Wszyscy jesteśmy zaczipowani, taka nasza natura - o (nie)bezpieczeństwach świata mobilnego

Smartfona ma chyba każdy. No prawie, bo osoby z pewnych grup wiekowych już chyba nie będą w stanie przyzwyczaić się do życia z wszechwiedzącą tabliczką, która tak naprawdę jest małym komputerem. Komputerem, bo potrafi wykonywać obliczenia i różne inne operacje. Myśląc o komputerze myślimy o bezpieczeństwie, bo już do tego się przyzwyczailiśmy. Antywirusy, pakiety zabezpieczające, to rzeczy, które towarzyszą nam na komputerach od lat. A w przypadku smartfonów?

Świadomość tego że są to też urządzenia podatne na ataki jest już spora, ale nadal pokutuje przekonanie, że możemy przed nimi się zabezpieczyć. Instalując aplikacje tylko z Google Play, czyli teoretycznie sprawdzone pod każdym względem, zakładając że jeśli przepisy czegoś zabraniają, to każdy będzie się do nich stosował. Ta naiwność sprawia, że usypiamy nasz instynkt, który powinien zawsze kazać być w stanie gotowości.

Oczywiście nie można dać się zwariować, ale wiedzmy, że pomysłowość cyberprzestępców, dla której pożywką jest funkcjonalność smartfonów (większa niż przeciętny ich posiadacz byłby w stanie sobie wyobrazić) nie ma granic.

Niebezpiecznik - to nie tylko newsowy serwis z branży cyberbezpieczeństwa

Na pierwszy ogień poszedł Niebezpiecznik.pl, którego reprezentował Maciej Maj. To serwis, z którym być może mieliście okazję się zetknąć. Można na nim przeczytać o niezwykle oryginalnych przypadkach wykorzystywania technologii dla niecnych celów. To miejsce, które stanowi źródło informacji o tym co złego może aktualnie się dziać w świecie technologii komputerowych (i mobilnych), niejako tablica informacyjna, z której dowiemy się na co należy uważać.

Jednak Niebezpiecznik.pl to nie tylko serwis, który w postaci ciekawych (i przerażających) newsów informuje nas o wydarzeniach związanych z naruszeniem cyfrowego bezpieczeństwa. To instytucja, której pracownicy zajmują się szkoleniami, doskonaleniem programistów (bo to ich błędy i zaniechania czynią świat technologii cyfrowych niebezpiecznym). To także miejsce gdzie firmy mogą liczyć na audyt gdy podejrzewają, że zabezpieczenia  ich infrastruktury komputerowej nie są idealne. I zazwyczaj tak jest.

Pracownicy Niebezpiecznika dysponują sporą wiedzą i elastycznością, która pozwala włamać się na badany system i wskazać w dokładnym raporcie co jest nie tak. Dlatego nie bądźmy zaskoczeni, że Niebezpiecznik.pl może wiedzieć coś lepiej, szybciej - oni są po prostu cały czas na bieżąco.

Każdy z nas jest zaczipowany (w pewnym sensie)

Podczas spotkania Maciej Maj spróbował przekonać nas że wszyscy jesteśmy zaczipowani. Nie tak jak niektórzy pracownicy korporacji czy pracownicy kopalni, gdzie czipy identyfikacyjne wszczepiane są pod skórę dłoni. Lecz w sposób wirtualny, poprzez nierozstawanie się ze smartfonem, bądź co bądź jedną z największych innowacji ostatnich dekad.

Powiecie, tak wiem, że smartfon gromadzi dane i co ja na to poradzę. Albo, dlatego nie korzystam z aplikacji społecznościowych, a przez smartfon tylko SMSuję i rozmawiam. Tylko czy to świadczy o tym, że mamy świadomość jak bardzo wystawiamy naszą prywatność na szwank. Dopóki coś nam się nie przydarzy, czujemy że nasza wiedza jest wystarczająca (albo mamy takie przekonanie), a wydarzyć może się wiele i na wiele sposobów.

Choćby poprzez instalację fałszywej aplikacji z Google Play. Tak, dla obeznanej z takimi zagrożeniami osoby nie jest to nic dziwnego, ale są osoby, które są albo przekonane że nie ograną technologii i prowokują błędy lub są z technologiami tak zżyte, że ich czujność zostaje uśpiona. Pobierając fałszywą aplikację, której ikona, nazwa i wygląd sugeruje, że to jednak to właściwe narzędzie, otwieramy furtkę cyberprzestępcom.

Kto wie, być może zdarzyło się i wam mimo czujności popełnić ten jakże podstawowy błąd, czyli zbyt pochopnie podjąć decyzję o instalacji. A być może w stresie zareagowaliście na informację od banku, która prosiła o ponowienie logowania czy podanie na nowo danych osobowych. Takie techniki wydają się naiwne, a jednak nadal pozwalają wyłudzać spore kwoty.

La Liga - aplikacja, która chciała dobrze, ale….

Maciej posłużył się też ciekawym przykładem aplikacji, którą wydała La Liga czyli hiszpańska liga piłki nożnej. Ta oficjalna aplikacja przy instalacji prosiła o zgodę na dostęp do mikrofonu, do lokalizacji. O uprawnienia na które niejeden użytkownik zgadzał się bez szemrania. A potem było już z górki. Sam program nie wyrządzał szkód w smartfonie posiadacza, ale informacje jakie zbierał były wykorzystywane do działań, które nie każdy uzna za etyczne.

Otóż La Liga w trakcie meczów dzięki swojej aplikacji była w stanie namierzyć skupiska kibiców, a dzięki analizie próbek dźwiękowych określić czy oglądają oni mecz. Gdy oglądanie miało miejsce w lokalu, który nie uiścił praw do publicznej transmisji… Sami już wiecie, co było dalej. Prawa autorskie, kara itp… Kibic, który instalował aplikację nie ponosił szkód, ale czy nie miał przypadkiem kaca moralnego, że pogrążył ulubione miejsce spotkań. Sprawa nadal się toczy, już w sądzie, i w Hiszpanii jest gorącym tematem.

Każdy smartfon potrafi być niebezpieczny

Może nam wydawać się, że największym zagrożeniem są smartfony już zarażone szkodliwym kodem na etapie produkcji. Istotnie były takie przypadki wśród znanych wam producentów (ocenia się, że na świecie jest 2 do 3 milionów zhakowanych już w fabryce smartfonów), ale tak naprawdę każdy smartfon nawet najbardziej zaufanej firmy z „czystym” kodem potrafi być niebezpiecznym narzędziem.

Smartfony są towarzyskie i w tym tkwi problem

Celem smartfona jest nie tylko przekazywać nam potrzebne informacje, ale też je zbierać. Sensory, mikrofony, głośniki, kamery to komponenty tych urządzeń, które w tym pomagają. Wiele z tych informacji wycieka do sieci. Bo smartfony to urządzenia towarzyskie. Gdy mają możliwość, a taką daje im komunikacja sieciowa (i wcale nie musimy być zalogowani do konkretnej sieci), mówią o sobie, a przy okazji o nas bardzo wiele.

Odpytując okoliczne sieci Wi-Fi „nieświadomie” zdradzają nazwy innych sieci, z którymi kiedyś się łączyły. Przekazują informacje o identyfikatorach urządzeń, które dla laika to tylko ciąg literek i cyferek, a dla cyberprzestępcy konkretne urządzenie i konkretny użytkownik. Zrezygnować z tych udogodnień nie jest nam łatwo, bo potrafią one być też bardzo pomocne. Na przykład w śledztwie, które pozwala namierzyć przestępcę lub określić bieg wydarzeń.

Smartfony wiedzą naprawdę dużo, ale też można oszukać je jak dzieci

Co jeszcze można osiągnąć dzięki smartfonowi? Pomijamy tu kwestię dostępu do gromadzonych danych, ale tu wiadomo że hasłem będzie chmura i odpowiednie określenie uprawnień. Wiadomo że wielkie koncerny zbierają dane, ale tak samo czynią też mniejsze instytucje, które nie chcą się wychylać. Istotniejsze jest w tej chwili zdanie sobie sprawy jak czułe potrafią być sensory smartfona. Mikrofon potrafi zarejestrować dźwięk, który pozwala określić gatunek owada po odgłosie jego brzęczenia (odpowiednią aplikację stworzono na uniwersytecie Stanforda). To potrafi być pomocne, ale skoro tak czuły jest mikrofon. 

Można go też wykorzystać tak by w połączeniu ze smartfonowymi mikrofonami stworzyć prosty sonar. Niezbyt precyzyjny, ale w połączeniu z analizą statystyczną, na tyle skuteczny by wykryć jaki gest blokady wykonujemy odblokowując smartfon. 

Z kolei akcelerometr rejestruje dane tak dokładnie, że można na ich podstawie określić na przykład gdzie na obudowie smartfona użytkownik dokonywał tapnięć. A jeśli wiemy co w danej chwili robił, na przykład wpisywał hasło czy kod, to już znamy jego treść. Ba nawet aplikacje, które mają teoretycznie znikome uprawnienia, bo czymże jest dostęp do głośnika, potrafią zrobić z niego użytek. W końcu coraz częściej komendy głosowe stają się sposobem na sterowanie innymi urządzeniami.

Polecenia głosowe Google pozwalają ominąć blokady uprawnień. Wystarczy dostęp do głośnika.

Nie tylko smartfony, ale też IoT

Dodajmy że skażona jest cała branża IT, w tym wschodzący rynek IoT. Taka prosta zabawka jak pluszowy miś z mikrofonem, którą na dodatek można podłączyć do sieci (bo teoretycznie ma pomagać w kontrolowaniu malucha) może być przyczyną szkód. Rejestrując wszystkie odgłosy, nawet te których rodzice woleliby nie upubliczniać.

Gdy zdamy sobie sprawę z zagrożeń, próbujemy im zapobiec. To dobre postępowanie i na przykład jedną z dobrych praktyk jest resetowanie naszego identyfikatora reklamowego jaki przypisuje nam Google. Po to by nie można było wykorzystać historii instalowanych aplikacji i naszej aktywności do określenia naszych potrzeb i opracowania sposobu ataku przez cyberprzestępcę.

Trzeba jednak pamiętać, że eliminacja jednego źródła zagrożenia nie oznacza, że pozbyliśmy się całkowicie problemu. Ze smartfona można wyciągnąć historię podróży nie tylko analizując ruch identyfikatora sieciowego, nasłuchując Wi-Fi, nie tylko korzystając z historii lokalizacji Google (czasem bardzo przydatnej), nie tylko przeglądając nasze galerie zdjęć. Niektóre smartfony (nie te z Androidem) gromadzą też dane na temat stacji bazowych, w których zasięgu się znalazły. Chwila analizy i można określić jak porusza się posiadacz smartfona. To może być cenna informacja.

Biometria - niedoskonała, ale i tak to najlepsze co mamy

By nas całkowicie pogrążyć, ale też dać trochę nadziei na lepsze jutro, Maciej odniósł się do biometrii. Niestety jej też nie można traktować jako idealnego rozwiązania. Niemniej lepszy rydz niż nic, a w tym przypadku biometria to jednak najlepsze co nas spotkało. Dla niektórych grup użytkowników, które mają problem z opanowaniem nowoczesnych sprzętów, czytnik linii papilarnych czy skaner tęczówki oka, to idealne rozwiązanie.

Skuteczność tych technik jest sporo większa niż w przypadku tradycyjnego zabezpieczenie pinem czy gestem przesunięcia. Najmniejsze szanse na pomyłkę daje jest skaner tęczówki (jeden na milion). Linie papilarne to już dużo mniej skuteczna technika (jeden na 50 tysiecy), ale i tak kilka razy lepsza niż PIN (1 na 10 tysięcy) czy gesty, które mają skończoną (ze względu na racjonalne ograniczenia) liczbę kombinacji. Niezawodność hasła to już inny temat. Hasło może brzmieć bowiem jak 12345 ale też fttyyy11111111222222222111111123444444235122234aoerr. Od długości i skomplikowania (a raczej unikalności frazy) wiele zależy.

Samsung KNOX czyli mobile i bezpieczeństwo

Powyższe wartości dotyczą sprzętu Samsung i w tym momencie dochodzimy to clou programu, czyli rozgraniczenia sfery życia zawodowego i prywatnego. A skoro Samsung, to też pomocny w tym zadaniu KNOX. Bo skoro nie możemy w pełni zaradzić zagrożeniom w życiu prywatnym, to spróbujmy przynajmniej odizolować je od sfery zawodowej, w której porażka na płaszczyźnie bezpieczeństwa nie powinna nigdy mieć miejsca.

KNOX to rozwiązanie programowo-sprzętowe, które izoluje w bezpiecznym kontenerze poufne dane. Tworzy środowisko, w którym uprawnienia użytkownika mogą być ograniczone przez administratora sieci (aktualizacja polityki może odbywać się zdalnie). Środowisko zaszyfrowane, na które nie mają wpływu nasze błędy podczas korzystania z „prywatnej” części smartfona. Bo w firmie może być istotne to jakie aplikacje instalujemy, z czym mogą one się łączyć, jakie dane pobieramy, a nawet to na jakim ekranie je prezentujemy (taki ekran projektora czy telewizora na którym udostępniono zawartość smartfona jest mniej bezpieczny niż kilkucalowy wyświetlacz).

Ikona Mój sejf w interfejsie Samsung Galaxy S9+

Mówiąc KNOX myśli się najczęściej o jego biznesowych zastosowaniach. Lecz to rozwiązanie, które mogą wykorzystać też użytkownicy prywatni. Wtedy zamiast ikony Workspace pojawia się Mój Sejf. Korzystanie z KNOXa może być przydatne nie dlatego, że chcemy utrudnić włamanie gdy korzystamy ze smartfona, ale dlatego że możemy go zgubić (zdaniem Renaty Bileckiej z Samsunga to częsty powód rozstania się z cennymi danymi).

Rynkowy wyścig szczurów - źródło problemów

Marcin Kobyliński, który jako ostatni opowiadał nam o zagrożeniach w branży mobile skupił się na dwóch rzeczach.

Po pierwsze problemem w walce o zachowanie bezpieczeństwa świata mobilnego jest ciągły wyścig rynkowy. Firmy chcą jak najszybciej wprowadzać aplikacje, ciągle gonią je terminy, a co za tym idzie zatrudniani programiści nie mają czasu na testowanie swoich wynalazków. Co gorsza często nie mają nawet ochoty, bo są to studenci, którzy tworzą aplikacje przy okazji praktyk. Wykorzystują elementy swoich prac, a potem znikają pozostawiając swoich następców (często kolejnych studentów) przez zadaniem rozgryzienia problemu jakim jest aplikacja i konieczność jej aktualizacji (bo firma się rozwija, bo musi pokazać że jest innowacyjna).

Marcin pracuje w firmie Exatel, w której niektórzy pracownicy to prawdziwi maniacy zabezpieczeń. Jednak nie próbował w nas zasiać paranoi choć przekonywał, że zabezpieczenia na urządzeniach mobilnych muszą być stosowane. Trzeba je dokładnie poznać, wyłączyć to co może być w przyszłości problemem, nawet jeśli za chwilę zechcemy to znowu włączyć. Najlepszy przykład to dostęp do sieci - smartfon nie musi być cały czas online, tak jak my nie chcemy by całe życie dominowali nam inni. Zabezpieczenia mają wiele twarzy - od biometrii, poprzez oprogramowanie, a skończywszy na nawykach takich jak wykonywanie kopii zapasowych.

Ustawa o Krajowym Systemie Cyberbezpieczeństwa

Na koniec poruszyliśmy temat UoKSC czyli Ustawy o Krajowym Systemie Cyberbezpieczeństwa. To dokument, który wywróci, albo już wywrócił, do góry nogami funkcjonowanie wielu dużych przedsiębiorstw. Jednym z jego założeń jest dążenie do odizolowania strefy firmowej, która pozwala na komunikację z klientem od strefy wewnętrznej tzw. produkcyjnej. Dostępnej tylko dla pracowników, zawierającej poufne dane.

Czyli taki KNOX tylko na poziomie stuktury funkcjonowania firmy. Na dostosowanie się do nowych regulacji wskazane firmy (które często dowiadują się o tym znienacka) mają niewiele czasu. A taki podział kompetencji środowisk cyfrowych zwykle wiąże się z koniecznością tworzenia nowego kodu. Oby nie pracowali nad nim znudzeni studenci.

Konkluzja

Smartfony tak bardzo zdominowały nasze życie, że raczej trudno sobie wyobrazić byśmy poradzili sobie bez nich. Owszem jest to możliwe, ale spróbujcie przez tydzień nie brać smartfona do ręki, czytać tylko książki i słuchać radia. Mniejsza z tym, że pewnie nie będziecie w stanie pewnie też pracować, ale może poczujecie się wolni. Jednak i w świecie mobilnym można tej wolności zaznać całkiem sporo.

Po pierwsze musimy zdać sobie sprawę, że technologie rozwijają się stale, możliwości cyberprzestępców też, a każda udzielona przez nas informacja może posłużyć do naruszenia naszej prywatności czy narażenia na straty finansowe. Informacje udzielamy nie tylko świadomie, a co najważniejsze też podświadomie.

A zatem (po drugie) trzeba wyrobić sobie nawyk, który sprawi że będziemy jak najrzadziej obchodzić się z urządzeniami w sposób, który ktoś może wykorzystać przeciw nam. To nie jest proste, ale gdy zawsze nasze myśli będą naznaczone hasłem dbaj o bezpieczeństwo niczym znakiem wodnym, będziemy paradoksalnie spokojniejsi.

I po trzecie. Dziś nasze dane to nasze życie. Dbajmy o nie, ale tez chroniąc je nie przekraczajmy granic rozsądku. Bo oszalejemy. Pamiętajmy że najgroźniejsze są nie te dane, o których udostępnianiu wiemy, ale te z których udostepnienia nie zdajemy sobie wprost sprawy.

Źródło: Samsung, Exatel, niebezpiecznik.pl, inf. własna