Mobilná bezpečnosť je veľký problém, pravdepodobne väčší ako inokedy. Elektronické dokumenty používame stále častejšie ako tie papierové a stále častejšie používame mobilné telefóny. Je nezodpovedné si myslieť, že dôverné informácie v mobile nepotrebujete, že všetko vybavíte na osobných stretnutiach, v bezpečí vašej kancelárie alebo v anonymite náhodnej kaviarne. Ale dajú sa vôbec informácie v telefóne chrániť?
Čo sa v článku dočítate?
Nájdete tu základné pravidlá a zásady bezpečnosti mobilnej komunikácie aj s vysvetlením. Nečakajte však podrobný návod. Nie je možné v jednom článku popísať všetky detaily tak, aby sa vôbec dal dočítať až do konca. Ďalšie podrobnosti nájdete neskôr v ďalších článkoch.
Sú uvedené odporúčania použiteľné aj pre môj telefón?
Áno, v súčasnosti sú na trhu prevažne iPhony so systémom iOS alebo telefóny Android. V článku nájdete odporúčania, ktoré sa dajú aplikovať na oba uvedené systémy. A vo všeobecnosti aj na okrajové platformy ako BlackBerry, Windows Phone a ďalšie.
Začnime po poriadku. Ako môžu informácie z mobilného telefónu uniknúť? Keď budeme poznať odpoveď na túto otázku, môžeme hovoriť o tom, ako sa pred jednotlivými hrozbami chrániť.
Existujú tri rôzne spôsoby ako sa útočník môže dostať k informáciám z vášho mobilného telefónu:
- Informácie ukradne škodlivá aplikácia, ktorá ja nainštalovaná v telefóne bez vášho vedomia.
- Informácie uložené v telefóne vyčíta útočník priamo z vášho telefónu, napr. potom ako ste ho stratili alebo vám ho ukradli.
- Informácie uniknú počas komunikácie, napr. keď s niekým voláte alebo keď niekam posielate svoje informácie.
Pri súčasných veľkostiach displejov mobilných telefónov treba zohľadniť aj možnosť, že informácie niekto odčíta priamo z displeja vášho telefónu, že ich zaznamená priemyselná kamera alebo že niekto váš rozhovor nahrá priestorovým mikrofónom. Toto je však celkom samostatná téma, ktorej sa budeme venovať v ďalších článkoch.
Ochrana telefónu pred škodlivými aplikáciami
Najväčšou hrozbou je bez pochyby škodlivá aplikácia, ktorú sa útočníkovi podarilo dostať do vášho telefónu. Pre potenciálnych útočníkov existujú mnohé takéto aplikácie – od aplikácií, ktoré sa dajú zakúpiť bežne na internete za niekoľko desiatok eur až po profesionálne, ktoré využívajú aj spravodajské služby.
Čo všetko môže takáto aplikácia spôsobiť? Aj keď operačné systémy v mobilných telefónoch sú navrhnuté pomerne bezpečne, musíme však predpokladať, že škodlivá aplikácia môže získať prístup do celého telefónu. V tom prípade dokáže z neho vyčítať všetky uložené informácie (vrátane kontaktov, správ, fotografií a iných súborov), dokáže nahrať vaše rozhovory, prípadne fungovať ako keylogger (program, ktorý zaznamenáva všetky stlačenia klávesnice, napr. aj keď píšete správy alebo zadávate rôzne prístupové heslá a kódy). Navyše všetky tieto informácie dokáže nenápadne odosielať priamo útočníkovi.
Škodlivá aplikácia sa do telefónu môže dostať iba tak, že ju niekto nainštaluje. Je však potrebné zohľadniť viacero situácií:
- Útočník získa fyzický prístup k vášmu telefónu (stačí mu niekoľko desiatok sekúnd) a škodlivú aplikáciu nainštaluje bez toho, aby ste o nej vedeli.
- Nainštalujete si novú aplikáciu (napr. hru), ktorá však obsahuje aj škodlivý kód.
- Škodlivú aplikáciu vám niekto podhodí ako súčasť phishingového útoku. Tu však väčšinu ide už o sofistikovanejší cielený útok. Na druhej strane, v prípade predchádzajúcich dvoch prípadoch sa dá pomerne jednoducho chrániť, voči cielenému phishingovému útoku už musí mať užívateľ aspoň základné znalosti. Pre začiatok odporúčame si vyskúšať jednoduchý phishingový test.
Odporúčania na ochranu pred škodlivými aplikáciami sú teda nasledovné:
- Nenechávajte telefón nikdy bez dohľadu a používajte kód na uzamknutie telefónu. Ten zabezpečí váš telefón aspoň dočasne, keď telefón niekde zabudnete.
- Máte v telefóne informácie, ktoré sú pre vás naozaj dôležité? V tom prípade sa radšej vyhnite inštalovaniu zbytočných aplikácií, ktoré nevyhnutne nepotrebujete, nenavštevujte nedôveryhodné web stránky, ktoré nemusíte. Menej je v tomto prípade viac.
- Čítajte informácie, ktoré sa na telefóne zobrazia „samé od seba“. Nepotvrdzujte ich, keď im nerozumiete a nie ste si istý, čo robia. V prípade bezpečnosti sa treba riadiť pravidlom „zakázať všetko, čo nepotrebujem“.
Dôležitá rada na záver – nie ste si istý, či takúto aplikáciu už v telefóne nemáte? Odhaliť ju nemusí byť jednoduché ani pre odborníka a niekedy nemusí stačiť ani obnovenie výrobných nastavení (tzv. factory reset). Najbezpečnejšie riešenie (aj keď nie úplne lacné) je zakúpiť nový telefón zabalený od výrobcu a aplikovať uvedené opatrenia hneď od začiatku.
Ochrana pred neautorizovaným prístupom do telefónu
Okrem potreby chrániť telefón, aby niekto nevedel do neho nainštalovať škodlivú aplikáciu sú aj ďalšie situácie, kedy je potrebné ochrániť telefón pred prístupom útočníka. Keď sa telefón stratí alebo ho niekto (cielene) ukradne má v podstate neobmedzený čas a neobmedzený počet pokusov získať z telefónu všetky údaje, ktoré sú v ňom uložené.
Zámok telefónu (Android používa výraz zámok obrazovky, iOS používa výraz Face ID/Touch ID a kód) je skutočne základom akejkoľvek bezpečnosti používanej v mobilných telefónoch.
Mohlo by vás tiež zaujímať: Face ID, odtlačok prsta, kreslený vzor alebo číselný kód. Ktorý zámok telefónu je bezpečný? |
Nie je to však také jednoduché. Nech použijete akýkoľvek bezpečný zámok a silný kód, nemôžete očakávať, že útočník sa do vášho telefónu nedostane. Väčšinu používaných zámkov sa už niekomu podarilo prelomiť. Treba preto predpokladať, že sa dajú prelomiť všetky. Jediným cieľom používania zámku je získať čas a útočníkovi čo najdlhšie zabrániť v prístupe do telefónu. Samozrejme platí, že čím bezpečnejší zámok použijete, tým viac času bude útočník potrebovať na jeho prelomenie.
Aký má význam používať zámok telefónu? Tým, že útočník získa prístup do telefónu, získa zároveň prístup ku všetkým informáciám, ktoré sú v ňom uložené alebo ku ktorým je možné získať z telefónu prístup. To sú napríklad emaily, webové prístupy (aj na sociálne siete) alebo dokumenty uložené niekde online, napríklad firemný cloud. Útočník tiež môže využiť četovacie aplikácie v telefóne, aby získal ďalšie informácie od vašich kolegov alebo obchodných partnerov.
Neexistuje veľa možností ako „zachrániť“ informácie, ktoré sú v telefóne uložené. V podstate jedinou možnosťou je spoľahnúť sa na útočníka amatéra, ktorý ponechá telefón pripojený na internet alebo v mobilnej sieti. V tom prípade existujú viaceré riešenia ako telefón na diaľku zablokovať alebo vymazať z neho všetky uložené informácie. Musia byť však v telefóne vopred aktívne a správne nastavené. Útočník profesionál však ako prvú vec ihneď potom ako získa telefón ho odpojí od siete – jednak, aby znemožnil vzdialené blokovanie, ale taktiež aby telefón nebolo možné lokalizovať.
Pripravujeme článok: Ako bezpečne ukladať informácie v telefóne? |
Čo by ste mali spraviť, keď stratíte alebo vám ukradnú telefón? Pokúste sa z telefónu vzdialene vymazať uložené informácie (táto funkcionalita však musí byť v telefóne aktívna). Keď sa vám to nepodarí, zablokujte aspoň všetky online služby (napríklad tak, že si zmeníte prístupové heslo), ktoré v telefóne používate, a prostredníctvom ktorých by útočník mohol získať ďalšie informácie.
Ochrana mobilnej komunikácie
Zabezpečiť samotnú komunikáciu je v súčasnosti jednoduché. Základným pravidlom je nepoužívať štandardný GSM hovor a štandardné SMS správy pre komunikáciu informácií, ktoré považujete za dôverné. Takáto komunikácia je síce šifrovaná, ale úroveň šifrovania je pomerne nízka. Na internete sa dajú veľmi ľahko vyhľadať ukážky ako útočník dokáže štandardnú mobilnú komunikáciu prelomiť v reálnom čase.
Lepšiu úroveň bezpečnosti ponúkajú mnohé četovacie aplikácie, ktoré poskytujú pomerne silné šifrovanie komunikácie. Nenechajte sa však oklamať tým, že výrobca deklaruje používanie silného šifrovacieho algoritmu. Na internete sú k dispozícií hotové implementácie rôznych šifrovacích algoritmov a každý priemerne skúsený programátor ich dokáže použiť. Snažiť sa prelomiť tieto šifrovacie algoritmy nemá význam ani len pre kryptografických expertov. Útočník si na prelomenie bezpečnosti vždy zvolí tú najjednoduchšiu cestu a nebude teda skúšať dešifrovať silné algoritmy. Na komplexnú bezpečnosť komunikácie vplývajú mnohé ďalšie faktory (ako sa generujú a ako sa prenášajú šifrovacie kľúče, či dokáže komunikáciu dešifrovať server, ako sú chránené nedoručené správy, ako sú doručené správy chránené v telefóne a pod.), ktoré sa nedajú vyriešiť použitím hotovej implementácie stiahnutej z internetu. Vyriešiť tieto výzvy si od výrobcov vyžaduje viac skúsenosti, viac času a keďže bezpečnosť nie je pre užívateľov tak viditeľná ako iná funkcionalita, väčšina výrobcov im nevenuje takú pozornosť. Aj preto sa útočníkom podarilo väčšinu týchto aplikácií prelomiť. Výber správnej aplikácie na bezpečnú komunikáciu sa neoplatí podceniť.
Pripravujeme článok: Sú aplikácie pre bezpečnú mobilnú komunikáciu naozaj bezpečné? |
Používanie aplikácie, ktorá deklaruje šifrovanú komunikáciu, ale útočník ho dokáže napriek tomu prelomiť, poskytuje iba falošný pocit bezpečnosti. Neexistuje horšia situácia ako keď niekoľko rokov používate aplikáciu, ktorá by mala chrániť vašu komunikáciu a až neskôr zistíte, že útočník dokázal získať celú históriu vašej komunikácie.
Obrázky: Justin Sullivan/free-mockup.com, B_A/pixabay.com
Infografika: Michal Palát