Mobil eszközök biztonsági problémái
Előházi JánosZMNE doktorandusz
J2EE szoftver fejlesztőWalt Disney Internet Group, International Engineering
Mobil eszközök biztonsági problémái
2
Mobil eszközök
• Okos telefonok– Windows Mobile– Blackberry– 3G telefonok
• PDA-k– 3G vagy GSM képesség– WiFi
• Tablet PC-k
• Notebookok
Mobil eszközök biztonsági problémái
3
Felhasználási területek
• Hozzáférés a vállalati erőforrásokhoz– E-mail postafiókok– Dokumentum-hozzáférés – Intranet hozzáférés
• Személyi kommunikációs megoldások– Azonnali üzenetküldő rendszerek– Mobiltelefónia
• Általánosnál nagyobb tudással rendelkező eszközök– Mobiltelefon Blackberry
• Felhasználhatóak személyes célokra is– Vállalati és személyes adatok keveredése
Mobil eszközök biztonsági problémái
4
Tulajdonságok
• Egyre kisebb méret• Sok funkció
– E-mail– Internet– Kommunikáció
• WiFi• 3G vagy GSM• Bluetooth
• Nagy tároló kapacitás– 1Gbyte – 100Gbyte
• Korlátozott számítási kapacitás– 300MHz – 1-2GHz
• Korlátozott energia• Sok féle operációs
rendszer• Biztonsági hiányosságok
– Tűzfal– Vírusvédelem– Vezeték nélküli
megoldások
Mobil eszközök biztonsági problémái
5
Adattípusok
• Személyes adatok– Kapcsolati információk– Szöveges és képi információk– Tárolt személyes adatok (pl.: bankkártya információk)
• Üzleti adatok– Munkavégzés során keletkező dokumentumok– Levelezési információk
• Hozzáférési információk– Mentett jelszavak– Személyes és üzleti hálózatokhoz való hozzáférés
Mobil eszközök biztonsági problémái
6
Fenyegetettségek
• Fizikai hozzáférés veszélye– Elvesztés– Eltulajdonítás
• Tárolt adatokhoz való hozzáférés– Kommunikáció során– Fizikai hozzáférés során
• Vezeték nélküli kommunikáció– Bluetooth– WiFi
Mobil eszközök biztonsági problémái
7
Problémák
• Keletkező károk– Anyagi károk: eszköz értéke– Eszmei károk: elveszett és kompromittálódott információk
• Menedzsment problémák– Heterogén összetétel Vállalati IT menedzsment
• Szoftver menedzsment problémák– Felhasználás menedzsment
• Policy-rendszer készítése és betartatása• Személyes célokra való felhasználás is
• Sokféle támadási felület– Bluejacking– Vírusok– Tárcsázó programok– Spoofing– Szoftver hibák
Mobil eszközök biztonsági problémái
8
Támadási példák - Bluetooth
• Bluesnarfing: teljes információ-hozzáférés, hívások átirányítása– 2003-2004 között– SW frissítéssel megoldották, BT rejtett üzemmódban nem lehetséges
• Bluebugging: BT utasítások végrehajtása a felhasználó tudta nélkül. Implementálási hiba.
• Bluejacking: BT névjegykártyaküldő funkció kihasználásával üzenetek küldése más eszközökre.
• DoS támadások: BT párosítás-kérés addig, amíg a másik eszköz le nem merül
A BT protokoll szabvány a támadási teszteken hibátlanul szerepelt, azonban az implentálása során vétett
programozói hibák tették sebezhetővé a gyakorlatban.
Mobil eszközök biztonsági problémái
9
Támadási példák - WiFi
• Legnagyobb probléma: rádiós kommunikáció mindenki „hallja”– Titkosítás szükségessége
• WEP – nem elég erős kulcsok alkalmazása, könnyű visszafejtés• WPA – erős titkosító algoritmusok, authentikációs szerver
– Felderíthetőség– Routerek védtelensége
• SSID elrejtése• Alapértelmezett adminisztrációs jelszó megváltoztatása
• Támadások– Lehallgatás– Man in the middle támadás– Jogosulatlan hálózathasználat és hozzáférés a hálózat
eszközeihez
Mobil eszközök biztonsági problémái
10
Támadási példák – Fizikai hozzáférés
• Következmények– Elvesztés - Eltulajdonítás– Tárolt személyes és üzleti adatokhoz és egyéb erőforrásokhoz
való hozzáférés– Információval való visszaélés– Eszköz felhasználásával megszemélyesítés– Információvesztés
• Védekezés– Több pontú azonosítás
• Biometriai• Tudás alapú• Birtok alapú
– Tárolt adatok hardveres vagy szoftveres erős titkosítása– Rendszeres biztonsági mentések készítése
Mobil eszközök biztonsági problémái
11
Általános védekezési lehetőségek
• Humán rizikó faktor csökkentése– Oktatás– Felelősségi körök tisztázása– Szabályrendszer megalkotása és betartatása
• Hozzáférés szabályozás– Azonosítás: tudás-, birtokalapú, biometriai– Automatikus adattitkosítás
• Szoftveres• Hardveres
• Biztonsági mentések készítése• Vírusvédelem (ahol lehetséges)• Kommunikációs védelem
– Tűzfalak– Oktatás
• Folyamatos szoftverkarbantartás– Nehézkes megoldások
Mobil eszközök biztonsági problémái
12
Konklúzió• Legnagyobb rizikófaktor a felhasználó
– Felelőtlenség– Nem megfelelő fokú ismeretek
• Heterogén eszközrendszer nehéz és korlátozott karbantarthatósága
• Szerteágazó megoldások– Sokféle eszköz, mind különböző megoldást igényel
• Szabályozások hiánya vagy figyelmen kívül hagyása
• IT támogatás hiányossága
• Összetett, de nem lehetetlen feladat
Köszönöm a figyelmet!
Top Related