Vianoce v ITnetwork sú tu! Dobí si teraz kredity a získaj až 80 % extra kreditov na e-learningové kurzy ZADARMO. Zisti viac.
Hľadáme nové posily do ITnetwork tímu. Pozri sa na voľné pozície a pridaj sa k najagilnejšej firme na trhu - Viac informácií.

15. diel - Základné bezpečnostné opatrenia pri mobilných telefónoch

V predchádzajúcej lekcii, Bezpečnosť pracovného priestoru - Možnosti ochrany , sme sa dozvedeli o najdôležitejších opatreniach na zabezpečenie pracovného priestoru proti narušeniu útočníkom.

V dnešnom tutoriále zameriame svoju pozornosť na mobilné telefóny. Povieme si, aké bezpečnostné riziká ich použitie prináša a zhrnieme si základné opatrenia na ich minimalizáciu.

Základné bezpečnostné charakteristiky mobilných telefónov

Termínom mobilné telefóny rozumieme chytré telefóny (SmartPhones), teda zariadenia Android a iOS. Tie sú dnes už skôr vreckovými počítačmi s funkciami telefónu. Z bezpečnostného hľadiska predstavujú veľmi rozporuplnú záležitosť.

Bezpečnostné výhody mobilných telefónov

Na jednej strane sa od začiatku vývoja mobilných telefónov počítalo s tým, že bezpečnosť bude ich dôležitou funkciou, a tak je množstvo opatrení zahrnutých už v ich návrhu. To je významný rozdiel napr. od osobných počítačov s Windows, do ktorých sa obdobné bezpečnostné funkcie až neskôr as oneskorením postupne dorábali. Ide najmä o návrh OS a správy aplikácií, ktorý u SmartPhones predstavuje ohromné bezpečnostné plus.

Tieto požiadavky s dobou ešte gradovali a asi nikto nepochybuje, že ešte gradovať budú. Ako príklad uveďme pridávané funkcie pre platby a všeobecne ich prepojenie s bankovým sektorom, predtým vždy oddeleného. Ďalší vývoj smeruje napríklad k začleneniu štátom uznávaných dokladov, preukazov atď.

Štátna mašinéria je v tomto tradične pomalšia a typicky tak 15 rokov pozadu za aktuálnym stavom techniky, ale postupne sa na tom už tiež pracuje, ako sa dozvieme ďalej.

Na rozdiel od iných oblastí informatiky sa do zabezpečenia mobilných telefónov stále výrazne investuje a ich vývoj ide dopredu spolu s posilňovaním bezpečnostných prvkov.

Bezpečnostné riziká mobilných telefónov

Na stranu druhú sa jedná o veľmi exponované zariadenie, ktoré je z mnohých dôvodov ľahko zraniteľné. Existuje aj množstvo osôb a inštitúcií, ktoré majú záujem na jeho prelomení. Môže ísť o pokusy o klasickú krádež peňazí, cenných informácií alebo sledovanie či odposluch dotyčného. To všetko vedie aj k výrazným investíciám do technológií, ktoré majú zabezpečenie mobilných telefónov naopak prelomiť.

Bohužiaľ stále existuje aj mnoho ľudí, ktorí sú ochotní zaplatiť za možnosť sledovať, čo si jeho partner píše s ostatnými napríklad na Facebooku. Výsledkom je potom väčšinou len zistenie, že to vlastne vedieť nechceli.

Kritické miesta mobilných telefónov

Pri zabezpečovaní mobilných zariadení musíme mať na pamäti nasledujúce skutočnosti:

  • Mobil používajú aj ľudia, ktorým slová „kybernetická bezpečnosť“ hovoria asi toľko, čo väčšine ľudí „kvantová fluktuácia vákua“. Máme tu teda klasický problém s užívateľom.
  • Mnoho užívateľov si do mobilu inštaluje množstvo aplikácií. Je pravda, že OS poskytujú riadenie práv na úrovni kernela pre Android alebo dokonca aj niečo na spôsob SandBoxu pri iOS zariadeniach. Inštalácia je navyše v predvolenom stave povolená iba z oficiálneho úložiska, kde sú aplikácie na výskyt "nežiaduceho správania" do istej miery kontrolované. Každá ďalšia inštalácia ale aj tak predstavuje vyššie bezpečnostné riziko.
Záujemcov odkážem na aféru z roku 2021, kedy bol odhalený profesionálny spyware izraelskej organizácie NSO Group nazvaný Pegasus.
  • Ďalším problémom je ľahký fyzický prístup k zariadeniu. Na rozdiel od bežného počítača nebýva väčšinou problém sa k zariadeniu aspoň na chvíľu fyzicky dostať, pretože ho nosíme a odkladáme skoro všade.
  • SmartPhones dlhšiu dobu trpeli nedostatkami v hardvérovom zabezpečení. Ako dlho trvalo aspoň to, aby výmena batérie za kompromitovanú nebola otázkou pár sekúnd (iPhone z toho vynímajúc)? A pritom tento spôsob možného útoku na každého hackera priam kričí!
  • Posledné riziko predstavuje potreba overovať používateľa každú chvíľu, ľahko a hlavne rýchlo. To viac-menej znemožňuje použiť klasickú, spoľahlivú a osvedčenú metódu spočívajúcu v zadávaní bezpečného hesla.
Limity zabezpečenia mobilných telefónov

Väčšina klasických aplikácií je navrhnutá dobre. Ich prelomenie, pokiaľ dodržujeme nejaké základné pravidlá bezpečného používania, je pre bežného útočníka prakticky nemožné. Jedná sa o bankové aplikácie a niektoré "peňaženky", väčšinu správcov hesiel, TOR Browser, WhatsApp, Signal atď.

Potom sú aplikácie, ktoré prelomia celkom ľahko aj priemerný hacker, napr. už spomínaný Facebook.

Pokiaľ stojíme proti profesionálom a máme bežne dostupný telefón, tak sa o jeho zabezpečenie snáď ani nesnažme. Tí môžu totiž disponovať (niekedy aj neoficiálnym) prístupom k službám operátora, zariadeniami ako je napríklad Agáta ("IMSI cather") alebo ďalším forenzným softvérom.

Svoj telefón ďalej najskôr nikdy nezabezpečíme pred vreckovými zlodejmi, ktorí si ho od nás bez problémov kedykoľvek "vypožičia".

Hardvérové zabezpečenie a e-doklady

Základ skutočného zabezpečenia pri takomto type zariadenia spočíva najmä v hardvérovom zabezpečení. K tomu doplňme samozrejme patričné znalosti užívateľov. Všade a stále platí, že každý nepoučený používateľ predstavuje vyššie bezpečnostné riziko.

Hardvérové zabezpečenie sa snáď podstatne zlepší, až v mobiloch budú aj štátom uznávané doklady. V súčasnosti sú už schválené zariadenia spĺňajúce eIDAS. Ide o zabezpečenie už na veľmi slušnej úrovni. Na obzore je snáď už aj európska "občianka v mobile", ktorá by u nás mohla využívať aplikáciu eDokladovka a mojeID.

Zásady bezpečného používania mobilných telefónov

Než sa vývoj mobilných telefónov posunie ďalej, snažme sa aspoň dodržiavať základné bezpečnostné zásady.

Pri dôverných jednaniach:

  • Použijeme šumové generátory. Ak nemusíme, nepoužívame telefónne hovory a už vôbec nie SMS. Pre komunikáciu zvolíme napr. WhatsApp alebo Signal (ten ale u nás nie je tak rozšírený a protistrana ho najskôr mať nebude).

Ideálnym riešením by bolo mať k dispozícii službu absolútneho zákazu SMS, ktorá by odosielateľovi automaticky vrátila správu typu: "Cieľová stanica z bezpečnostných dôvodov príjem SMS nepovoľuje". Ideálne by zahŕňala aj SMS systémové a konfiguračné. Taká služba bohužiaľ zatiaľ neexistuje.

  • Ďalej si v mobile nastavíme automatické odstraňovanie správ po nejakej dobe, v prípade Messengeru použijeme rovno "miznúce správy".
  • Neignorujeme prípadnú správu, že sa kľúč protistrany zmenil! V takom prípade sa iným spôsobom uistíme, že nový kľúč je skutočne jej (porovname si navzájom jeho kryptografický odtlačok). Môže totiž ísť o útok typu MITM, ktorý si popíšeme v nasledujúcich lekciách.
  • Nezabudneme, že aj keď je vlastný prenos E2E šifrovaný, stále sa dá bez problémov zistiť, že ste spolu komunikovali, kedy ste spolu komunikovali a koľko dát ste pri tom preniesli. Aj keď je napríklad váš partner technikou úplne nedotknutá panna, mohol si s trochou vynaliezavosti na to niekoho najať. A navyše má pravdepodobne dosť uľahčený fyzický prístup k vášmu telefónu.
Všeobecné bezpečnostné odporúčania

Aj pre telefóny potom platia všeobecné odporúčania, ktoré mnohokrát zazneli už v predchádzajúcich lekciách:

  • Do telefónu neukladáme informácie vyžadujúce vysokú úroveň zabezpečenia, najmä heslá. Môžeme si urobiť zvláštnu databázu hesiel alebo pre túto nižšiu úroveň používať heslá uložené v prehliadači. V žiadnom prípade ich nemiešajme s heslami C2+!
  • Pokiaľ ideme na schôdzku, ktorá má zostať skutočne súkromná, necháme telefón jednoducho doma alebo ho aspoň vypneme.
  • Aj keď bežne používame biometrické overenie, je aj pri telefóne základom bezpečnosti stále heslo. To platí aj keby sme mali najmodernejšiu ultrazvukovú čítačku odtlačkov prstov, ktorá navyše kontroluje aj teplotu tela a krvné riečisko. Takáto technológia je nám fakt úplne k ničomu, keď sa potom do telefónu po reštarte dostaneme s heslom "1234567890" alebo "Simonka".
  • Pravidelne aktualizujeme softvér. Kritické sú samozrejme security updaty vlastného systému, ale úplne nezabúdajme ani na aplikácie. Vôbec neinštalujme aplikácie, ktoré sú v obchode úplne nové. Aplikácie z iných zdrojov neinštalujeme vôbec.
  • Aplikáciám prideľujeme čo najmenej práv. Čítame, o čo nás pri inštalácii žiadajú. Ak nejaké oprávnenie nepotrebujeme používať často, pridelíme ho jednorazovo. V momente, keď je oprávnenie aktuálne potrebné, nás oň aplikácia znovu požiada.
  • Žiadna služba umožňujúca prihlásenie, či obnovenie zabudnutého hesla len na základe zaslania jednorazového kódu na naše telefónne číslo alebo email, nie je úplne bezpečná už z princípu! Táto metóda má slúžiť iba ako dodatočná ochrana, nie ako hlavné overenie.
Telefón dnes predstavuje naše súkromie. Je to naša peňaženka, kľúčenka a čoskoro najskôr aj identita. Nedávame ho teda do ruky cudzím ľuďom pod žiadnou zámienkou. Pokiaľ už to musíme urobiť, aspoň ho vypneme. Telefón nenechávame nikde ležať bez dohľadu či uzamknutia.

V budúcej lekcii, Bezpečnosť kyberpriestoru a anonymita na internete , si bližšie popíšeme, ako funguje internetová komunikácia a zameriame sa na tému anonymity a (ne)dohľadateľnosti na internete.


 

Predchádzajúci článok
Bezpečnosť pracovného priestoru - Možnosti ochrany
Všetky články v sekcii
Kybernetická bezpečnosť
Preskočiť článok
(neodporúčame)
Bezpečnosť kyberpriestoru a anonymita na internete
Článok pre vás napísal David Janko
Avatar
Užívateľské hodnotenie:
1 hlasov
Autor se věnuje poradenství převážně v oblasti kybernetické bezpečnosti.
Aktivity