WWW.GOVCERT.NL
BEVEILIGING VAN MOBIELE APPARATUUR EN DATADRAGERS
POSTADRES
Postbus 84011 2508 AA Den Haag BEZOEKADRES
Wilhelmina van Pruisenweg 104 2595 AN Den Haag TELEFOON
070 888 75 55 FAX
070 888 75 50 E-MAIL
[email protected]
Auteur Versie 1.1 Publieke uitgave
: GOVCERT.NL : 30 oktober 2006 : 12 maart 2009
GOVCERT.NL is het Computer Emergency Response Team van en voor de Nederlandse overheid. Zij ondersteunt overheidsorganisaties in het Voorkomen en afhandelen van ICT-gerelateerde veiligheidsincidenten, 24 uur per dag, 7 dagen per week. Advies en preventie, waarschuwing, incidentafhandeling en kennisdeling zijn hierbij sleutelwoorden. GBO.OVERHEID is de Gemeenschappelijke Beheer Organisatie waar GOVCERT.NL sinds 1 januari 2006 deel van uit maakt. Zij is verantwoordelijk voor beheer en verdere ontwikkeling van een aantal overheidsbrede ICT-voorzieningen.
Gebruik: Dit werk is gepubliceerd onder de voorwaarden beschreven in de Creative Commons Naamsvermelding-Niet-commercieelGelijk delen 3.0 Nederland licentie. Kijk voor meer informatie op http://creativecommons.org/licenses/by-nc-sa/3.0/nl/
INHOUD 1 1.1 1.2
Inleiding..........................................................................................................1 Leeswijzer ....................................................................................................... 1 Een noot vooraf................................................................................................ 2
2 2.1 2.2 2.3
Mobiele apparatuur en datadragers.................................................................4 Mobiele apparatuur ........................................................................................... 4 Mobiele datadragers.......................................................................................... 6 Aansluitmogelijkheden ...................................................................................... 8
3 3.1 3.2 3.3
Risico’s en complicerende factoren ...............................................................13 Praktijkvoorbeelden ........................................................................................ 13 Risico’s ......................................................................................................... 14 Complicerende factoren ................................................................................... 20
4 4.1 4.2 4.3
Maatregelen ..................................................................................................23 Niet-technische maatregelen ............................................................................ 23 Technische maatregelen .................................................................................. 28 Kosteninschatting versus effectiviteit ................................................................. 40
Bijlage A: Afkortingen en definities ...........................................................................41 Bijlage B: Literatuurlijst.............................................................................................43 Bijlage C: Blackberries – Bluetooth en internettoegang.............................................44
DISCLAIMER Indien in dit document de naam van een product, dienst, fabrikant of leverancier wordt genoemd, betekent dit niet dat GOVCERT.NL deze op enige wijze goedkeurt, afkeurt, aanraadt, afraadt of anderszins hiermee verbonden is.
1
INLEIDING Dit whitepaper is in 2006 geschreven en gepubliceerd onder de GOVCERT.NL deelnemers. Nu, maart 2009, wordt het whitepaper beschikbaar gesteld voor een groter lezerspubliek. Daar waar wij dat noodzakelijk achtten, hebben wij eventuele achterhaalde informatie verwijderd en het paper licht geupdate. Het doel van dit whitepaper is inzicht geven in: • de gevaren en de risico’s van het gebruik van mobiele datadragers, • de wijze waarop de benoemde beveiligingsrisico’s zijn te beperken. Het gebruik van mobiele apparatuur zoals laptops, Personal Digital Assistants (PDA’s) en Blackberries is de afgelopen jaren explosief toegenomen. De verwachting is zelfs dat rond 2007/2008 het aantal mobiele apparaten binnen organisaties het aantal traditionele PC’s zal overtreffen [1]. Niet alleen particulieren, maar ook bedrijven zien steeds vaker de voordelen in van het gebruik van deze apparatuur. De steeds uitgebreidere mogelijkheden van deze mobiele apparatuur, gecombineerd met de continu groeiende beschikbaarheid van draadloze diensten, zorgen aan de ene kant voor een groeiende populariteit en toepassing van deze apparatuur, maar aan de andere kant ook voor complexe beveiligingsvraagstukken binnen organisaties. Een probleem dat inherent is aan het gebruik van mobiele apparatuur is dat bedrijfsgegevens zich – en ook het gebruik hiervan – aan het oog van de organisatie onttrekken. Ook mobiele datadragers, zoals USB Flash devices en mobiele harde schijven, bieden mogelijkheden om grote hoeveelheden gegevens op te slaan en kunnen daarnaast een ongecontroleerde bron van infectie vormen.
1.1
Leeswijzer Dit document beschrijft, analyseert en adviseert met betrekking tot de beveiligingsproblematiek rondom mobiele apparatuur en datadragers. Hoofdstuk 2 start met een beschrijving van mobiele apparatuur en datadragers die op de markt aanwezig zijn. Daarnaast gaat dit hoofdstuk in op de manieren waarop deze apparatuur en datadragers aansluiten op een systeem. Hoofdstuk 3 gaat in op de risico’s die men loopt op het moment dat een organisatie gebruik maakt van mobiele apparatuur en datadragers. Hoofdstuk 4 sluit tenslotte af met een reeks maatregelen die een organisatie kan treffen om de gevaren van mobiele apparatuur en datadragers tot een minimum te beperken. In dit document wordt veelvuldig gebruik gemaakt van afkortingen en specifieke termen. Een overzicht van alle gebruikte afkortingen en termen kunt u terugvinden in bijlage A.
Beveiliging van mobiele apparatuur en datadragers
Versie 1.4
12 maart 2009
1/48
Voor de totstandkoming van dit document zijn verschillende literatuurbronnen geraadpleegd. Op plaatsen waar informatie uit deze literatuurbronnen is verwerkt, is een verwijzing in de vorm van ‘[x]’ opgenomen waarbij ‘[x]’ verwijst naar een document zoals opgenomen in bijlage B. Tot slot wordt in dit document ook gebruik gemaakt van voetnoten om bepaalde termen of begrippen te verduidelijken. Wilt u meer informatie over gerelateerde onderwerpen? Leest u dan onze factsheets ‘Draadloze netwerken’ en ‘Grenzen aan cryptogebruik, werken met vertrouwelijke informatie in het buitenland’. Deze zijn te vinden op www.govcert.nl onder ‘Kennisproducten’.
1.2
Een noot vooraf Dit document gaat heel specifiek in op de gevaren die de inzet van mobiele apparatuur en datadragers met zich meebrengt en de maatregelen die men kan treffen om deze gevaren het hoofd te kunnen bieden. Bij het lezen van deze maatregelen moet u echter in het achterhoofd houden dat betreffende maatregelen niet op zichzelf kunnen staan, maar onderdeel uit moeten maken van een groter, organisatiebreed, informatiebeveiligingsbeleid. Zo beschrijft dit document bijvoorbeeld maatregelen om te voorkomen dat gevoelige bedrijfsinformatie op straat komt te liggen door verlies of diefstal van mobiele apparatuur of mobiele datadragers. Er zijn uiteraard nog veel meer manieren denkbaar waarop gevoelige informatie onbedoeld beschikbaar komt voor ongeautoriseerde personen. Denk hierbij aan de volgende situaties waarin geen gebruik gemaakt wordt van mobiele apparatuur of mobiele datadragers maar waarin toch gevoelige informatie beschikbaar komt voor ongeautoriseerde personen: •
•
•
Een medewerker maakt vanaf zijn thuis-PC verbinding met het bedrijf via een SSL-VPN oplossing en slaat vervolgens een gevoelig document lokaal op. Korte tijd later compromitteert een kwaadwillende de thuis-PC van de gebruiker waarbij deze het document in handen krijgt. Dezelfde gebruiker verliest korte tijd later de toegang tot het SSL-VPN en wil in het weekend toch nog thuis wat werk afronden. Omdat de toegang via het SSL-VPN niet meer mogelijk is stuurt de medewerker de documenten die hij wil afronden door naar zijn privé e-mail. Omdat dezelfde kwetsbaarheid nog steeds voorkomt op zijn thuis-PC kan een kwaadwillende ook de beschikking krijgen over dit document. Een medewerker maakt vanuit een internetcafé op zijn vakantieadres verbinding met de webmaildienst van zijn bedrijf. Na het afsluiten van de browser zijn de gebruikte inlognaam en het bijbehorende wachtwoord opgeslagen op de PC in het internetcafé. Elke willekeurige volgende bezoeker kan vervolgens verbinding maken met de webmaildienst en inzicht krijgen in alle documenten en berichten die de gebruiker in zijn e-mailbox heeft opgeslagen.
Beveiliging van mobiele apparatuur en datadragers
Versie 1.4
12 maart 2009
2/48
•
•
Een medewerker heeft een abonnement op een service op internet waarmee hij opslagruimte op het internet via een speciaal programma kan koppelen als lokale harde schijf. Op deze manier kan de gebruiker zijn documenten vanaf elke willekeurige locatie benaderen. De beveiliging van deze internetservice bleek helaas niet in orde te zijn. Een hacker misbruikt het lek in de service en heeft vervolgens toegang tot alle documenten die de gebruiker op deze service heeft geplaatst. Een medewerker reist per trein van zijn woonplaats naar zijn werk. Om zijn tijd in de trein nuttig te kunnen besteden besluit deze medewerker een document met daarin gevoelige informatie uit te printen en in de trein door te lezen. Helaas laat de gebruiker dit document per ongeluk liggen in de trein en krijgt een kwaadwillende dit document in handen. Hoewel het document op alle mogelijke digitale media versleuteld is opgeslagen, blijkt dit uiteindelijk toch niet voldoende beveiliging te bieden.
Uit bovenstaande kunt u concluderen dat de beveiliging van een organisatie zo sterk is als de zwakste schakel. Beveiliging van het gebruik van mobiele apparatuur en datadragers vormt slechts een schakel in het totale pakket aan beveiligingsmaatregelen.
NOOT Dit document is niet uitputtend en zal ook met regelmaat bijgewerkt worden. Aanvullingen, opmerkingen of eigen ervaringen ontvangen wij dan ook graag via
[email protected].
Beveiliging van mobiele apparatuur en datadragers
Versie 1.4
12 maart 2009
3/48
2
MOBIELE APPARATUUR EN DATADRAGERS Mobiele apparatuur en datadragers zijn in een groot aantal verschillende soorten en maten verkrijgbaar. Daarnaast kan men zowel apparatuur als datadragers op verschillende manieren aansluiten op een systeem. Veel organisaties richten zich bij de implementatie van beveiligingsmaatregelen voornamelijk op de USB-aansluitingen van een PC. Echter, ook andere typen aansluitingen als Bluetooth en Firewire bieden mogelijkheden tot het aansluiten van diverse soorten apparatuur. Dit hoofdstuk start met een beschrijving van de verschillende soorten mobiele apparatuur en datadragers. Het hoofdstuk sluit af met een overzicht van de mogelijkheden die er bestaan om deze apparatuur aan te sluiten op een systeem van de gebruiker. Het hoofdstuk is voornamelijk bedoeld om het blikveld voor de beveilgingsrisico’s en –maatregelen, die in de volgende hoofdstukken aan bod komen, te definiëren.
2.1
Mobiele apparatuur Mobiele apparatuur voorzien van een besturingssysteem kan geheel zelfstandig functioneren. De functionaliteiten van deze apparatuur verschillen van type tot type; enkele van de meest voorkomende functionaliteiten die veel mobiele apparaten bieden: • • • • • • • •
Administreren van contactgegevens; Bijhouden van een agenda; Raadplegen van e-mail; Afspelen van audiobestanden; Bekijken van foto’s en films; Surfen op internet; Synchroniseren van gegevens (contactpersonen, bestanden, afspraken) tussen het mobiele apparaat en een PC; Televisie kijken.
Daarnaast bieden mobiele apparaten ook mogelijkheden om gegevens op te slaan op Flash geheugen. Een PC kan dit geheugen op eenzelfde manier benaderen als standaard USB Flash geheugen. Meer informatie over de mogelijkheden van USB Flash geheugen kunt u teruglezen in paragraaf 2.2 (“Mobiele datadragers”).
Beveiliging van mobiele apparatuur en datadragers
Versie 1.4
12 maart 2009
4/48
In tabel 2-1 is een niet uitputtende lijst van enkele bekende mobiele apparaten en bijbehorende besturingssystemen weergegeven. In deze lijst is onderscheid gemaakt tussen de volgende typen mobiele apparaten: • •
• •
Laptop: een laptop, ook wel notebook genaamd, ofwel de mobiele versie van een PC. Personal Digital Assistent (PDA): een PDA, ook wel palmtop genaamd, biedt in alle gevallen applicaties ter ondersteuning van de eigen administratie: agenda, adresboek, takenlijst en memo’s. Daarnaast kan een gebruiker, naar eigen inzicht, ook aanvullende applicaties als een rekenmachine en spelletjes installeren en met de PDA verbinding maken met het internet via een (draadloos) netwerk of GPRS. Smartphone: smartphones combineren de functionaliteiten van een PDA en een mobiele telefoon in één apparaat. Mobile Personal Server (MPS): een MPS is een handheld 1 server die gebruik maakt van een gastsysteem. De MPS sluit op dit gastsysteem aan via de USBpoort en maakt, na aansluiting, gebruik van de resources van dit systeem (toetsenbord, muis, netwerkaansluiting, stroom). Daarnaast beschikt de MPS over eigen resources zoals een processor en Flash geheugen om als server te kunnen functioneren.
Type
Apparaat
Besturingssysteem
Laptop PDA PDA PDA PDA PDA Smartphone Smartphone Smartphone Mobile Personal Server
Diverse merken HP iPAQ Dell Axim Palm Tungsten Blackberry Apple iPod Nokia N-Gage Palm Treo 700w Motorola A768 mobile BlackDog
Windows XP, Mac OS X, Linux Windows Mobile 2 Windows Mobile Palm OS Research In Motion (RIM) iPod OS Symbian OS Windows Mobile MontaVista Linux Debian(-based) Linux
Tabel 2-1: voorbeelden van mobiele apparatuur
1
Onder handhelds worden in dit document PDA’s, smartphones en MPS’en verstaan
2
Windows Mobile is de software die Windows-gebaseerde handhelds kunnen gebruiken. Windows Mobile
bestaat uit Windows CE (OS) en aanvullende standaardapplicaties. Windows Mobile bestaat in de versies 2002, 2003, 2003 SE en 5.0. Beveiliging van mobiele apparatuur en datadragers
Versie 1.4
12 maart 2009
5/48
2.2
Mobiele datadragers Mobiele datadragers kan men onderverdelen in magnetische datadragers, optische datadragers en datadragers op basis van Flash.
2.2.1
Magnetische datadragers
Één bekende mobiele magnetische datadragers is de diskette. Gezien de beperkte opslagcapaciteit (1,44 MB) van diskettes worden deze nog maar zelden gebruikt. Overige magnetische datadragers: •
•
•
Mobiele harde schijven: mobiele harde schijven sluit men in de meeste gevallen aan via USB of Firewire. Tegenwoordig bestaan er echter ook harde schijven met een netwerk-interface die men kan aansluiten op een PC (Gigabit Ethernet cross-cabled) of op het netwerk. Eenmaal aangesloten op een netwerk of PC kunnen gebruikers een netwerk harde schijf eenvoudig benaderen (op basis van bijvoorbeeld UPnP). De capaciteit van mobiele harde schijven is in de regel groot; zo zijn er bijvoorbeeld al mobiele harde schijven op de markt met een capaciteit van 1 TB. Tapes: back-up tapes bevatten vaak zeer gevoelige informatie. Tapes staan niet per definitie bekend als mobiele datadragers. In de praktijk vervoeren veel organisaties back-up tapes echter vaak vanaf een datacenter naar een back-up- of uitwijklocatie. Gedurende het transport naar de offsite locatie staan de tapes bloot aan gevaren als verlies en diefstal. ZIP- en JAZ-drives: beide typen drives zijn ontwikkeld door Iomega en hebben al een vrij lange historie. Iomega levert nog altijd ZIP-drives met een opslagcapaciteit tot 750 MB. JAZ-drives behoren niet meer tot het assortiment.
2.2.2
Optische datadragers
De bekendste optische datadragers vormen de CD en de DVD. Gegevens die zich bevinden op het netwerk van de organisatie kunnen via CD-writers en DVDwriters terecht komen op CD’s en DVD’s. Interne (niet mobiele) CD-writers en DVD-writers maken meestal gebruik van de (E)IDE- en SCSI-interfaces van een systeem. Externe (mobiele) CD-writers en DVD-writers sluiten meestal aan op de USB- en/of Firewire-interfaces van een systeem (zie ook paragraaf 2.3: “Aansluitmogelijkheden”). Minder gebruikte optische technologieën zijn WORM (Write Once Read Many) en Magneto-optical Disk (MOD). Voorbeelden van WORM-media zijn media die fysiek slechts één keer kunnen worden beschreven (zoals CD-R en DVD-R) en media die specifieke maatregelen kennen waardoor deze slechts eenmaal kunnen worden beschreven.
Beveiliging van mobiele apparatuur en datadragers
Versie 1.4
12 maart 2009
6/48
2.2.3
Datadragers op basis van Flash
Flash geheugen is geheugen dat, net als optisch en magnetisch geheugen, zijn inhoud kan behouden zonder dat het daarvoor stroom gebruikt. MP3-spelers, PDA’s, USB Flash drives, digitale camera’s en mobiele telefoons maken veel gebruik van Flash geheugen. De capaciteit van Flash geheugens is tegenwoordig al enkele gigabytes en dit zal de komende jaren alleen maar verder groeien. CompactFlash (CF), Multi-Media Card (MMC), Secure Digital (SD), Smart Media Card (SMC), Extreme Digital (xD) en Memory Stick Pro zijn bekende voorbeelden van opslagkaarten die gebruik maken van Flash. Een nieuwe ontwikkeling betreft de USB Flash devices die voorzien zijn van zogenaamde U3-technologie. U3-technologie stelt gebruikers van Windows in staat om applicaties rechtstreeks te starten vanaf het USB Flash device via een soort Windows Start-menu (launchpad). Dit launchpad start automatisch zodra het USB device op de PC is aangesloten. Een programma dat men start vanaf het USB Flash device maakt veelal geen gebruik van de harde schijf van de PC waarop deze is aangesloten. In enkele gevallen wordt de harde schijf gebruikt om tijdelijke bestanden op te plaatsen. Deze bestanden worden, na het verwijderen van het USB Flash device, automatisch weer van de PC verwijderd. USB Flash devices die voorzien zijn van U3-technologie noemt men ook wel USB smart devices. Veel producten kennen tegenwoordig een speciale versie voor U3technologie 3 zoals Mozilla Firefox for U3, Avast! Antivirus U3 Edition en Skype for U3. Ook standaard USB Flash devices kan men zodanig inrichten dat ze een gelijke functionaliteit bieden als USB smart devices. Speciale programmatuur als Remora, PStart en PowerToGo in combinatie met portable software kan voor de inrichting hiervan gebruikt worden. In figuur 2-1 is afgebeeld wat een gebruiker van deze technologieën te zien krijgt op het moment dat deze een dergelijk device gebruikt.
3
Een overzicht van ondersteunde U3-software is terug te vinden op http://software.u3.com/
Beveiliging van mobiele apparatuur en datadragers
Versie 1.4
12 maart 2009
7/48
Figuur 2-1: voorbeelden van mobiele apparatuur
USB Flash geheugen kent vele benamingen. Termen als pen drive, USB key, USB stick, memory card, mini drive en memory stick verwijzen allemaal naar de implementatie van dezelfde soort technologie.
2.3
Aansluitmogelijkheden Een PC biedt veelal verschillende mogelijkheden om mobiele apparatuur en datadragers aan te sluiten. In deze paragraaf komen een aantal bekabelde en draadloze oplossingen aan de orde die men kan gebruiken om deze aansluiting tot stand te brengen.
2.3.1
Universal Serial Bus (USB) en Firewire
Bij het aansluiten van mobiele apparatuur denkt men vaak aan het gebruik van Universal Serial Bus (USB). De nieuwste USB-standaard, USB versie 2.0, biedt transmissiesnelheden tot 400 Mbps. 1 GB aan data zet men, met USB 2.0, in theorie dus in ongeveer 21 seconden over van PC naar USB device (en vice versa). Dit is een stuk sneller dan USB versie 1.1 dat een maximale snelheid van 12 Mbps biedt. Een vergelijkbare technologie met USB is Firewire (IEEE 1394). Deze standaard, ooit door Apple ontwikkeld, maakt snelheden tot 480 Mbps (IEEE 1394b) mogelijk. Een belangrijk verschil tussen Firewire en USB is dat Firewire ondersteuning biedt voor peer-to-peer communicatie. Dit betekent dat beide uiteinden van de Firewire-verbinding intelligent genoeg zijn om te onderhandelen over de verbinding en de data-uitwisseling in goede banen te kunnen leiden. USB werkt op basis van een master-slave relatie waardoor bij USB altijd een PC
Beveiliging van mobiele apparatuur en datadragers
Versie 1.4
12 maart 2009
8/48
benodigd is om communicatie tot stand te brengen en te onderhouden. In figuur 2-2 is een voorbeeld te zien van een USB- en een Firewire-aansluiting.
Figuur 2-2: USB en Firewire
Naast de bovenstaande “bekabelde” oplossingen kan men tegenwoordig ook gebruik maken van draadloze oplossingen om apparatuur aan te sluiten op een systeem. WiFi (Wireless Fidelity), Bluetooth en infrarood (IrDA) zijn hierbij de meest gebruikte technologieën. Een redelijk nieuwe draadloze technologie is Wireless USB (WUSB) dat communicatie mogelijk maakt op basis van 480 Mbps over korte afstanden (maximaal 3 meter). In juni 2006 zijn de eerste producten op de markt gekomen die officieel WUSB gecertificeerd zijn. De komende paragrafen behandelen de belangrijkste draadloze technologieën: WiFi, Bluetooth en IrDA.
2.3.2
WiFi
WiFi biedt snelheden tot 54 Mbps 4 (IEEE 802.11a en IEEE 802.11g); voornamelijk kleinere (thuis-)netwerken maken gebruik van WiFi. De verwachting is echter dat in de toekomst ook grotere (bedrijfs)netwerken steeds meer gebruik zullen gaan maken van WiFi. Een populaire toepassing van WiFi zijn de zogenaamde hotspots. Hotspots zijn publieke wireless access points waarop men op basis van WiFi kan aansluiten om vervolgens verbinding te maken met bijvoorbeeld het internet of een bedrijfsnetwerk. Hotspots vindt men voornamelijk in de buurt van publieke gelegenheden zoals restaurants, treinstations en vliegvelden. Alle mobiele apparaten die het gebruik van WiFi ondersteunen, kunnen aansluiten op deze hotspots. Een nieuwe standaard voor WiFi is de 802.11n standaard. Deze standaard biedt mogelijkheden tot draadloze communicatie op basis van snelheden van tenminste 100 Mbps. Theoretisch gezien moet met deze nieuwe standaard een snelheid van 600 Mbps kunnen worden bereikt. Er zijn inmiddels leveranciers die producten op
4
Er bestaan implementaties die twee 54 Mbps-kanalen bundelen tot 108 Mbps. Deze implementaties kunnen
echter alleen gebruikt worden wanneer access point en netwerkkaart van dezelfde leverancier zijn (proprietary). Beveiliging van mobiele apparatuur en datadragers
Versie 1.4
12 maart 2009
9/48
basis van de 802.11n standaard leveren. De standaard zelf moet echter nog geratificeerd worden en is tot die tijd nog niet definitief. Zeker gezien het feit dat er enige kritiek op deze standaard is gekomen (het bereik, de data-doorvoer en de stabiliteit zouden teleurstellen) is het aan te raden eerst deze ratificatie af te wachten. De verwachting is dat dit in 2009 zal gaan plaatsvinden.
ACHTERGROND De standaard reikwijdte van een WiFi-netwerk is redelijk beperkt (maximaal 100 meter). Een technologie genaamd WiMAX (IEEE 802.16) is bedoeld om deze afstandsbeperkingen te overbruggen. Via WiMAX moet een afstand van enkele kilometers overbrugbaar zijn. WiMAX leent zich daarom in eerste instantie uitstekend voor de implementatie van bijvoorbeeld draadloze Metropolitan Area Networks (WirelessMAN). Er zijn echter ook al mobiele telefoons in omloop die gebruik kunnen maken van WiMAX. Een belangrijke standaard op het gebied van beveiliging van WiFi-netwerken is IEEE 802.11i. In deze standaard worden allerlei protocollen gespecificeerd en beschreven die ingezet kunnen worden om zaken als authenticatie, versleuteling en integriteit binnen een draadloos netwerk te implementeren.
2.3.3
Bluetooth
Bluetooth (IEEE 802.15.1) is een draadloze standaard die mobiele telefoons, computers en PDA’s over korte afstanden met elkaar verbindt. De meest gangbare Bluetooth-standaard, Bluetooth Class 2, maakt communicatie mogelijk over een afstand van 10 meter bij een maximale tranmissiesnelheid van 2,1 Mbps. De Bluetooth-specificatie beschrijft onder andere een ‘link layer’ voor de verbindingen, waarin gebruik wordt gemaakt van versleutelingstechnieken. Daarnaast zijn bepaalde Bluetooth-protocollen verdeeld in zogenaamde profielen, om te voorkomen dat elk apparaat zou moeten beschikken over de complete set van protocollen. Voorbeelden van profielen zijn ‘hands free profiel’, ‘headset profiel’ en ‘seriële poort profiel’. Bluetooth leent zich, gezien de lage snelheid, voornamelijk voor situaties waarin geen hoge bandbreedte benodigd is (zoals bij draadloze muizen, draadloze headsets van mobiele telefoons en draadloze GPS-receivers). In sommige gevallen biedt apparatuur ook de mogelijkheid om via Bluetooth gegevens uit te wisselen tussen het mobiele apparaat en een computer. ACHTERGROND Bluetooth en beveiliging is een onderwerp dat veel besproken is. Er bestaan een aantal belangrijke begrippen op dit gebied: • Blooover: een tool (de naam is afgeleid van “Bluetooth Hoover”) die men kan gebruiken om te controleren of een Bluetooth-enabled apparaat kwetsbaar is. De tool kan door kwaadwillenden misbruikt worden om daadwerkelijke aanvallen uit te voeren. • Bluebug attack: aanval die zich richt op een fout in Bluetooth-implementaties en het mogelijk maakt om op afstand adreslijsten van mobiele telefoons te
Beveiliging van mobiele apparatuur en datadragers
Versie 1.4
12 maart 2009
10/48
•
•
•
•
• •
downloaden, SMS-berichten op mobiele telefoons te bekijken en te versturen en communicatiemogelijkheden van het mobiele apparaat te misbruiken. Bluejacking: bluejacking is één van de oudste en onschuldigste methoden van misbruik van Bluetooth. Hierbij wordt de mogelijkheid tot het uitwisselen van persoonsgegevens via Bluetooth misbruikt om willekeurige berichten te laten verschijnen op een apparaat van een Bluetooth-gebruiker. Bluejacking richt verder geen schade aan. Alleen bij extreme bluejacking kan het gevolg zijn dat een apparaat niet meer beschikbaar raakt (Denial-of-Service). Blueprinting: methode om op afstand informatie te verzamelen over Bluetooth-enabled apparaten. Kan gebruikt worden om te onderzoeken of er kwetsbare apparaten in de buurt zijn. Bluesmack attack: de Bluesmack attack lijkt op de “Ping of Death” attack op netwerkgebied. Door het uitvoeren van een l2ping commando richting een Bluetooth-enabled apparaat kan men ervoor zorgen dat dit apparaat niet langer meer reageert (Denial-of-Service). Bluesnarf attack: aanval waarbij een kwaadwillende het adresboek van een telefoon inclusief alle gekoppelde objecten (bijvoorbeeld een foto bij een persoon uit het adresboek) download. De Bluesnarf attack is één van de bekendste soorten aanvallen op Bluetooth. Veel oudere mobiele telefoons van bekende merken waren kwetsbaar voor deze vorm van misbruik. Hcidump: tool die gebruikt kan worden om Bluetooth-verkeer te sniffen. HeloMoto attack: een combinatie van de Bluesnarf attack en de Bluebug attack. Vernoemd naar het feit dat deze kwetsbaarheid werd ontdekt op Motorola-telefoons.
2.3.4
IrDA
Een laatst genoemde draadloze technologie die veel mobiele apparaten ondersteunt, is infrarood (IrDA). De meest bekende implementaties van IrDA werken op dit moment met snelheden van maximaal 4 Mbps. Infraroodcommunicatie is afhankelijk van visueel contact tussen de zender en ontvanger en is daarom gevoelig voor storingen en weersomstandigheden.
Beveiliging van mobiele apparatuur en datadragers
Versie 1.4
12 maart 2009
11/48
2.3.5
Overige aansluitmogelijkheden
Naast de beschreven aansluitmogelijkheden in dit hoofdstuk bestaan er uiteraard ook nog andere waarvan de beveiligingsrisico’s minder groot zijn. Deze aansluitmogelijkheden vindt men voornamelijk terug op laptops en niet zozeer op de andere mobiele apparaten die in dit hoofdstuk zijn beschreven. Voor de volledigheid volgt hieronder nog een kort overzicht van deze aansluitmogelijkheden: • •
•
•
•
•
Technologieën voor mobiele telefonie (GSM, i-mode, UMTS, GPRS, HSDPA); Sloten voor memory cards: met name (multimedia) thuis PC’s zijn tegenwoordig voorzien van allerlei sloten voor memory cards. Deze zijn voornamelijk bedoeld om op een eenvoudige manier foto’s over te kunnen zetten van een fototoestel naar de PC. Wanneer een werkstation binnen een zakelijke organisatie deze sloten bevat moet zeker aandacht worden besteed aan de beveiliging hiervan. Ook bestaan er losse (mobiele) memory card readers die via USB of Firewire aansluiten op een willekeurig systeem. Parallelle en seriële (RS232/EIA232) poorten: parallelle en seriële poorten bieden ook mogelijkheden voor datauitwisseling tussen een PC en randapparatuur. Gezien de lage snelheden die men kan bereiken bieden deze verbindingen geen ondersteuning voor datatransmissies van grote omvang. Ethernet aansluitingen: veel laptops en sommige mobiele harde schijven beschikken over een Ethernetaansluiting. Via deze verbinding maken deze apparaten verbinding met het netwerk. Modem aansluitingen: veel laptops zijn standaard uitgerust met een modem. Via deze modem kan een PC bijvoorbeeld contact maken met internet. Het gevaar dat schuilt in het gebruik van deze modems is voornamelijk dat kwaardaardige programmatuur tijdens het surfen over het internet op de PC terecht komt. PCMCIA/PC Card/Cardbus/ExpressCard: deze typen aansluitingen komen voornamelijk voor op laptops. Een slot kan allerlei verschillende soorten kaarten bevatten. Voorbeelden van kaarten zijn Bluetooth, GPS, SCSI adapters, harde schijven, Ethernet LAN adapters en Memory Card Adapters. Om gebruik te kunnen maken van een specifieke insteekkaart moet men in veel gevallen eerst de benodigde drivers en aanvullende programmatuur op de laptop installeren.
NOOT Veel multimedia apparaten (zoals iPod’s) beschikken ook over aansluitmogelijkheden voor bijvoorbeeld televisies (S-Video). Deze typen aansluitingen vallen buiten het blikveld van dit document aangezien de kans op beveiligingsproblemen met deze aansluitingen vrij gering is.
Beveiliging van mobiele apparatuur en datadragers
Versie 1.4
12 maart 2009
12/48
3
RISICO’S EN COMPLICERENDE FACTOREN Mobiele apparatuur en datadragers, zoals beschreven in hoofdstuk 2, bieden een groot aantal gebruiksmogelijkheden. Keerzijde van het gebruik van deze apparatuur en datadragers is dat toepassing ervan kan leiden tot een aantal beveiligingsproblemen. Dit hoofdstuk beschrijft de risico’s die gepaard gaan met de inzet van mobiele apparatuur en datadragers. Daarnaast besteedt dit hoofdstuk aandacht aan enkele factoren die de beveiliging ervan verder compliceren. Het hoofdstuk start met een aantal praktijkvoorbeelden waarin deze risico’s zichtbaar zijn geworden.
3.1
Praktijkvoorbeelden In juli 2004 komt men bij Los Alamos, een laboratorium voor nucleaire wapens in de Verenigde Staten, tot een schokkende ontdekking: twee ZIP-disks en twee mobiele harde schijven lijken verdwenen. De disks en harde schijven bevatten uiterst gevoelige informatie over nucleaire wapens van de Verenigde Staten. Het is dan al de derde keer binnen korte tijd dat er mobiele datadragers kwijtraken binnen deze organisatie. Het directe gevolg is een tijdelijk verbod op mobiele datadragers binnen het laboratorium waardoor een gedeelte van het primaire proces stil komt te liggen. Kort daarna brengt Los Alamos een bericht naar buiten waarin het aangeeft dat de ZIP-disks en harde schijven toch niet verdwenen zijn, maar dat de administratie van mobiele datadragers niet op orde was. Hierdoor dacht men zaken te missen die eigenlijk niet vermist waren. Verhalen over verlies van back-up tapes zijn talrijk. ABN AMRO Mortgage Group komt in december 2005 negatief in het nieuws wanneer een back-up tape met daarop onder andere de financiële gegevens van twee miljoen klanten verdwijnt. De back-up tape verdween tijdens het transport vanaf een datacenter in Chicago naar een kredietbeoordelaar. De hypotheekverstrekker ziet zich vervolgens genoodzaakt om alle klanten van dit verlies op de hoogte te stellen. Mediaconcern Time Warner kampt in mei 2005 met vergelijkbare problemen. Maar liefst veertig back-up tapes met daarop persoonsgegevens en sofi-nummers van 600.000 werknemers en oud-werknemers raken zoek. De back-up tapes verdwenen bij het transport hiervan richting een extern bureau dat was ingeschakeld voor opslag van deze tapes. Een Blackberry die ooit toebehoorde aan een medewerker van Morgan Stanley (een grote financiële instelling) staat in 2003 te koop op eBay. Een geïnteresseerde koopt de Blackberry voor $ 15,50 en ontdekt bij ontvangst dat de Blackberry nog allerlei vertrouwelijke informatie bevat. Naast honderden e-mails bevat de Blackberry ook vertrouwelijke informatie over zowel het bedrijf als de medewerker. De gegevens op de Blackberry waren niet versleuteld en het apparaat was niet beschermd met een authenticatiemechanisme.
Beveiliging van mobiele apparatuur en datadragers
Versie 1.4
12 maart 2009
13/48
In april 2006 wordt op een bazaar in Afghanistan een USB-stick aangeboden met daarop o.a. geclassificeerde militaire informatie over vijandelijke doelen, namen van corrupte Afghaanse officials en beschrijvingen van Amerikaanse afweermechanismen. Sommige documenten op de USB-stick blijken versleuteld en beveiligd te zijn via een wachtwoord. Voor de meeste documenten geldt dit echter niet. De USB-sticks werden kort daarvoor ontvreemd vanaf een militaire basis op een kleine 200 meter van de bazaar en werden vervolgens als tweedehands sticks voor $40 aangeboden. 3.2
Risico’s Voorgaande voorbeelden illustreren enkele van de risico’s die men loopt op het moment dat men gebruik maakt van mobiele apparatuur en datadragers. Het vervolg van dit hoofdstuk beschrijft deze risico’s in meer detail.
3.2.1
Wat is risico?
Het begrip risico kent vele definities en beschrijvingen. Volgens Van Dale is risico “gevaar voor schade of verlies, de gevaarlijke of kwade kans of kansen die zich bij iets voordoen”. Bij risico zijn volgens deze definitie kans en schade twee belangrijke begrippen. Voor dit document zal risico daarom in de volgende definitie worden gehanteerd: risico = kans x schade Risico bepaalt men in de regel door het uitvoeren van een risico analyse. Tijdens een risico analyse wordt bekeken wat de kwalitatieve en kwantitatieve risico’s zijn waar een organisatie mee te maken heeft. In sommige gevallen zal het eenvoudig zijn om schade kwantitatief vast te stellen (bijvoorbeeld financiële schade) terwijl dit in andere gevallen niet mogelijk of zeer moeilijk is (bijvoorbeeld imagoschade). Het vervolg van deze paragraaf gaat verder in op de variabelen kans en schade in het licht van mobiele apparaten en datadragers.
3.2.2
Kans
De kans dat ongewenste gebeurtenissen plaatsvinden op het gebied van mobiele apparaten en datadragers is per organisatie sterk verschillend. Er zijn echter wel een aantal algemene scenario’s denkbaar waarin een kans tot misbruik zich voordoet. Deze paragraaf beschrijft deze scenario’s. 3.2.2.1 Kans op foutief menselijk handelen Ongewenste gebeurtenissen doen zich vaak voor door foutief menselijk handelen. In het kader van mobiele apparaten en datadragers is dit al niet anders. Onderstaand zijn een aantal voorbeelden van gedragingen beschreven die ertoe kunnen leiden dat zich beveiligingsproblemen voordoen op het gebied van mobiele apparaten en datadragers:
Beveiliging van mobiele apparatuur en datadragers
Versie 1.4
12 maart 2009
14/48
Voorbeeld #1: achtergelaten memorystick Een persoon laat een memorystick achter in een publieke ruimte. De gegevens die zich op de memorystick bevinden kunnen hierdoor in handen komen van de vinder van de memorystick. De gevolgen (schade) hiervan zijn afhankelijk van de intenties van de vinder. Voorbeeld #2: malware verspreiding via een memorystick Een persoon gebruikt een met malware besmette memorystick binnen de organisatie waarin hij werkzaam is. Met de toenemende populariteit en connectiviteit van mobiele apparatuur neemt ook de hoeveelheid malware gericht op deze apparatuur steeds verder toe. Deze malware kan, naast veel ergernissen, ook leiden tot het corrumperen van data en systemen waardoor de integriteit van gegevens en systemen op het spel komt te staan. Aangezien de informatie op mobiele apparatuur en datadragers veelal geen onderdeel uitmaakt van back-ups die de organisatie maakt, is herstel van gecorrumpeerde of verloren gegane gegevens niet meer mogelijk. Veel van deze malware verspreidt zich via Bluetooth en heeft wisselende gevolgen. Een zijdelings effect van het intensieve gebruik van Bluetooth door de malware is dat de batterij van het geïnfecteerde apparaat zeer snel opraakt. Tabel 3-1 geeft een overzicht van enkele bekende soorten malware die de afgelopen jaren op het gebied van mobiele apparatuur de revue passeerden.
Naam
Besturingssysteem
Omschrijving
911
Verschillende
Virus dat zich verspreidt via i-mode en de mobiele telefoon laat bellen naar het Japanse noodnummer (gelijk aan 112 in Nederland) waardoor deze overbelast raakt. Trojan die het IP-adres bekend maakt aan de kwaadwillende en een backdoor openzet. Via deze backdoor kan de kwaadwillende onder andere commando’s uitvoeren en bestanden up- en downloaden. Installeert zich onder andere op de memory card van een device (en activeert hierop autoplay) en besmet hierdoor automatisch een PC op het moment dat deze memory card in een PC geplaatst wordt. Deze worm verspreidt zich via Bluetooth en MMS 5 . De worm gebruikt het adresboek op de telefoon om MMS-berichten te versturen.
(op bijvoorbeeld NTT DoCoMo P505i)
Brador
Windows Mobile (op Compaq iPAQ en Dell Axim)
CardTRP
Symbian (op bijvoorbeeld Nokia E60, Samsung SGH of Siemens SX1)
CommWarrior
Symbian (op bijvoorbeeld Nokia N-Gage en Lenovo P930)
Lasco
Trojan die zich voornamelijk verspreidt op basis van Bluetooth. Voornamelijk een proof of concept zonder al te veel schade.
Windows Mobile en Symbian (op bijvoorbeeld Nokia
5
Multimedia Messaging Service
Beveiliging van mobiele apparatuur en datadragers
Versie 1.4
12 maart 2009
15/48
Naam
Besturingssysteem
Omschrijving
Series 60)
LibertyCrack
Palm OS
Verwijdert alle applicaties van de handheld en herstart vervolgens de Palm. Doet zich voor als een crack voor het kunnen spelen van Nintendo Game Boy spelletjes.
Tabel 3-1: overzicht malware voor mobiele apparatuur
De huidige malware op mobiele apparatuur is nog redelijk onschuldig. Onder andere McAfee, een bekende leverancier van antivirusproducten, verwacht echter dat malware voor mobiele apparatuur de komende jaren een grote vlucht zal nemen [5]. De belangrijkste reden hiervoor is het toenemende gebruik van mobiele apparatuur (in het bijzonder Smartphones) gecombineerd met de toenemende connectiviteit van deze apparatuur. Figuur 3-1 geeft de trend weer die F-Secure, leverancier van anti-virusproducten, waarneemt op het gebied van malware voor mobiele apparaten. Daaruit blijkt dat er rond april 2006 tweehonderd verschillende soorten malware bekend zijn tegenover 60 een jaar eerder.
Figuur 3-1: trend in malware voor mobiele apparaten (bron: F-Secure)
Naast besmetting van mobiele apparatuur en datadragers is ook besmetting via mobiele apparatuur en datadragers een onderwerp waar een organisatie aandacht aan zou moeten besteden. Een USB-stick die voorzien is van malware kan zich, na aansluiting op een zakelijke PC, bijvoorbeeld automatisch verspreiden op een bedrijfsnetwerk. Op eenzelfde manier kan een (extern) geïnfecteerde laptop voor beveiligingsproblemen op een netwerk zorgen.
Beveiliging van mobiele apparatuur en datadragers
Versie 1.4
12 maart 2009
16/48
Voorbeeld #3: verlies van een back-up tape Zoals de voorbeelden aan het begin van dit hoofdstuk al hebben geïllustreerd komt verlies van back-up tapes veelvuldig voor. Dit kan bijvoorbeeld gebeuren doordat een chauffeur zijn vrachtwagen niet goed afsluit. 3.2.2.2
Kans dat kwaadwillenden zwakheden in technische oplossingen misbruiken Kwaadwillenden zullen altijd op zoek blijven gaan naar zwakheden in technische oplossingen. Dit hoeven niet per definitie programmafouten te zijn; slaat men bijvoorbeeld gegevens onversleuteld op een mobiele datadrager op dan is er wel sprake van een zwakheid maar niet van een programmafout. Voorbeeld #1: omzeilen van beveiligingsmaatregelen Via bootable USB sticks en USB hard disks kan men beveiligingsmaatregelen van een PC omzeilen. Door de PC vanaf een USB stick op te starten, kan men bijvoorbeeld een eigen besturingssysteem activeren en toegang krijgen tot de harde schijf van de machine. De beperkingen die het, op de PC geïnstalleerde, besturingssysteem normaal gesproken afdwingt zijn dan niet van toepassing. Daarnaast kan het besturingssysteem op de USB stick gebruik maken van de netwerkkaart van de PC en op deze manier toegang krijgen tot het netwerk. Aangezien het MAC 6 -adres van de netwerkkaart identiek is bij zowel het starten vanaf de USB stick, als bij het starten vanaf de PC, omzeilt het besturingssysteem op de USB stick eenvoudig eventuele hardwarematige beperkingen (op basis van bijvoorbeeld MAC-adressen en DHCP 7 ). NOOT Niet alle PC’s zijn in staat om op te starten vanaf een USB stick. Om vanaf een USB stick te kunnen starten moet het BIOS van de PC mogelijkheden bieden om op te starten van een USB keydrive (USB-ZIP). De meeste recente BIOS-versies bieden deze ondersteuning. Voorbeeld #2: misbruik van hotspots In hoofdstuk 2 werd al beschreven dat de draadloze mogelijkheden van mobiele apparatuur er steeds vaker toe leiden dat eigenaren ervan op publieke locaties verbinding maken met internet (via zogenaamde hotspots). Hotspots zijn veelal niet goed beveiligd, waardoor de communicatie tussen het mobiele apparaat en het publieke access point verloopt zonder toepassing van versleutelingstechnieken. Kwaadwillenden kunnen misbruik maken van deze situatie door de informatie, die het mobiele apparaat en het publieke access point met elkaar uitwisselen, op te vangen (sniffen) en te onderzoeken op gevoelige informatie. Ook kan een kwaadwillende op een locatie zélf een publiek wireless access point plaatsen en deze een SSID 8 geven die mensen neigen te vertrouwen (bijvoorbeeld “tmobile”). Gebruikers denken dan te maken te hebben met een vertrouwd access point, maar communiceren in werkelijkheid met een access 6
Media Access Control: hardwarematig adres dat een netwerkinterface uniek identificeert op een netwerk.
7
Dynamic Host Configuration Protocol: systeem voor het automatisch toewijzen van IP-adressen aan apparaten
in een netwerk. 8
Service Set Identifier; identificeert de verzameling van draadloze apparaten in een groep
Beveiliging van mobiele apparatuur en datadragers
Versie 1.4
12 maart 2009
17/48
point van een kwaadwillende (“evil twin”). Op deze manier kan de kwaadwillende bijvoorbeeld wachtwoorden van mailboxen onderscheppen en zich op deze manier toegang verschaffen tot de persoonlijke of zakelijke mail van de gebruiker. Ook kan de kwaadwillende een “namaak” hotspot portal inrichten waarop de kwaadwillende de gebruiker vraagt zijn/haar creditcard gegevens in te vullen (Wi-phishing). Als op deze manier creditcard gegevens in handen van kwaadwillenden komen, kan dit leiden tot financiële schade voor de eigenaar. ACHTERGROND Windows XP speurt, in een standaard configuratie, continu naar beschikbare draadloze netwerken. Zodra Windows een draadloos netwerk ontdekt krijgt de gebruiker automatisch de optie om met dit netwerk te verbinden. Als Windows een netwerk ziet waarmee het al eerder verbonden is geweest, wordt de verbinding met dit netwerk automatisch opgezet. Dit zou kunnen betekenen dat de PC van een gebruiker automatisch een verbinding opzet met een “evil twin”. Ook wanneer het betreffende netwerk niet door Windows wordt gevonden kan dit tot problemen leiden. In dit geval zet Windows een ad hoc verbinding op met een lokaal adres. Dit adres wordt vervolgens gekoppeld aan het laatst bekende SSID waarmee succesvol een verbinding is opgezet. De PC zal dit SSID vervolgens broadcasten. Een kwaadwillende kan op een draadloos netwerk naar zulke broadcasts speuren om vervolgens een verbinding met de PC op te zetten zodra een dergelijk bericht wordt ontdekt. Dit is met name kwalijk aangezien de eigenaar van de PC er totaal geen erg in heeft dat deze verbinding met een andere PC is gerealiseerd. Overigens is dit probleem verholpen op PC’s waarop Windows XP Service Pack 2 is geïnstalleerd. Ook andere draadloze technologieën (Bluetooth, IrDA) sturen het verkeer “door de lucht”. Daarom is het ook bij deze technologieën van belang dat men rekening houdt met het soort informatie dat via deze verbindingen wordt uitgewisseld en de beveiligingsmaatregelen die men hiervoor moet treffen.
3.2.3
Schade
De schade die gebruik van mobiele apparaten en datadragers met zich meebrengt is divers. De schade die een organisatie (of individu) kan oplopen kan men indelen in imago/politieke schade, operationele schade, financiële schade en juridische schade. Het vervolg van deze paragraaf zal verder ingaan op deze soorten schade. 3.2.3.1 Imago/politieke schade Mobiele apparatuur en datadragers bevatten steeds vaker vertrouwelijke informatie. Wanneer de eigenaar van een apparaat of datadrager te maken krijgt met verlies of diefstal kan dit ertoe leiden dat de informatie die zich op het apparaat of de datadrager bevindt, in handen van ongeautoriseerde personen komt. Dit laatste kan vervolgens weer resulteren in imagoschade (bij een persoon of organisatie) of politieke schade. Uit een onderzoek van Pointsec uit 2005 [2] onder 300 IT professionals in Engeland blijkt dat maar liefst 84% van alle bedrijven gebruik maken van mobiele Beveiliging van mobiele apparatuur en datadragers
Versie 1.4
12 maart 2009
18/48
apparatuur. Daarnaast blijkt dat de IT professionals hun mobiele apparatuur voornamelijk gebruiken voor de opslag van namen en adressen van zowel persoonlijke als zakelijke contacten [3]. Een top 10 van de gebruikte toepassingen van mobiele apparatuur is te vinden in figuur 3-2.
Figuur 3-2: gebruikstoepassingen mobiele apparatuur
De kans op diefstal van een mobiel apparaat blijkt in de praktijk redelijk groot. Het jaarlijkse onderzoek van de FBI en het Computer Security Institute (CSI) van 2005 wijst uit dat maar liefst 50% van alle respondenten te maken heeft gehad met diefstal van mobiele apparatuur [4]. Daarnaast kan ook het verlies van back-up media leiden tot imagoschade en politieke schade. Wanneer bijvoorbeeld een tape met de gegevens van honderdduizenden klanten zoek raakt, kan de organisatie zich genoodzaakt voelen om al haar klanten hierover in te lichten. Misbruik van de gegevens zou in sommige gevallen kunnen leiden tot “identiteitsdiefstal” (identity theft 9 ). Publiciteit rondom het verlies, en eventuele imagoschade die hieruit voortvloeit, is dan ook onvermijdelijk. 3.2.3.2 Financiële schade Financiële schade als gevolg van het verlies van een mobiele datadrager of mobiele apparatuur is zeer reëel. Wanneer een gebruiker bijvoorbeeld creditcardgegevens of wachtwoorden op zijn memorystick opslaat kan een kwaadwillende deze gegevens eenvoudig in zijn (financiële) voordeel misbruiken. Maar niet alleen gegevens op memorysticks of mobiele apparaten kunnen leiden tot financiële schade. Voorbeeld #2 uit paragraaf 3.2.2.2 illustreert dat ook het gebruik van hotspots kan leiden tot het ontfutselen van creditcardgegevens (wiphishing) met financiële schade als gevolg.
9
“Identity theft”: het aannemen van de identiteit van een ander persoon om op deze manier bijvoorbeeld
toegang te krijgen tot financiële middelen. Een uitgebreide beschrijving van “identity theft” valt buiten de scope van dit document. Beveiliging van mobiele apparatuur en datadragers
Versie 1.4
12 maart 2009
19/48
3.2.3.3 Juridische schade De verantwoordelijkheid voor onachtzaamheid van werknemers kan terecht komen bij de werkgever. Wanneer gegevens op straat komen te liggen door verlies of diefstal van een mobiel apparaat of datadrager, kan de aansprakelijkheid hiervoor belanden bij de werkgever als deze niet voldoende maatregelen heeft getroffen (zoals het inrichten van versleutelingmechanismen). 3.2.3.4 Operationele schade De voorgaande schades richtten zich voornamelijk op twee van de drie peilers van informatiebeveiliging: vertrouwelijkheid en integriteit. Echter, ook de laatste belangrijke peiler op het gebied van informatiebeveiliging, beschikbaarheid, kan in gevaar komen. Wanneer malware zich installeert op een mobiel apparaat kan dit leiden tot het niet beschikbaar zijn van het gehele apparaat of bepaalde toepassingen hierop. Wanneer een gebruiker zeer afhankelijk is van het mobiele apparaat kan dit leiden tot productiviteitsverlies. Als de malware die zich op het mobiele apparaat of de mobiele datadrager bevindt ook andere systemen binnen de organisatie infecteert, kan dit leiden tot een nog groter beschikbaarheidsprobleem en operationele schade.
3.3
Complicerende factoren Naast de risico’s die men loopt door het gebruik van mobiele apparatuur en datadragers zijn er ook een aantal factoren die beheersing hiervan compliceren.
3.3.1
Factor #1: buiten het zicht van de organisatie
Mobiele apparatuur en datadragers bevinden zich in de regel veelvuldig buiten het netwerk van de organisatie. Buiten het zicht van de organisatie kunnen er verschillende dingen gebeuren met mobiele datadragers en apparatuur zonder dat de organisatie hier erg in heeft. Enkele voorbeelden: • •
• • •
Gebruikers installeren eigenhandig nieuwe applicaties; Gebruikers laten mobiele apparatuur slingeren. Zo blijkt bijvoorbeeld uit onderzoek van Pointsec [3] dat alleen al in Chicago, per jaar, 160.000 mobiele apparaten achterblijven in taxi’s. Hiervan keert uiteindelijk 50% tot 60% weer terug naar de rechtmatige eigenaar; Gebruikers kopiëren gevoelige bedrijfsinformatie naar hun thuis-PC; Gebruikers lenen datadragers (bijvoorbeeld een USB stick) “even” uit; Gebruikers verbinden hun laptop met een hotspot.
3.3.2
Factor #2: gebruikersgemak
De gebruiksvriendelijkheid en eenvoud van mobiele apparatuur en datadragers neemt steeds verder toe. Gebruikers kunnen steeds eenvoudiger hun apparatuur aansluiten op een willekeurige PC en voelen zich gestimuleerd om intensief gebruik te maken van deze apparatuur. Daarnaast is het ook steeds eenvoudiger
Beveiliging van mobiele apparatuur en datadragers
Versie 1.4
12 maart 2009
20/48
om informatie tussen PC en mobiele apparatuur en datadragers uit te wisselen, waardoor de kans op misbruik hiervan steeds verder groeit.
3.3.3
Factor #3: bewustzijn
Gebruikers hebben over het algemeen weinig bewustzijn als het gaat om de risico’s die het gebruik van mobiele apparatuur en datadragers met zich meebrengen. Veel gebruikers zijn naïef ten aanzien van de gevolgen die gepaard kunnen gaan met verlies of diefstal van hun eigendommen.
3.3.4
Factor #4: niet voorbereid op bedrijfsnetwerken
Besturingssystemen van mobiele apparatuur zijn over het algemeen nog niet voorbereid op bedrijfsnetwerken. Het patchen van deze besturingssystemen is vaak lastig of onmogelijk. Daarnaast brengen de leveranciers van mobiele apparaten niet vaak patches uit. Verder staat de beveiliging van mobiele apparatuur nog in de kinderschoenen. Toepassingen als antivirus-scanners, firewalls en versleutelingssoftware hebben pas sinds kort hun intrede gedaan op de markt van mobiele apparatuur en worden nog niet op grote schaal toegepast.
3.3.5
Factor #5: geen configuratiemanagement
Zoals het voorbeeld van Los Alamos uit de inleiding van dit hoofdstuk illustreert, beschikt een organisatie vaak niet over een overzicht van mobiele apparatuur en datadragers die zij bezit. Gebruikers nemen vaak hun eigen apparatuur en datadragers mee zonder dat de ICT-afdeling hiervan op de hoogte is. Dit alles leidt ertoe dat configuratiemanagement van mobiele apparatuur en datadragers vrijwel onmogelijk wordt.
3.3.6
Factor #6: vervaging verantwoordelijkheden
Werknemers schaffen vaak privé mobiele apparatuur en datadragers aan en gebruiken deze vervolgens voor zakelijke doeleinden (bijvoorbeeld het bijhouden van een zakelijke agenda). Door deze vermenging van zakelijke en persoonlijke doeleinden vervaagt de scheidslijn tussen verantwoordelijkheden van de werknemer en de werkgever steeds verder.
3.3.7
Factor #7: toenemende connectiviteit
De connectiviteit van mobiele apparaten neemt steeds verder toe. Steeds meer smartphones worden uitgerust met zaken als WiFi, Bluetooth en infrarood. Dit maakt aan de ene kant de aansluitmogelijkheden van een kwaadwillende steeds uitgebreider en vermeerdert aan de andere kant de hoeveelheid verkeer dat ‘door de lucht’ gaat. Het is de vraag welke gevolgen de toenemende connectiviteit zal hebben op de beveiliging van mobiele apparaten. Aan de ene kant kan men redeneren dat de beveiliging van mobiele apparaten zal afnemen, omdat veel mobiele apparaten verschillende connectiviteitopties steeds vaker standaard Beveiliging van mobiele apparatuur en datadragers
Versie 1.4
12 maart 2009
21/48
zullen aanbieden. Aan de andere kant kan men redeneren dat het toenemende gebruik van de connectiviteitopties en de daarmee gepaard gaande beveiligingsissues zal zorgen voor meer aandacht hiervoor door leveranciers.
Beveiliging van mobiele apparatuur en datadragers
Versie 1.4
12 maart 2009
22/48
4
MAATREGELEN Veel bedrijven onderkennen tegenwoordig de risico’s die het gebruik van mobiele apparatuur en datadragers met zich meebrengen. Uit de “Global Information Security Survey 2005” [6], die Ernst & Young onder 1300 bedrijven uitvoerde, blijkt dat maar liefst 75% van alle bedrijven de komende jaren maatregelen wil treffen op het gebied van mobiele apparaten, USB sticks en draadloze netwerken. Dit hoofdstuk beschrijft de maatregelen die een organisatie kan treffen om de impact van de risico’s uit het vorige hoofdstuk te kunnen beperken. De maatregelen zijn hierbij onderverdeeld in maatregelen van niet-technische aard en maatregelen van technische aard. Per maatregel is ook aangegeven op welk apparaat of welke datadrager men deze maatregel zou kunnen implementeren; er wordt onderscheid gemaakt tussen maatregelen voor: ML MH MD PC
4.1
Mobiele apparatuur / laptops Mobiele apparatuur / handhelds Mobiele datadragers PC waarop men mobiele apparatuur en datadragers kan aansluiten
Niet-technische maatregelen Het is onmogelijk om via technische maatregelen (zie paragraaf 4.2) alle gevaren op het gebied van gebruik van mobiele apparatuur en datadragers te voorkomen. Daarom is het belangrijk om in deze gevallen terug te kunnen vallen op niettechnische maatregelen zoals informatiebeveiligingsbeleid en procedures. In het ideale geval start een organisatie pas met de implementatie van technische maatregelen als de implementatie van de niet-technische maatregelen is afgerond. De invulling van de niet-technische maatregelen bepaalt in hoge mate hoe de technische maatregelen eruit gaan zien. Deze paragraaf beschrijft de niet-technische maatregelen die men zou moeten overwegen om de gevaren van mobiele apparatuur en datadragers het hoofd te kunnen bieden.
4.1.1
Maatregel #1: voer een risicoanalyse uit
ML MH MD PC
Elk implementatietraject van beveiligingsmaatregelen moet starten met een grondige en gedegen risicoanalyse. Voor de implementatie van beveiligingsmaatregelen op het gebied van mobiele apparatuur en datadragers is dit niet anders. Belangrijk is dat de risicoanalyse inzicht geeft in zowel de kwantitatieve (€) als de kwalitatieve risico’s (imagoschade, politieke schade) waarmee een organisatie te maken krijgt. Zelfs als een organisatie zlf geen ondersteuning biedt voor mobiele apparatuur en datadragers bestaan er nog steeds risico’s, aangezien gebruikers vaak zelf beschikken over deze apparaten en datadragers en deze (ongemerkt) voor zakelijke doeleinden inzetten.
Beveiliging van mobiele apparatuur en datadragers
Versie 1.4
12 maart 2009
23/48
4.1.2
Maatregel #2: stel een duidelijk informatiebeveiligingsbeleid op
ML MH MD PC
Een organisatie moet beschikken over een duidelijk informatiebeveiligingsbeleid, waarin beschreven staat hoe zij aankijkt tegen het gebruik van mobiele apparatuur en datadragers. Het beleid vereist aanvulling met operationele procedures, standaarden en richtlijnen, waarin een verdieping van de punten uit dit beleid plaatsvindt. In het informatiebeveiligingsbeleid, en de daaruit voortvloeiende procedures, standaarden en richtlijnen, dient de organisatie in ieder geval een antwoord te formuleren op de volgende vragen: • •
• • •
•
•
•
Staat de organisatie gebruik van mobiele apparatuur en datadragers überhaupt toe? Welke functionarissen staat de organisatie toe mobiele apparatuur en datadragers te gebruiken? Beschrijf ook aan welke voorwaarden een functionaris eventueel nog meer moet voldoen (bijvoorbeeld vereiste mate van mobiliteit) voordat deze gebruik mag maken van dergelijke technologieën. Welke typen data staat de organisatie toe op te slaan op mobiele apparatuur en datadragers? Welke standaarden vereist de organisatie op het gebied van versleuteling? Welke standaarden vereist de organisatie op het gebied van authenticatie? Hierin moet men beschrijven welke authenticatiemechanismen minimaal benodigd zijn (bijvoorbeeld wachtwoord-authenticatie of authenticatie op basis van vingerafdrukken) voordat het gebruik van een bepaald mobiel apparaat is toegestaan binnen de organisatie. Welke standaarden vereist de organisatie bij de selectie van mobiele apparaten en datadragers? Aan welke voorwaarden moeten apparatuur en datadragers voldoen voordat ze binnen de organisatie ingezet mogen worden (moet een apparaat bijvoorbeeld altijd van een specifiek type of van een specifieke leverancier afkomstig zijn)? Standaardisatie van hardware zorgt voor uniforme maatregelen op het gebied van beveiliging. Belangrijk is ook te beschrijven welke technologieën de organisatie op het gebied van mobiele apparatuur en datadragers wel, en welke zij niet ondersteunt. Wanneer een bedrijf bijvoorbeeld geen gebruik wenst te maken van Bluetooth-functionaliteit moet het beleid dit voorschrijven. In dit geval is het beter om apparatuur aan te schaffen die géén ondersteuning biedt voor Bluetooth. Welke procedure moeten medewerkers volgen bij het verlies van een mobiel apparaat of mobiele datadrager? De impact van verlies of diefstal van een mobiel apparaat of mobiele datadrager kan zeer ernstig zijn. Belangrijk is dat medewerkers van de organisatie weten wat ze op zo’n moment moeten doen, zodat de schade voortvloeiende uit het verlies of de diefstal tot een minimum beperkt wordt. Welke verschillen in vereisten gelden voor apparatuur en datadragers van het bedrijf versus apparatuur en datadragers van de gebruiker zelf? Zoals in dit document al eerder is aangegeven, is er een potentieel gevaar dat medewerkers van een bedrijf eigen apparatuur gaan inzetten voor zakelijke doeleinden. Belangrijk is dat in het informatiebeveiligingsbeleid helder wordt omschreven óf (en zo ja, hoe?) gebruik hiervan is toegestaan binnen de organisatie.
Beveiliging van mobiele apparatuur en datadragers
Versie 1.4
12 maart 2009
24/48
• •
Stelt de organisatie medewerkers verplicht om mobiele apparatuur en datadragers, in eigen bezit, te melden? Welke consequenties verbindt de organisatie aan het overtreden van het informatiebeveiligingsbeleid?
Een handig hulpmiddel bij het beschrijven van te nemen maatregelen is een classificatiematrix (figuur 4-1). Een dergelijke classificatiematrix kan beslissingen op het gebied van informatiebeveiliging ondersteunen op basis van de drie pijlers van informatiebeveiliging: beschikbaarheid, integriteit en vertrouwelijkheid (BIV). In het eenvoudige voorbeeld van figuur 4-1 zijn twee van deze verwerkt (vertrouwelijkheid en integriteit) en is het aspect beschikbaarheid buiten beschouwing gelaten. Opslag van data op mobiele apparatuur en datadragers is in dit geval alleen toegestaan als de vertrouwelijkheid en/of de integriteit ervan niet hoog is. Data met een lage vertrouwelijkheid en een lage integriteit mag zonder verdere maatregelen op mobiele apparatuur en datadragers worden opgeslagen. In alle andere gevallen geldt dat de gebruiker in ieder geval maatregelen moet treffen op het gebied van authenticatie en versleuteling.
Figuur 4-1: voorbeeld gebruik van een classificatiematrix
Vaak is een classificatiematrix al aanwezig binnen een organisatie en kan men deze matrix ook gebruiken om aan te geven welke informatie een mobiele datadrager wel en welke informatie deze niet mag bevatten. Belangrijk is dat het informatiebeveiligingsbeleid realistisch en begrijpelijk is voor de gebruiker. Complexe of onrealistische policies kunnen leiden tot het niet implementeren van maatregelen (doordat zij bijvoorbeeld te hoge investeringen vereisen) of tot gebruikers die op zoek gaan naar wegen om het beleid te omzeilen.
Beveiliging van mobiele apparatuur en datadragers
Versie 1.4
12 maart 2009
25/48
4.1.3
Maatregel #3: richt processen in
De vereisten uit het informatiebeveiligingsbeleid moeten ook vertaald worden naar processen binnen de organisatie. Het feit dat bijvoorbeeld aanwezige mobiele apparatuur en datadragers binnen een organisatie in kaart moeten worden gebracht vereist de invoering van een uitgifte- en registratieproces voor mobiele apparatuur en datadragers. In de processen moeten ook eventuele technische ML MH MD PC maatregelen worden verwerkt die het proces ondersteunen (bijvoorbeeld een asset management tool als ondersteuning voor het uitgifte- en registratieproces).
4.1.4
Maatregel #4: kweek bewustzijn binnen de organisatie
Voorlichting betreffende de gevaren en het gebruik van mobiele apparatuur en datadragers kan bijdragen aan het bewustzijn van gebruikers op dit gebied. Gebruikers zijn zich vaak niet bewust van de problemen die bijvoorbeeld het gebruik van (schijnbaar) onschuldige apparaten als MP3-spelers met zich mee kunnen brengen wanneer deze ook gebruikt worden voor de opslag van data. Een bewustzijnscampagne (awareness) zou de volgende elementen kunnen bevatten: •
• •
•
Een demonstratie van de mogelijke beveiligingsproblemen; beelden zeggen vaak meer als woorden en een demonstratie van een praktijkprobleem kan een grote bijdrage leveren aan het verhogen van het bewustzijn. De demonstratie moet benadrukken dat eventuele problemen, voortvloeiend uit het gebruik van mobiele apparatuur en datadragers, niet alleen negatieve gevolgen hoeven te hebben voor de organisatie, maar ook voor de gebruiker (bijvoorbeeld het verlies van creditcardnummers en PIN-codes die zich op een PDA bevinden). Een demonstratie van (eenvoudige) tools die men kan inzetten om de beveiliging van mobiele apparatuur en datadragers te verhogen. Een beschrijving van, en eventueel een presentatie over, de procedures die een gebruiker moet volgen bij beveiligingsproblemen met mobiele apparatuur en datadragers. Het is verstandig dit te onderbouwen met het hoe en waarom hiervan. Een beschrijving van, en eventueel een presentatie over, de best practices op het gebied van gebruik en toepassing van mobiele apparatuur en datadragers.
ACHTERGROND De onwetendheid van medewerkers m.b.t. de gevaren van USB-sticks werd duidelijk in een experiment dat werd uitgevoerd door een Amerikaans consultancybedrijf bij een financiële organisatie. Het experiment bestond eruit dat 20 USB-sticks met daarop een Trojaans paard werden ‘rond gestrooid’ binnen de betreffende organisatie. Hiervoor werden plekken die veel medewerkers bezoeken (zoals de parkeergarage en rookruimtes) gebruikt. De resultaten van het experiment waren beangstigend: binnen drie dagen bleken maar liefst 15 USB-sticks door medewerkers in PC’s van de organisatie te zijn geplaatst. Hierdoor raakten 15 PC’s besmet met het Trojaanse paard dat zich op ML MH MD PC de USB-sticks bevond. Zie voor meer achtergrondinformatie over dit experiment: http://www.darkreading.com/document.asp?doc_id=95556
Beveiliging van mobiele apparatuur en datadragers
Versie 1.4
12 maart 2009
26/48
4.1.5
Maatregel #5: bereid de helpdesk voor op mobiele apparatuur
ML MH MD
Een helpdesk vormt meestal het eerste aanspreekpunt voor een gebruiker wanneer deze problemen ondervindt met mobiele apparatuur of mobiele datadragers. Wanneer de helpdesk niet is voorbereid op vragen op dit gebied, kan het gebeuren dat de gebruiker zelf op zoek gaat naar oplossingen. Ook is het mogelijk dat, voor de organisatie mogelijk schadelijke, problemen hierdoor blijven bestaan. Ook wanneer de organisatie zelf geen mobiele apparatuur en datadragers ondersteunt is het belangrijk dat de helpdesk wel vragen op dit gebied kan beantwoorden. Het is immers mogelijk dat privé aangeschafte mobiele apparatuur en datadragers door de gebruiker zijn ingezet voor zakelijke doeleinden. De helpdesk moet bijvoorbeeld weten wat hij moet doen c.q. moet antwoorden wanneer: • • •
•
Een gebruiker aangeeft een mobiele datadrager te zijn verloren met daarop gevoelige (bedrijfs)informatie; Een gebruiker vraagt op welke manier hij/zij een verkregen of gekochte handheld kan beveiligen; Een gebruiker vraagt welke standaarden en richtlijnen er binnen de organisatie gelden op het gebied van gebruik van mobiele apparatuur en datadragers; Een gebruiker een defecte handheld meldt; omdat de handheld mogelijk gevoelige bedrijfsinformatie bevat, bestaat de voorkeur om de handheld intern te repareren in plaats van deze aan een externe leverancier te geven. Indien toch een externe leverancier benodigd is om het probleem te kunnen verhelpen, dient de helpdesk op de hoogte te zijn van eventuele voorzorgsmaatregelen (bijvoorbeeld het wissen of verwijderen van een memory card).
4.1.6
Maatregel #6: zorg voor fysieke beveiliging
ML MH MD PC
De gevaren op het gebied van mobiele apparatuur en datadragers openbaren zich veelal pas op het moment dat een medewerker wordt bestolen of spullen verliest. Door veel aandacht te besteden aan de fysieke beveiliging van mobiele apparatuur en datadragers kan men al een groot aantal problemen voorkomen. Fysieke beveiliging is vooral een zaak van de gebruiker van het mobiele apparaat of de mobiele datadrager zelf. Via een bewustzijnscampagne (maatregel #4) kan men gebruikers actief wijzen op de maatregelen die een gebruiker moet treffen op het gebied van fysieke beveiliging. Enkele voorbeelden van maatregelen op het gebied van fysieke beveiliging: •
• •
Loop niet “te koop” met allerhande mobiele apparaten en mobiele datadragers. Vervoer deze spullen bij voorbaat in niet-herkenbare dragers (dus bijvoorbeeld geen laptoptas voor het vervoeren van een laptop). Houd mobiele apparaten en datadragers te allen tijde in de gaten. Installeer een slot op het apparaat of op de drager. Laptops kunnen vaak vastgezet worden met kabels met een slot (notebook locking cable). Tassen
Beveiliging van mobiele apparatuur en datadragers
Versie 1.4
12 maart 2009
27/48
•
•
4.2
e.d. kan men ook voorzien van een slot om te voorkomen dat de inhoud ervan wordt gestolen. Let wel: de tas zelf kan alsnog worden ontvreemd. Voorkom dan ook het opbergen in bijvoorbeeld jaszakken. Overweeg eventuele geheugenkaarten te verwijderen uit handhelds nadat deze uitgeschakeld zijn. Op deze manier zorgt men ervoor dat eventueel verlies of diefstal van het apparaat niet gepaard gaat met het verlies van waardevolle en gevoelige data. Label alle mobiele apparaten en mobiele datadragers. Dit maakt deze apparaten en datadragers minder interessant voor diefstal voor doorverkoop. Daarnaast bestaan er services waarmee de vinder, voor het rapporteren van een gelabeld gevonden apparaat of datadrager, een beloning kan krijgen. Volgens berichten van deze online services leidt dit in de praktijk tot het retourneren van 70% – 80% van de verloren producten. Het voorkomt uiteraard niet dat de vinder eerst nog kopieën maakt van de informatie die zich op deze apparaten en datadragers bevindt.
Technische maatregelen Het inzetten van niet-technische maatregelen an sich, hoewel onmisbaar, voldoet niet. Gevaren van mobiele apparatuur en datadragers beteugelt men ook door technische maatregelen te implementeren. Deze paragraaf beschrijft mogelijke maatregelen die een bedrijf kan treffen om de gevolgen, voortvloeiende uit de gevaren, te minimaliseren. Een bedrijf zal nooit in staat zijn al deze maatregelen te implementeren; veel is afhankelijk van de uitkomst(en) van de risicoanalyse. Elk van de beschreven maatregelen bevat ook een indicatie van de kosten en de effectiviteit, om een eerste grove inschatting te kunnen maken of een bepaalde maatregel nuttig en realiseerbaar is binnen uw eigen organisatie. Een beschrijving van de indicaties is hieronder verder uitgewerkt: Kosteninschatting (aanschaf en benodigde resources) Om deze maatregel te implementeren kan men gebruik maken van standaard aanwezige software. Er dienen wel kosten te worden gemaakt voor de aanschaf en implementatie van deze maatregel maar deze kosten zijn niet buitensporig. Er moeten substantiële investeringen worden gedaan om deze maatregel te kunnen implementeren. Effectiviteit De implementatie van deze maatregel draagt wel bij aan de beveiliging tegen de gevaren van mobiele apparatuur en datadragers maar deze bijdrage is vrij gering. Deze maatregel biedt een redelijk effectieve oplossing. De maatregel is zeer effectief. De implementatie van deze maatregel zou vrijwel altijd serieus moeten worden overwogen.
Beveiliging van mobiele apparatuur en datadragers
Versie 1.4
12 maart 2009
28/48
LET OP De weging van zowel kosten als effectiviteit geven slechts een zeer grove indicatie aangezien deze factoren ook afhankelijk zijn van specifieke omgevingsvariabelen. Zo kunnen de kosten veel lager uitvallen voor een bedrijf dat al bedrijfsbrede overeenkomsten heeft met een leverancier dan voor een bedrijf dat die nog niet heeft.
4.2.1
Maatregel #7: gebruik versleutelingstechnieken
ML MH MD
Versleutelingstechnieken beperken de impact van het verlies van data in grote mate. Ze zijn hierdoor onmisbaar in een omgeving waarin gebruik gemaakt wordt van mobiele apparatuur en datadragers. Wanneer een mobiel apparaat of een mobiele datadrager wordt gestolen, of verloren raakt, kan de vinder of dief daarvan de inhoud niet lezen wanneer deze versleuteld is. Er zijn een groot aantal verschillende applicaties in omloop, waarmee men op één of andere manier versleuteling op een mobiel apparaat of mobiele datadrager kan realiseren. Sommige applicaties versleutelen alleen specifieke informatie die op het apparaat of de datadrager aanwezig is (gedeeltelijke versleuteling), andere applicaties versleutelen het gehele medium (volledige versleuteling). Een belangrijk nadeel van gedeeltelijke versleuteling is dat de discipline van een gebruiker bepaalt of deze gevoelige informatie wel of niet versleutelt, terwijl bij volledige versleuteling de gebruiker deze afweging niet kan maken. Dit is bijvoorbeeld een essentieel punt gebleken bij de gestolen USB-stick in Afghanistan (zie 3.1) waarbij slechts enkele documenten waren versleuteld. Een nadeel van volledige versleuteling is dat er een, veelal minimaal, performanceverlies kan optreden. ACHTERGROND In hoofdstuk 3 kwamen een aantal praktijkgevallen aan de orde waarin back-up tapes verloren gingen (Bank of America, Time Warner) en de inhoud van deze back-up tapes “op straat” kwam te liggen. Wanneer de inhoud van deze tapes versleuteld was geweest, was de impact van het verlies veel kleiner geweest. Bestaande versleutelingsmechanismen voor tapes zijn echter veelal merkgebonden. IEEE is daarom op dit moment bezig om een generieke standaard te ontwikkelen voor de toepassing van versleuteling op tapes en andere (blok) media. Deze standaard is getiteld “Standard Architecture for Encrypted Variable Block Storage Media (IEEE project 1619.1)”. VOORBEELDEN Voorbeelden van USB sticks die volledige versleuteling ondersteunen zijn o.a. KOBIL mIDentity, CySecure Stick, Kingston DataTraveler Elite (DTE) en Lexar JumpDrive. Deze USB sticks zorgen aan de ene kant voor volledige versleuteling van alle informatie en daarnaast voor sterkere authenticatie op basis van bijvoorbeeld certificaten. De inzet van versleutelingstechnieken op een mobiel apparaat of mobiele datadrager kan ten koste gaan van de gebruiksmogelijkheden van deze technologieën. Zo kan het implementeren van versleuteling op een USB Flash device ervoor zorgen dat deze alleen nog leesbaar is vanaf Windows-systemen die voorzien zijn van de juiste software.
Beveiliging van mobiele apparatuur en datadragers
Versie 1.4
12 maart 2009
29/48
Kosteninschatting: Effectiviteit:
4.2.2
Maatregel #8: installeer een virusscanner
ML MH MD
Virusscanners zijn, ongeacht de gevaren van mobiele apparatuur en datadragers, onmisbaar binnen een organisatie. Virusscanners op desktops kunnen voorkomen dat malware, die zich op mobiele apparatuur en datadragers heeft geïnstalleerd, toegang kan krijgen tot het bedrijfsnetwerk. Naast virusscanners op desktops wordt aangeraden ook virusscanners te installeren op handhelds. De grote leveranciers van virusscanning software bieden vrijwel allemaal een speciale versie aan voor gebruik op handhelds. ACHTERGROND In de strijd tegen virussen kan ook de provider mogelijk een rol spelen. Zo biedt in China het bedrijf “Beijing Mobile” haar klanten beveiliging tegen virussen die zich richten op smartphones. Hiertoe moeten gebruikers wel eerst een stukje software op hun telefoon installeren. Kosteninschatting: Effectiviteit:
4.2.3
Maatregel #9: gebruik authenticatiemechanismen met ML MH MD sweeping
Mobiele apparatuur ondersteunt standaard vaak een simpel authenticatiemechanisme (bijvoorbeeld figuur 4-2) op basis van een wachtwoord of een PINcode. Hoewel niet sterk, biedt dit in ieder geval enige bescherming tegen ongeautoriseerd gebruik. Veel beter is het gebruik te maken van een sterker authenticatiemechanisme (two factor authentication 10 ) die deze bepaalde kennis (bijvoorbeeld een PIN-code) combineert met een eigenschap (bijvoorbeeld een vingerafdruk) of een eigendom (bijvoorbeeld een smart card).
10
Bij authenticatie maakt men gebruik van drie verschillende factoren: something you know, something you
have en something you are. Bij gebruik van twee van deze factoren in één authenticatiemechanisme spreekt men van two factor authentication. Beveiliging van mobiele apparatuur en datadragers
Versie 1.4
12 maart 2009
30/48
Figuur 4-2: authenticatiemechanismen
Kiest men voor “zwakke” authenticatie op basis van alleen een wachtwoord of PIN-code, dan is het aan te raden om een minimale complexiteit hiervan af te dwingen. Een eenvoudige PIN-code van 4 cijfers biedt immers maar 10.000 mogelijke combinaties die een kwaadwillende via brute force 11 zou kunnen kraken. Ongeacht het gebruikte authenticatiemechanisme verdient het ook de aanbeveling om dit mechanisme te koppelen aan een sweeping mechanisme. Dit sweeping mechanisme wist het geheugen op het moment dat een maximaal aantal mislukte authenticatiepogingen is uitgevoerd. Bij mobiele datadragers heeft men over het algemeen minder mogelijkheden als het gaat om beveiliging hiervan met een authenticatiemechanisme. Er bestaan echter wel USB Flash devices die alleen geactiveerd kunnen worden via een correcte vingerafdruk. In organisaties waar gevoelige informatie terecht kan komen op USB Flash devices is deze vorm van authenticatie zeker het overwegen waard 12 . VOORBEELDEN Blackberry biedt standaard ondersteuning voor authenticatie en het wissen van het geheugen na 10 onjuiste inlogpogingen. Via bedrijfsbreed informatiebeveiligingsbeleid (Blackberry Enterprise Server) kan dit worden aangescherpt. Blackberry biedt daarnaast de mogelijkheid om ook andere beveiligingsmaatregelen te treffen. In bijlage C is een voorbeeld opgenomen van de manier waarop via standaard Blackberry software veilige internettoegang op
11
Brute force (“grof geweld”) verwijst naar het simpelweg uitproberen van alle mogelijke combinaties van een
wachtwoord of PIN-code teneinde de juiste combinatie te kunnen achterhalen 12
Ook authenticatie op basis van vingerafdrukken is niet onfeilbaar. Het biedt in de meeste gevallen echter een
hogere graad van beveiliging dan authenticatie op basis van een wachtwoord. Beveiliging van mobiele apparatuur en datadragers
Versie 1.4
12 maart 2009
31/48
basis van Bluetooth kan worden ingericht. Zie bijlage C voor meer informatie over Blackberries. Microsoft biedt via het ”Messaging and Security Feature Pack for Windows Mobile 5.0” de mogelijkheid om de geheugeninhoud van, op Windows Mobile gebaseerde, PDA’s en Smartphones automatisch te wissen na een aantal foutieve inlogpogingen. De Trusted Computing Group (TCG) is op dit moment bezig met het ontwikkelen van een aantal standaarden op het gebied van mobiele telefoons die het gebruik ervan veiliger moeten maken. De werkgroep waarin o.a. Motorola, Nokia en Vodafone zitting hebben wil een aantal standaard mechanismen ontwikkelen voor bijvoorbeeld authenticatie op mobiele telefoons. Andere aandachtsgebieden van de werkgroep zijn onder meer databeveiliging, mobiele betaalmethoden en installatie van (beveiligings-)updates. Meer informatie over dit initiatief kunt u vinden op https://www.trustedcomputinggroup.org/groups/mobile.
Kosteninschatting: Effectiviteit: *
“zwakke” authenticatie * / * /
“sterke” authenticatie * / * /
zonder sweep/met sweep
4.2.4
Maatregel #10: implementeer een asset management tool
ML MH PC
Een geautomatiseerde asset managementtool biedt mogelijkheden om inzicht te krijgen in de mobiele apparatuur die binnen een organisatie in gebruik is. Een complicerende factor bij asset management van mobiele apparatuur, boven asset management van traditionele apparatuur, is dat aansluiting van mobiele apparatuur verloopt via verschillende kanalen. Denk hierbij aan verbinding via Ethernet, draadloos (bijvoorbeeld via het zakelijke netwerk of een hotspot), mobiele telefonie of aansluiting op een PC (zie voor een volledig overzicht van aansluitmogelijkheden hoofdstuk 2). Daarnaast bestaan er veel verschillende mobiele besturingssystemen (Symbian OS, Windows Mobile, RIM, etc…) waar de asset management tool mee om moet kunnen gaan. Een asset management tool dient met al deze factoren rekening te houden om een goede inventarisatie uit te kunnen voeren. De belangrijkste functie van een asset management tool is de geautomatiseerde inventarisatie van alle apparaten die aansluiten op het bedrijfsnetwerk. Aangezien mobiele apparaten niet continu zijn aangesloten op dit netwerk is het belangrijk dat de asset management tool zeer regelmatig een inventarisatie uitvoert van alle apparaten die het kan ontdekken.
Beveiliging van mobiele apparatuur en datadragers
Versie 1.4
12 maart 2009
32/48
ACHTERGROND Er bestaat ook programmatuur die, na installatie op een mobiel apparaat, continu de status van het mobiele apparaat doorgeeft aan een centrale (web)server. Op deze manier kan men achterhalen waar een gestolen of verloren geraakt apparaat zich op een willekeurig moment bevindt. Zo kan een mobiel apparaat bijvoorbeeld continu registreren welk IP-adres het op dat moment gebruikt, via welke ISP het is aangesloten, welke gebruiker er op het apparaat is ingelogd, etc… Deze informatie kan helpen in een onderzoek waarbij gevoelige informatie in handen van kwaadwillenden terecht is gekomen. Aangezien de werking hiervan afhankelijk is van signalen vanaf het gestolen apparaat is deze functionaliteit door kwaadwillenden wel te omzeilen. In de toekomst zal voor dit doel wellicht vaker gebruik gemaakt worden van Radio Frequency Identification (RFID) technologie. Een goed ingericht asset managementproces is bijna randvoorwaardelijk voor de implementatie van veel andere beveiligingsmaatregelen voor mobiele apparatuur. Zo is het een vrijwel onmisbaar mechanisme om software op apparatuur up-todate te houden (patching), remote kill mechanismen te kunnen implementeren (zie maatregel #15) en een robuust synchronisatieproces in te kunnen richten. VOORBEELDEN Verschillende leveranciers bieden oplossingen die asset management van mobiele apparaten mogelijk maakt. Enkele voorbeelden: • Afaria for Mobile Device Management; • Altiris Client Management Suite; • LANDesk Handheld Manager; • Novell ZENWorks Handheld Management. Kosteninschatting: Effectiviteit:
4.2.5
Maatregel #11: installeer firewalls op mobiele apparatuur
ML MH
Firewalls op handhelds zijn nog niet zo gangbaar als virusscanners op handhelds. Gezien de steeds verder toenemende connectiviteit van handhelds is het zeker aan te raden om ook firewalls te installeren op deze apparaten. De beschikbaarheid van firewalls voor laptops is veel groter, omdat deze apparaten gebruik kunnen maken van bestaande producten voor traditionele PC’s. Kosteninschatting: Effectiviteit:
Beveiliging van mobiele apparatuur en datadragers
Versie 1.4
12 maart 2009
33/48
4.2.6
PC
Maatregel #12: maak gebruik van Host-based Intrusion Prevention Systems
Een Host-based Intrusion Prevention System (HIPS) installeert men, zoals de naam al doet vermoeden, op een host. Dit is een belangrijk verschil met een Network-based Intrusion Prevention System (NIPS) dat men in een netwerk installeert. Een HIPS beveiligt een systeem op de applicatielaag en voorkomt aanvallen en misbruik in plaats van deze alleen te detecteren (zoals bij een Intrusion Detection System). In feite combineert een HIPS de functionaliteiten van een Host-based Intrusion Detection System (HIDS) en een firewall. Door zowel te detecteren op basis van signatures als gedrag (behavior) kan een HIPS zowel bekende als “0day” exploits voorkomen. HIPS implementaties ondersteunen steeds vaker specifieke beveiligingsmaatregelen tegen misbruik van en met mobiele apparatuur en datadragers. Hiertoe kan een HIPS bijvoorbeeld de toegang tot een USB-port of CD-ROM speler beperken of verbieden. Daarnaast kan een HIPS “vreemd gedrag”, veroorzaakt door bijvoorbeeld virussen of wormen, detecteren en blokkeren. Op deze manier voorkomt het HIPS dat malware, die zich mogelijk op mobiele datadragers heeft genesteld, zich binnen de organisatie kan verspreiden. De keuze voor de inzet van een HIPS moet niet alleen voortkomen uit de behoefte tot het beschermen tegen de gevaren van mobiele apparatuur en datadragers. Deze specifieke functionaliteit vormt slechts een zeer klein gedeelte van de totale functionaliteit die een HIPS normaal gesproken biedt. Andere functionaliteiten als bescherming tegen misbruik van buffer overflows, lokale firewalling en bescherming tegen bekende exploits zijn zeer nuttig. Men zou deze functionaliteiten in een breder beveiligingsperspectief moeten plaatsen alvorens tot implementatie van een HIPS over te gaan. VOORBEELDEN McAfee Entercept USB protection, Sygate Enterprise Protection (SEP) en SecurityArchitects Ozone zijn allen voorbeelden van HIPS implementaties die in meer of mindere mate ondersteuning bieden voor de beschreven functionaliteiten. Kosteninschatting: Effectiviteit:
4.2.7
Maatregel #13: zorg voor een patchingmechanisme
ML MH
Patchingmechanismen voor traditionele systemen binnen organisaties (PC’s, servers) zijn vaak goed ingericht en worden standaard ondersteund door besturingssystemen (Windows Software Update Services, up2date (Red Hat), etc…). Patchingmechanismen voor mobiele besturingssystemen zijn echter veel minder gangbaar. Aan de ene kant is de oorzaak hiervan dat mobiele apparaten in
Beveiliging van mobiele apparatuur en datadragers
Versie 1.4
12 maart 2009
34/48
het verleden veel minder kwetsbaar waren. Aan de andere kant komen er slechts zelden of niet updates voor mobiele besturingssystemen uit. Door de toenemende connectiviteit van mobiele apparaten is dit inmiddels echter achterhaald en verschijnt er steeds meer malware die misbruik maakt van lekken in het besturingssysteem en bovenliggende applicaties. Het inrichten van een patchingmechanisme voor mobiele apparaten is dan ook essentieel om voldoende beschermd te zijn tegen misbruik van (bekende en nieuwe) lekken. Wanneer het mobiele besturingssysteem standaard geen mogelijkheden biedt om automatische updates uit te voeren heeft men in de basis twee mogelijkheden op het gebied van patching. De eerste mogelijkheid is gebruikers, via een uitgebreid bewustzijnsprogramma, te wijzen op het belang van het up-to-date houden van hun mobiele apparaat. Installatie van updates is in dit geval zeer afhankelijk van de discipline van de gebruiker. Beter is het te kiezen voor de tweede mogelijkheid waarbij software wordt ingezet die updates automatisch laat installeren op mobiele apparatuur. Deze functionaliteit is mogelijk verwerkt in programmatuur die de asset management (maatregel #10) van mobiele apparatuur verzorgt. Kosteninschatting: Effectiviteit:
4.2.8
Maatregel #14: voer hardening uit
ML MH PC
Hardening is het proces waarbij men de configuratie van een systeem zodanig aanscherpt dat de kans op inbraak en misbruik hiervan wordt geminimaliseerd. Op het gebied van hardening (met als doel beveiliging van mobiele apparatuur en datadragers) moeten de volgende hardeningsacties in overweging worden genomen: • •
Hardening van mobiele apparaten; Hardening van systemen waarop mobiele apparaten kunnen worden aangesloten.
Hardening van mobiele apparaten Het hardenen van mobiele apparaten bestaat voornamelijk uit het uitschakelen van functionaliteiten die niet benodigd zijn. Speciale aandacht moet hierbij worden besteed aan de ondersteuning van WiFi, Bluetooth en IrDA. Voor besturingssystemen op handhelds bestaan verder weinig hardeningsmogelijkheden. Voor besturingssystemen op laptops bestaan meer mogelijkheden tot hardening (uitschakelen van onnodige services, beperken van rechten op de harde schijf, verwijderen van onnodige accounts, etc…). Hardening van systemen waarop mobiele apparaten kunnen worden aangesloten PC’s zijn de meest gebruikte systemen voor het aansluiten van mobiele apparaten en mobiele datadragers. Er is een aantal maatregelen dat men kan implementeren om het netwerk te beschermen tegen het ongeautoriseerd aansluiten van mobiele apparaten en mobiele datadragers:
Beveiliging van mobiele apparatuur en datadragers
Versie 1.4
12 maart 2009
35/48
•
•
•
Installeer een Host-based Intrusion Prevention System (HIPS). Deze oplossing is verder uitgewerkt onder maatregel #12. Een HIPS biedt veelal ook mogelijkheden tot het implementeren van beveiligingsmaatregelen op het gebied van aansluitingen (bijvoorbeeld USB, Firewire, etc…). Zo kan het HIPS ervoor zorgen dat een gebruiker alleen leesrechten heeft op verwijderbare media en geen schrijfrechten. Schakel de ondersteuning voor aansluitingen via BIOS uit. Het BIOS van een systeem kan zodanig geconfigureerd worden dat gebruik van bijvoorbeeld USB niet mogelijk is. Voordeel hiervan is dat het vanuit een bovenliggend besturingssysteem onmogelijk is om de USB-poort in dit geval aan te roepen. Dit leidt er echter wel toe dat er geen fijnmazige rechten kunnen worden uitgedeeld en de flexibiliteit m.b.t. ondersteuning van randapparatuur (waaronder mobiele apparatuur) zeer beperkt is. Implementeer fijnmazige beveiliging voor randapparatuur. Er zijn verschillende pakketten op de markt waarmee men, via een centrale configuratieserver, de ondersteuning van randapparatuur voor afzonderlijke machines en gebruikers fijnmazig kan inrichten. Deze software werkt bijvoorbeeld op basis van ‘whitelists’; alleen apparatuur die voorkomt op de door beheer opgestelde ‘whitelist’ wordt hierbij toegang verstrekt tot de USBpoort van een werkstation. Vaak bevat deze software ook asset management functionaliteit (maatregel #10). ACHTERGROND Hoewel men voor de implementatie van een zeer uitgebreid en gedetailleerd informatiebeveiligingsbeleid op dit gebied is aangewezen op specialistische programmatuur, kan men ook met de basissoftware vaak al het één-en-ander bereiken. Zo biedt Windows Vista standaard mogelijkheden om een USB informatiebeveiligingsbeleid te implementeren. Ook andere besturingssystemen bieden hiervoor, standaard of via een specifieke configuratie, mogelijkheden.
Kosteninschatting: Effectiviteit:
4.2.9
Maatregel #15: implementeer een “remote kill” mechanisme
ML MH
Wanneer een gebruiker zijn mobiele apparaat of mobiele datadrager verliest, betekent dit dat mogelijk gevoelige informatie in handen van kwaadwillenden komt. Mobiele datadragers bieden geen mogelijkheden tot het op afstand wissen van de inhoud. Mobiele apparaten daarentegen bieden deze mechanismen veelal wel. Verschillende leveranciers hebben verschillende benamingen voor dit mechanisme: “remote kill”, “remote sweep” of “remote wipe” komen in de praktijk vaak op hetzelfde neer. Het biedt de mogelijkheid om de geheugeninhoud van een apparaat, waarvan bekend is dat de gebruiker deze is verloren, op afstand te wissen. De implementatie van het mechanisme verschilt van product tot product. Zo reageert het ene product op het ontvangen van een SMS met daarin een voorgedefinieerde “wipe”-string , zet een andere applicatie op de server een “wipe”-commando klaar dat wordt uitgevoerd zodra een gebruiker verbinding maakt met het netwerk en verwijdert weer een andere product alle data op het Beveiliging van mobiele apparatuur en datadragers
Versie 1.4
12 maart 2009
36/48
apparaat wanneer het apparaat langer dan een x aantal uur geen verbinding heeft gemaakt met het bedrijfsnetwerk. Kosteninschatting: Effectiviteit:
4.2.10
Maatregel #16: richt een robuust synchronisatieproces in
ML MH PC
Gebruikers slaan vaak veel informatie op mobiele apparatuur en datadragers op. Dit stelt de gebruiker bijvoorbeeld in staat om zowel op kantoor als buiten kantoor aan dezelfde versie van een document te werken. Als dit document alleen op dit medium staat, bestaat er een kans dat dit document verloren gaat wanneer: • • • •
de gebruiker het apparaat of de datadrager verliest, het apparaat of de datadrager gestolen wordt, het apparaat of de datadrager kapot raakt of, het apparaat of de datadrager geïnfecteerd raakt met malware.
Het is daarom ook belangrijk dat relevante inhoud van apparatuur en datadragers wordt meegenomen in het back-upmechanisme van de organisatie. Om dit te kunnen bereiken moet een robuust synchronisatieproces worden ingericht dat ervoor zorgt dat: • •
informatie van mobiele apparatuur en datadragers regelmatig wordt gesynchroniseerd met een “vast” systeem binnen de organisatie; de informatie wordt meegenomen in een regulier back-up proces.
Hoewel het synchroniseren van bijvoorbeeld een PDA met een PC binnen de organisatie er wel toe leidt dat informatie van de PDA terecht komt op een “vast” systeem binnen de organisatie hoeft dit nog niet te betekenen dat de informatie ook wordt meegenomen in een regulier back-upproces. Hiervoor moet de organisatie wellicht aanvullende maatregelen treffen. Kosteninschatting: Effectiviteit:
4.2.11
Maatregel #17: voorkom onveilig gebruik van hotspots
ML MH
De belangrijkste gevaren die aansluiting op hotspots met zich meebrengen bevinden zich op het gebied van vertrouwelijkheid en integriteit. De vertrouwelijkheid van gegevens kan in het geding komen op het moment dat een kwaadwillende bijvoorbeeld de informatie, die het mobiele apparaat en het public access point met elkaar uitwisselen, weet op te vangen. Ook is het mogelijk dat een kwaadwillende inbreekt op het mobiele apparaat van de gebruiker en hierdoor gegevens in handen krijgt of malware installeert. De belangrijkste maatregelen die men kan treffen om het gebruik van hotspots te beveiligen zijn:
Beveiliging van mobiele apparatuur en datadragers
Versie 1.4
12 maart 2009
37/48
•
•
•
•
•
•
13
Maak voor een externe verbinding met het bedrijfsnetwerk altijd gebruik van VPN-verbindingen. Zowel een traditioneel VPN als een SSL-VPN biedt standaard mogelijkheden om de informatie die mobiele apparaten en de bedrijfsserver met elkaar uitwisselen te versleutelen. Wanneer een kwaadwillende dit verkeer via een hotspot onderschept, heeft deze er nog steeds weinig aan, aangezien hij niet beschikt over de benodigde sleutels om de informatie te kunnen lezen. Het heeft de voorkeur om alle services die een mobiele gebruiker aanroept (zoals het surfen over internet en het bekijken van mail) verplicht via het VPN te laten verlopen, zodat de kans op onderschepping van gevoelige gegevens minimaal is. Installeer personal firewalls en antivirusproducten op het mobiele apparaat. Op deze manier voorkomt men dat malware het mobiele apparaat infecteert, wanneer deze wordt aangesloten op een hotspot. Maak, indien mogelijk, gebruik van hotspots die standaard versleuteling op basis van WPA/WPA2 of WEP ondersteunen 13 . Helaas maken veel hotspots geen gebruik van versleutelde verbindingen. De voorkeur bestaat om juist hotspots te gebruiken die dit wel ondersteunen. Controleer de SSID waarvan de hotspot gebruik maakt. Zoals eerder in dit document werd beschreven zou een kwaadwillende een eigen hotspot in de lucht kunnen brengen met een SSID die mensen neigen te vertrouwen (bijvoorbeeld “kpn”). Deze manier van misbruik staat bekend als de “Evil Twin Attack” 14 . Hoewel er geen standaard oplossing is om tegen dit soort aanvallen te beschermen, zijn er wel een aantal best practices die de kans op misbruik verkleinen: − Wanneer voor gebruik van de hotspot betaald moet worden via bijvoorbeeld een creditcard is het aan te raden deze betaling vanaf een vertrouwd netwerk uit te voeren en niet via de hotspot. Het invoeren van creditcard gegevens via een “Evil Twin” access point zal ertoe leiden dat een kwaadwillende zeer eenvoudig de beschikking krijgt over alle benodigde creditcard gegevens. − Controleer alle verbindingen alvorens vertrouwelijke informatie via het hotspot te versturen. Kijk bijvoorbeeld of SSL-certificaten van een hotspot portal valide zijn (en of deze überhaupt gebruikt worden). Windows XP machines zetten automatisch een verbinding op met bekende draadloze netwerken. Het is verstandig om de standaardinstellingen van Windows XP zodanig te wijzigen dat de optie “Verbinding met dit draadloos netwerk maken als het binnen bereik is” is uitgeschakeld. Daarnaast zou men het gebruik van “ad-hoc” mode moeten uitschakelen zodat draadloze peer-topeer communicatie niet meer mogelijk is. Tenslotte kan men het gebruik van speciale software overwegen die potentieel gevaarlijke situaties met betrekking tot het gebruik van hotspots/draadloze netwerken detecteert. In feite voert deze software automatische controles uit
Let wel: inmiddels zijn er tools voorhanden waarmee beveiliging op basis van WEP zeer eenvoudig is te
doorbreken. WEP biedt dan ook feitelijk geen echte bescherming. 14
Een kwaadwillende kan via speciale software zijn laptop omvormen tot een “soft” access point dat zich
voordoet als een public access point Beveiliging van mobiele apparatuur en datadragers
Versie 1.4
12 maart 2009
38/48
op de punten die hierboven al genoemd werden. Enkele voorbeelden van situaties die deze software zou kunnen opmerken: - Ad-hoc mode is ingeschakeld; - Er wordt geen gebruik gemaakt van draadloze versleutelingstechnieken; - Er is verbinding gemaakt met een onbekend draadloos netwerk; - Er wordt mogelijk gebruik gemaakt van Wi-phishing. Kosteninschatting: Effectiviteit:
4.2.12
ML PC
Maatregel #18: schakel de “autoplay”-optie van Windows uit
Windows kent de zogenaamde “autoplay”-optie (ook wel eens “autorun”-optie genoemd) die de mogelijkheid biedt om automatisch programma’s te starten vanaf media die in het systeem worden geplaatst. Wanneer een geïnfecteerde datadrager aan het systeem wordt gekoppeld bestaat de kans dat automatisch malware vanaf deze datadrager start en het systeem (en mogelijk omliggende systemen) infecteert. Deze “autoplay”-optie kan eenvoudig worden uitgeschakeld door het configureren van een local group informatiebeveiligingsbeleid of een Active Directory (AD) group informatiebeveiligingsbeleid 15 . De U3-technologie, die in dit hoofdstuk aan bod kwam, maakt ook gebruik van de “autoplay”-optie. Op het moment dat een USB Flash device, voorzien van U3technologie, gekoppeld wordt aan een systeem voert Windows de volgende acties uit: • •
De opslagruimte op het USB smart device wordt gekoppeld in Windows als mass storage device. Een klein gedeelte van het USB smart device (ongeveer 5 MB) wordt gekoppeld als een CD-ROM; de “autoplay”-optie voor CD-ROM’s in Windows zorgt ervoor dat het Start menu op dit gedeelte van het USB smart device automatisch opstart.
NOOT De “autoplay”-optie van Windows werkt normaal gesproken niet op verwijderbare media. De optie werkt wel op vaste schijven, netwerk schijven, CDROM’s en RAM disks. Dit is ook de reden dat bij gebruik van U3 technologie een gedeelte van het Flash device gekoppeld wordt als CD-ROM. Bovenstaand voorbeeld geeft aan dat het redelijk eenvoudig is om via een USB Flash device automatisch programma’s op te starten op PC’s binnen een organisatie. In extreme gevallen kan een kwaadwillende een USB Flash device op allerlei PC’s in de organisatie aansluiten en op deze manier malware verspreiden; ditzelfde zou een kwaadwillende uiteraard ook kunnen bereiken via een CD-ROM die voorzien is van malware. Ook een nietsvermoedende gebruiker kan, zonder dat sprake is van opzet, via een geïnfecteerd USB Flash device (geïnfecteerd via 15
Uitschakelen kan via de optie “Turn autoplay off” onder Computer Configuration Æ Administrative Templates
Æ System Beveiliging van mobiele apparatuur en datadragers
Versie 1.4
12 maart 2009
39/48
bijvoorbeeld het CardTRP virus uit paragraaf 3.2.4) of een geïnfecteerde CD-ROM op deze manier malware verspreiden binnen een organisatie. Kosteninschatting: Effectiviteit: 4.3
Kosteninschatting versus effectiviteit Bij elk van de technische maatregelen uit paragraaf 2.2 is een kosteninschatting en een effectiviteitschatting meegegeven. In figuur 4-3 zijn kosten en effectiviteit tegen elkaar uitgezet en zijn de maatregelen in de bijbehorende vakken geplaatst. Maatregelen met een hoge effectiviteit en een lage kosteninschatting zijn normaal gesproken zeer interessant voor een organisatie om te implementeren. Voor maatregelen met een lage effectiviteit en een hoge kosteninschatting geldt dat deze normaal gesproken niet snel zullen worden geïmplementeerd om tegen de gevaren van mobiele apparatuur en datadragers te beschermen.
Figuur 4-3: maatregelenmatrix
Beveiliging van mobiele apparatuur en datadragers
Versie 1.4
12 maart 2009
40/48
BIJLAGE A: AFKORTINGEN EN DEFINITIES
Afkorting
Omschrijving
BIOS CD(-ROM) CF CSI DHCP DVD EIDE FBI GPRS GPS Handheld HIDS HIPS HSDPA IDE IEEE IrDA LAN MAC Malware
Basic Input/Output System Compact Disc (Read-Only Memory) Compact Flash Computer Security Institute Dynamic Host Configuration Protocol Digital Versatile Disc Enhanced Integrated Drive Electronics Federal Bureau of Investigation General Packet Radio Service Global Positioning System PDA, Smartphone of MPS Host Intrusion Detection System Host Intrusion Prevention System High-Speed Downlink Packet Access Integrated Drive Electronics Institute of Electrical and Electronics Engineers Infrared Data Association Local Area Network Media Access Control Malicious software (“kwaadwillende software”). Software die als doel heeft om een systeem te schaden; malware is de verzamelnaam voor wormen, rootkits, Trojaanse paarden, virussen, etc… Metropolitan Area Network Multi-Media Card Multimedia Messaging Service Magneto-optical Modulator/demodulator MPEG-1 Audio Layer-3 Mobile Personal Server Network Intrusion Prevention System Operating System (besturingssysteem) Personal Computer Personal Computer Memory Card International Association Peripheral Component Microchannel Interconnect Architecture Personal Digital Assistant Persoanl Identification Number Hulpmiddel dat een systeem nodig heeft om te kunnen functioneren zoals intern geheugen en processor Radio Frequency Identification Research In Motion Separated Video
MAN MMC MMS MO Modem MP3 MPS NIPS OS PC PCMCIA PDA PIN Resource RFID RIM S-Video
Beveiliging van mobiele apparatuur en datadragers
Versie 1.4
12 maart 2009
41/48
Afkorting
Omschrijving
SCSI SD SEP SMC SMS SSID SSL-VPN TB TCG UMPC UMTS UPnP USB VPN WEP Wi-phishing WiFi WiMAX WORM WPA(2) WUSB xD
Small Computer System Interface Secure Digital Sygate Enterprise Protection Smart Media Card Short Message Service Service Set Identifier Secure Sockets Layer Virtual Private Network Terabyte Trusted Computing Group Ultra-Mobile PC Universal Mobile Telecommunications System Universal Plug-and-Play Universal Serial Bus Virtual Private Network Wired Equivalent Privacy Wireless Phishing Wireless Fidelity Worldwide interoperability for Microwave Access Write Once Read Many Wi-Fi Protected Access (2) Wireless USB Extreme Digital
Beveiliging van mobiele apparatuur en datadragers
Versie 1.4
12 maart 2009
42/48
BIJLAGE B: LITERATUURLIJST
Nr
Omschrijving
[1] [2]
Z.n., Infrastructure Strategies 2005/06 META Trends. 2005, META Group. Z.n., Survey shows it profession sees risk of removable media but turn a blind eye. 2005, Pointsec. Z.n., IT professionals turn blind eye to mobile security as survey reveals sloppy handheld habits. 2005, Pointsec. Gordon, L., Loeb, M.P., Lucyshyn, W., Richardson, R., 2005 CSI/FBI Computer Crime and Security Survey. 2005, Computer Security Institute, 26 pagina’s. Z.n., McAfee AVERT Labs … Predicts the Top Threats for 2006. 2005, McAfee AVERT Labs. Z.n., Global Information Security Survey 2005. Z.p., 2005, Ernst & Young, 28 pagina’s.
[3] [4] [5] [6]
Beveiliging van mobiele apparatuur en datadragers
Versie 1.4
12 maart 2009
43/48
BIJLAGE C: BLACKBERRIES – BLUETOOTH EN INTERNETTOEGANG
D.1
Inleiding
Blackberries, ontworpen door Research In Motion (RIM), zijn vaakgebruikte draadloze oplossingen voor kantooromgevingen. Met behulp van een Blackberry beschikt een gebruiker over een organizer, telefoon en zijn zakelijke e-mail. Daarnaast bieden Blackberries gebruikers ook mogelijkheden om toegang te verkrijgen tot het internet en, via Bluetooth, tot andere apparaten. Dit document beschrijft beknopt de specifieke beveiligingsrisico’s die gebruik van Bluetooth- en internetfunctionaliteit op Blackberries met zich meebrengt. Andere beveiligingsaspecten van het gebruik van Blackberries, zoals de verbinding tussen de Blackberries en de Enterprise server, configuratie en hardening van de Enterprise Server en configuratie van tussenliggende firewalls blijven in dit document buiten beschouwing. U kunt dit document gebruiken als uitgangspunt bij het in kaart brengen van de risico’s en mogelijke maatregelen. Voor uitgebreide beschrijvingen van de mogelijke en meest actuele maatregelen verwijzen we u naar de in de bijlage genoemde bronnen. Voor dit document wordt uitgegaan van een situatie waarin Blackberries worden gebruikt om e-mail te lezen, dus communiceren met een zich in de organisatie bevindende Blackberry Enterprise Server. Normaal gesproken zal deze opzet als volgt zijn:
Het gebruik van Bluetooth introduceert beveiligingsrisico’s op de zogenaamd eindpunten, de Blackberries zelf. Het toestaan van internettoegang introduceert beveiligingsrisico’s op zowel de eindpunten (de Blackberries) als de Blackberry Enterprise Server.
Beveiliging van mobiele apparatuur en datadragers
Versie 1.4
12 maart 2009
44/48
Het centraal beheer van Blackberries in een bedrijfsmatige omgeving gebeurt door middel van zogenaamde “IT policies” in de Blackberry Enterprise Server. Met behulp van deze IT policies kan het gedrag van Blackberry handhelds worden vastgelegd, zonder dat dit door de gebruikers kan worden aangepast. Deze “IT policies” zijn de geijkte manier om maatregelen op handhelds door te voeren waarmee de beveiligingsrisico’s verminderen. Indien van toepassing worden voor dit document relevante IT policies aangehaald. D.2
Profielen Bluetooth
Bepaalde Bluetooth-protocollen zijn verdeeld in zogenaamde profielen (zie 2.3.3), om te voorkomen dat elk apparaat zou moeten beschikken over de complete set van protocollen. Blackberries ondersteunen de volgende drie profielen: • • •
D.3
Hands free profiel. Kan worden gebruikt voor verbindingen met een handsfree randapparaat. Headset profiel. Kan worden gebruikt voor verbindingen met headsets. Voor dit profiel is het seriële poort profiel nodig. Seriële poort profiel. Wordt gebruikt voor verbindingen met allerlei soorten andere Bluetooth-apparaten. Benodigd voor het gebruik van het headsetprofiel Risico’s Bluetooth
De volgende risico’s met betrekking tot Bluetooth zijn te onderscheiden op Blackberries (zie voor meer informatie: 2.3.3): • • • •
Bluejacking; Bluebugging; Bluesniffing; Uitlekken van informatie.
Van de drie op Blackberries aanwezige profielen, is het seriële poort profiel het meest uitgebreide. Met behulp van dit profiel kan een verbinding worden opgezet met een Blackberry, waarna informatie kan worden uitgewisseld. Normaal gesproken is het risico hiervan klein, omdat, van alle kernapplicaties van RIM op Blackberries, alleen de telefoontoepassing gebruik kan maken van Bluetooth. Maar op Blackberries kunnen wel applicaties van derden aangebracht worden, die mogelijk toegang hebben tot Bluetooth. Om effectief informatie van een Blackberry af te halen, zou een aanvaller erin moeten slagen om een speciaal daarvoor gefabriceerde applicatie op de aan te vallen Blackberry te plaatsen. Het is mogelijk om een gebruiker te verleiden een applicatie van het internet te downloaden, tenzij dit door middel van een IT Policy op de Enterprise Server is uitgezet.
Beveiliging van mobiele apparatuur en datadragers
Versie 1.4
12 maart 2009
45/48
Relevante IT policies en aanbevelingen Hieronder volgen de IT policies die het meest relevant zijn voor de beveiliging van Bluetooth-functionaliteit op Blackberries. Of een IT policy gebruikt kan worden hangt af van de versie van de Enterprise Server, de versie van de software op de handheld en het type handheld (Java-based of C++-based).
Policy DISABLE_BLUETOOTH DISABLE_PAIRING DISABLE_DISCOVERABLE_MODE DISABLE_HANDSFREE_PROFILE DISABLE_HEADSET_PROFILE DISABLE_SERIAL_PORT_PROFILE MAXIMUM_BLUETOOTH_RANGE ALLOW_OUTGOING_CALLS DISABLE_ADDRESS_BOOK_TRANSFER
Vanaf device 3.8 3.8 4.0.2 3.8 3.8 3.8 4.0 4.0.2 4.1
Vanaf server 4.0 4.0 4.0.2 4.0 4.0 4.0 4.0.3 4.0.2 4.0.3
In de meest voorkomende gevallen wordt Bluetooth-functionaliteit gebruikt om een Blackberry met een headset te laten communiceren. In deze gevallen zal in ieder geval het seriële profiel aan moeten staan. Daarnaast zal mogelijk ook het handsfree en/of het headset profiel aan staan, afhankelijk van de gebruikte headsets. Als beveiligingsmaatregel kan de maximale zendsterkte van de Blackberries aangepast worden aan de praktische behoefte, zodat het alleen mogelijk is om gebruik te maken van een headset van de rechtmatige gebruiker, die zich op een aannemelijke afstand van de Blackberry bevindt. Daarnaast is er nog een mogelijkheid om pairing tussen een Blackberry en een specifieke headset uit te voeren en daarna pairing uit te zetten. Hierdoor is het onmogelijk voor een kwaadwillende om nieuwe pairings te maken. Een praktisch bezwaar tegen deze methode, is dat het erg beheerintensief is. D.4
Internettoegang
Internettoegang is op een Blackberry op twee manieren te realiseren, via de Blackberry browser of via de WAP browser. Aan beide methoden zijn risico’s verbonden. In beide gevallen treed een (klein) informatielek op. Bij toegang tot internet stuurt een Blackberry in de http header informatie door over het model handheld en het versienummer van de software (informatie die een kwaadwillende handvatten geeft voor mogelijk misbruik). Dit is wel te wijzigen, maar niet centraal uit te zetten.
Beveiliging van mobiele apparatuur en datadragers
Versie 1.4
12 maart 2009
46/48
De Blackberry browser Als toegang tot het internet wordt gezocht via de Blackberry browser, dan wordt al het verkeer langs de Blackberry Enterprise Server geleid. De Enterprise Server bewerkt de content (onder andere door plaatjesformaten te converteren). Voordeel • Al het internetverkeer gaat via de Blackberry Enterprise Server, en dus ook langs binnen de organisatie gangbare logische barrières als de firewall, virusscanner, contentfilter etc. Risico • De Enterprise Server zelf introduceert risico’s doordat deze content bewerkt. Momenteel zijn er drie kwetsbaarheden bekend in de Enterprise Server (zie hiervoor http://www.frsirt.com/english/vendor/437). Door misbruik te maken van deze kwetsbaarheden, zou een kwaadwillende de controle over een Enterprise Server kunnen overnemen. Hiervoor moet een gebruiker van een Blackberry, die gebruik maakt van de Blackberry browser, naar een kwaadaardige website gelokt worden waarop een speciaal gefabriceerd Word-document of PNG-plaatje staat. De WAP-browser Toegang tot het internet via de WAP-browser gebeurt niet via de Enterprise Server, maar direct via een WAP gateway. Zo’n WAP gateway is in principe in handen van derden en dus mogelijk niet te vertrouwen. Risico’s • Content op het internet is toegankelijk zonder dat dit langs de gangbare logische barrières (firewall, content- en virusscanners) is gegaan. De Blackberry zou zo als ingang voor malware kunnen fungeren. • Blackberry biedt de mogelijkheid tot het “pushen” van content. Hiervoor staat op de browser een poort open. Uit documentatie is niet duidelijk onder welke omstandigheden deze poort open staat en of deze door een buitenstaander kan worden misbruikt. Relevante IT policies en aanbevelingen Hieronder volgen de IT policies die het meest relevant zijn voor de beveiliging van internetfunctionaliteit op Blackberries. Of een IT policy gebruikt kan worden hangt af van de versie van de Enterprise Server, de versie van de software op de handheld, en het type handheld (Java-based of C++-based).
Policy ALLOW_BROWSER ALLOW_EXTERNAL_CONNECTIONS ALLOW_IBS_BROWSER ALLOW_OTHER_BROWSER_SERVICES ALLOW_OTHER_MESSAGE_SERVICES ALLOW_PUBLIC_AIM_SERVICES Beveiliging van mobiele apparatuur en datadragers
Vanaf device 3.6 3.6 4.0 3.6 3.6 3.6 Versie 1.4
12 maart 2009
Vanaf server 4.0 4.0 4.0.1 4.0 4.0 4.0 47/48
Policy ALLOW_PUBLIC_ICQ_SERVICES ALLOW_PUBLIC_YAHOO_SERVICES ALLOW_SPLIT-PIPE_SERVICES DISABLE_BLACKBERRY_MESSENGER DISABLE_JAVASCRIPT_IN_BROWSER DISALLOW_THIRD_PARTY_APPS ENABLE_WAP_CONFIG MDS_BROWSER_JAVASCRIPT_ENABLED
Vanaf device 3.6 3.6 3.6 3.6 4.0 3.6 3.6 4.0.2
Vanaf server 4.0.3 4.0 4.0 4.0.2 4.0 4.0 4.0 4.0.2
Bij het toestaan van internettoegang op Blackberries is de belangrijkste afweging die gemaakt moet worden welke functionaliteit u aan uw gebruikers beschikbaar wilt stellen. D.6 Geraadpleegde documenten Onderstaand vindt u de belangrijkste relevante documentatie die te vinden is in het support-gedeelte van de website van Blackberry: http://www.Blackberry.com/support/index.shtml • • • • • • • •
Blackberry Enterprise Server for Microsoft Exchange 4.1, 15 maart 2006 Blackberry Enterprise Solution Security Release 4.1, 2006 Security for Blackberry Devices with Bluetooth Wireless Technology, 2005 Blackberry Enterprise Server 4.0, IT policy Reference Guide, 25 october 2005 Application Security for Java-Based Blackberry Handhelds, 27 april 2006 Blackberry Attachment Service, 2005 Blackberry Browser 4.0 Feature and Technical Overview, 24 october 2004 Blackberry Internet Service – Internet Browser, 14 december 2004
Beveiliging van mobiele apparatuur en datadragers
Versie 1.4
12 maart 2009
48/48