Mobil eszköz, mint biztonsági rés a vállalati tűzfalon
Azoknak akik eddig azt hitték, hogy az okostelefonok biztonságban vannak, hiszen a gyártó hermetikusan lezárta… Biztonság csak a fejben létezik…
Napjainkban egy munkavállaló mobil készülékét nem sebezhetőségként kezelni, meg nem engedhető luxus egy vállalat életében. IT biztonsági szakemberek szinte egyöntetűen vallják, hogy a vállalat informatikai védelme annyira erős mint a biztonságtechnikai kérdésben leggyengébben képzett dolgozó… És akkor képzeljünk el a mi nem annyira tech-guru munkatársunkat egy okostelefonnal… Egy hackernek ez ziccerhelyzet…
A dolgozók nem csak használják mobiljaikat, de gyakorlatilag össze vannak nőve velük, MINDENHOVA (értsd TÉNYLEG mindenhova, többek között illemhelyre is) magukkal hurcolják. Jelentős részüknél reggel az első teendők között szerepel a „kötelező kör” vagyis az emailek, szociális média oldalak, kedvenc blogok/oldalak felkeresése. Jobb esetben ezt otthonról vagy a munkahelyre érve teszi meg. Rosszabb esetben a szolgáltató (4G) hálózatán keresztül. Még rosszabb esetben a tömegközlekedve,vagy gyorséttermekben, kávézókban stb valami free wifi hálózatra kapcsolódva (!!!). És ez az utóbbi ami elkeserítő.
A mobilokat fenyegető támadásokat alapvetően 4 csoportra tudjuk osztani:
- Fizikai elérés,
- Kártékony kód,
- Tényleges támadások az eszöz ellen,
- Kommunikáció elleni támadások
1. Fizikai elérés
A mobilok kicsi, könnyen mozdítható, és pehelysúlyú eszközök, mely tulajdonságai ideálissá teszi utazási körülményekhez. Más szemszögből vizsgálva viszont ezen tulajdonságai miatt lehet könnyen ellopni/elhagyni, reptéren/taxiban/bárban felejteni. Mint minden más informatika eszköz esetében a fizikai hozzáférés jelen esetben is „game over”-t jelent. A legkifinomultabb ujjlenyomat leolvasó/arcfelismerő program, vagy a legfrisebb vírusvédelem is tehetetlen egy rosszindulatú támadóval szemben akinek fizikai elérése (és mivel a készülék már nála – rengeteg ideje) van.
A készüléket feltörve birtokunkban lesz egy csomó felhsználónév/jelszó páros, illetve a keychain-nek hála közvetlen elérést kapunk a vállalati emailekhez és a VPN (!!!!!)-hez is.
2. Kártékony kód
A mobilokat érintő úgynevezett „mailware”-es támadások alapvetően social engineering támadások , azaz a támadó megpróbálja trükkökkel rávenni az áldozatot, hogy a fertőzött kódot letöltse és futassa… Ez lehet egy PDF a főnöktől, vagy egy új applikáció amivel „mindenki könnyebben eléri majd a vállalti megosztást, hogy otthonról is tudjon majd dolgozni”. A lehetőségeknek csak a támadó fantáziája és felkészültsége szabhat határt (egy ilyen támadás előtt alaposan tanulmányozzák a célpontot, létrehozzák a profilját, szokásaival, kedvenc dolgaival háziállatainak, gyerekeinek nevével, személyes adataival stb. stb. pl MALTEGO nevű hackerek által kedvelt software, a neten talalható meta adatokból gyűjt információt – emailek, pdf-ek, képek, doc-ok, egyéb publikációk)
Mai napig használják még SMSben is, ahol a kapott linkre kattintva már meg is fertőződött az eszköz, de az okostelefonok terjedésével a Wifi és 4G hálózatok sokkal nagyobb lehetőséget rejtenek magukban így az erre irányuló támadások a napjainkban sokkal nagyobb számban vannak jelen.
3. Tényleges támadások az eszköz ellen
Olyan támadások amelyek közvetlenül a telefont támadják, leginkább a korai PC-ket ért támadásokhoz tudnám hasonlítani őket. Böngésző alapú támadások, buffer-túlcsordulás kihasználások, de rengeteg egyéb lehetőséget rejt magában ez a csoport. Az SMS és MMS szolgáltatások szinte sugárutak egy hackernek. Tipikusan adatlopásra irányulnak illetve a teljes kontroll elérése a cél az eszköz felett (hang, kamera, GPS követés).
Ritkán Ddos támadásoka használják (megosztott szolgáltatásmegtagadásos túlterhelés – sok kis eszközről rengeteg kérést küldenek összehangolva egy szerverre ami egy idő után nem képes kiszolgálni a rengeteg lekérdezést és összeomlik. Tipikusan akkor teszik ezt ha a server már fertőzött csak újraindítás kell a kártékony kód memóriába való írására…)
4. Kommunikáció elleni támadások
Londonban töltött 4 évem alatt rengeteget kellett tömegközlekednem… Egy normális ember könyvet fog vagy a telefonján játszik… Én az 1 órás utamon a legkülönfélébb dolgokkal probáltam szórakoztatni magam….
- Bluetooth sebezhetőségek felfedezése, Párosított eszközök szétkapcsolása és újrapárosítása egy másikkal..
- Ingyenes (100%ban monitorozott) hotspot megosztás a mobilomról a laptopomra, ami wifi routrként szórta magából a hívogató „FreeUndergroundWifi” hálőzatot. És a kapcsolódó kliensek már ontják is magukból az értékesebbnél értékesebb infókat. (bejelentkezési tokenek, session kódok). A laptop a hátizsákban, hozzá sem kell érni, majd otthon ellemzem a kinyert infőt… A rossz hírem az, hogy a technika SSL alatt is működik (SSL Stripe). Ez gyakorlatilag egy egyszerű MITM (Man in the Middle) támadás. A technika szépsége, hogy észre sem vették, hogy mi történt…Sokan arra is lusták, hogy az ingyen wifire történő automata csatlakozás lhetőségét kikapcsolják….
Nagyon komoly bejelentkezési infókat nyerhettem volna ki, de engem a dolog csak odáig érdekel mindig, hogy meg lehet-e valósítani, ha ténylegesen sikerült, és eléggé lesokkolt az eredmény – elengedem… (Természetesen ilyenkor minden begyűjtött adatot törlök)
Gondoljuk át a következőket
A fenti példánkból is jól látszik, hogy az általam indított „támadások” véletlenszerűek, nem célzott személy/cég ellen irányultak… Csak a 2 legsebezhetőbb portot támadtam, a mai okostelefonok számtalan más lehetőséget rejtenek magukban (ilyen pl a Samsung DShare, az NFC stb.) A fenti példák esetében nem vásároltam semmilyen egyéb segédezközt vagy hardwaret. A feketepiacon kevesebb mint 200 dollárért lehet venni StringRayt vagy IMSI Catchert amik gyakorlatilag hamis mobil adótornyok kicsit nagyobb mint egy bőrönd méretében… Ezzel aktualis hívást lehet valós időben monitorozni akár… de 2010ben GSM hívásokat sima RF antennával is lehetet sugározni/elkapni
https://www.wired.com/2010/07/intercepting-cell-phone-calls/
Szóval miért is áll 2 napja az a barna költöztető furgon a céges épületed előtt???
Mindent lát mindent hall…
Ha pedig az ember azt hinné , hogy legalább a gyártó által „folyamatosan ellenőrzött” piacon nem kell félnie, szintén rossz hírrel kell szolgálnom.
Rengeteg „ingyenes” (de napjainkban már tudjuk semmi sincs ingyen) applikáció szerepel ma is mind az iTunesban mind pedig az AppStoreban amik képesek hangot, képet, videót rögzíteni
Az olyan technológia mint a SilverPush, Android alkalmazásba beágyazva képes arra, hogy reklámokat TV műsorokat hallgasson a háttérben a felhaszáló tudta nelkül. Csak rá kell keresnünka reklámot figyelő alkalmazásokra a GooglePlay Áruházban és láthatjuk a hatalmas listát.
Bár ezek nem „malwarek” egy ilyen egyszerű dolog is aggdalommal tölti el a biztonságtechnikai dolgozókat. Az app ugyanis egyéb informáciőkat is gyűjt: IMEI szám (a készülék egyedi azonostója), OS verzió, tulajdonos tartozkodása stb.
Mi a megoldás?
A legújabb kutatási eredmények szerint a vállalatok 50% rendelkezik dolgozói állományában legalább egy fertőzött eszközzel.
Az EMM (Enterprise Mobility Management) egy megoldás lehet hiszen a vállalati hálózaton korábban regisztrált/párosított eszközök napi ellenőrzését végzi… Amennyiben bármilyen változás lép fel a mobil eszköz korábbi lenyomatához képesz risztást küld, illetve akár egy előre beállított munkafolyamat elindítására is utasíthatjuk, vagy ideiglenesen kizárhatjuk a fertőzött eszközt a hálózatról.
Emelett elengedhetetelen része kell legyen a dolgozók képzése, és a mobilokra alkalmazott házirend bevezetése az IT biztonsági házirendbe (minimum jelszó hosszúság és komplexitás, képernyőzár „lock out time” beállítása).
Hagyj üzenetet