Kymmenen näkökulmaa älypuhelimen turvallisuuteen
Kymmenen näkökulmaa älypuhelinturvallisuuteen 1. Matkapuhelin on verkottunut 2. Matkapuhelin on täynnä sensoreita, antureita ja muita tarkkailuvälineitä 3. Matkapuhelin saattaa vuotaa tietoja kolmansille osapuolille 4. Voiko helppokäyttöinen olla turvallinen? 5. Matkapuhelin on useimmille vain apuväline 6. Matkapuhelimen etähallinta on lapsenkengissä 7. Matkapuhelimen käyttöjärjestelmä osaa muokata itseään 8. Matkapuhelinta voi päivittää 9. Matkapuhelin saa (ja ei saa) suojaa verkosta 10. Matkapuhelin on mobiililaite 2014-01-31 2
1 Verkottunut " Älypuhelin on erittäin verkottunut» yhteys auki lähes jatkuvasti» useita erilaisia radioverkkorajapintoja» kytkeytyy internetiin useilla eri tavolla» USB-väylän kautta saa muutakin kuin sähköä» monenlaisia yhteyskäytäntöjä» kasvava kokoelma verkkoon jatkuvasti yhteydessä olevia sovelluksia (palvelut ovat pilvessä) " Verkottuminen lisää mahdollisten haavoittuvuuksien vaikuttavuutta ja vakavuutta 2014-01-31 3
2 Sensorifuusio " Älypuhelin on lastattu täyteen ympäristön aistimiseen tarkoitettuja sensoreita» mikrofoni ja tehokas signaalinkäsittely» kiihtyvyysanturit» valosensori» kamerat» kosketussensori» lämpötilasensori» useita toisiaan täydentäviä paikannusmenetelmiä» biosensorit vasta tulossa " Puhelin tuntee käyttäjänsä paremmin kuin tämä itse kuva: streetbump.org 2014-01-31 4
3 Vuotava alusta " Harhaluulo: puhelin välittää käyttäjän viestiliikennettä ja siihen tallennetaan käyttäjän kaipaamia tietoja " Osa tiedoista tallentuukin pilveen, jopa niin että käyttäjälle ei tarjota mahdollisuutta valita paikallista tallennusmahdollisuutta» Pilvipalvelut (mm. some-sovellukset) osaavat korreloida tiedot muiden käyttäjien tietoihin " Tietoja kerätään, vaikka palvelun toteuttaminen ei sitä edellyttäisi» Keräämisen ainoa tarkoitus on luovutus kolmansille osapuolille (yleensä mainostustarkoituksiin) " Älypuhelin vuotaa käyttäjää ja laitteen käyttöä koskevia sekä puhelimeen tallennettuja tietoja matkapuhelimen valmistajalle, sovellusten tuottajille ja muille kolmansille osapuolille 2014-01-31 5
4 Helppokäyttöisyyden kääntöpuoli " Puhelimen käyttöliittymä on pelkistetty» ohjelmiston valmistajan helppokäyttöisiksi haluamat perustoiminnot on helppo omaksua» valmistajan näkemyksestä poikkeavat käyttötavat ovat joko mahdottomia tai tehty vaikeiksi " Puhelimen ja sovellusten teknisestä toiminnasta on vaikea saada selkoa» mistä varmistun, onko yhteys salattu tai onko vastapuolen palvelinvarmenne varmasti oikein?» lähtikö viestini nyt lyhytsanomana, multimediaviestinä, someen vai jonkin muun palvelun kautta?» mistä varmistun, että mikrofoni on mykistetty? " Puhelin on täysverinen ja tehokkaasti verkottunut tietokone, jonka monimutkaisuus on piilotettu yksinkertaiselta vaikuttavan käyttöliittymän taakse kuva: http://apple.stackexchange.com/questions/36314 2014-01-31 6
5 Apuväline, ei ensisijainen työväline " Irrallaan (heitteillä?!) organisaation muusta ICTinfrastruktuurista» synkronointi yrityksen sähköpostipalvelimen, kalenterin ja osoitekirjan kanssa parhaimmillaankin kömpelöä» onko kukaan yrittänyt arkistoida teksti- ja multimediaviesteitse käymäänsä kirjeenvaihtoa? Oikeasti?!» tukeeko yksikään organisaation tuottavuustyökalu puhelimen edistyneitä toimintoja?» BYOD! " Puhelinta käsitellään tietohallinnoissa kuten kivaa kuluttajahyödykettä vaikka siinä olisi potentiaalia enempään 2014-01-31 7
6 Keskitetty hallinta ontuu " Myytti: puhelin on henkilökohtainen» niin markkinoitiin tietokoneitakin aiemmin..» päätelaitteet on ladattu täyteen arvokasta tietoa ja ne mahdollistavat pääsyn luottamuksellisiin järjestelmiin» liiketoiminnalle kriittisten sovellusten asentaminen ja asetusten määrittely ei saa olla käyttäjän päänsärky» etätyhjennys, salakirjoitus, suojakoodien pakottaminen, varmuuskopiointi, muut turvaohjelmistot " Varjo-IT " Älypuhelinten vakiointi ja turvaaminen aiheuttaa tietohallinnoille jatkuvan päänsäryn 2014-01-31 8
7 Järjestelmän kyky muokata itseään " Älypuhelimen ohjelmakoodia voi muuttaa» varusohjelmistojen asentaminen käyttäjän päätettävissä» käyttöjärjestelmä päivitettävissä» käyttövaltuuksien hallinta rajallista» perinteisesti suljetut järjestelmät ovat avautuneet; jos ei muuten niin väkisin (vrt. jailbreaking) " Vaarana haitallisen koodin asentuminen 2014-01-31 9
8 Päivitysten ja korjaustiedostojen jakelu ontuu " Ennen puhelimet päivitettiin jos päivitettiin valtuutetussa huollossa. Nyt päivitykset saa jos saa verkossa.» jopa pari vuotta vanhat laitteet saattavat pudota päivitysten ulkopuolelle» voiko korjaustiedostojen asentaminen koskaan olla liian helppoa?! lähde: Google " Kierrossa olevissa päätelaitteissa on keskimäärin vanhentunut ohjelmisto 2014-01-31 10
9 Verkkotason suoja, onko sitä? " Volyymipohjainen datahinnoittelu à sisään tulevaa IP-liikennettä suodatettiin» kiinteä hinnoittelu muutti tilanteen " Onko laitteessa IP-verkkoa kuuntelevia palvelinsovelluksia? " Verkko ei ota kantaa siihen, mitä tietoja laitteesta saa lähettää ulos " GSM-standardin mukaan vain puhelimen ja tukiaseman välinen ilmarajapinta on salakirjoitettu " Suojaus kuuluu verkon sijasta päätelaitteen itsensä vastuulle 2014-01-31 11
10 Mobiili luonnostaan " Puhelin on aina mukana, aina käsillä»..paitsi silloin kun se katoaa!»..tai varastetaan»..tai sitä lainataan»..tai se hajoaa " Käynti löytötavaratoimistossa avartaa.. 2014-01-31 12
CASE-ESIMERKKEJÄ Älypuhelinten tietoturvauhista 2014-01-31 13
Verkkopankkien turvallisuus: kissa ja hiiri -leikkiä» Käyttäjätunnusten salasanojen urkinta hyväuskoisilta käyttäjiltä " Suomen ensimmäinen phishing-tapaus 28.10.2005 " Käyttäjätunnusten varastaminen haittaohjelman avulla " Haxdoor-haittaohjelma 2/2006 (7/2006) à " Verkkopankki-istuntojen kaappaaminen (MitB, manuaalinen) " ZeuS Man-in-the-Browser (aka Wsnpoem, aka ZBot) 2/2008 à " Verkkopankki-istuntojen kaappaaminen (MitB, automaattinen) " Gozi MitB 2009/2010 à " Vahvistustekstiviestien kaappaaminen (ZitMo) " ZeuS in the Mobile (ZitMo) syksy 2010 à " ei toistaiseksi havaintoja Suomessa Tiivis sanasto: MitM = Man-in-the-Middle MitB = Man-in-the-Browser ZitMo = Zeus-in-the-Mobile 2014-01-31 14
Tapaus iphone ja sijaintitiedot lähde: Viestintävirasto lähde: O Reilly Radar 2014-01-31 15
Tapaus Nokia E-mail Settings Wizard Nokian Symbian-laitteissa ollut E- mail Settings Wizard avusti sähköpostiasetusten perustamista kysymällä sähköpostiosoitteen ja salasanan. Ajatuksena oli, että suositut postipalvelut saatiin nopeasti ja helposti käyttöön. Osoittautui, että tässä yhteydessä Nokian Yhdysvalloissa sijaitsevalta palvelimelta käsin yritettiin kirjautua postilaatikkoon käyttäjän syöttämän salasanan avulla. Kirjautumista yritettiin myös siinä tapauksessa, että käyttäjä syötti puhtaasti sisäiseen käyttöön tarkoitetun sähköpostipalvelimen tiedot. 2014-01-31 16
Tapaus Nokia Ovi-paikannus --- CLIENT POST / HTTP/1.1 Host: prod.pos.svc.ovi.com Accept: */* User-Agent: ODNP v3.02.03 Content-Type: Multipart/Related; type=text/xml;boundary=sdfa54agfgdfgk54u6; start="start" Content-Length: 1157 --SDFA54Agfgdfgk54u6 Content-Type: text/xml Content-Transfer-Encoding: 8bit Content-ID: start <SimpleLocationProtocol version="1.2"><slprequest type="terminal" platform="s60" swid="odnp" swversion="3.2.3" imsi="24491xxxxxxxxxx" imei="xxxxxxxxxxxxxxx" mcc="244" mnc="91"><upload type="fingerprint" version="1.1" oid="2" href="cid:2"/></ SlpRequest></SimpleLocationProtocol> --SDFA54Agfgdfgk54u6 Content-Type: application/octet-stream Content-Transfer-Encoding: binary Content-ID: 2 s60unknown - xxxxxxxxxxxodnpterminalimsi: 24491xxxxxxxxxxIMEI: xxxxxxxxxxxxxxx. Mô [ ËÐ Ù Ú ÿ]å Ù ÿ #ø Bkc Ÿ8 L h tå >ÔùMô [ ËÐ Ñ è ÿ Ð ÿýé Ñ ÿ Û @\ Ÿ8 \ h tå :ý(úmô [ ËÐ Ñ è ÿ Ð ÿýé Ñ ÿ #ø Bk` Ÿ8 S h tå :½ÑúMô [ ËÐ Ù ]å Ù ÿ Û @^ Ÿ8 U h tå -íûúmô [ ËÐ Ù ]å Ù ÿ #ø Bkc Ÿ8 T h tå 4žwüMô [ ËÐ Ù Ú ÿ]å Ù ÿ Û @c Ÿ8 Z h tå -Î ümô [ ËÐ Ù Ú ÿ]å Ù ÿ #ø Bkc Ÿ8 Z h tå 5îžýMô [ ËÐ Ù ]å Ù ÿ Û @[ #¾G5 b #ø BkcÉýMô [ ËÐ Ù ]å Ù ÿ #¾G5 c Û @\ Ÿ8 U h tå < --SDFA54Agfgdfgk54u6-- --- SERVER HTTP/1.1 200 OK Cache-Control: no-cache Content-Type: multipart/mixed; boundary=z%l^thy71s&8w$i6iiy8vhg*s^fqu9; start=slpheader Server: nps-4.1.1 2014-01-31 17
www.kyberturvallisuuskeskus.fi www.viestintävirasto.fi