NFsec Logo

Bezpieczeństwo w mojej ręce

01/06/2009 w Hakin9 & Linux+ Brak komentarzy.  (artykuł nr 57, ilość słów: 1184)

Z

mierzamy ku miniaturyzacji. Zawsze tam zmierzaliśmy. Dziś mobilna informatyka zdaje się przyświecać myśli „nieważne, gdzie się udasz, ważne, że tam będziesz”. Tworzymy, edytujemy, czytamy, odpowiadamy, załączamy, drukujemy, faksujemy, wysyłamy, rozmawiamy, spotykamy, pozdrawiamy, łączymy, blogujemy, wrzucamy, ściągamy, prowadzimy interesy w locie poprzez wszystkie te technologiczne znaczenia.

Coraz więcej danych świszczy poza naszą zaporą ogniową, podczas używania różnych odmian urządzeń mobilnych, laptopów, komórek, kieszonkowych komputerów (PDA), smartphon’ów, pendrive’ów. Nie trudno jest sobie wyobrazić, co może się stać, jeśli takowe urządzenie, zawierające wrażliwe z punktu widzenia własnego bezpieczeństwa informacje, zostanie poddane kompromitacji. W rzeczy samej, wiele nagłówków internetowych serwisów przekazuje nam wyśmienite przykłady ujawniania poufnych informacji, prywatnego lub publicznego ośmieszania, czy utraty potencjalnej klienteli. Jest to tylko wierzchołek góry lodowej, jeśli chodzi o urządzenia mobilne. Na serwisach aukcyjnych można kupić bardzo wiele urządzeń zawierających nie do końca usunięte adresy e-mail, dane personalne, telefony oraz ślady dokonywanych transakcji. Za tak szerokim zasięgiem urządzeń mobilnych oraz różnym poziomem wiedzy użytkowników dotyczącym sposobu postępowania z przechowywaniem danych na ruchomych nośnikach, można powiedzieć, że bardzo łatwo jest dokonać kompromitacji na tego rodzaju systemach. Powtórzmy podstawy: bezpieczeństwo to proces – nie produkt. Tak, różnego rodzaju (drogie) produkty mogą zostać zainstalowane i skonfigurowane w celu poprawienia zabezpieczeń. Aczkolwiek zasadnicze procesy muszą zostać wystarczająco dobrze zrozumiane, by bezpieczeństwo stało się rzeczywistością. Są to mieszaniny sprawdzonych produktów i procedur razem z edukacją i szkoleniami wspierającymi wysokiej jakości podejście do bezpieczeństwa. Należy pamiętać, że bezpieczeństwo zawsze pociąga za sobą działania balansujące pomiędzy usprawnieniem autoryzacji ludzi, a jego efektywnym wykorzystaniem do ograniczenia nieautoryzowanych bądź niechcianych akcji. Często ludzki element jest najsłabszym ogniwem w łańcuchu zabezpieczeń.

W przyszłości zapewne będziemy świadkami większej ilości i formy urządzeń mobilnych. Tak samo bezpieczeństwo stanie się w coraz większym stopniu iteracyjnym procesem.

Wszystko przychodzi z czasem. Jednak podstawy należy opanować, jak najszybciej, ponieważ gdy my bezpiecznie surfujemy po Internecie, ktoś inny w zaciszu pracuje za kulisami naszego urządzenia. Kluczową kwestią jest opracować własną, użyteczną politykę bezpieczeństwa dla posiadanych urządzeń elektronicznych zawierających jakiekolwiek dane mogące nas skompromitować. Politykę, która przewiduje zabezpieczenia na odpowiednim poziomie, a jednocześnie nie przeszkadza swoim użytkownikom w wykonywaniu niezbędnych czynności biznesowych czy zwykłego użytkownika urządzenia. Przyznać należy, że jest to bardzo delikatny balans, który musi być otwarty na różnego rodzaju ewentualności – zarówno ze strony bezpieczeństwa, jak i funkcjonalności. Poniżej postaram się przedstawić najczęściej spotykane problemy z urządzeniami mobilnymi, oraz wskazówki, jak poddać je minimalizacji. Nie są one wyrafinowanymi technikami, ale podstawami, które mają racje bytu, gdy się je skieruje do odpowiedniego adresata. Ogólnie rzecz biorąc, laptopy są siłą napędową modernistycznie wyglądającego pracownika, dając mu możliwość wykonania dowolnej pracy w dowolnej lokalizacji. Są również wyzwaniem dla zapewnienia pewnego poziomu bezpieczeństwa. Należy rozważyć następujące trzy przesłanki jako podstawowy system utrudniający dokonania włamań. Pierwszą z nich stanowią programowe firewalle. Są one na tyle istotne, że pozwalają na blokowanie prób niedozwolonych żądań, gdy praca z laptopem odbywa się poza siecią firmową. Pracując wewnątrz macierzystej firmy, już za sprzętowym firewallem dają drugą warstwę zabezpieczeń. Jest to podstawowy element, jeśli chodzi o to mobilne urządzenie, tak często wykorzystywane do łączenia się poprzez publiczny dostęp w sieci Wi-Fi, w hotelach, centrach konferencji, kawiarniach, lotniskach czy innych lokalizacjach. Ich szczególną zaletą jest możliwość szybkiej aktualizacji reguł blokujących nowe zagrożenia wciąż ewoluujących eksploitów. Kolejnym zasadniczym elementem usprawniającym bezpieczną mobilność systemu immunologicznego komputera jest antywirus. Firewall może zablokuje i przefiltruje niedomknięte porty, ale staje się bezradny, jeśli chodzi o urządzenia podłączane fizycznie do stacji. Dzięki systemowi antywirusowemu jesteśmy w stanie wychwycić szkodliwe oprogramowanie, które jest w stanie wtargnąć nie tylko poprzez fizyczne nośniki, ale także sieciowe media, czy programy. W zależności, z jakich produktów korzystamy – doskonałym uzupełnieniem wyżej wymienionych programów ochronnych jest moduł antyspamowy oraz antyspyware’owy. Większość dzisiejszych systemów antywirusowych posiada zintegrowane rozwiązania tego typu, jednak te darmowe najczęściej wymagają uzupełniania osobnymi rozwiązaniami. Uzupełnienia te wychwytują wszystkie programy typu adware, spyware oraz innego rodzaju *malware, których zapora sieciowa (bez systemu IDS) czy antywirus nie zawsze są w stanie wychwycić.

Oprócz oprogramowania pozasystemowego należy mieć również na względzie mechanizmy, które oferują same systemy operacyjne. Na przykład – korzystając z kont nieposiadających uprawnień administratora, możemy w prosty sposób zblokować niektóre niepożądane akcje oprogramowań próbujących zdobyć rozszerzone przywileje systemowe. Posiadając aktywną subskrypcję na liście pocztowej z poprawkami bezpieczeństwa bądź aktywny program odpowiedzialny za automatyczne aktualizacje, jesteśmy w stanie nadążyć nad prawie codziennym łataniem oprogramowania. Monitoring należy prowadzić nie tylko dla oprogramowania systemowego, ale dla każdego programu zainstalowanego w systemie. Szczególnie tyczy się to przeglądarek internetowych, które warto wyposażyć w dodatki umożliwiające blokowanie okien typu pop-up lub wybranych treści. Jeśli nasz sprzęt mobilny nie znajduje się domowej / firmowej sieci, gdzie świadczy określone usługi związane ze sprzętem bądź danymi – warto zrezygnować z usługi Udostępniania plików i drukarek, Wysyłania zdalnych zaproszeń czy innych niewykorzystywanych usług aktywujących nasłuch na portach. Nawiązując do wcześniej poruszonej lokalizacji, w jakiej się znajdujemy – każda sieć, do której podłączamy się zewnętrznie, należy traktować jako niezabezpieczoną (czyt. w której możliwy jest podsłuch lub grasuje szkodliwe oprogramowanie). Ze względu na ograniczone bezpieczeństwo szczególnie tyczy się to sieci Wi-Fi narażonych na łatwiejsze możliwości przechwycenia danych i sygnałów na drodze z access pointów do klientów. Poprawne konfiguracja połączenia bezprzewodowego gra tutaj krytyczną rolę. Nie tylko sama łączność powinna być szyfrowana, ale również dane, które przez nią przepływają. Gdy tylko jest to możliwe, należy korzystać np. z sieci VPN opartych na IPsec czy innym szyfrowanym tunelowaniu. W przypadku stron z formularzami logowania, należy zawsze używać protokołu SSL. Sieci bez szyfrowania należy traktować jako potencjalne pułapki niż okazję do skorzystania z darmowego Internetu. Jeśli sami posiadamy sieć Wi-Fi dla naszych urządzeń mobilnych, wówczas należy: włączyć najsilniejsze możliwe szyfrowanie; zmienić SSID i wyłączyć jego rozgłaszanie; zmienić wszystkie standardowe hasła dostępu; włączyć dostęp jedynie dla zarejestrowanych numerów sprzętowych MAC; liczbę połączeń i pulę przyznawanych numerów IP z serwera DHCP ograniczyć do liczby posiadanych komputerów w sieci; wyłączyć zdalne zarządzanie urządzeniami sieciowymi; rozmieścić router w centrum budynku, by ograniczyć jego zasięg zewnętrzny; jeśli nasz router posiada funkcję izolacji poszczególnych komputerów, należy ją bezwględnie włączyć. W samych mobilnych urządzeniach należy ustawić ograniczony dostęp (np. na hasło), tak by ich uruchomienie wymagało odpowiedniej autoryzacji; wygaszacz ekranu powinien od razu blokować dostęp do systemu, wszystkie nośniki danych urządzeń przenośnych powinny być szyfrowane; dodatkowe połączenia przez np. podczerwień czy Bluetooth powinny zostać wyłączone. Bez względu na jakość posiadanego urządzenia – zawsze należy posiadać kopię danych, które są na nim przechowywane. Dane z komórek można kopiować na laptopy, a dane z laptopów nagrywać na nośniki CD/DVD. Żadna dyskusja na temat bezpieczeństwa nie jest kompletną, jeśli nie wspomnieć o jej polityce i edukacji w tej kwestii. W sieciach firmowych można coraz częściej spotkać się z polityką bezpieczeństwa nakreślającą stosowanie komunikatorów typu IM, czatów internetowych, wiadomości e-mail czy blogów. Niemniej jednak, nadal pozostaje w mniejszości debata na temat potrzeby konkretnych polityk bezpieczeństwa mających na celu rozwiązanie zastosowań dla konkretnych technologii mobilnych. Mobilny sektor IT jest świetną zabawą – wygodną i produktywną. Wymaga on połączenia i skoordynowania zarządzania biznesowego z regułami dla użytkownika końcowego w celu zapewnienia skutecznego i racjonalnie bezpiecznego środowiska. Środowiska, w którym w jednej ręce trzymamy laptop, a w drugiej jego politykę bezpieczeństwa.

Felieton ten pochodzi z magazynu: Hakin9 Nr 06 (49) Czerwiec 2009.

Kategorie K a t e g o r i e : Hakin9 & Linux+

Tagi T a g i : , , , , , ,

Zostaw odpowiedź.

Musisz być zalogowany by móc komentować.