Bezpečnost pro každého (3. díl)
Chytré mobily se dnes stávají součástí běžného vybavení. Stále se k nim chováme jako k obyčejným telefonům, přestože už dávno nejsou to, co bývaly. Už to jsou víceméně počítače s výkonem, jaké měly běžné počítače před pár lety.
Drobná poznámka na začátek: Vzpomínám na jeden sálový počítač, který v 80. letech počítal mzdy pro zhruba 3000 lidí. Smartphony mají dnes ve všech ohledech přibližně tisíckrát lepší charakteristiky – frekvence procesoru, pracovní paměť, úložný prostor, přístupová rychlost – tedy výkon podstatně převyšující tehdejší představy. Dnes máme ekvivalenty komunikátorů ze sci-fi filmů, ale umíme s nimi zacházet a využívat jejich vlastnosti?
Odpověď zní – většinou ne. Neumíme je využívat a dodnes jsme se nepřizpůsobili změnám. V předchozích částech jsem zmiňoval některá nebezpečí, která na uživatele číhají, a tento článek v tom bude pokračovat. Bohužel to není možné bez vysvětlení některých technických údajů. Dnešní mobily i nadále komunikují přes mobilní síť, dále podporují používání Wi-Fi, Bluetooth, NFC, GPS, občas mají vestavěný i infračervený port a USB. Začneme tedy popořádku, bohužel některým technickým termínům se nevyhneme.
Mobilní sítě podporují šifrovanou komunikaci mezi mobilem a základnovou stanicí, tzv. BTS. Z BTS jde hovor, SMS nebo MMS dál k operátorovi nebo do jiné sítě nešifrovaný, v případě mezinárodních hovorů často i po internetu. Překvapeni? Tomu ještě není konec!
Aby to bylo ještě horší, šifrování použité v rámci původního standardu bylo zlomeno již před patnácti lety, dnes je dokonce možné ho na běžném PC za splnění určitých podmínek „louskat“ za pochodu. Navíc v některých státech bylo toto šifrování implementováno úmyslně v oslabené verzi. V současné době se nahrazuje jiným, ale z důvodů zpětné kompatibility lze přepnout komunikaci na slabší šifru a tím prolomit důvěrnost komunikace. Navíc lze, dokonce odkudkoliv ze světa, využít chyb komunikačních protokolů (otázkou je, jak moc se tu jedná o chybu nebo návrh SS7) a na dálku přesměrovat tok hovoru. Tedy soukromí na mobilním telefonu lze přirovnat k používání megafonu v přeplněné nádražní hale. Problémem není možnost odposlechu bezpečnostními složkami, ty jsou alespoň pod nějakým dohledem. Ale to, že tato technologie má své výrazné slabiny, které lze využít s vynaložením velmi nízkých nákladů. Pro shrnutí, telefon sám o sobě nepodporuje šifrování mezi koncovými uživateli, operátor (a nejenom on) má možnost přistupovat k přenášeným datům. A to si myslím je důvod pro použití komunikátorů popsaných v minulém díle.
Protože se telefon přihlašuje do sítě každých několik sekund, vysílače (tedy BTS) v okruhu několika kilometrů o něm ví. To umožňuje sbírat takzvané lokalizační údaje. Opravdu chcete, aby někdo třetí věděl, kudy se pohybujete vy, respektive vaše zařízení? Této vlastnosti se ale z principu fungování telefonní sítě nemůžete zbavit. Operátoři u nás mají dokonce povinnost data plošně shromažďovat a udržovat po dobu posledních šesti měsíců, jiné země na to mají pravidla odlišná. Dalším využitím, pro někoho překvapivým, je sběr dat o vašich návštěvách u obchodníků nebo konkrétních lokalitách. Jedná se o malé zařízení, které přijímá identifikaci vašeho telefonu z několika antén a zase pomocí triangulace určuje, kde přesně se nacházíte. Aby toho nebylo málo, je možné si zakoupit BTS, která se bude připojovat do sítě. Buď oficiálně, nebo načerno. Takový pololegální útok ve spojení s některými dalšími kroky umožňuje vcelku bezproblémový odposlech.
Větším nebezpečím je ale klasická Wi-Fi. Zní to šíleně? Problém je v tom, jak tyto sítě fungují a jak nastavíte konfiguraci telefonu. První a základní problém je nastavení, kdy povolíte telefonu připojovat se k neznámým sítím. Pokud nemají přístupová hesla, jste připojeni k internetu a všechny aplikace se snaží komunikovat, co jim síť stačí. Bohužel, velká část komunikace je nešifrovaná, takže vlastník tohoto bodu má přístup k vašim heslům a veškeré komunikaci. Daleko horší situace je, když používáte svoji domácí síť bez hesla. Můžete mít dobře nastavený telefon, ale existují zařízení v ceně pár desítek dolarů (nebo si ho můžete postavit sami), které hlídají dotazy na síť a v tu chvíli vám takovou, podobnou domácí síti, podvrhnou. V tu chvíli jste se dostali do stejné situace, kdy vlastník přístupového bodu bude opět schopen číst spoustu informací. Aby toho nebylo málo, v současnosti se navíc rozmohla metoda „sdílení hesel“, kdy jste schopni odeslat a sdílet heslo pro přístup do Wi-Fi sítí. A asi nechcete, aby se uvedené stalo na vaší firemní či domácí síti.
Zajímavou technologií je i Bluetooth. Ta zpravidla slouží pro komunikaci v řádu jednotek metrů. Bohužel nejedná se tu pouze o stranu mobilů, ale i zařízení k nim připojených. Bluetooth je dostatečně šifrovaný až od verze 4.1, ale dodnes obsahuje velké množství chyb. Navíc, některé bezdrátové mikrofony ani nepoužívají šifrování. Největším paradoxem je Bluetooth LE (Low Energy), jehož implementace je více zamořena chybami než verze klasická. Klasický drátový headset je tak lepší variantou a nespotřebuje tolik energie (a jeho odposlech je díky tomu náročnější). Obecné doporučení k uvedené technologii je jednoduché. Pokud ho nepoužíváte, vypněte ho. V případě citlivých jednání vypněte všechna Bluetooth zařízení. Některá z nich, jako například hands-free, je možné použít jako mikrofon a odposlouchávat komunikaci ve vašem okolí. Navíc, s kvalitní anténou neplatí omezení dané tabulkami, ale např. udávaná vzdálenost deset metrů se může rázem změnit i až na pětinásobek.
Poslední z používaných technologií, která má komunikační smysl je NFC. Ta by měla umožňovat komunikaci v řádu centimetrů a umožňuje úplná kouzla. Mimo možnosti klonování a emulace přístupových karet (např. Mifare Classic), umožňuje číst historii bezkontaktních platebních karet. Bohužel, přes všechny mýty a pověry je skutečně možné s těmito údaji zaplatit na internetu. A to je zároveň důvodem, proč si karty vkládat do obálek, které fungují jako Faradayovy klece. Představte si protřelou manželku, kontrolující denní manželovu útratu na mobilu, např. aplikací Credit Card Reader nebo NFC Millionaire? Nebo potenciálního útočníka, který pomocí aplikací jako je Mifare Classic Tools, NFC Spy, NFC Tools nebo RFID Tools načte vaše přístupové karty, aby se dostal do vaší společnosti.
Další kapitolou jsou různé účty a jejich synchronizace. Pokud povolíte synchronizaci, zároveň umožňujete datům o vašich kontaktech, o obsahu komunikace s nimi a dalším informacím opustit váš mobil a cestovat někam, kde nad nimi nemáte kontrolu. V ideálním případě jsou data šifrovaná alespoň cestou, ale co se s nimi děje poté? Protože se jedná o synchronizaci, tedy provázání s nějakým účtem, strana příjemce má přehled o informacích ve vašem mobilu, často i o heslech. Uvedené informace mohou (zpravidla i jsou) být strojově vytěžovány. Opravdu to chcete?
A co aplikace, které si nainstalujete? Zde je situace ještě horší, často není žádný nezávislý audit aplikací, který by oznámil, která data jsou sbírána. Tak například sportovci posílají informace o svém zdravotním stavu (aktivita, tep, tlak, životní rytmus, místo). To lze využít pro cílení reklamy a zpětně vyšší zisky bez podezření, jak je s člověkem manipulováno. Bohužel, má to i své stinné stránky. Publikování stavu nebo polohy na sociálních sítích může sloužit tipařům a po návratu z práce nebo dovolené najdete kompletně vystěhovaný byt.
Aby toho nebylo málo, u telefonů se nepoužívají žádné formy duševní hygieny. Zvykli jsme si být neustále připojeni a online, což s sebou nese jistou formu závislosti. Zvlášť nepříjemné je to pro osoby, které někdo sleduje a neustále se jim snaží nevyžádaným způsobem věnovat. Přitom blokování hovorů z určitých čísel dnešní mobilní telefony umožňují. Horší situace je u SMS/MMS, ale i zde se dá situace řešit. Asi největším problémem je blokování čísel podle denní/noční doby, jejich případně automatické přesměrováni a nakládaní se skrytými čísly.
Poslední, ne nepodstatnou záležitostí, je ochrana telefonu a dat v něm skrytých. Co udělat v případě, kdy bude váš telefon zcizen? Lokalizovat ho, smazat/zkopírovat data nebo ho dát na černou listinu operátorů? V současnosti existuje velké množství aplikaci, které umožňuji uvedené, v závislosti na vašich požadavcích. Povel k dané aktivitě pak můžete vložit z webu, nebo z jiného, důvěryhodného telefonu. Tím lze částečně zajistit poslední krok v bezpečnosti vašich dat.
Obrana proti dešifrování komunikace mezi základnovou stanicí a mobilem:
– Používat další vrstvu šifrování (aplikace pro šifrované volání) nebo speciální šifrované mobily.
Obrana proti podvrhnutí základnové stanice:
– Částečná detekce pomocí programů jako je AIMSICD (Android).
Ochrana proti neznámým útokům:
– zakoupit si Faradayovu klec pro uložení mobilního telefonu a všech spárovaných bluetooth, NFC a Wi-Fi zařízení,
– uvedenou klec používat na citlivých jednáních pro všechny bezdrátové komunikační prvky.
Obrana proti únosu WiFi spojení:
– nastavit šifrování domácích sítí, heslo pravidelně měnit a zajistit délku alespoň 20 znaků (ochrana proti útokům hrubou silou),
– zablokovat oznamování a připojování k otevřeným sítím,
– používat šifrování pro veškerou komunikaci,
– pomocí směrové antény na jedné straně lze s obyčejným Wi-Fi zařízením komunikovat na vzdálenost až 2,5km.
Bluetooth
– pokud ano, tak raději využívat verzi 4.1+. To musí podporovat všechna zařízení. Jinak vypínat.
– vypínat headsety na jednáních,
– zajímavé aplikace BlueScan a BLE Scanner,
– rekord v odposlechu Bluetooth (class 2, tj. komunikace do vzdálenosti 10 m) byl dosažen na vzdálenost přibližně 400 m.
NFC
– NFC vypínat.
– V tuto chvíli nepodporuje šifrování ani ověřování. Pokud to není řešeno aplikací, jedná se o otevřený text, který lze zachytit a odposlechnout,
– tím, že neprobíhá ověřování se vystavujete tomu, že útočník pomocí „přepojovacího útoku“ bude vaším jménem například platit,
– zajímavé aplikace Mifare Classic Tools, NFC Spy, NFC Tools, RFID Tools, NFC Millionare pro domácí experimentování a chvilky nudy s vašimi platebními a přístupovými kartami. Tato chvilka bude pro vás velice poučná.
– Rekord v odposlechu NFC byl dosažen na vzdálenost 15 m.
– viz. https://www.youtube.com/watch?v=QgL5qVXa1_g.
Synchronizace účtů
– použít synchronizaci pouze s pracovním a soukromým účtem, ideálně na důvěryhodném serveru,
– používat lokální zálohování (USB nebo paměťovou kartu).
Aplikace
– nainstalovat si antivirový a bezpečnostní software,
– instalovat pouze z důvěryhodných zdrojů,
– nainstalovat si aplikace pro bezpečnou a nepadělatelnou komunikaci,
– zakázat sdílení dat o poloze a aktivitě, tyto informace by měl člověk sám publikovat a rozhodnout se o tom, co o sobě sdělí,
– zajistit si blokování nevyžádaných čísel,
– nastavit si telefon pro příjem hovorů dle času a skupiny,
– nainstalovat si aplikaci, umožňující vybrané důvěryhodné osobě zjistit polohu vašeho telefonního přístroje, jeho obsah zkopírovat nebo jenom smazat.
Obecná pravidla komunikace (platí jak pro telefony, tak pro počítače):
– Odkazy v SMS/MMS/e-mailech či ostatních formách komunikace jsou vždy riskantní. Záleží na tom jak moc důvěřujete vašemu komunikačnímu partnerovi.
– Přílohy se zajímavými názvy nebo přílohy od neznámé strany nemusí být to za co se vydávají. Pravděpodobně (téměř jistě to tak skutečně je) se jedná o nějaký nástroj pro ovládnutí vašeho přístroje.
Autor: Jan Dušátko