Skąd się biorą dziury w serze? czyli bezpieczeństwo aplikacji mobilnych Andrzej Karpiński Zarządzanie Bezpieczeństwem Systemów Teleinformatycznych Grupy TP Andrzej.Karpinski@telekomunikacja.pl Skala zjawiska Nasycenie polskiego rynku komórkowego przekracza 100% Obecnie aktywnych jest kart ponad 40 mln kart SIM Na koniec 2010 roku ze smartfonów korzystało 14% abonentów Szacunki wskazują, że na koniec 2011 odsetek ten wzrośnie do 30% Na świecie natomiast do 2010 sprzedano 500 mln smartfonów http://www.mycomputertechblog.com Do końca 2011 liczba ta ma sięgnąć 1 miliarda Smartfony to poważny biznes, a nie tylko multimedialne zabawki pełne bajerów 2 Skąd się biorą dziury w serze?
Czym jest smartfon? Procesor taktowany zegarem o częstotliwości 1 GHz i więcej, coraz częściej nawet dwurdzeniowy RAM nierzadko przekraczający 1 GB Dzisiejsze smartfony mocą obliczeniową dorównują komputerom sprzed kilku lat! System operacyjny Smartfon jest przez podłączony do sieci - rosnące pasmo! Wciąż raczkujący rynek antywirusów i firewalli dla TK znaczną część czasu (3G, Wi-Fi, Bluetooth) http://newstodaynews.com Smartfony są narażone na podobne zagrożenia, jak komputery, o czym zazwyczaj nie wiedzą użytkownicy! 3 Skąd się biorą dziury w serze? Użytkownik smartfona Ze smartfonu, jakby nie był skomplikowany wewnątrz, ma korzystać zwykły człowiek niezbędne jest, by był prosty, ergonomiczny i wygodny w codziennej pracy. Nacisk został postawiony na usability, a nie na techniczną stronę rozwiązań. Zdecydowana większość osób, korzystających ze smartfonów to laicy w ogólnych kwestiach informatycznych......a tym bardziej w kwestii bezpieczeństwa IT Michael Kwan na licencji CreativeCommons Brak im świadomości istnienia zagadnienia, nawyków A skoro nie wiedzą, że muszą dbać o bezpieczeństwo, tym bardziej nie wiedzą PO CO trzeba to robić. 4 Skąd się biorą dziury w serze?
Aplikacje na smartfony 3 profile dostawców aplikacji Pisane za pomocą wysokopoziomowych narzędzi Oderwane od sprzętu brak bezpośredniej kontroli programisty nad działaniem aplikacji Duża łatwość pisania do tworzenia aplikacji nie jest potrzebna duża wiedza i doświadczenie Sukces może spowodować nagły ogólnoświatowy wzrost zapotrzebowania na daną funkcjonalność 5 Skąd się biorą dziury w serze? Potrzeby biznesowe przedkładane są ponad bezpieczeństwo konkurencja na rynku wymusza krótkie terminy, i wprowadzanie na rynek nie do końca dopracowanych i przetestowanych rozwiązań Bezpieczeństwo vs. łatwość użytkowania zawsze wygrają potrzeby rynku! W efekcie są podatne na klasyczne ataki, np. buffer overflow, czy wynikające z innych, prostych błędów Smartfon to nie tylko gry Coraz częściej smartfony używane są do znacznie poważniejszych zadań, jak choćby: Dostęp do bankowości elektronicznej Mobilne płatności Inne aplikacje: bilety, rezerwacje,. Za pośrednictwem mobilnego terminala możemy otrzymywać jednorazowe hasła dostępu A sieciowy czy raczej komórkowy przestępca może: Szpiegować nas za pośrednictwem naszego telefonu Zarabiać naszym kosztem (hidden premium sms) Wykonać przy naszej pomocy atak DDoS na sieć operatora Nie zawsze musimy bowiem wiedzieć, że telefon wysyła właśnie SMS/MMS, bądź przesyła dane! 6 Skąd się biorą dziury w serze?
Zacznijmy od siebie Często to sam użytkownik przez swoją niefrasobliwość zaprasza przestępcę! Gubimy telefon...a w nim PIN 1111, 1234, 4321 albo podobny nie zabezpieczamy w żaden sposób delikatnych danych nie znamy procedur zgłaszania kradzieży, a nawet IMEI aparatu! Nie aktualizujemy firmware u, aplikacje z niepewnych źródeł - Black Hat Czasem sami użytkownicy korzystają z telefonu w niecnych celach (stalking, sexting, czytanie nie swoich smsów/poczty) Publikujemy swój numer telefonu w internecie Nie edukujemy i nie uświadamiamy najmłodszych użytkowników 7 Skąd się biorą dziury w serze? Komórki, wirusy, operatorzy Robak Slammer/Sapphire (2003 r.), w ciągu 15 minut przerwał działanie usług kryzysowych i tysięcy bankomatów oraz zablokował usługi telefonii komórkowej 23 mln użytkowników w Azji; mimo, że nie był skierowany na sieci komórkowe! ComLand Design Pierwszy specyficzny wirus sieci komórkowych został odkryty w roku 2004. Później było już tylko gorzej :) Na dziś znamy około 500 wirusów, 80 różnych rodzajów Wg raportu Akamai Technologies The State of the Internet za 1Q 2011 Polska zajmowała niechlubne 5. miejsce wśród krajów, odpowiedzialnych za ataki z wykorzystaniem sieci mobilnych. Można więc bez ryzyka założyć, że obiektem sporej części tych ataków są/będą użytkownicy z naszego kraju. Bomba tyka 8 Skąd się biorą dziury w serze?
Komórki, wirusy, operatorzy Operatorzy praktycznie kontrolują to, co dzieje się w ich sieci Obligują ich do tego wymogi ustawowe i regulacyjne...a pomaga dostępność rozwiązań IPS/AV dla sieci mobilnych Problemy mogą wystąpić w przypadku małych MVNO Nie łudźmy się - wszystkie rodzaje ataków znane z Internetu będą obecne w sieciach telefonii mobilnej Sieć Orange jest jednym z pionierów zapobiegania tego typu zagrożeniom już od kilku lat wiadomości MMS, wysyłane do naszych użytkowników są przed dostarczeniem automatycznie skanowane po stronie operatora. Efekty robią wrażenie liczba zablokowanych wiadomości sięga nawet 100 tysięcy miesięcznie! 9 Skąd się biorą dziury w serze? A co na to prawo? W przypadku problemów, związanych z bezpieczeństwem teleinformatycznym usług telekomunikacyjnych, mamy do czynienia z nową grupą przestępstw. Efektem jest spory problem ze skutecznością ścigania: powstały dedykowane w tym kierunku zespoły, budowane są kompetencje potrzeba czasu, doświadczenia, kontaktów itd Nierzadko regulacje okazują się nieskuteczne, zdarza się wręcz, że szkodzą (casus kontroli treści, rozporządzenie o obowiązkach operatorów) Dodatkowo fakt, iż przeciętny użytkownik zazwyczaj nie rozumie zagadnienia, powoduje, że tego typu sprawy nie są nośne medialnie i politycznie Przy zgłaszaniu tego typu przestępstw, nierzadki jest brak zrozu-mienia i bagatelizowanie przez funkcjonariuszy organów ścigania 10 Skąd się biorą dziury w serze?
Jak przeciwdziałać? Powszechna EDUKACJA począwszy od szkół, poprzez prelekcje, konferencje, telewizję, internet, prasę Edukacja specjalistyczna z jednej strony powrót do nauki podstaw (asembler, C, algorytmika), z drugiej - włączenie zagadnień bezpieczeństwa do programów studiów. Informatyka to nie nowinki! Edukacja w innych dziedzinach psychologia, pedagogika, prawo, policja oraz polskojęzyczne opracowania, artykuły, konferencje, publikacje, prace naukowe, np. z psychologii Internetu Wykreowanie nawyku świadomego korzystania z urządzeń i aplikacji mobilnych najpierw zrozumieć ich działanie, potem używać. Uświadamianie o zagrożeniach od najmłodszego wieku, ważna rola rodziców i wychowawców. Nie bądźmy bezkrytyczni wobec nowinek, projektujmy odpowiedzialnie świat (nr 112 na VoIP, smartfon dla prezydenta) Uważajmy z propozycjami regulacji prawnych ( urządzenia grzewcze znane niegdyś jako żarówki) Współpraca w zakresie bezpieczeństwa pomiędzy instytucjami, operatorzy telekomunikacyjni naprawdę są na nią otwarci Rozważna budowa sieci i projektów telekomunikacyjnych TTM, a bezpieczeństwo aplikacji mobilnych znaleźć złoty środek, obecnie chyba go zgubiono? 11 Skąd się biorą dziury w serze? Dziękuję za uwagę