Bezpečnosť mobilných aplikácií
Používanie smartfónov a ďalších mobilných zariadení je v súčasnosti rozšírené tak, ako ešte nikdy pred tým. Tento trend sa prejavuje aj v organizáciách pri výbere služobných telefónov. Manažéri, vedúci pracovníci, ale aj mnohí iní zamestnanci tak dostávajú k dispozícií moderné zariadenia a každodenne využívajú ich výhody. Pri používaní chytrých telefónov však často dostáva pohodlie používateľa prednosť pred zabezpečením zariadení a údajov v nich uložených.
Mnohí používatelia naďalej telefóny vnímajú rovnako ako pred desiatimi rokmi a neuvedomujú si, že smarftóny predstavujú malé počítače. Kým zabezpečenie počítačov a počítačových sietí majú jednotlivé organizácie viac či menej podchytené v bezpečnostnej politike, na zabezpečenie smartfónov sa väčšinou zabúda. A pritom práve v smartfónoch môžu byť uložené veľmi citlivé a cenné informácie.
Ako príklad spomeňme firemnú emailovú komunikáciu a dokumenty. V prípade kompromitácie zariadenia môže smartfón poslúžiť útočníkom aj ako odpočúvacie zariadenie.
Používanie smartfónov prináša nové bezpečnostné riziká, ktoré by mala každá organizácia dôkladne zvážiť predtým, ako povolí používanie týchto zariadení svojím zamestnancom. V prvom rade je potrebné zabezpečiť, aby nedošlo k úniku firemných údajov a to ani v prípade straty či odcudzenia telefónu. Taktiež je dôležité zabezpečiť, aby sa mobilné zariadenia nestali vstupnou bránou pri prieniku do internej infraštruktúry organizácie.
Bezpečnostná politika organizácie by mala obsahovať pravidlá pre zabezpečenie zariadení proti krádeži a zneužitiu (napr. telefóny s citlivými údajmi nenechávať bez dozoru, mať ich uložené v uzamykateľných priestoroch, umožniť ich vzdialené vymazanie a zablokovanie) a zákaz inštalovania nedôveryhodných a neschválených aplikácií (ideálne povoliť inštaláciu aplikácií iba z vlastného úložiska organizácie). Bezpečnostná politika by taktiež mala zahŕňať požiadavky na pravidelnú kontrolu dostupných aktualizácií a ich aplikovanie. Je potrebné aj monitorovanie nových hrozieb a zraniteľností, pre ktoré nie sú dostupné aktualizácie (napr. z dôvodu skončenia podpory od výrobcu mobilného zariadenia), a vyhodnocovanie dopadov takýchto hrozieb na bezpečnosť organizácie. Taktiež je potrebné obmedziť prístup z mobilných zariadení do internej siete organizácie (napr. vytvoriť pre ne oddelenú a dobre zabezpečenú bezdrôtovú sieť a umožniť z nej prístup iba k tomu, čo je nevyhnutné).
Samozrejmosťou by malo byť vybavenie každého zariadenia antimalvér riešením a použitie dostatočne silnej kryptografie na ochranu citlivých údajov v zariadení. Rovnako by sa bezpečnostná politika mala venovať aj problematike zálohovaniu zariadení (napr. určiť, kam sa môžu ukladať šifrované zálohy, a určiť, akým spôsobom prebieha zálohovanie). V neposlednom rade je tiež dôležité obmedziť bežné surfovanie na Internete, napr. na základe zoznamu povolených webových stránok.
Mobilné aplikácie
Používanie chytrých mobilných telefónov zvyšuje produktivitu práce najmä vďaka mobilným aplikáciám, ktoré zjednodušujú alebo urýchľujú niektoré biznis procesy. Napriek tomu však mobilné aplikácie predstavujú zvýšené bezpečnostné riziko.
Ľahká dostupnosť mobilných aplikácií prostredníctvom distribučných služieb ako Google Play či App Store umožnila veľký nárast počtu mobilných aplikácií, avšak v mnohých prípadoch na úkor kvality. Začínajúci vývojári, ale aj niektoré väčšie spoločnosti vo svojich produktoch uprednostňujú funkcionalitu pred bezpečnosťou, a tak je bežné, že aplikácie posielajú citlivé údaje (vrátane hesiel a kľúčov) nezašifrované na Internet alebo ich nezašifrované ukladajú na pamäťové karty, kde si ich môžu prečítať iné aplikácie. Ďalší problém predstavujú zraniteľnosti v implementácii alebo v logike aplikácií, ktoré môže útočník zneužiť na prístup k údajom používateľa, prípadne na spustenie škodlivého kódu a prevzatie kontroly nad zariadením a následný prienik do internej infraštruktúry organizácie.
Nemenej dôležitým rizikom sú nevhodné používateľské návyky. Pri používaní mobilných aplikácií je potrebná aspoň taká úroveň ostražitosti a podozrievavosti, ako pri klasických aplikáciách. Ako príklad uveďme činnosť, na ktorú sú chytré telefóny využívané veľmi často, a to emailovú komunikáciu. Podvodný email je stále podvodný email, bez ohľadu na to, či ho príjemca otvorí na počítači alebo na mobile. Na počítači si však používateľ vie skontrolovať URL, na ktoré smerujú odkazy v emailoch. V mobilných emailových klientoch však zvyčajne túto možnosť nemá a je tak pravdepodobnejšie, že používateľ smartfónu alebo tabletu odkaz smerujúci na škodlivú stránku otvorí.
Preverovanie bezpečnosti mobilných aplikácií
Vhodným opatrením na predchádzanie vzniku rizika môže byť okrem pravidelného školenia zamestnancov aj zavedenie procesu preverovania bezpečnosti mobilných aplikácií. Proces preverovania by mal pozostávať z dvoch častí: testovania aplikácií a následného schvaľovania aplikácií.
Testovanie aplikácií
Administrátor organizácie by mal každú novú aplikáciu podrobiť procesu preverovania: po získaní aplikácie (či už priamo od vývojára alebo z distribučnej služby) ju odošle analytikom na testovanie. Analytici aplikáciu otestujú na prítomnosť zraniteľností, pričom toto testovanie je možné uskutočniť viacerými spôsobmi. Testovanie môže obsahovať statickú alebo dynamickú analýzu aplikácie, teda analýzu jej dekompilovaného zdrojového kódu alebo spustenie aplikácie a sledovanie jej činnosti v závislosti od rôznych vstupov a operácií. Toto testovanie môže byť aj automatizované. Výhodu automatizovaného testovania je rýchlosť analýzy a náklady na ňu, avšak nevýhodou môže byť menšia spoľahlivosť a neodhalené zraniteľnosti, ktoré by skúsený analytik pri statickej analýze odhalil.
Analytikmi môžu byť interní zamestnanci organizácie, prípadne aj externí dodávatelia takejto služby, nakoľko proces testovania aplikácií je zameraný na odhalenie bežných softvérových zraniteľností.
Súčasťou analýzy pri procese testovania by malo byť aj vyhodnotenie rizík vyplývajúcich z nájdených zraniteľností a ich dopadu na bezpečnosť organizácie.
Schvaľovanie aplikácií
Po ukončení testovania aplikácie zhodnotí audítor výsledky testovania. Audítor zohľadní pri tomto hodnotení do úvahy aj vyhodnotenie rizík a bezpečnostnú politiku organizácie. Následne vypracuje odporúčanie pre prijatie, resp. zamietnutie testovanej aplikácie a toto odporúčanie dá na posúdenie poverenému vedúcemu pracovníkovi organizácie. Ten na základe podkladov od audítora rozhodne o nasadení aplikácie v danej organizácii.
Po definitívnom schválení aplikácie môže administrátor inštalovať aplikáciu na zariadenia používateľov. Netreba však zabúdať, že všetky zmeny, inštalácie nových aplikácií a ich aktualizácie by mali podliehať politike pre riadenie zmien a manažment záplat rovnako, ako pri ostatných informačných systémoch a aplikáciách organizácie.
V prípade zamietnutia aplikácie môže organizácia spolupracovať s vývojárom na odstránení nájdených zraniteľností. Organizácia taktiež môže nájsť alternatívnu aplikáciu s požadovanou funkcionalitou, ktorá však vyhovie procesu preverovania bezpečnosti.
Príprava procesu preverovania
Organizácia, ktorá plánuje zaviesť proces preverovania bezpečnosti mobilných aplikácií, by sa naň mala dôkladne pripraviť. Je potrebné vypracovať požiadavky na bezpečnosť aplikácií a zahrnúť ich do bezpečnostnej politiky organizácie a vyhradiť zdroje (finančné aj ľudské) pre tento proces. Zároveň si musí byť organizácia vedomá výhod aj obmedzení procesu preverovania.
Bezpečnostné požiadavky kladené na aplikácie je vhodné rozdeliť na dve skupiny, všeobecné a špecifické požiadavky. Všeobecné požiadavky sa týkajú samotnej aplikácie, jej funkcionality a zabezpečenia a mali by byť kontrolované v procese testovania (napr. zraniteľnosti, šifrovanie údajov). Špecifické požiadavky sa týkajú spôsobu používania aplikácie a mali by byť zohľadnené audítorom v procese schvaľovania (napr. aplikácia vyžadujúca prístup na Internet musí byť používaná v oddelenej sieti).
Obmedzenia procesu preverovania spočívajú v možnosti neodhalenia niektorých zraniteľností. Taktiež ani po technickej stránke dôkladne zabezpečená aplikácia nemusí byť zárukou bezpečnosti organizácie, ak zlyhá ľudský faktor. Proces preverovania nepreveruje používateľské návyky a samotných používateľov je potrebné dôkladne poučiť o bezpečnosti pri používaní mobilných aplikácií. Takiež preverovanie neodhalí zatiaľ neznáme zraniteľnosti operačného systému smartfónu.
Odporúčania
Organizáciám, ktoré používajú služobné mobilné zariadenia [1], odporúčame prispôsobiť bezpečnostnú politiku organizácie s ohľadom na riziká vyplývajúce z nasadenia mobilných technológií. Taktiež je vhodné zaviesť proces preverovania bezpečnosti mobilných aplikácií ako je uvedené vyššie. Pri tvorbe bezpečnostnej politiky a bezpečnostných požiadaviek kladených na mobilné aplikácie je vhodné uvažovať nasledovné skutočnosti:
- špecifické bezpečnostné potreby organizácie, napr. ochrana osobných údajov, utajovaných skutočností, informácií o kritickej infraštruktúre, obchodného alebo listového tajomstva,
- používatelia, ktorí potrebujú využívať mobilné aplikácie,
- podmienky, za ktorých môžu/nemôžu byť použité mobilné aplikácie,
- citlivé údaje uložené v mobilných zariadeniach a ich ochrana aj v prípade straty; citlivé údaje, ku ktorým je možné pristupovať pomocou mobilných zariadení,
- charakteristika útočníkov a útokov, ktorými môže byť zasiahnutá organizácia,
- prostredie, v ktorom sa môžu používať mobilné zariadenia (napr. verejné WiFi siete, VPN),
- zálohovanie, monitorovanie bezpečnostných zraniteľností a aktualizácií,
- dôveryhodnosť procesu preverovania vykonaného inou organizáciou,
- počet aplikácií, ktoré musia prejsť procesom preverovania, čas a náklady takéhoto preverovania.
Používateľom mobilných aplikácií odporúčame uvažovať o smartfónoch ako o prenosných počítačoch a na základe toho vnímať ich bezpečnosť a dbať na zvýšenú opatrnosť pri ich používaní. Taktiež odporúčame dodržiavať nasledovné pravidlá:
- nepoužívať služobné mobilné zariadenia na súkromné účely a neukladať do nich súkromné údaje,
- ukladať do mobilných zariadení čo najmenej citlivých údajov,
- šifrovať uložené údaje,
- ak aplikácie ponúkajú bezpečnostné funkcie, povoliť ich,
- zakázať automatické sťahovanie príloh a multimediálneho obsahu v emailoch a MMS správach,
- neotvárať nedôveryhodné emaily, nenavštevovať nedôveryhodné webstránky, pri kliknutí na odkazy si poriadne rozmyslieť, či je to nutné, nakoľko na rozdiel od klasických PC používatelia mobilných telefónov nevidia, kam odkaz skutočne smeruje,
- nepripájať sa na verejné WiFi siete, prípadne používať VPN,
- vypnúť možnosť automatického pripájania sa k bezdrôtovým sieťam a vypnúť aktuálne nepoužívané bezdrôtové adaptéry a senzory (WiFi, Bluetooth, NFC, GPS, …),
- nenechávať zariadenie bez dozoru a chrániť ho pred odcudzením,
- použiť odomykacie heslo/vzor, v prípade použitia odomykacieho vzoru dávať pozor na stopy prstov na displeji,
- neobchádzať bezpečnostné opatrenia nastavené správcami, neinštalovať nepovolené aplikácie,
- neobchádzať bezpečnostné opatrenia zariadení („root“, „jailbreak“),
- pravidelne zálohovať údaje.
Administrátorom mobilných zariadení navyše odporúčame:
- kontrolovať nastavenia mobilných zariadení používateľov,
- inštalovať iba schválené aplikácie,
- aktualizovať operačný systém,
- aktualizovať nainštalované aplikácie po preverení aktualizácie,
- aktivovať vzdialené vymazanie údajov na zariadení a vzdialené uzamknutie zariadenia (ochrana pred krádežou zariadenia),
- sledovať aktuálne trendy v oblasti bezpečnosti mobilných aplikácií a zariadení, reagovať na nájdené zraniteľnosti,
- implementovať systém na vzdialený manžment mobilných zariadení (MDM –Mobile device management) s podporou logovania prístupov, inštalovaných aplikácií a s možnosťou kontroly sieťových prístupov.
Referencie
- ISO/IEC 27002:2013
- NIST SP 800-163 Vetting the Security of Mobile Applications
[1] Použitiu súkromných mobilných zariadení vo firemnom prostredí (BYOD) sa budeme venovať v samostatnom článku