TIETOTURVA Ole matoa Myös mobiililaitteiden tietoturva on syytä ottaa tosissaan. TEKSTI: TOMMI VÄNNINEN PIIRROS: ERIC LERAILLEZ Älypuhelimien virustartunnat ovat harvinaisia, eikä isoa epidemiaa ole vielä ennustuksista huolimatta tullut. Yrityksille viruksia isompi riski on päätelaitteen ja sen sisältämien tietojen häviäminen tai joutuminen vääriin käsiin. Kadonneen tai varastetun mobiililaitteen salasanojen ja tunnusten väärinkäyttö voi altistaa yrityksen isonkin hyökkäyksen kohteeksi. Päätelaitteiden monipuolistunut käyttö päivittäisissä töissä ja kasvaneet tietoturvariskit ovatkin saaneet monet yritykset laajentamaan tietoturvapolitiikkaansa koskemaan myös mobiilipäätelaitteita. Miten kännykkä tulisi suojata? Mobiilipäätelaitteen suojauksessa pätee samat säännöt kuin kannettavan tietokoneen kohdalla. Päätelaitteen tiedot tulee suojata virusten varalta, vaikka 26 MikroPC 7 / 2008
fiksumpi riski joutua virustartunnan uhriksi on pieni. Mobiilivirukset osaavat olla varsin häjyjä ja yksikin virustartunta voi olla liikaa. Jos laitetta käytetään päivittäin työtehtävien hoidossa, tulee myös sen sisältämät tiedostot salata. Mikä olisikaan ikävämpää kuin omien sähköpostiviestien ja muiden tärkeiden tietojen joutuminen vääriin käsiin. Mikäli puhelinta käytetään avoimessa wlan-verkossa, se kannattaa suojata erillisellä ohjelmistopalomuurilla. Useat tietoturvaohjelmien valmistajat ovat sisällyttäneet palomuurin osaksi mobiilitietoturvapakettiaan. Jos puhelin on suojattu asianmukaisesti, pienenee riski, että puhelinta pystyy hyödyntämään yritysverkkoon tunkeuduttaessa. Kännykän turvauhat Tärkeän tiedon joutuminen vääriin käsiin puhelimen kadotessa Vakoiluohjelma varastaa tietoa puhelimelta kunnes tartunta puhdistetaan Päätelaitetta ei voida käyttää tuottavasti haittaohjelmatartunnan vuoksi Puhelimen luvaton käyttö Virusten määrä kasvaa hitaasti Mobiilivirusten lukumäärä on pieni verrattuna pc-puolen haittaohjelmiin. F-Secure saa päivittäin analysoitavaksi 25 000 pc-haittaohjelmanäytettä, mobiilivirusnäytteitä vain muutaman kuukaudessa. Mobiilivirusten määrä kasvaa hitaasti. Vuoden vaihteessa mobiilihaittaohjelmien määrä ylitti 400 kappaletta. Lisäystä vuoden takaiseen tilanteeseen on noin 30. Mobiilivirukset jakautuvat troijalaisiin (78 %), viruksiin (15 %) ja vakoiluohjelmiin (5 %). Valtaosa mobiiliviruksista on toistensa muunnelmia eli variantteja. Suurin osa haittaohjelmista saadaan kiinni geneeristen eli perustunnisteiden avulla, koska uusi muunnelma sisältää yleensä runsaasti alkuperäisen isäntänsä ohjelmakoodia. Siksi virustorjuntaohjelma kykenee tunnistamaan myös uusia virustulokkaita vanhojen yleistunnisteiden perusteella. Häjyt suvut jyräävät Suurimmat virusperheet tällä hetkellä ovat samat kuin vuosi sitten. Cabir, Cardtrap, Skulls ja Commwarrior ovat pysyneet kärjessä. Yhteensä erilaisia virusperheitä on 39. Vuoden aikana uusia perheitä syntyi neljä. > Mobiilivirusten esiinmarssi 2004 2008 Cabir Skulls Dampig Hobbes Flexspy Win CE BRADO R Locknut (Gavno) Mabir Boottoo n Cadmesk Cardtrp PBSteal RedBrow Flexspy Romride Acallno Comdrop Feakks Viver Smsany Hathat Win CE DUTS Qdial Vlasco Comwar Drever Fontal Doomed Skudoo Blanfon Cardblk Sndtool Cxover OneJump Mobler Wesber Mrex Feaks Mpofeli Beselo Infojack 2004 2005 2006 2007 2008 Fonzi = Symbian OS (Nokia, jne.) = Windows (HP ipaq jne.) = Java (J2ME) LÄHDE: TREND MICRO Kaavio ei sisällä variantteja eli muunnelmia. MikroPC 7/2008 27
TIETOTURVA Multimediaviestein ja bluetoothin avulla leviävä Comwarrior on teknisesti yhä yksi monipuolisimmista haittaohjelmista, joita on havaittu. Kaupalliset vakoiluohjelmat ovat myös kehittyneet. Syynä tähän lienee intressi tehdä monipuolisia ohjelmia, jotta niiden kauppa kävisi entistä paremmin. Mitä älypuhelimella voi tehdä? Lähettää ja vastaanottaa sähköpostia Lähettää ja vastaanottaa pikaviestejä Hyödyntää yritysten sovelluksia Skannata viivakoodeja Pelata online-pelejä Käyttää chat- ja irc-sovelluksia Surffata internetissä Ladata ohjelmia ja tiedostoja netistä Käsitellä erilaisia dokumentteja Huomioi tietoturva älypuhelimen kaikissa käyttötarkoituksissa. Mobiilivirukset ovat kömpelöitä Mobiilivirukset leviävät pääsääntöisesti käyttäjän itsensä asentamina. Haittaohjelmat voivat levitä Symbian-käyttöjärjestelmällä varustetusta puhelimesta toiseen myös esimerkiksi bluetoothin tai mmsmultimediaviestien avulla. Bluetoothia käyttää hyväksi 77 haittaohjelmaa ja haitallisia mms-viestejä kykenee lähettämään 29 haittaohjelmaa. Windows -käyttöjärjestelmällä varustetuissa laitteissa virukset leviävät tällä hetkellä vain käyttäjän itsensä asentamina toisin kuin Symbian-käyttöjärjestelmässä. Tästä huolimatta bluetooth-yhteys kannattaa pitää suljettuna myös Windows -laitteissa silloin, kun sitä ei käytetä. Virustartunnan voi saada myös muistikortin kautta, mutta tämä on harvinaista, sillä harva käyttäjä edes irrottaa muistikorttia puhelimesta. Ainoa multimediakortin kautta leviävä haittaohjelma on Com warrior viidellä muunnoksellaan. Mobiililaitteita kiusaavat haittaohjelmat ovat asentumismekanismiltaan kömpelöitä, sillä ne eivät asennu päätelaitteelle ilman käyttäjän lupaa. Asennusvaiheessa puhelin näyttää useita varoituksia ennen kuin ohjelman voi asentaa koneelle. Asennusvaroitukset ovat tyyliä: Haluatko asentaa tämän sovelluksen, vaikka ohjelmistotoimittaja on tuntematon? Kiristystä: Maksa tai puhelimesi saastuu! Haittaohjelmissa kyse on yhä useammin hämäräperäisen rahan ansaitsemisesta. Viimeisin trendi on vakoojaohjelmien > Tietoturvaa älypuhelimille Ohjelmisto Avira BitDefender F-Secure Kaspersky Symantec Antivir v2 Suite Tuki Symbian S60 2nd/3rd edition / / / /, / Symbian S80 UIQ Windows 6 Standard (Smartphone) Windows 6 Professional (Pocket PC) Ominaisuudet Virustorjunta Palomuuri 4) SMS-roskapostin suodatus Salaus (krypto) Osittain 1) Käyttö yritystuotteena ja hallinta Hallintakonsoli Integroituu osaksi DM:ää. Hinta Lisenssihinta, kuluttajaversio 25 16,90 34,95 24,95 36,20 Lisenssihinta, yritysversio 25 kpl Yht. 431 Yht. 315 34,95 /kpl 24,95 /kpl 60,74 /kpl 42,80 /kpl 3) Lisätietoa www.avira.com www.bitdefender.com www.f-secure.fi www.kaspersky.com www.symantec.com 1) Windows, salaus vain kansioittain. 2) Vaatii OfficeScan-hallintakonsolin. 3) Symbian-käyttöjärjestelmälle. 4) Symbian S60 2nd edition. Turvaohjelmaa hankkivan on aina syytä tarkistaa päätelaitteen yhteensopivuus valmistajan kotisivulta. 28 MikroPC 7 / 2008
myyminen kaupallisena ohjelmana. Erikoisuutena voi myös mainita, että mobiilitroijalaisia yritetään hyödyntää kiristyksen apuvälineenä. Kiristyksessä käytetty Kiazha-troijalainen asentaa puhelimeen useita vanhempia tunnettuja viruksia ja lähettää sitten käyttäjälle viestin, jonka mukaan puhelimen saa korjattua vain maksamalla kiristäjille seitsemän dollaria rahansiirtopalvelun kautta. Moni suostuu maksamaan lunnasrahan saadakseen puhelimen normaaliin toimintakuntoon ja pelastaakseen osoitekirjansa, kalenterinsa ja mobiilisähköpostinsa. Symbianin suosio houkuttelee viruskirjoittajia Mobiilivirukset ovat lähinnä Symbian -pohjaisten päätelaitteiden kiusa, sillä vain yh- Avira Antivir tarjoaa käyttäjälle mahdollisuuden valita, mitä viruslöydöille tehdään. Avira on tuttu ilmaisesta pc-virustorjujastaan. Kaspersky sisältää virustorjunnan lisäksi palomuurin, sms-roskapostin suodatuksen sekä erillisen Anti-Theft Protection -suojausominaisuuden varkaustapauksien varalta. > Trend Micro Check Point Pointsec / On / (3.0-versio) 2.1 ja 3.0 (5.0 Advanced) BitDefender sisältää Aviran tavoin pelkästään virustorjunnan. Symantec sisältää perusominaisuuksien lisäksi kansiokohtaisen salauksen. Osittain (5.0 Advanced) 2) 24,95 saatavilla 28,25 / kpl 4 450 dollaria www.trendmicro.com www.checkpoint.com F-Secure sisältää ainoana suomenkielisen käyttöliittymän. Palomuurissa voidaan valita kolme eri suojaustasoa. Trend Micron -ohjelmiston Advanced -versiossa voidaan Windows -laitteen tiedot salata puhelimen katoamisen varalta. MikroPC 7/2008 29
TIETOTURVA deksän haittaohjelmaa toimii Palm- ja Pocket PC -pohjaisissa päätelaitteissa. Symbianin suosio mobiilivirusten kirjoittajien joukossa liittyy Symbianin ylivoimaiseen markkinaosuuteen älypuhelimissa. Symbianin kohdalla tilanne on kuitenkin paranemassa, sillä suurin osa nykyisistä haittaohjelmista on suunniteltu toimimaan Symbian Series 60 2nd Edition -alustaisissa puhelimissa. Tämä Symbian-sukupolvi kuolee sukupuuttoon muutamassa vuodessa, sillä uudet puhelinmallit pohjautuvat Symbianin kolmanteen versioon. Uuden version myötä virusten leviäminen on hankalampaa, mikä johtuu käyttöjärjestelmän vaatimasta ohjelmakohtaisesta digitaalisesta allekirjoituksesta. Mobiilivirusten määrä laitealustoittain Alusta 2004 2005 2006 2007 2008 Palm 3 3 3 3 3 PocketPC 2 2 3 6 6 Symbian 22 141 337 389 390 J2ME 0 0 2 2 2 Yhteensä 27 146 345 400 401 Lähde: F-Secure Päätelaitteen salausta hallitusti Yrityksen käytössä olevien päätelaitteiden tietoturvan hallintaa ei kannata jättää käyttäjien vastuulle, sillä tuolloin käytössä olevan tietoturvan taso myös vaihtelee F-Securen virustutkija Jarno Niemelän mukaan etenkin kaupalliset vakoojaohjelmat ovat kehittyneet muutamassa vuodessa huomattavasti. Radioaalloilta suojattu tutkimustila (Faradayn häkki) on tarpeen mobiilitihulaisten tutkijoille. Trend Micron ohjelmistoa hallitaan OfficeScan-hallintaliittymästä. Pääkäyttäjä voi muokata käytössä olevia säännöstöjä muutamalla napinpainalluksella. Hallintaliittymästä voidaan määritellä monipuolisesti erilaisia puhelimen salaukseen liittyviä säännöstöjä jopa käytettävää salausalgoritmia myöten. 30 MikroPC 7 / 2008
käyttäjittäin. Salauksessa hallittavuus on erittäin tärkeää. Salausmääritteiden tulee olla tarpeeksi kattavat, jottei käy niin, että osa päätelaitteen tiedoista on luettavissa salaamattomana. Myös käytettävyyden kohdalla voi tulla tilanteita, jolloin yrityksen itosaston on pystyttävä antamaan apua päätelaitteen käyttäjälle esimerkiksi palauttamaan päätelaite toimintakuntoon puhelimen salasanan lukkiutumisen takia. Muutoin edessä olisi puhelimen formatointi ja uudelleen asennus. Pointsecin hallintaliittymä jakautuu eri moduuleihin. Pointsec Symbian OS -valikosta voidaan määritellä etenkin Nokian puhelimiin tarkoitetun ohjelmistoversion säännöstöä. Kaikki samasta paketista Osa tietoturvaohjelmien valmistajista on julkaissut mobiilipäätelaitteille tarkoitettuja kokonaispaketteja, jotka sisältävät virustorjunnan, palomuurin, sms-roskapostin eston ja jopa salaustoiminnot. Salausteknologian tuonti mobiilipäätelaitteisiin on tällä hetkellä vasta nousussa. Salauksen tuotteeseensa ovat sisällyttäneet Symantec ja Trend Micro. Kummassakin tapauksessa salaus on saatavissa vain Windows -käyttöjärjestelmällä varustettuihin puhelimiin. Symantecin salauksessa on kyse kansiokohtaisesta salauksesta. Trend Micron salaus pohjautuu koko päätelaitteen salaukseen. Päätelaitteiden erilaisuus luo haasteita salaukseen, sillä esimerkiksi Trend Micron salaus toimii vain tietyissä puhelinmalleissa. Testikapulaamme emme saaneet salausta asennettua puutteellisen laitetuen vuoksi. Kun koko tietoturvaohjelmisto tulee yhdeltä valmistajalta, ohjelmistokomponentit ovat varmasti keskenään yhteensopivia. Toinen merkittävä etu tulee siitä, että yleensä ohjelmistokomponentit ovat käytettävistä samasta käyttöliittymästä. Yrityskäyttöön tarkoitetut tietoturva- ja salausohjelmistot vaativat toimiakseen yleensä myös hallintapalvelimen. Netistä on myös saatavilla kuluttajille tarkoitettuja salausohjelmistoja, jotka toimivat ilman hallintapalvelinta. Kokeilussa: Pointsec TESTASIMME ÄLYPUHELIMIEN salaukseen tarkoitettua Pointsec -salausohjelmistoa sekä siihen liittyvää yrityskohtaista hallintakonsolia. Pointsecin hallintakonsoli asentui normaaliin windows-työasemaan ongelmitta vaatien tosin, että Microsoft.Net Framework -moduuli oli asennettu koneelle. Microsoftin VirtualPC 2007 -ympäristöön hallintamoduulia ei saatu asennettua. Pointsecin hallintakonsolin avulla eri päätelaitteille voidaan luoda erilaiset salauspolitiikat, joiden avulla voidaan määritellä käytettävien salasanojen vähimmäismitat tai esimerkiksi salataanko päätelaitteessa käytettävä muistikortti vai ei. Hallintakonsoliin voi tarvittaessa luoda eritasoisia pääkäyttäjätunnuksia, jotka pystyvät tekemään kyseiseen tunnukseen määriteltyjä toimintoja. Työasema- ja päätelaitetuelle voidaan antaa eri oikeudet kuin esimerkiksi asennustiimille, joka saa luoda ainoastaan asennuspaketteihin liittyvät politiikat. SALAUSKEINOJEN MÄÄRÄ vaihtelee päätelaitealustoittain. Eniten erilaisia määrityksiä pystyy tekemään Windows n SmartPhone- ja PocketPC-päätelaitteille. Symbianilla varustetuissa päätelaitteissa menettelytapojen määrä oli suppeampi. Kokeiluun ottamamme Pointsec Käyttäjä ei voi itse poistaa Pointsecin salausohjelmistoa ilman pääkäyttäjän valtuutusta. -ohjelmiston asensimme Windows 6.0 (PocketPC) -päätelaitteeseen. Pointsec ei luonut perinteistä cab-asennustiedostoa, jonka olisimme siirtäneet suoraan päätelaitteeseen, vaan ohjelma piti asentaa ActiveSyncin avulla. Salausohjelmiston asennus sujui kivuttomasti. TESTIN PERUSTEELLA salaustoiminnallisuuden tuominen Windows -päätelaitteeseen hidasti sitä noin kymmenen prosenttia, eli isosta hidastumisesta ei ole kyse. Toki on muistettava, että mitä vanhempi päätelaite on kyseessä sitä enemmän se suhteessa kuormittaa puhelinta. Jo muutaman vuoden ikäisessä laitteessa hidastuminen näkyy selvänä käytettävyyden alentumisena. Jos käytössä on vanhempaa laitteistoa, ennen laajamittaista käyttöönottoa on syytä tarkistaa päätelaitteiden suorituskyky ja tehdä päätelaitteille pienimuotoinen kuormitustesti. Näin voi varmistaa, toimiiko ohjelmisto halutulla tavalla kyseisessä päätelaitteessa. MikroPC 7/2008 31