilne. Smartfony i tablety możemy zabrać ze sobą. Są wyposażone w kamery i systemy GPS. Ich lokalizacja jest nieustannie śledzona przez dostawców usług mobilnych. Wykorzystujemy je do wysyłania e-maili i SMS-ów, dzwonienia i przeglądania internetu, czasami przy użyciu niechronionych sieci bezprzewodowych. W urządzeniach mobilnych przechowujemy mnóstwo informacji o płatnościach i innych wrażliwych danych, często logujemy się do sklepów i pobieramy aplikacje stworzone przez ludzi, o którym nie wiemy praktycznie nic.

Podobnie jak w przypadku tradycyjnych PC-tów, wszystko to może być monitorowane a nawet ukradzione przez istniejące szkodliwe programy lub cyberprzestępcze twory, które powstaną już wkrótce. Mało kto zdaje sobie sprawę z tego, że urządzenia mobilne otwierają przed cyberprzestępcami znacznie więcej potencjalnych możliwości ataków niż komputery.

Dodatkowo, w przypadku urządzeń mobilnych mamy do czynienia z zagrożeniami, które w ogóle nie istnieją w świecie komputerów. Weźmy na przykład ładowanie – większość smartfonów posiada pewien rodzaj portu USB wykorzystywanego do napełniania baterii drogocennym prądem. Ten sam przewód służy nam najczęściej jednocześnie do ładowania i wymiany danych. W teorii możliwe jest zatem wykradanie danych przy użyciu spreparowanej ładowarki. Możesz myśleć, że jest to grubymi nićmi szyte, ale wyobraź sobie sytuację, gdy jesteś w pubie i potrzebujesz szybko podładować swój telefon. Prosisz wtedy barmana o pożyczenie ładowarki i nie wiesz, co tak naprawdę od niego dostajesz. A co, gdy twój telefon umiera na lotnisku? Jak przyjaciel może cię odebrać, skoro nie wie, że twój samolot już wylądował? A przecież nikt nie ma ochoty przesiadywać na lotnisku. Wpinasz zatem swój telefon do jednej z tych publicznych ładowarek, które można znaleźć w różnych miejscach, nie wiedząc do kogo ona należy, ani jaki sprzęt znajduje się wewnątrz.

Zgubienie lub kradzież urządzenia to także raczej domena środowiska mobilnego. Jasne, możliwe jest zgubienie laptopa, jednak jest on znacznie większy niż smartfon i z pewnością trudniej o nim zapomnieć. Złodziej mógłby zbiec z twoim PC-tem, jednak najpierw musiałby się włamać do twojego mieszkania.

Niedawno w internecie pojawiła się informacja o koncepcie szkodliwej aplikacji mobilnej opracowanej przez amerykańską armię. Aplikacja ta potrafi potajemnie włączyć kamerę w telefonie, robić zdjęcia i wysyłać je do swoich twórców. Kod wykorzystywany w aplikacji daje także możliwość tworzenia map pomieszczeń na podstawie zrobionych zdjęć. Funkcje te mogą dać atakującemu możliwość szpiegowania, gromadzenia informacji a nawet przeprowadzenia wizji lokalnej bez fizycznej obecności. Oczywiście większość laptopów także posiada kamerę, ale jednak laptopów nie nosimy przez cały czas przy sobie.

Podobne możliwości są dostępne w przypadku mikrofonów naszych telefonów. Trudno o łatwiejsze narzędzie do podsłuchu. Napastnik może nawet śledzić twoje położenie dzięki modułowi GPS, aby wiedzieć, kiedy pojawi się najlepszy moment na dokonanie włamania do twojego domu.

W smartfonie bez wielkiego trudu można zainstalować szkodliwy program, który będzie zapisywał wszystkie połączenia. Atakujący będzie mógł podsłuchiwać twoje rozmowy, czytać twoje e-maile i SMS-y, kraść hasła do wszystkich twoich profili na portalach społecznościowych, a co gorsza – do usług finansowych także. Jeżeli zatem dobrałbym się do Twoich danych bankowych, potencjalnie mógłbym zmienić twoje hasło, przelać wszystkie twoje pieniądze na swoje konto, a nawet zmienić adres e-mail lub adres fizyczny powiązany z twoim kontem i wysłać sobie kopię karty płatniczej, by na twój koszt zaszaleć z zakupami. Oczywiście nie zrobię tego, bo jestem miły i lubię cię, jednak jest dużo ludzi, którzy myślą inaczej niż ja i zrobiliby to bez wahania.

W ramach dodatkowej pracy uczę dzieci pływać i bardzo często widzę, że moi młodzi uczniowie noszą ze sobą całkiem wypasione smartfony. Zastanawiam się, czy w tych telefonach przechowywane są informacje o kartach płatniczych ojców i matek. Innymi słowy, wielu z nas daje swoim dzieciom smartfony wyładowane wrażliwymi informacjami!

Dobra wiadomość jest taka, że powstają coraz lepsze narzędzia mobilnego bezpieczeństwa. Wraz z każdą nową wersją systemów operacyjnych ich twórcy dodają nowe funkcje ochrony, takie jak opcja „znajdź mojego iPhone’a” wprowadzona przez Apple. Niemal każde urządzenie posiada funkcję pozwalającą na zdalne wymazanie jego zawartości – tak na wszelki wypadek. Ponadto, wszyscy stajemy się coraz mądrzejsi. Jeszcze kilka lat temu przeciętny użytkownik komputera czy urządzenia mobilnego nie wiedział o bezpieczeństwie prawie nic. Spektakularne akcje cyberprzestępców, takie jak Stuxnet, przyciągnęły uwagę mass-mediów i zbudowały świadomość zagrożeń u nas wszystkich. Cieszy także to, że obecnie każde porządne rozwiązanie bezpieczeństwa mobilnego oferuje technologię, dzięki której możemy spać spokojnie.

Zagrożenia związane z ładowaniem, o których pisałem wyżej, można łatwo wyeliminować. Zawsze miej ze sobą zapasową ładowarkę, a gdy wyjeżdżasz za granicę, zadbaj o przejściówki, byś nie został zaskoczony nietypowym gniazdkiem na ścianie. Ja mam dwie zapasowe ładowarki – jedną w samochodzie, a drugą w moim plecaku. Gdy ładuję telefon w miejscu publicznym, nigdy nie spuszczam go z oczu. Czasem jest to uciążliwe lub nawet niemożliwe, ale uważam, że lepsza martwa bateria niż skradziony lub zainfekowany smartfon. Jeżeli boisz się, że ktoś ukradnie Twój sprzęt, aktywuj funkcje pozwalające na zdalne wymazanie danych. Wiem, utrata telefonu jest bolesna, ale udostępnienie przestępcy wszystkich twoich informacji, łącznie z kontami online, jest znacznie gorsze. Nie zapominaj także o haśle, które zabezpieczy ekran startowy smartfona. Fakt, doświadczeni cyberprzestępcy potrafią łamać takie zabezpieczenia, ale dla typowego złodzieja czterocyfrowy kod będzie wystarczającą barierą.

Jeżeli jesteś paranoicznie ostrożny i bardzo martwisz się o bezpieczeństwo danych, które przechowujesz w swoim smartfonie, użyj pełnego szyfrowania pamięci (w systemie Android). Jeżeli korzystasz z urządzeń z iOS-em zaszyfruj dane w chmurze iCloud oraz lokalne kopie zapasowe wszystkich twoich iUrządzeń.