Mobilsäkerhet

1
RISKHANTERINGSAKADEMIEN I MÖLNLYCKE
RISK MANAGEMENT
Lise-lott Rausenstierna 640321-3322
Examensarbete
Vårterminen 2012
Handledare: Frank Paulsson
Riskhanteringsakademien
Risk management RM 10-11
2
1. Sammanfattning
I arbetet med denna uppsats har jag belyst en del av de säkerhetsrisker som följt med
mobiltelefonins utveckling och bruket av sk.smartphones I arbetet har jag tagit upp de vanligast
förekommande angreppen mot mobiltelefoner och hur dessa angrepp går till. Utifrån det
undersökta materialet och övriga källor har jag kunnat konstatera att det allvarligaste hotet är
bristande säkerhetsmedvetande hos mobilanvändarna. Något som även bekräftas av de ”hackers”
som ägnar sig åt obehöriga angrepp mot mobila enheter . I takt med att mobilerna blir alltmer
avancerade ökar säkerhetsriskerna genom att skyddsvärd information i allt större omfattning
lagras, skickas eller bearbetas i telefonerna. En telefon och dess information skyddas inte i
samma omfattning som en dator p.g.a. att den oftast inte omfattas av skydd som fysiskt
skalskydd, brandväggar och andra nätverksskydd. En mobil är också lättare att förlora genom
stöld eller att den tappas. Den information som lagrats i mobilen är sällan skyddskopierad och vid
en förlust av mobilen förloras också värdefull information. Förlust av sådan information kan i sig
innebära betydande praktiska problem, men än allvarligare blir det när informationen rör
företagshemligheter och annan information med högt skyddsvärde. Vad visar i denna uppsats är
att det långt ifrån räcker med att hålla hårt i sin mobiltelefon. Den som vill komma i besittning av
en smartphones information behöver inte vänta på att få mobilen i handen, det räcker långt med
dess telefonnummer.
3
2. Innehållsförteckning
1. Sammanfattning Sid. 2
2. Innehållsförteckning Sid. 3
3. Introduktion Sid. 4
3.1. Bakgrund Sid. 5
3.2. Problem Sid. 5-6
3.3. Syfte Sid. 6
3.4. Frågeställning Sid.6
3.5. Avgränsningar Sid.6
3.6 MålgruppSid. 7
4. Teori Sid. 7
5. Metod Sid. 7
6. Analys av källmaterialet Sid. 8
6.1 Intrång Sid. 8-9
6.2 Virus och Trojaner Sid. 9-11
6.3 Säkerhetshål i Bluetooth Sid.11
6.4 Jailbreaking Sid. 11-14
6.5 Bankärenden Sid. 14
6.6 Smishing och Vishing Sid.15
6.7 Ny Android-trojan kan härma banken Sid.15-16
6.8 Elektronisk signatur Sid. 16
6.9 E-handel och bankärenden via mobilen Sid.16-18
6.10 Man-i-mitten-attack Sid.18
6.11 Domän-i-mitten-attack Sid.18-20
6.12 Avlyssning av mobilsamtal Sid.20-21
6.13 Positionering av mobiler Sid.21
6.14 Kryptering/ Kryptoalgoritmer Sid. 21-23
6.15 Satellitkryptering Sid. 23-25
6.16 Smarta enheter, fingeravtrycks och smartkorts läsare för mobila lösningar Sid.25-26
6.17 Riskmedvetenhet är avgörande Sid.26-27
6.18 Säkerhetstips för vardagsanvändning (punktlista) Sid.27-29
7. Slutsats Sid. 29
Referenser/Källförteckning Sid. 30
4
3. Introduktion
Den snabbt växande populariteten för mobila enheter öppnar nya möjligheter för
affärsverksamheten och drygt en miljon anställda bär i dagsläget med sig företagsrelaterad
information i mobilen. En ny undersökning från Telia visar att majoriteten av dessa individer inte
har någon säkerhetspolicy att relatera till för arbetsrelaterad information. Då företagens IT-
system spelar en allt viktigare roll i affärsverksamheten har IT-säkerheten blivit en strategisk
fråga för företagens ledningsgrupper. Information som tidigare enbart hanterades via datorerna
har nu förflyttats till våra mobiltelefoner, vilket både innebär en större frihet och ökade
möjligheter till effektivare arbetstid, men också ett hot då mobilerna används i allt högre grad för
hantering av affärsinformation. Vad vi inte tänker på är att mobiltelefoner idag är fullgoda
dataklienter, och därmed också lika sårbara för attacker som datorer. Det som skiljer mobiler
ifrån datorer är att de även kan ta emot mms, sms och operatörsdata via operatörskanalerna, vilket
medför ytterligare säkerhetsrisker att ta hänsyn till. Med dagens smarta mobiler kan användaren
göra mängder av inställningar och programinstallationer. Telia Mobil tillhandahåller, till
exempel, idag en tjänst som erbjuder enkel och webbaserad rapportering, där arbetsordrar kan
skickas ut via ett webbgränssnitt i datorn för att därefter tas emot i mobiltelefonen. De anställda
bär därmed i princip med sig ett flexibelt kontor där de via mobilen kan göra statusuppdateringar,
skriva rapporter, delta i gemensamma möten och läsa sin e-post. Genom att lösa dessa
administrativa uppgifter via mobilen sparas tid och de anställda behöver inte alltid utgå från det
geografiska kontoret. Detta ställer dock helt nya krav på företagens säkerhetspolicy och jag anser
att det är hög tid att organisera en tydlig styrning på mobilsäkerhetsområdet, implementera detta
regelverk och skapa rutiner för uppföljning. Jag ska i detta arbete därför på ett konkret och
lättöverskådligt sätt tydliggöra några av de säkerhetsproblem som är aktuella idag samt lägga
fram de skyddsåtgärder som finns att tillgå.
3.1 Bakgrund
En mobil är en mycket attraktiv måltavla för den som vill skada ett företag eller komma åt dess
affärshemligheter. Ett problem då det blir allt vanligare är att folk tappar mobiltelefonen med
känslig information som kundinformation, kreditkortsnummer, kortlistor, offerter och prislistor,
vilka då riskerar att läcka ut. Företagens IT-ansvariga måste därför ta säkerheten på större allvar
5
när det gäller borttappade mobiler och externa attacker på dessa. De flesta mobiler har idag
enbart mobilens PIN-kod som skydd mot informationsstöld, alternativt ingen kod alls, inget
lösenordsskydd för dokument eller kryptering av känslig information. Detta är mycket allvarligt,
speciellt som en PIN-kod inte överhuvudtaget ger något skydd för informationen i telefonens
SIM-kortsminne, eftersom detta kort kan bytas ut.
På SVT.se visar ett reportage hur man med ett spionprogram lanserat av företaget Vervata
mycket effektivt kan komma över företagshemligheter och utföra industrispionage. Programmet
som kan användas på de flesta av Nokias smarta telefoner gör att en utomstående via en dator lätt
kan läsa av inkommande och utgående sms, samt få tillgång till samtalslistor med telefonnummer
och samtalslängd. Spionaget inleds genom att hackern i fråga utför en så kallad Man i mitten -
attack vid en hotspot där telefoninnehavaren i fråga kopplar upp sig via Wifi. Därefter infekteras
telefonen med elak kod som öppnar upp en backdörr och ger hackaren full kontroll över den
genom så kallad root-access. Samma sak kan hända om en app innehållandes elak kod installeras
i telefonen. Attacken kan också riktas mot en specifik individ via SMS eller e-post med en länk
som man luras att klicka på, varefter man flyttas till en hemsida där telefonen infekteras. Mejlet
kan skickas med en så kallad spoofad e-postadress, det vill säga från en avsändare som du känner
igen. Dessa attacker är möjliga att göra mot i princip samtliga smarta mobiler på marknaden, då
det inte krävs att telefonen har låsts upp i syfte att installera icke auktoriserade appar, det vill säga
är jailbreakad. Begreppet jailbreaking förklaras utförligt under rubriken med samma namn.
3.2. Problem
Mobilindustrin utvecklas i allt snabbare takt och skapar därmed också alltfler öppna och flexibla
operativsystem, vilka underlättar för både applikationsutvecklare och så kallade hackers att tjäna
stora pengar på utvecklingen av skadlig programvara. Säkerhet är därför ett stort problem i
datorvärlden idag. När en enhet dessutom används utanför företagets väggar är den ännu mer
sårbar.
Detta beror till stor del på att den inte kan utnyttja företagets brandvägg, antivirusserver eller
uppdateringssystem. Idag finns det många bra säkerhetslösningar för mobiltelefoni, men detta
faller om den enskilda användaren inte aktivt tar del av de lösningar som finns tillgängliga. Detta
kallas för mänskliga hot.
6
Många företag har en gedigen säkerhetspolicy för att hantera olika situationer, men detta hjälper
föga om användarna inte tillämpar den. Företagen har därför börjat inse att skyddet av vital
information nu också behöver inkludera de anställdas mobilanvändning. De nya
mobiltelefontjänsterna innebär också möjlighet för privatpersoner att utföra bank- och
betalningstjänster, samt att genomföra köp av varor/tjänster, via Internet. Detta väcker frågan om
det är säkert att utföra banktjänster och betalningar via mobilen? De flesta kan tänka sig att köpa
varor på internet via sin tjänstemobil, men få tänker på säkerhetsaspekten. Detta beror till
övervägande del på bristande kunskap om mobilsäkerhet, men även på brister i företagens
mobilpolicy.
3.3. Syfte
Syftet med detta examensarbete är att på ett lättöverskådligt och pedagogiskt sätt lyfta fram de
risker som idag finns inom mobilanvändningsområdet genom att visa på existerande hot, men
även visa på möjliga lösningar på några av problemen.
3.4. Frågeställning
De frågor som kommer att beröras i uppsatsen är bl.a. hur företagens mobilsäkerhetspolicy bör
utformas och implementeras för att företagen och dess anställda skall kunna använda sig av
smartphones i sitt arbete på ett tryggt sätt.
Vilka generella säkerhetsfunktioner och risker det finns för smartphones.
Vilka säkerhetsrisker det föreligger beträffande mobilt internet, e-handel via smartphones,
virus/trojaner och obehörig avlyssning.
3.5. Avgränsningar
Mobilsäkerhet är ett oerhört omfattande problemområde och på grund av syftes-avgränsningen,
kommer rapporten inte att gå in på avancerade tekniska grunder eller beräkningar av
krypteringsalgoritmer mm.
Endast de områden som är av praktisk betydelse för målgruppen, företagsledningar och
säkerhetsansvariga, kommer därför att beröras i rapporten.
7
3.6. Målgrupp
Jag anser att uppsatsen är av intresse för företag som säljer varor eller tjänster via internet, då den
fokuserar på de problem och fördelar som finns med att handla via smartphones. Förhoppningen
är att företag kommer att använda denna information som grund vid skapandet av sina tjänster,
men även personer som använder smartphones och som är intresserade av att handla online kan
läsa studien och skaffa sig en förståelse för de risker mobil e-handel medför. Därför är uppsatsens
intressenter alla företag som på något sätt har en verksamhet där de använder mobila tjänster. Ur
akademisk synvinkel är arbetet även av intresse för vidare forskning inom området mobil
säkerhet.
4. Teori
Utifrån detta ovan beskrivna källmaterial bestående av rapporter, utredningar och övrigt
tillförlitligt informationsmaterial, har det med utgångspunkt från de säkerhetsproblem som
föreligger inom mobilsäkerhetsområdet och de frågor som uppsatsen vill belysa, de även
genomförts praktiska test med hjälp av bl.a. Anonymous där telefoner hackats med
tillfredställande resultat. Inom ramen för svensk lag och med hjälp av frivilliga försöks personer ,
har dessa mobila enheter utsatts för ett flertal av de i uppsatsen beskrivna attackerna i syfte att
pröva teori mot empiri. Utfallet vid samtliga empiriska tester visade att de teoretiska
säkerhetsbrister som tas upp i arbetet kan styrkas och att en omfattande säkerhetsmedvetenhet är
A och O för att trygga bevarandet av företagshemligheter och annan skyddsvärd information.
Grundläggande skyddsåtgärder för säker mobilanvändning finns att ta del av under rubriken:
Säkerhetstips för vardagsanvändning (punktlista)
5. Metod
Denna studie av mobil säkerhet bygger på genomgång av befintlig litteratur inom mobilsäkerhet,
studier av forskningsrapporter inom ämnesområdet, sökning via Internet på aktuella
mobilsäkerhetsproblem, hackingsajter, tidningsartiklar och telefonintervju med medlemmar inom
organisationen Anonymus.
Anonymous är ett decentraliserat internationellt nätverk bestående av fristående hackers som står
bakom aktivism för yttrandefrihet och demokrati. Nätverkets grund bygger på anslutningen av
miljontals enskilda människor som vill ta upp kampen mot korruption och censur och skapa en
8
rättvis värld för de rättfärdiga. De försöker påverka politik och vardag genom sina nät attacker i
syfte att stoppa förtryck, orättvisor och brott mot yttrandefriheten och mot mänskligheten. Tack
vare sin organisationsform är de helt omöjliga att tysta som grupp vilket gör dem starka och
farliga för sina motståndare. Då organisationen består av enskilda unika individer med olika
yrkesbakgrund och erfarenheter, som alla bidrar med sin kompetens, blir den sammantagna
kunskapsbanken oöverskådlig och de kan utan problem hacka sig in i vilka It-system som helst i
världen. Vilket de också gör! Mina kontakter med nätverkets representanter har till följd av
organisationens struktur och dess grundprincip om total anonymitet, anpassats efter
organisationens oskrivna policy.
Inga namn eller källor har därför registrerats och kan av detta skäl heller inte redovisas eller
hänvisas till i litteraturlistan. Alla kontakter skedde via nätet. Allt källmaterial har sorterats
genom kvalitativt urval och dess tillförlitlighet har prövas mot vedertagna forskningsrapporter ,
myndighetsutredningar, officiella dokument vilka bekräftar intrång eller attacker mot mobil och it
nätverk, mobiloperatörers säkerhetsinformation samt övriga säkra källor.
6. Analys av källmaterialet
6.1 Intrång
IT-brottslighet är idag en mycket välorganiserad verksamhet med skickliga utövare med fokus
inställt på att tjäna stora pengar. Man stjäl känslig affärsinformation och idkar utpressning,
hämtar kreditkortsnummer eller bank-id, förstör information genom olika virusattacker eller
utsätter offrets telefon för överbelastningsattacker.
Många anställda synkar sina företags e-post till sina mobiltelefoner, vilket innebär nya
säkerhetsrisker då mobiltelefonen är en rörlig enhet utanför företagets skalskydd och därmed inte
skyddas av vare sig brandvägg, antivirusprogram eller andra säkerhetsfunktioner som finns inne
på kontoret. Detta innebär att det är lätt att smitta mobilen med skadlig kod/virus genom IR-
porten datatrafiken, Bluetooth, minneskortet, eller WLAN. De flesta företag har självklart
brandvägg och antivirusprogram på sina datorer, men mindre än en procent har motsvarande
skydd för sina tjänstemobiler. En telefon som blivit infekterad av skadlig kod möjliggör för
hackaren att komma åt praktiskt taget all information som finns lagrad i telefonen, samt möjlighet
att avlyssna mikrofonen eller fånga upp bilder från telefonens kamera.
9
6.2 Virus och Trojaner
I och med att telefonerna blir intelligentare och nu allt mer påminner om datorer ökar också
risken för att de drabbas av virus. I dag har mer än var fjärde anställd i Sverige tillgång till jobb
eller annan arbetsrelaterad information i mobiltelefonen, vilket motsvarar över en miljon
svenskar. I takt med den växande mobila marknaden har även cyberbedrägerier och spridning av
mobila malware ökat. Idag kan skadlig mjukvara spela in dina mobilsamtal och lagra dem i AMR
format på telefonens minneskort, för att därefter skicka filerna via Internet till en specifik server.
En konfigurations fil, som installeras av mjukvaran, innehåller information om fjärranslutning
och port nummer och gör att de sparade filerna kan skickas vidare till angriparens server. Finns
det till exempel Bluetooth i gång på mobiltelefonen finns det risk att bli attackerad av någon som
står nära. En attackerare kan genom Bluetooth komma åt hela en persons kontaktlista. Ett
maleware är ett program med en gömd sidoeffekt som inte är specificerad i programmets
dokumentation. En trojansk häst är ett program som innehåller skadlig kod. Den kan förstöra allt
på en hårddisk. Det finns flera olika sätt att bli utsatt för en trojan men ett vanligt sätt är att någon
skickar ett e-postmeddelande med en bifogad fil som innehåller trojanen. När programmet sedan
körs kommer trojanen att installera sig på systemet utan att användaren märker det. Trojanen kan,
utan att användaren ser detta, skicka e-post till alla i mobilens e-postlista och radera filer i
Windows adressförteckning.
Den klassiska typen av hot är så kallade malware/virus då dessa är mycket lätta att sprida och
oftast ger ”angriparen” just det som eftersträvats. Ett virus brukar definieras som ett
självreplikerande datorprogram som stör en enhets hårdvara, mjukvara eller operativsystem
Programvaran sprids via nätet eller bifogas i ett e-postmeddelande.
Viruset kan störa eller ändra datafiler, visa meddelande eller få operativsystemet att sluta fungera.
Virus sprids när de instruktioner som kör programmet skickas från en dator- eller mobilenhet till
en annan. Det som gör trojaner extra farliga är att de kan vara program som hjälper angriparen att
ansluta till den drabbade enheten och fjärrstyra den, så kallade spyware. Dessa har som funktion
att spionera på den enhet den är installerad på, med huvudsyftet att stjäla lösenord eller
kontonummer. Dessa kan dock inte sprida själva, utan måste installeras på varje mobil enhet av
intresse.
Ett så kallat memory-resident virus är ett annat vanligt förekommande virus som sätter sig i
10
residentkoden i minnet. Om smittad enhet kopplas in via en portabel enhet kan den infektera
denna och på så sätt spridas vidare.
Tre av de mest ökända skadliga koderna är Fake AV, Zbot/Zeus och SpyEye. Dels används
Fake AV, som är en trojan förklädd till ett antivirusprogram. Denna kod inleder sin attack
med att diagnostisera problem som inte existerar, för att därefter lura användaren att ansluta
till falska webbsidor där denne uppmanas betala för en lösning av de påhittade problemen.
Vidare används Zbot, även känt under namnet Zeus och besläktad med SpyEye, för att hämta
in information om hur tangentbordet och webbläsaren används för att på så sätt komma över
bank- och kreditkortsuppgifter.
Det finns även virus/trojaner som skickar sms eller ringer upp betalnummer, som kopierar IMEI-
koden och som skapar klonade simkort mm. mm. Dessa virus och trojaner kommer oftast från
program som frivilligt laddas ned till telefonen efter att användaren lurats till detta genom ett
falskt meddelande. Mobilen i sin tur smittas av en trojan som ser ut som ett enkelt spel för
Android-telefoner. Spelet är av en enklare form där användaren luras att trycka på två identiska
bilder bland många likartade på skärmen. Trojanen memorerar dock inte bara tryckningarna på
spelets bilder, utan även hur användaren rör telefonens skärm när denne trycker på olika
positioner på skärmen, till exempel för att logga in PIN-koder, telefonnummer och annan känslig
information. Tekniken i detta program kallas för ”tap logger” och det programmet gör är helt
enkelt att försöka knäcka ev. pin koder genom att memorera knapptryckningarna på skärmen.
Var också medveten om att ditt telefonnummer kan lämnas ut från mobiloperatören till andra
företag när du beställer tjänster eller information via sms eller surfar med mobilen.
Numret lämnas ut till webbplatsens innehållsleverantör även då denna bara besökts utan att någon
beställning eller transaktion genomförts, vilket innebär att din telefon därefter är ett lätt offer för
den som önskar hacka den. Hur avancerade telefonerna har blivit framkom tydligt i juli 2010 vid
hackerkonferensen Defcon 18 i Las Vegas, då Nicholas J Percoco och Christian Papathanasiou,
båda IT-säkerhetsforskare på Trustwave, demonstrerade ett så kallat rootkit för Android-baserade
telefoner. Detta rootkit ger en angripare full kontroll över telefoner som Legend och Desire från
HTC. De båda forskarna ville visa hur lätt ett angrepp på kernel-nivå öppnar för att göra nästan
vad som helst med operativsystemet i dessa mobiler. Det framkom bland annat att dolda sms kan
skickas till betaltjänster och att användarinformation kan inhämtas utan att mobilens ägare
11
märker av informationsflödet. Mobilen kan infekteras av detta skadliga rootkit på flera sätt, till
exempel genom länkar som dirigerar webbläsarens html-anrop till en angriparkontrollerad server
och kan leda till infektion direkt i läsaren. Smittan kan också ske med så kallade trojaner som
öppnar en dold bakdörr för angriparen, vilka användaren får genom att godkänna och ladda ned
en applikation för installation.
6.3 Säkerhetshål i Bluetooth
I mobilens Bluetooth-protokoll finns ett ”säkerhets hål,” vilket kan utnyttjas för att aktivera din
telefons mikrofon utan att du vet om det. Om Bluetooth funktionen i din mobil inte används för
någon speciell koppling ska du stänga av den. Det gör du lätt under ”inställningar” i de flesta
telefonmodeller. Samma ”säkerhets hål” utnyttjas av nya virus som tar sig in i telefonen direkt
ifrån en annan Bluetooth aktiverad telefon i din närhet. Detta kan ske genom att sätta upp en
datakoppling och helt enkelt ladda ner sig själv till offrets telefon. Risken är då mycket stor att
viruset kopierar e-postadresserna i den attackerade telefonens kontaktlista och skickar direkt ifrån
en annan Bluetooth aktiverad telefon i din närhet. Detta kan ske genom att sätta upp en
datakoppling och helt enkelt ladda ner sig själv till offrets telefon. Risken är då mycket stor att
viruset kopierar e-postadresserna i den attackerade telefonens kontaktlista och skickar över denna
till angriparen, som i sin tur kan utnyttja kontakterna för att kartlägga sitt offers affärskontakter.
6.4 Jailbreaking
Ett annat populärt knep för att ändra på säkerheten i tex. Apples Iphone, är ett så kallat jailbreak,
vilket innebär att man manipulerar telefonens operativsystem för ändrade rättighetsnivåer hos
applikationerna och fyller minnet med en binär kod.
12
Utvecklingen på detta område går dock snabbt när det gäller säkerhetsuppdateringar på
mobilfronten och det pågår en ”katt och råtta lek” mellan Apple och hackare för att passera
säkerhetsspärrarna. Om vi tittar tillbaka bara ett par månader i tiden var det enklare än någonsin
att hacka och låsa upp en iPhone. Det räckte med att gå in på websidan jailbreakme.com och bara
följa de enkla instruktionerna på sidan steg för steg. Ett manipulerat pdf-dokument som
utnyttjade en sårbarhet i telefonens pdf-läsare öppnades, minnet fylldes med binär kod och
omdirigerade exekveringsflödet genom att skriva över returpekaren på datastacken. När man
sedan hade exekveringskontroll genom sin binära kod, så exekverade man en kod som i sin tur
utökade applikationens rättigheter till så kallad root-nivå, vilket gjorde det möjligt att inaktivera
kontrollmekanismen som var kopplad till tillverkarens webbutik. Detta har nu Apple satt stopp
för genom att ta bort den bugg som tidigare fanns i PDF-hanteringen och möjliggjorde denna
manipulation. Appar på iPhone är idag säkra så länge det är appar från Apples AppStore som
installeras. Dessa appar har kontrollerats av Apple och anses som godtagbart säkra att ladda ned,
vilket tyvärr inte är fallet med appar från Android Market. För den som vill veta mer om detta
rekommenderas att ta del av ett reportage i tidningen AlltOmMac. Där beskrivs
säkerhetsriskerna med iPhone och SweDroid kommenterar säkerheten för Android.
Övertagsförsök på en iPhone kan ske på tre sätt, 1) medveten upplåsning (så kallad jailbreaking),
2) omedveten upplåsning och, 3) nedladdning av virus/skadlig kod. Vid jailbreaking måste det
ske en aktiv upplåsning och det kan bara göras genom att ha fysisk tillgång till mobiltelefonen.
Om vi bortser från ”egen” jailbreaking, som oftast utförs i syfte att kunna installera icke
13
godkända program från Apple, använda funktioner som inte finns idag, eller för att undslippa
betalning för tjänsten, så finns inga andra aktiva sätt att ”ta över” en mobil. Man kan dock utföra
en omedveten upplåsning genom att lura innehavaren av mobilen att genomföra denna själv, eller
genom att få användaren att helt enkelt klicka på en länk till en webbsida som låser upp
telefonen. Detta kan ske på tre olika sätt, varav två kan påverka en normalfungerande iPhone.
Det ena sättet sker genom att användaren kopplar upp sig mot ett trådlöst nätverk, som i sin tur
skickar webbläsaren vidare till en annan sida som innehåller virus/skadlig kod och som
användaren luras att köra. Det andra genom att användaren får en länk skickad till sig via
kommunikationsfunktioner såsom till exempel SMS , Twitter och e-post, som utger sig för att
vara något annat än den är och lurar användaren att klicka på den. Ett alternativt sätt att ta över en
iPhone på är att användaren laddar hem ett program som innehåller virus/skadlig kod. Detta är i
princip en omöjlig väg i det fall användaren inte har jailbreakat sin egen telefon av tidigare
nämnda skäl. Fundera därför aldrig på att jailbreaka din egen telefon för att få tillgång till
gratisspel eller liknande. Normalt sett går det bara att installera program via App Store och dessa
program är säkerhetskontrollerade av Apple. Se därför till att alltid ha den senaste mjukvara
installerad på en iPhone och hämta sedan enkelt hem uppdateringar genom iTunes.
Hur ser då säkerheten ut för Android?
Android, har tyvärr blivit den populäraste plattformen för mobilhackare då Android är öppet på
ett helt annat sätt än till exempel Apples IOS och Windows Phone. Androids grundsäkerhet
bygger på två koncept. Det första går ut på att man har anpassat Linux/Unix fleranvändarmodell
genom att man, istället för att skydda olika användare från varandra, låter varje applikation köras
som sin egen användare. Då en applikation vill öppna en skyddad tjänst gör systemet en kontroll
av om applikationens id verklighet har rätt att använda tjänsten. Detta kallas för att köra
applikationen i en ”sandlåda” och görs för att skydda mot traditionell hackning där man
exekverar sin egen kod i applikationen för att få fler rättigheter än applikationen som sådan.
Det andra konceptet bygger på ett system där att man över denna sandlådemodell har ett system
där applikationen per default inte har några rättigheter i systemet och därmed inte heller kan
komma åt någon annan information än sin egen. I praktiken måste alltså applikationen begära
rättigheter för det den vill göra av användaren, vilket sker vid installationen genom att
användaren klickar ”OK” på de ”permissions” som applikationen begär.
14
En attack kräver i detta sammanhang att det finns ett säkerhets hål i någon av de gränssnitt som
exponeras mot nätverket och Internet. Ett sådant kan vara brister i browsern, vilket innebär att
man kan få programmet att exekvera skadlig kod/virus som används för att ta över systemet.
Androids sandlådemodell gör dock att en attack mot browsern enbart kan komma åt den
information som browsern har tillgänglig, till exempel bokmärken och historik, men inte
kontakter eller SMS. Undantaget är om angriparen lyckas komma åt operativsystemet och få så
kallad root, det vill säga fullständig till gång till det genom att utnyttja browsern. Det värsta som
skulle kunna inträffa är om någon lyckas skapa en one-click-root applikation direkt från en
websida och skriver en programvara för en avancerad attack på just denna. I ett sådant fall skulle
angriparen få full kontroll över telefonen från den kod som körs i browsern och använda denna
för att installera ett illasinnat program. Detta scenario är mycket svårt att skydda sig emot och
mobiltillverkarna och operatörerna har en del att lösa vad gäller patchtider på detta område.
6.5 Bankärenden
Efterfrågan på nya mobila tjänster stor och Telia har nyligen lanserat en tjänst med vilken
bankens kunder nu kan göra ärenden med hjälp av e-legitimation i mobilen. Tjänsten innebär att
det enkelt går att använda mobilen i stället för bank dosan vid betalning av räkningar och
överföringar av pengar via nätet. Systemet skall enligt bankerna och Telia vara lika säkert för
kunderna att använda som bank dosan när de gör sina bankärenden eller använder bankens
direktbetalningstjänst. För att använda id-hanteringstjänsten behövs bara ett registrerat
mobilabonnemang hos en utvald operatör. De flesta mobiler är idag kopplade till någon form av
betalplattform, till exempel kontokort eller bankkonto, vilket gör den attraktiv för ekonomiska
transaktioner i syfte att komma över pengar eller handla på kredit. Obehöriga intrång i
bankkonton är därför något som ökat explosionsartat de senaste åren och det finns goda skäl att
se över säkerheten på detta område. Jag kommer nedan att ta upp de vanligast förekommande
attackerna mot mobila enheter.
6. 6 Smishing and Vishing
Smishing (sms phishing) och Vishing (voice phishing) är en mer utvecklad form av traditionellt
nätfiskebedrägeri som ökat markant. Vid dessa attacker skickas ett sms som uppmanar
mottagaren att ringa ett angivet telefonnummer eller att avsluta ett icke existerande konto.
Smishing innehåller inga uppenbara stavfel, suddiga logotyper eller andra visuella tecken på är
15
fel, utan har tvärtom en förtroendeingivande och auktoritär ton. Användaren får ett
röstmeddelande från sin bank och informeras att ett problem har uppstått med bankkort och/eller
konto. Användaren behöver därför vidta omedelbara åtgärder för att undvika ytterligare problem
och uppmanas ringa ett avgiftsfritt telefonnummer som kommer att koppla användaren till ett
system där han/hon ombeds att uppge kontonummer, PIN-kod och annan sekretesskyddad
information. Informationen används sedan av bedragaren för att skapa dubbletter av kredit och
bankomatkort och för att tömma användarens bank konton.
Ibland blir du uppmanad att logga in på en webbplats. När du har gjort det laddar webbplatsen
ofta ner skadlig programvara som kan ge tjuvarna tillgång till all information du har lagrad på
telefonen, inklusive dina kontakter, vilket ger dem tillgång till ännu fler potentiella offer.
Det handlar alltså om falska sms eller röstmeddelanden där mottagaren uppmanas att avsluta
ickeexisterande avtal eller att uppge sina kontokortsuppgifter.
6.7 Ny Android-trojan kan härma banken
Det utvecklas fler och fler virus och Trojaner som är avsedda för mobiltelefoner och de sedan
tidigare redan ökända trojanerna Zeus (som sedan 2010 har bestulit tiotals miljoner bankkunder)
och Spyeye har nu kombinerats och anpassats för att kunna användas i attacker mot de användare
som loggar in på sin bank via Android-telefoner. Nu har alltså en ny hybrid av Spyeye och Zeus
utvecklats efter att rivaliteten mellan de hackare som utvecklade och stödde olaglig programvara
avtagit. Denna process berättades det om på flera inlägg på hackerforum där rykten om att den
ryska utvecklaren av Zeus beslutat att lämna verksamheten, och låter föra över sin kod till
skaparen av Spyeye florerade. Dessa rykten ledde till att Spyeyes utvecklare, Harderman och
Gribodemon gick ut på olika hacker forum och berättade om sina planer på att kombinera de två
stammarna, för att sedan sälja licenser för den nya varianten till cyberbrottslingar!!!
Den unika kombinationen gör trojanen mycket svår att upptäcka och utgör därför ett allvarligt hot
mot de som använder sina mobiler för autentisering till sin Internetbank. Attacken går till på
följande sätt: Appen startar en html5/javascript-sida med en trojan som enbart inriktar sig på
välkända finansiella institutioner. Koden anpassar sig efter bankens hemsida och ändrar sig efter
den aktuella banken och använder dess färger och logotyp. När bankkunden skriver in sin
personliga kod genereras en falsk token och kundens lösenord och andra uppgifter skickas vidare
16
till en server som definierats i den falska appens konfigurations fil. Trojanen utnyttjar sedan
bankkundens kontakter för att sprida sig vidare. Ett angrepp mot en mobiltelefon kan bli mycket
dyrbart för företaget genom bland annat förlorad företagsinformation, ofrivilligt uppringda
betalsamtal och spridning av konfidentiell information. Låna därför aldrig ut din telefon till
någon. Det räcker med fem minuter för att installera en mjukvara som kan göra vad som helst
med telefonen och när den väl är på plats är den mycket svårt att upptäcka. Det vanligaste är att
användaren luras med i ett next-next-finish beteende och omedvetet installerar något som kanske
utger sig för att vara en kalkylator, men i själva verket är ett verktyg förutom stående att kunna
koppla upp sig mot nätet och få tillgång till alla dina kontakter. Det är viktigt att se upp för allt
som inte kommer från Android Market, men ändå verkar oskyldigt. Installera istället gärna ett
godkänt säkerhetsprogram som håller utkik efter kända spionprogram .
6.8 Elektronisk signatur
En elektronisk signatur är en lång serie bokstäver, siffror och andra tecken som bifogas med
meddelandet. Avsändarens dator har räknat fram ett kondensat av meddelandet som ska skickas
och detta har sedan krypterats med avsändarens privata nyckel. En elektronisk signatur styrker att
avsändaren verkligen är den som han eller hon utger sig för att vara och att meddelandet inte har
förvanskats på vägen, så kallad meddelande autentisering. Den elektroniska signaturen innehåller
både ett så kallat hash, det vill säga en invecklad matematisk beräkning som gjorts på tecknen i
meddelandet och vem som har skrivit detta. Om koden ändras på något sätt stämmer inte
kondensatet (krypteringen) längre. Mottagaren av meddelandet upprepar proceduren i omvänd
ordning genom att ”motanvända” avsändarens öppna nyckel, för att kontrollera att meddelandet
inte har ändrats och om avsändaren verkligen är den som den utger sig för att vara. Om en enda
bokstav/tecken ändrats, har meddelandet förvanskats på vägen till mottagaren. Detta visar sig
genom att kondensatet blivit annorlunda än det som fanns i det ursprungliga e-postmeddelandet.
6.9 E-handel och bankärenden via mobilen
Ett e-certifikat är ett intyg som styrker att en elektronisk identitetshandling eller e-legitimation är
korrekt och giltig. Det kan bland annat användas för att förhindra obehörig åtkomst av e-post och
för e-signering av dokument. E- certifikat utfärdas av betrodda företag eller myndigheter och
används vid kryptering med öppen nyckel. Detta innebär att användarens öppna nyckel krypteras
med certifikatutfärdarens privata nyckel. E-certifikatet innehåller alltid certifikatinnehavarens
17
namn, adress och e-post-adress, samt certifikatutfärdarens namn och adress, e-post-adress, och
webbadress m.m. Om en webbläsare vill koppla upp sig mot en säker sajt, t.ex. en Internetbank,
begär webbläsaren serverns certifikat och kontrollerar om domänadressen i certifikatet stämmer
med IP numret det hämtades från. Detta görs genom en omvänd DNS uppslagning av IP-
adressen och en jämförelse av svaret med innehållet i certifikatet.
E- certifikatet signeras enligt samma principer som för PGP signering av krypteringsnycklar,
vilket görs med certifikatutfärdarens eget nyckelpar, den hemliga och den offentliga nyckeln.
Denna signering utvisar en säker koppling mellan en viss användares adress och dennes fysiska
identitet. E-certifikatet används även vid en så kallad SSL-överföring i samband med
transaktioner mellan användare och, till exempel, en bank, för att påvisa att koppling mellan en
webbplats och ägaren till platsen är säker. Ofta visas också en symbol med ett hänglås för ”säker
webbplats” på nätadresser med prefixet ”https://.” Https visar att sessionen är säkrad med secure
socket layer (ssl) som bygger på de tre säkerhetsmekanismerna: a) identifiering, b) autentisering
och c) kryptering. Det förekommer både så kallad enkel- och ömsesidig identifiering, samt
autentisering. Vid enkel identifiering och autentisering har bara en av parterna ett certifikat,
medan ömsesidig identifiering innebär att båda har det, där det senare kan ge en angripare kan
därför få problem med att genomföra en attack med ett förvanskat certifikat. Denne måste ju på
något sätt lyckas upprätta både en session mot den säkra sajten som användare och en session
mot användaren som server, samt presentera ett servercertifikat med en digital signatur, en publik
krypto-nyckel, ägarinformation och information om vem som utfärdat den digitala signaturen.
Syftet med enkel autentisering och identifiering är att användaren på ett betryggande sätt ska
kunna verifiera att denne verkligen kommunicerar med den avsedda mottagaren. Användaren kan
lösa detta på två olika sätt, genom passiv eller aktiv verifiering.
Aktiv verifiering innebär att användaren verifierar serverns certifikat personligen genom att läsa
dess innehåll manuellt och passivt genom att kontrollera att url:en i webbläsaren stämmer överens
med den sajt som användaren vill surfa till.
Oavsett om certifikatet är inköpt från en säker källa och servern verkar säker finns risk att utsättas
för en angripare. Det vanligaste är den typ av nätfiske där användaren dirigeras om till en
webbsida som ser identisk ut i jämförelse med den riktiga sidan, men som i själva verket tillhör
18
angriparen. Den falska sidan visas ibland i ett popup-fönster med ett ”giltigt” (det tillhör
angriparen!) servercertifikat, men med en domänadress som tillhör angriparen. Användaren av
tjänsten märker då inte att det är en falsk sida och när denne har matat in sitt lösenord och
kreditkortsnummer, omdirigeras användaren till den riktiga sidan. Attacken kan genomföras på
grund av att domännamnservern (DNS) dirigerar om användaren till den falska sidan. Genom att
undersöka certifikatet skulle en användare dock snabbt upptäcka att han eller hon i själva verket
utsatts för en attack.
6.10 Man i mitten attack
Tyvärr finns det många fler sätt för en angripare att lösa dessa certifikat problem på. Denne kan
till exempel använda sig av en man-i-mitten-attack eller domän-i-mitten-attack. Den första
innebär att en angripare omärkligt fångar upp kommunikation ifrån en avsändare och sedan
skickar denna vidare till mottagaren, men innehållandes de ändringar angriparen önskar att
mottagaren skall få. Sändare och mottagare tror att de kommunicerar direkt med varandra, men
allt passerar alltså igenom ”mannen i mitten” som avlyssnar och manipulera informationen.
Dessa attacker kallas ibland för janusattacker efter den romerske guden Janus, som hade två
ansikten, ett åt varje håll. En skyddsåtgärd mot mannen-i-mitten-attacker är att kryptera alla
meddelanden och/eller att förse dem med en elektronisk signatur.
6.11 Domän i mitten attack
En liknande attack är den så kallade domän-i-mitten-attacken som även den används för att
snappa upp lösenord och annan information. Vid en sådan attack används en så kallad
dubbelgångardomän . En person eller ett företag, en så kallad stavfelsockupant, registrerar helt
enkelt en domän med ett känt namn, men felstavat. Stavfelsockupantens domän öppnas då
användaren oavsiktligt råkar skriva fel adress – till exempel computresweden.se i stället för
computersweden.se. Användaren slussas då omedelbart vidare till den rätta domänen, men när
trafiken passerar dubbelgångar domänen plockar angriparen upp all information. Sådan här
avsiktlig registrering av en felstavad domän under ett namn som lätt kan förväxlas med annan
känd domän kallas för fulregistrering.
Vid en så kallad domän-i-mitten-attack behöver angriparen inte ta hänsyn till vilket
servercertifikat som används. Angriparen har låtit installera en trojan som han sedan genomför
sin attack via.
19
Vid en man-i-mitten-attack tar angriparen kontroll över kommunikationen mellan den säkra
sajten och användaren. För att webbläsaren ska kunna kontrollera om ett certifikat fortfarande är
giltigt och kunna verifiera signaturen i det krävs att webbläsaren kan komma åt det root-certifikat
som bekräftar signaturen. Användaren behöver därför ladda ned ett root-certifikat när denne
kopplar upp sig mot den säkra webbplatsen. Ibland tillhandahåller ägaren till den aktuella
webbtjänsten en egen certifikatutgivare som användarna kan ladda ned sitt root-certifikat ifrån.
Som framgår av min presentation ovan har en skicklig angripare stora möjligheter att utföra sina
attacker utan att användaren märker någonting. Angriparen kan till exempel maskera url:er så att
dessa ser ut som om de går till den webbsida användaren önskar ansluta sig till, medan
användaren i själva verket omdirigeras till en helt annan sida. En angripare kan även ”skapa”
egna certifikat och på detta sätt lura användaren att installera ett nytt root-certifikat. En annan väl
beprövad angripartaktik, när användaren skyddar sig med webbprogram som kräver digipass,
secure id och engångskoder över GSM, är att installera en proxy mellan sig och användaren.
Genom att angriparen här genomför förändringar i affärslogistiken, tror användaren att denne
genomfört banktransaktioner till sitt eget konto. Men pengarna skickas istället direkt in på
angriparens konto. I de flesta fall behöver angriparen kunna presentera ett servercertifikat, men
även detta går idag att kringgå genom till exempel den ovan beskrivna domän-i-mitten-attacken
som bygger på att angriparen aktiverar ett programlager mellan webbläsaren och ssl-sessionen.
Angriparen gör då attacken i själva webbläsaren genom att helt enkelt installera en aktiv
komponent mellan läsaren och ssl-komponenten genom att lura användaren att själv installera ett
tilläggsprogram,. Det kan lätt göras med hjälp av en trojansk häst.
Har då e-certifikaten spelat ut sin roll som säker identifikation? E-certifikat ger definitivt en ökad
säkerhet, men problemet är att användarna kan för lite om certifikat.
Få användare tar notis om pop-up fönster med felmeddelanden om att sidorna de vill besöka är
osäkra och farliga, eftersom de vill besöka just den sidan. Då hjälper inga certifikat.
20
6.12 Avlyssning av mobilsamtal
Vem som helst kan idag, med ett minimum av kompetens, avlyssna dina mobila samtal och läsa
av din sms-trafik med hjälp av andra mobiltelefoner och en gratis programvara. Detta visade
säkerhetsforskarna Karsten Nohl och Sylvain Munaut på den tyska säkerhetskonferensen Chaos
Computer Club Congress. GSM mobilnät används av i stort sett samtliga mobiltelefonoperatörer
världen över och den krypteringsalgoritmen som används kallas A5/1 och är över 20 år gammal.
Enligt forskarna används tekniker som bygger på upptäckten att det är fullt möjligt att spela in
information som skickas i ett GSM nätverk Krypteringsalgoritmen på 64 bitar är enligt de två
forskarna för svag för att utgöra något reellt skydd mot avlyssning. Forskarna visade under
konferensen hur enkelt det är att hitta en specifik telefon baserat enbart på dess telefonnummer
och därigenom få fram telefonens unika id-nummer. Genom detta förfarande kunde de sedan
spela in all telefon och datatrafik som sändes till/från den specifika telefonen.
Avlyssning möjliggjordes genom att utnyttja andra mobiltelefoner och därefter byta ut
telefonernas medföljande operativsystemet mot ett operativsystem som baseras på en så kallad
öppen källkod eller öppen programvara . Programmets sk. .kllkod är då öppen för modifiering
och användning och kan vidaredistribueras till annan. Finns att ladda ned gratis på Internet för
den som önskar.
Genom att använda sig av öppen källkod var det möjligt att eliminera de filter som normalt
hindrar en obehörig ifrån att fånga upp information som skickas ut från en basstation. Genom
ovan beskrivna förfaringssätt är det alltså fullt möjligt att lokalisera och avkoda informationen på
mobiltelefoner som befinner sig på samma basstation som de modifierade. Att knäcka GSM-nätet
21
är alltså fullt möjligt, men nycklarna som används är ännu inte allmänt kända. Enligt forskaren
Karsten Nohl används tekniken dock av polismyndigheter. Utrustningen finns att köpa på
marknaden för cirka 30 000 dollar för den som obehörigt önskar avlyssna GSM-samtal i realtid.
6.13 Positionering av mobiler
Nya framgångar inom teknologin har gjort det möjligt att upptäcka en telefons position baserad
på signaler från lokala basstationer/master . Det går att läsa av vilken telefonmast telefonen är
närmast och ju starkare signalen är, desto närmare masten är telefonen. Därigenom kan
positionen bestämmas i det närmaste exakt.
Exaktheten i positioneringen är betydligt bättre i städer där masttätheten är högre, än på
landsbygden där det oftast är glesare emellan masterna. För den som önskar spåra en telefon finns
idag en uppsjö olika positioneringstjänster på Internet och en del av dessa tillhandahåller
positioneringsdata genom att utnyttja både GSM och GPS mobil spårning tekniken. Detta kan
vara bra att känna till om det finns anledning till att din position inte röjs. Du har också rätt att få
ut information från din teleoperatör och leverantören av positioneringstjänsten om vem som söker
vilka uppgifter om dig och för vilket ändamål. Granska därför alltid de allmänna villkoren för
mobilabonnemanget. Ett problem är dock att du inte alltid vet om att du är spårad!!!
6.14 Kryptering och Kryptoalgoritmer
Inom SSL finns ett antal kombinationer av symetriska och asymetriska algoritmer som kan
användas för att skapa så kallad krypterad kommunikation och dessa kryptoalgoritmer återfinns
ofta med kryptiska namn som AES, Blowfish och RC4. ”SSL_RSA_WITH_ RC4_128_SHA” är
en sådan kombination där det symmetriska kryptot RC4 tillämpas.
22
RC4 är även känt under namnet Arcfour och är ett symmetriskt krypto utvecklat av företaget RSA
Security, där användningsområden gäller SSLoch i Lotus Notes. RC4 används företrädesvis inom
standarderna WEP, WPA och Bittorrent. RC4-kryptot som bygger på den interna tabellen på 256
byte och tvåpekare är lätt att implementera tack vare sin enkla uppbyggnad och kompakta storlek.
Detta innebär att RC4 brukar stödja nycklar med längder från 40 till 256 bitar. Nyckeln behövs
för att sätta upp krypteringstabellens tillstånd och för varje bit data som ska krypteras uppdateras
två element i tabellen, medan ytterligare ett element används för själva krypteringen. Det finns
dock stora säkerhetsproblem hos RC4 idag och EU:s kryptopanel ECRYPT II avråder därför från
användning av detta.
Asymmetriska krypton arbetar med nyckelpar, där den ena nyckeln används för att kryptera och
den andra nyckeln för att dekryptera det som krypterats. Om två parter önskar kommunicera
säkert med varandra utbyter de bara nycklar och kan sedan skicka krypterade meddelanden till
varandra. Av prestandaskäl används dock oftare så kallade symmetriska krypton som är flera
tusen gånger snabbare än det asymmetriska. Symmetriska krypton finns även i flera olika
varianter beroende på hur långa nycklarna är, hur mycket resurser kryptot kräver, hur säkert det
är och hur mycket data som kan bearbetas samtidigt. RC4 bör därför bytas ut mot AES istället
och, om detta inte fungerar tillfredställande, Blowfish, Cast eller 3DES.
Kryptot Blowfish är ett blockkrypto med en blockstorlek på 64 bitar och nyckellängder från 40
till 128 bitar. Blowfish har en enkel struktur, 16 iterationer och är snabbt. Likt Cast bygger
Blowfish på interna S-boxar som är nyckelberoende, vilket betyder att S-box-tabellerna innan
kryptot kan användas måste konfigureras. I jämförelse med 3DES är Blowfish mycket snabbare,
har en flexibel nyckellängd och hög prestanda, vilket gör kryptot till ett bra alternativ till både
3DES och RC4.
Cast är ett blockkrypto, bland annat använt i krypteringsverktygen PGP och GPG, och stödjer
nyckellängder från 40 till 128 bitar, samt en blockstorlek på 64 bitar. Cast har kort initieringstid
och är ca 3gånger snabbare än 3DES, vilket gör det bra för korta sessioner. Säkerheten är relativt
hög och det finns i dag inga kända allvarliga attacker mot Cast’s algoritm, varför detta krypto är
ett utmärkt alternativ till AES och Blowfish. År 2001 avslutades en internationell, öppen tävling
om att ta fram en ersättare till DES. Vinnaren blev en algoritm från Belgien med namnet
Rijndael, som utsågs till ny standard med namnet advanced encryption standard (AES).
23
AES krypto används i dag för säker kommunikation i rfid-standarden Zigbee, för
höghastighetslänkar och i WPA 2 WLAN-standard. Precis som DES är AES ett blockkrypto. Det
stödjer de tre nyckellängderna 128, 192 och 256 bitar, samt arbetar med block om 128 bitar.
BILDEN OVAN: För varje element a i matrisen med 4 gånger 3 byte slås ett nytt värde b upp i
en S-box.
AES arbetar på en matris om 4 gånger 4 byte. De rotationer av rader i matrisen som utförs, sker
för varje byte, vilket gör operationerna små, snabba och enkla att parallellisera. AES klarar sig
ganska bra ur säkerhetssynpunkt trots att det förekommit ett antal framgångsrika attacker mot
implementeringar av AES. För att dessa attacker skall vara framgångsrika krävs det dock att
angriparen har fysisk tillgång till enheten där AES är implementerad.
6.15 Satelitkryptering
Om man behöver skydda mobila samtal från obehörig avlyssning behövs ett säkert krypto, då en
signal ifrån en satellit kan täcka stora ytor och därför är mycket lätt att fånga upp. Den
internationella standardiseringsorganisationen ETSI har specificerat de två kryptona GMR-1 och
GMR-2, samt anvisningar för dessa. ETSI skriver i sin specifikation följande: (hämtat i
originaltext från ETSI)
The internal specification of algorithm A5-GMR-1 is managed under the
responsibility of the GSC; it will be made available in response to an appropriate
request... (ETSI, 1991).
I artikeln ”Don’t Trust Satellite Phones: A Security Analysis of Two Satphone Standards,”
skriver dock forskarna följande: (hämtat i originaltext från ETSI)
In this paper, we analyze the encryption systems used in the two existing (and
competing) satphone standards, GMR-1 and GMR-2.(…) We were able to adopt
24
known A5/2 ciphertext-only attacks to the GMR-1 algorithm with an average case
complexity of 2**32 steps. With respect to the GMR-2 cipher, we developed a new
attack which is powerful in a known-plaintext setting. In this situation, the
encryption key for one session, i.e., one phone call, can be ecovered with
approximately 50–65 bytes of key stream and a moderate computational
complexity. A major finding of our work is that the stream ciphers of the two
existing satellite phone systems are considerably weaker than what is state-of-the-
art in symmetric cryptography. (ETSI, 1991).
Dessa två ovan nämnda krypton ger dock inget säkert skydd visar dessa två
specialister på området. De två lyckades räkna ut hur algoritmerna fungerade
genom att hacka uppdateringsfiler av programvara till telefoner, för att därefter
analysera satellittelefon-trafiken från Thuraya och Inmarsat. Resultatet visade att
satellitbaserad trafik är relativt lätt att avlyssna på grund av för svag skyddsfaktor
på kryptona. Forskarnas resultat är alltså ett fiasko för ETSI, då detta med tydligt
visar på stora, oönskade, säkerhetsbrister för alla deras kryptostandarder för
DECT, GSM, 3G och satellitkommunikation. Att byta algoritmer är orealistiskt ur
kostnadssynpunkt, vilket gör att man istället rekommenderar kunderna att betrakta
all kommunikation som öppen/oskyddad och eventuellt komplettera med andra
typer av skydd. Återigen har alltså ett ”säkert” skydd visat sig ha allvarliga
säkerhetsbrister och vara lätt att hacka.
Finns det då ingen enkel lösning?
Svaret blir nja till användare av krypterad satellitkommunikation. Rör det sig enbart om en
kryptonyckel finns möjlighet att endast byta en sträng på 16, 32, 64 tecken då säkerheten är
kopplad till själva nyckeln och det då är denna som behövs skyddas. Ett enkelt och kostnadsfritt
alternativ för att säkra din kryptonyckel är att ALDRIG berätta för att någon hur ditt system
fungerar och vilket krypto du använder! Om det rör sig om en kryptoalgoritm som brukas i
inbyggda system och tillverkas i stora upplagor, har lång livslängd och eventuellt används i fält,
kan det dock bli nödvändigt att mycket kostsamt byta ut hela systemet.
GSM Association har nu tagit fram en ny säkrare krypteringsteknik under namnet A5/3 som inom
kort kommer att introduceras i mobila produkter.
25
Tekniken används i dag för att kryptera Internet trafik i 3G-näten. Även företaget Cellcrypt har
utvecklat ett program för IP-telefoni. Detta kan användas i mobiler som kör med Windows
Mobile och informationen krypteras då med RSA 2048- eller AES 256. Ett problem är dock att
mottagarmobilen måste använda samma mjukvara. Programmet erbjuder dock samma höga
säkerhetsnivå oavsett om användaren ringer via GSM, 3G eller ett trådlöst nätverk.
6.16 Smarta enheter, fingeravtrycks och smartkorts läsare för mobila lösningar
Precise Biometrics är ett marknadsledande företag med nära 160 miljoner användare som är
verksamt inom lösningar för igenkänning av fingeravtryck för att säkerställa människors identitet
på ett snabbt och säkert sätt. De har utvecklat en ny typ av smarta skal med inbyggd smartkorts-
och fingeravtrycks läsare som uppfyller de ökade kraven på nätverkssäkerhet och verifiering som
idag ställs av myndigheter, sjukvård, företag och banker vid åtkomst till byggnader, datorer och
nätverk. Det smarta skalet är det första av sitt slag på marknaden och erbjuder en inbyggd
smartkorts- och fingeravtrycks läsare med högsta möjliga säkerhets nivå när det gäller
nätverkstillgång, att skicka meddelanden och att verifiering av användning av de mest populära
plattformarna för smarta enheter. Under 2012 och 2013 kommer de smarta skalen erbjudas till de
populäraste varumärkena av smarta mobiltelefoner och surfplattor.Gartner Group räknar med att
marknaden för smarta enheter kommer överstiga en miljard 2015.
Cit:” Vi befinner oss just nu i en marknadsledande position där vi kan uppfylla ett viktigt
säkerhetskrav för myndighets- och företagssegmenten på denna marknad. Detta är en milstolpe
för Precise Biometrics och det kommer spela en avgörande roll arbetet med att uppnå de
finansiella mål som ställts upp i Planen för 2015,” säger dess VD Thomas Marschall.
Smartkorts- eller fingeravtrycks funktionaliteten i de smarta skalen kan integreras med vilken ny
eller befintlig app som helst på marknaden och företaget har även själva utvecklat flera nya appar
för de smarta skalen. Dessa skal fyller ett behov för användare som vill få tillgång till information
eller molnbaserade tjänster genom sina smarta mobiler eller surfplattor, men som hindras på
grund av säkerhetsskäl eller brist på användarvänlighet. Genom att ersätta svåra och osäkra
lösenord med ID-kort eller ett fingeravtryck löses de problem och säkerhetsrisker som idag finns
med mobila enheter. Ett exempel är när amerikanska myndighetsanställda som fått ID-kort för
nätverkstillgång eller identifikation med sitt säkra kan få tillgång till känslig information eller
skicka meddelanden på ett enkelt och säkert sätt.
26
Andra exempel är att Internetbanker kan nås genom fingeravtryck istället för PIN-koder eller
krångliga lösenord oh att sjukvårdspersonal kan komma åt patientjournaler från sin smarta enhet
med hjälp av smartkort eller fingeravtryck. Även ID-kortsprojekt där Precise Match-on-Card ™ används kan utnyttja de smarta skalen, vilket gör det möjligt att utöka användandet av nationella
ID-kort vid folkomröstningar, rättsliga ärenden och deklarationer genom handhållna enheter
såsom en smart mobiltelefon. (ETSI, 1991).
6.17 Riskmedvetenhet är avgörande
Efter att ha gått igenom några av de risker som finns inom området mobilsäkerhet, är det dags att
se på möjligheterna att skydda sig. Sådana möjligheter finns definitivt, men de kostar både
pengar, ett aktivt riskmedvetande och en rejäl kompetensutveckling av personal med
tjänstemobiler. Jag kommer nedan att gå igenom de möjligheter som finns att tillgå idag och
slutligen ställa upp en praktiskt användbar mobilsäkerhetslista i punktform.
Upprätta en riskanalys
Gör till att börja med en analys av vem som är beroende av vilken information och om denna
information verkligen bör vara tillgänglig via mobilen. Med andra ord, se till att rätt information
gest till rätt person i rätt tid och till rätt kostnad. Som steg två skall ni sedan ställa frågorna:
a) ”Vad händer om en anställd tappar bort, blir bestulen eller hackad/virusangripen på sin
tjänstemobil?”
b) ”Vad blir följden om någon utomstående kommer över telefonens information?”
c) ”Vilka juridiska konsekvenser kan det få för företaget om känslig kundinformation och
kontakter kommer på avvägar?”
När dessa frågor besvarats ska ni sedan upprätta en mobilsäkerhetspolicy med tillhörande rutiner
för att snabbt upptäcka eventuella säkerhetsincidenter och eliminera de eventuella
skadeverkningar som uppstått. Upprätta sedan rutiner för hur dessa risker ska hanteras innan de
inträffar. Det enklaste är naturligtvis att minimera riskerna genom ständig uppdatering av nya
säkra skydd, men detta måste vägas mot kostnaderna. Försök istället hitta en realistisk
säkerhetsnivå för att avvärja de riktigt allvarliga hoten och begränsa eventuella skadeföljder.
Slutligen är det viktigt att komplettera dessa åtgärder med att öka riskmedvetenheten bland de
anställda genom information och kontinuerlig utbildning som hjälper dem att undvika beteenden
som innebär säkerhetsproblem.
27
6.18 Säkerhetstips för vardagsanvändning:
* Förvara mobilen så att ingen obehörig kommer åt den.
*Lägg aldrig in känslig information i mobilen om detta inte är absolut nödvändigt för
verksamheten.
* Gör säkerhetskopior av all information i telefonminne och SIM-kort och lagra denna på ett
säkert ställe.
* Skapa ett lösenord för att koppla upp sig mot telefonen.
* Byt lösenord ofta och välj lösenord som är säkra.
* Aktivera mobilens PIN-kod.
* Aktivera den låskod som förhindrar att mobilen kan används med andra SIM-kort.
* Se till att det finns möjlighet att låsa eller radera telefonen på distans.
* Komplettera säkerhetsinställningarna på mobiltelefonen med stöldskydd och GPS-baserad
söktjänst för sökning av förlorad mobil.
* Uppdatera ständigt virusskydd, brandväggar, behörighetssystem och accesskontroller.
* Koppla aldrig upp dig mot kostnadsfria WIFI-nät med okänd ägare. Surfa istället genom en
VPN-tunnel eller ett nätverk med hög säkerhetsnivå.
* Gå aldrig in på suspekta hemsidor.
* Klicka aldrig på filer med konstiga namn, öppna aldrig okända länkar och acceptera aldrig
förfrågningar från okända avsändare.
* Privatkopiera aldrig spel, de kan innehålla virus/trojaner.
* Anslut enbart till k&...