Proč řešit bezpečnost mobilních zařízení

Ve většině velkých i malých firem zaměstnanci pracují na počítačích, které jejich interní IT typicky spravuje pomocí tradičních Windows technologií ‒ Active Directory, GPo, SCCM atd. Počítače jsou automaticky aktualizované, běží na nich antivir, je aktivovaný firewall, případně další bezpečnostní funkčnosti. Firemní počítače jsou tedy poměrně dobře chráněné a firma má přehled o tom, co se na nich děje.

Naproti tomu firemní mobilní zařízení (telefony, tablety a další nositelná zařízení) firma v lepším případě spravuje pomocí některé z technologií Mobile Device Management (MDM), ale co se na těchto mobilních zařízeních děje nad rámec MDM správy, o tom obvykle přehled nemá. Přitom každý zaměstnanec dnes může z mobilního telefonu či tabletu vyřizovat e-maily, používat firemní aplikace, přistupovat k firemním datům stejně pohodlně jako z počítače. Mobilní zařízení je dokonce pro některé zaměstnance jediný pracovní nástroj.

Počty mobilních zařízení ve firmách neustále rostou, většinou na úkor klasických počítačů. Mobilní systémy se rozvíjejí, zvyšuje se jejich komplexita a ruku v ruce s tím se objevují zranitelnosti a bugy. Útočníci tyto trendy sledují a přesouvají svoji pozornost právě na tato mobilní zařízení, které firmy tolik nechrání. Za několik posledních let je možné pozorovat velký nárůst malwaru a útoků cílících na mobilní zařízení.

Bezpečnost mobilních zařízení ovlivňuje několik faktorů

Vždy je třeba říct si dopředu, k čemu budou mobilní zařízení ve firmě používána, s jakými daty a aplikacemi bude jejich uživatel pracovat. Důležité je zvážit možnosti jednotlivých mobilních platforem (Android/iOS) a vybrat vhodný způsob jejich správy (MDM). Zde můžeme vzpomenout např. mobilní zařízení Samsung a jejich bezpečnostní funkčnosti, které jsou nad rámec nabídky standardních Android zařízení.

Firmy při nákupu mobilních zařízení obvykle postupují špatně – vybírají náhodně, dle ceny a teprve poté dávají dohromady další kroky. Tento nevhodný postup obvykle končí kompromisem, který je na úkor funkčnosti i bezpečnosti. I při správném výběru ale nemusí samotná technologie (MDM) stačit.

MDM versus MTD

MDM je především konfigurační a inventarizační nástroj a administrátorům umožňuje z jedné konzole spravovat celou flotilu firemních mobilních zařízení. Pomocí konfiguračních profilů lze na zařízeních nastavovat nejrůznější omezení, vynutit heslo pro odemčení, nastavit Wi-Fi, VPN, nebo přístup do mailboxu uživatele. Pomocí MDM je možno automatizovat instalaci a konfiguraci firemních aplikací a zajistit oddělení firemních dat od těch soukromých. MDM klient v zařízení je schopen základní root/Jailbreak detekce. MDM dále vyhodnocuje konformitu zařízení, kdy porovnává definované zásady a skutečnost. Pokud je vše v pořádku, je zařízení tzv. konformní (compliant). S touto informací pak lze pracovat jak v MDM samotném, tak i v dalších systémech.

MTD SandBlast Mobile – administrátorská konzole.

Součástí Enterprise Mobility Management řešení bývá i funkčnost zabezpečené komunikace do firmy přes reverzní proxy, která je úzce integrovaná s MDM a umožňuje přístup jen spravovaným zařízením. MTD je specializovaný nástroj pro detekci a ochranu proti moderním bezpečnostním hrozbám. Oba nástroje se vzájemně nevylučují, ale naopak vhodně doplňují.

1. use case: zařízení plně pod kontrolou

Pokud se zákazník rozhodne mít vše plně pod kontrolou, pak zařízení typicky aktivuje v módu Android Enteprise Fully Managed, či v případě iOS v tzv. Supervised režimu. Tyto dva jmenované aktivační způsoby umožňují maximální konfiguraci a nastavení zařízení. Např. lze omezit využití zařízení jen pro firemní aplikace, povolit přístup pouze na vybrané webové stránky, zakázat přidání osobních účtů, zakázat konkrétní funkčnost zařízení. V úplně krajním případě je zařízení konfigurováno v kioskovém režimu s jednou trvale běžící aplikací (Single-App mode). Tímto nastavením lze do velké míry limitovat potenciální vektory útoku, zvláště pokud jsou zařízení provozována na čistě interní/dedikované síti, např. na výrobní lince. Pokud jsou ale zařízení připojená do internetu, pak je specializované Mobile Threat Defense řešení vhodným doplňkem k MDM.

2. use case: BYOD, nebo firemní zařízení i pro osobní využití

Riziko zásadně roste, pokud je zaměstnancům umožněn přístup na firemní data ze soukromých zařízení (BYOD režim), anebo firma nebrání využití firemních zařízení i pro soukromé účely. V těchto případech jsme omezeni v možnostech, co lze na zařízeních zakázat a jaké informace o zařízeních MDM sbírá. Je zde kladen vysoký důraz na ochranu soukromí uživatele. Typickým řešením pro tyto scénáře je vytvoření pracovního kontejneru, ve kterém jsou umístěna firemní data a aplikace, kdy pak MDM spravuje pouze tento kontejner. Důsledkem toho je, že např. nevidí aplikace instalované v osobním prostoru uživatele. Správce MDM může jen zakázat instalaci aplikací z neznámých zdrojů (uživatel může do osobního prostoru instalovat pouze aplikace z Google Play).

Moderní bezpečnostní hrozby

Jedná se o útoky na zařízení, aplikační útoky, síťové útoky. Velké téma je phishing a sociální inženýrství. Prakticky se může jednat o kombinaci všech uvedených útoků, kdy útočník techniky řetězí tak, aby napáchal co nejvíce škody a získal co nejvíce dat. Nejslabším článkem v bezpečnostním řešení bývá uživatel, který udělá cokoli, aby získal např. přístup k internetu, stáhl soubor. Uživatelé se často nechovají dle interních směrnic a s tím je třeba vždy počítat.

Útoky na zařízení
Jedná se o útoky, které využívají zranitelnosti operačního systému či firmware chipsetů. V minulosti proběhlo několik útoků využívajících právě zranitelnosti firmware Wi-Fi / BT chipsetů (např. Broadpwn), kdy výrobcům zařízení trvalo poměrně dlouhou dobu, než tyto zranitelnosti záplatovali. Tyto zranitelnosti šlo využít k eskalaci práv na úroveň root oprávnění a k ovládnutí zařízení.
Další typ útoku může být směrován na USB rozhraní, kdy stačí, aby uživatel připojil zařízení přes USB k nabíječce na letišti, či připojil zařízení do systému auta zapůjčeného v půjčovně. Útok může být veden i přes SMS zprávu, která přijde do zařízení a systém ji automaticky zpracuje, aniž by si tuto zprávu uživatel zobrazil. Cílem útoku je kompletní ovládnutí zařízení a následné získání firemních dat.

Aplikační útoky
Již výše bylo zmíněno, že díky MDM lze zakázat instalaci aplikací z neoficiálních obchodů či stažených .apk souborů. Tím umožníme instalaci aplikací jen z Google Play a Apple App Store, kde aplikace prochází schvalovacím procesem. I přesto ale nelze mít 100% jistotu a historie ukázala, že i tam se nebezpečné aplikace opakovaně objevují.
Nakažené aplikace např. využívají asistenční funkčnost v zařízení, překryjí aktuálně používanou aplikaci a snímají vše, co uživatel do zařízení napíše či zobrazí. Tyto údaje se pak přeposílají na server útočníka.
Aplikace také může využít známé zranitelnosti v OS a získat root oprávnění nebo spustit network scan a hledat známé zranitelnosti v síti, do které je uživatel přes mobilní zařízení připojen.
Risk aplikačního útoku – získání citlivých údajů nebo ovládnutí zařízení.

Síťové útoky
Jedná se o útoky, které jsou vedeny na síťovou komunikaci. Typickým příkladem jsou útoky přes veřejné Wi-Fi sítě. Opět příklad z praxe, kdy se uživatel např. na letišti, v hotelu či ve vlaku připojí do veřejné Wi-Fi sítě. Tuto síť pak většinou v nastavení svého zařízení nesmaže. Uložené Wi-Fi sítě zařízení neustále hledá a přitom broadcastuje jejich SSID. Útočník tuto informaci odchytí a vytvoří si stejnou Wi-Fi síť na vlastním Access Pointu (AP), který má pod kontrolou ‒ toto je možné zcela automatizovaně např. pomocí zařízení Wi-Fi Pineapple. Pokud se mu podaří zařízení na svůj AP přepnout, pak typicky pokračuje útokem typu Man in the middle (MITM) s cílem dešifrovat a odposlechnout komunikaci, tzn. získat přihlašovací údaje, citlivá data firmy.

Phishing a sociální inženýrství
Sem patří všem známé podvodné e-maily. S novými technologiemi ale přibývají nové typy útoků a vynalézavost útočníků roste. Je to dáno i technickými vlastnostmi mobilních zařízení. Zaměřme se např. na QR kódy, které jsou nyní populární pro připojení k Wi-Fi síti, či jako rychlá cesta k nalezení informace na webu. Uživatel se ale pomocí QR kódu může lehce dostat i na podvodnou stránku. Mobilní zařízení mají malý screen a obsah je upřednostněn před ovládacími prvky. Adresní řádek ve webovém prohlížeči tedy nemusí být vždy jasně čitelný. Pokud útočník zkombinuje tyto technologie dohromady, tedy vyrobí si QR kód odkazující na webovou stránku, která se bude názvem domény a obsahem blížit k té skutečné, lze velmi snadno naletět a zadat na podvodné stránce např. přihlašovací údaje.
Pozor tedy na QR kódy, pozor na zkracovače URL adres, pozor na interpunkci. Již delší dobu jsou podporovány mezinárodní doménové názvy, takže je možné založit si doménu, která se bude jmenovat například „Mícrosoft.com“, jedná se o validní doménu, stačí jedna čárka nad „i“ a nejedná se o stránku Microsoft, ale o stránku útočníka. Dále je třeba dát si pozor na platný certifikát na navštívené cílové stránce, ale ani to neznamená 100% bezpečí. I útočníkova stránka mívá většinou platný certifikát.
Útok může být veden i prostřednictvím reverzní proxi Modlishka, která si cestou na oficiální stránku, např. již zmíněného Microsoftu, odchytává komunikaci.
Ve všech uvedených případech opět útočník útočí s cílem získat přihlašovací údaje a citlivá data firmy.

Útokům lze předcházet díky Mobile Threat Defense (MTD)

MTD dokáže detekovat známé i neznámé typy útoků (Zero-Day) pomocí pokročilé analýzy chování aplikací a OS komponent (např. detekuje eskalaci oprávnění). Tato analýza většinou probíhá přímo na zařízení a často i s využitím machine learningu. Na základě vyhodnoceného risk faktoru může být provedena definovaná akce.

Zařízení s aplikací MTD SandBlast Mobile.

MTD řešení dokáže provádět statickou i dynamickou analýzu aplikací. Aplikace se analyzují v sandboxovaném prostředí v cloudu a výstupem je hodnocení (Risk Score) aplikace jak z pohledu bezpečnosti, tak i ochrany osobních údajů.

Ochrana proti phishingu je typicky koncipována tak, že komunikace prochází přes lokální VPN rozhraní a zde je prováděna analýza. Pro VPN rozhraní je také možno definovat block list nebo naopak seznam bezpečných (interních) adres.

Vše je doplněno databází zranitelností a nebezpečných stránek v cloudu, ze které MTD řešení čerpá. Zde se anonymizovaná data ze zařízení korelují a dále vyhodnocují a systém se tak neustále zdokonaluje.

MDM má limity s ohledem na vyhodnocování bezpečnostních hrozeb, jak už jsme zmiňovali na začátku článku, nicméně v kombinaci s MTD je zabezpečení dokonalé. MTD okamžitě řekne, že se něco nebezpečného děje, a MDM pak automatizovaně provede patřičnou akci, např. smaže firemní data ze zařízení či zablokuje určitou funkčnost na zařízení.

K hlavním hráčům na trhu s MTD řešeními patří Check Point Harmony Mobile (dříve SandBlast Mobile), Lookout, MobileIron Threat Defende (Zimperium), Wandera. Všechna tato řešení dokáže System4u nasadit, se všemi má reálnou zkušenost, včetně napojení na MDM řešení.

Air Watch App Store s aplikací MTD SandBlast Mobile.

Ladislav Blažek Autor článku je technickým ředitelem společnosti System4u, která se mimo jiné věnuje implementaci MTD a MDM řešení.