„Koncem roku 2014 jsme překročili tři miliony případů nového malwaru pro Android. Systému Windows trvalo přibližně 15 let, než překonal hranici jednoho milionu variant malwaru.
Android je tedy pro škodlivý kód minimálně stejně životaschopná platforma jako Windows,“ prohlašuje Christopher Budd, ředitel pro globální komunikaci ve společnosti Trend Micro.
Chytrá zařízení jsou stále častěji novým slabým článkem kybernetického smrtícího řetězu, minimálně na průzkumné úrovni, ne-li dále směrem do podniku.
Podívejme se na zranitelnosti i hrozby a na opatření podnikového zabezpečení, která byste měli hned udělat.
Problémy rozhraní Bluetooth
Chytrá zařízení připojená rozhraním Bluetooth, jako jsou chytré hodinky a náramky monitorující zdravotní stav, jsou novými koncovými body, které podnik nesleduje, upozorňuje Domingo Guerra, spoluzakladatel společnosti Appthority.
Podnik tyto přístroje za podnikovými firewally nechrání, ani se nebrání úniku dat přes ně. „Služby, ze kterých v podnicích unikají data, nemají s rozhraním Bluetooth nebo s těmito zařízeními nic společného,“ tvrdí Guerra.
„Budeme muset začít sledovat hodinky a další nositelnou elektroniku, jak se dostávají do podniku, protože představují pro uživatele další rozhraní pro přístup k datům. Nevíme, kdo nebo co jiného může k těmto datům z těchto zařízení přistupovat,“ vysvětluje Guerra.
Ať už dojde ke ztrátě či krádeži chytrého řešení obsahujícího e-mail či další data nebo dojde k jeho využití útočníkem prostřednictvím softwaru – je to další místo, kde se mohou nacházet citlivá data, a hackerům to dává další informace a oporu pro útoky na podnikové sklady dat.
Řešení BYOD z pohledu mobilních zařízení obvykle zaměstnancům nebrání v předávání citlivých dat v přílohách z jejich pracovního e-mailu uvnitř zabezpečeného kontejneru na osobní e-mail mimo tento kontejner.
Pokud uživatel čte své e-maily na svých hodinkách, stačí jen málo k tomu, aby se k elektronické poště přes hodinky dostal malware.
Problém je, že zařízení Bluetooth mívají pevně zakódovaný stejný PIN, který bývá například 0000. „Není těžké použít tuto slabinu k vytvoření spárování použitelného pro zlý účel,“ tvrdí Budd.
Bluetooth jako služba běží v telefonu v kontextu operačního systému. Co se týče přístupu k datům, když někdo dokáže uskutečnit průnik přes Bluetooth, potom potenciálně umí získat přístup k telefonu na úrovni operačního systému.
„Mohou potom přistupovat k čemukoli, co se v telefonu nachází,“ varuje Budd.
Obavy o soukromí
Hackeři už využívají chytrá zařízení k podpoře útoků. „Nike FuelBand zveřejnil jména a polohu osob na webu.
„Když mám seznam všech lidí, kteří používají Nike FuelBand v Silicon Valley, mohu data použít a korelovat je s webem LinkedIn, abych získal informace o všech výkonných manažerech, kteří běhají v oblasti Bay Area,“ upozorňuje Guerra.
Potom s místem běhů a místem těchto osob může útočník například najít blízkou kavárnu, do které oni často chodí, a použít tam odposlech či zachytávání paketů.
Není to útok, který by probíhal přímo prostřednictvím samotné nositelné elektroniky. Ta usnadňuje život někomu, kdo se snaží zaměřit se na určitou společnost.
Útočníci si na ně mohou počkat, až budou pracovat z kavárny, a potom jen číst všechna data, která procházejí přes nezabezpečené připojení Wi-Fi, nebo se mohou pokusit ukrást zařízení, a získat tak jejich obsah.
Další hrozba od chytrých řešení může pocházet z toho, že mohou zabránit zamknutí smartphonu.
„Uživatel může použít hodinky k duální autentizaci. Můžete odemknout telefon, alespoň to jde na platformě Android. Když máte své chytré hodinky s Androidem blízko sebe, telefon se nezamkne,“ vysvětluje Guerra.
Když tedy zaměstnanec ztratí jak smartphone s citlivými podnikovými daty, tak i chytré hodinky nebo jestliže je v posilovně a někdo ukradne jeho telefon s hodinkami ze skříňky, může zloděj – útočník tento telefon pohodně odemknout.
Další starosti se týkají údajů ze senzorů v nositelné elektronice pro osobní zdraví a kondici v souvislosti s dodržováním předpisů, jako je třeba zákonná norma HIPAA regulující zdravotnická data.
Hranice mezi tím, co jsou důvěrné údaje chráněné zákonem, versus co jsou uživatelem vytvořená data, není zřetelná.
„Pokud se v zařízení nacházejí údaje o vaší tepové frekvenci, krevním tlaku a další data chráněná zákonem, bude to znamenat, že podnik podléhá zákonu či regulacím, když sleduje své sítě a tato zařízení budou přes tyto jeho sítě přenášet své informace?“ ptá se Guerra.
Chytré zabezpečení
Spíše než o obavy z technologie Bluetooth je dobré se starat o principy minimálních oprávnění, pokud jde o přístup k citlivým datům v podniku.
„Když to uděláte, příliš nezáleží na tom, jestli vaši lidé v terénu používají nezabezpečené připojení Bluetooth, protože i v případě, že dojde ke kompromitaci spojení Bluetooth, nezískají útočníci vlastně nic,“ tvrdí Budd.
Používejte minimální oprávnění pomocí zásad a nástrojů pro vynucování, které omezí možnosti zaměstnanců pouze na to, co je nutné pro plnění jejich úkolů. Zajistěte, aby nebylo možné používat osobní e-mail k zasílání či příjmu libovolných podnikových dat.
„Blokujte přístup ke Gmailu. Má kdokoli ve vašem podniku důvody používat Gmail pro firemní účely? Pokud tomu tak není, zakažte ho. Potom nebude moci posílat seznam zákazníků sám sobě,“ radí Budd.
„Uzamkněte konfigurace, aby si lidé sami nemohli přivodit problémy. Když nemohu synchronizovat svůj náramek Fitbit se svým pracovním počítačem, potom z něj nemohu ani učinit provozní zranitelnost,“ vysvětluje Budd.
Chytrá zařízení vytvářejí jedinečnou zranitelnost kvůli odemykání chytrého telefonu. „Nejlepším řešením je v první řadě nedovolit přenosným technologiím přístup k citlivým údajům. Potom je nejlepší volbou schopnost vzdáleného bezpečného smazání,“ upozorňuje Budd.
Mějte podle něj však na paměti, že fyzický přístup znamená sabotáž veškerých opatření: žádné zabezpečení nemůže data plně ochránit, když útočník získá neomezený fyzický přístup.
„Je to klasický starý známý problém s podnikovými IT. Nejbezpečnější systémy jsou ty, které nejsou nijak zvlášť úžasné a nedávají lidem to, co sami nutně chtějí. Možnost připojit můj iPhone k mému pracovnímu počítači může být pro mě skvělá věc, nicméně neznamená to, že je to dobré i pro potřeby firmy,“ vysvětluje Budd.
Chytrá zařízení se dostávají do podniků, stejně jako to bylo s chytrými telefony. Chvíli to trvalo, než si bezpečnostní profesionálové uvědomili, že jsou smartphony další důležitou oblastí. Chytrá zařízení jsou koncovým bodem, který musí podnik chránit.
„Nemůžeme dělat stejné chyby s nositelnou elektronikou. Pokud se rozšíří a každý bude mít nějaký takový přístroj a zároveň i mobilní zařízení u sebe, zdvojnásobí to počet koncových bodů uživatele, které musí podnik chránit,“ uzavírá Guerra.
Tento příspěvek vyšel v Security Worldu 3/2015. Časopis (starší čísla i předplatné těch nadcházejících) si můžete objednat na adrese našeho vydavatelství.
PŘEDPLATNÉ
ČLÁNKY DO MAILU