Vydělávej až 160.000 Kč měsíčně! Akreditované rekvalifikační kurzy s garancí práce od 0 Kč. Více informací.
Hledáme nové posily do ITnetwork týmu. Podívej se na volné pozice a přidej se do nejagilnější firmy na trhu - Více informací.

Lekce 17 - Základní bezpečnostní opatření u mobilních telefonů

Předchozí
Další

V předchozí lekci, Bezpečnost pracovního prostoru - Možnosti ochrany, jsme se dozvěděli o nejdůležitějších opatření k zabezpečení pracovního prostoru proti narušení útočníkem.

V dnešním tutoriálu zaměříme svou pozornost na mobilní telefony. Řekneme si, jaká bezpečností rizika jejich použití přináší a shrneme si základní opatření pro jejich minimalizaci.

Základní bezpečnostní charakteristiky mobilních telefonů

Termínem mobilní telefony rozumíme chytré telefony (SmartPhones), tedy zařízení Android a iOS. Ty jsou dnes už spíše kapesními počítači s funkcemi telefonu. Z bezpečnostního hlediska představují velmi rozporuplnou záležitost.

Bezpečnostní výhody mobilních telefonů

Na jednu stranu se od začátku vývoje mobilních telefonů počítalo s tím, že bezpečnost bude jejich důležitou funkcí, a tak je spousta opatření zahrnuta už v jejich návrhu. To je významný rozdíl např. od osobních počítačů s Windows, do kterých se obdobné bezpečnostní funkce teprve později a se zpožděním postupně dodělávaly. Jedná se zejména o návrh OS a správy aplikací, který u SmartPhones představuje ohromné bezpečnostní plus.

Tyto požadavky s dobou ještě gradovaly a asi nikdo nepochybuje, že ještě gradovat budou. Jako příklad uveďme přidávané funkce pro platby a obecně jejich propojení s bankovním sektorem, dříve vždy odděleného. Další vývoj směřuje například k začlenění státem uznávaných dokladů, průkazů atd.

Státní mašinérie je v tomto tradičně pomalejší a typicky tak 15 let pozadu za aktuálním stavem techniky, ale postupně se na tom již také pracuje, jak se dozvíme dále.

Na rozdíl od jiných oblastí informatiky se do zabezpečení mobilních telefonů stále výrazně investuje a jejich vývoj jde dopředu spolu s posilováním bezpečnostních prvků.

Bezpečnostní rizika mobilních telefonů

Na stranu druhou se jedná o velmi exponované zařízení, které je z mnoha důvodů snadno zranitelné. Existuje i spousta osob a institucí, které mají zájem na jeho prolomení. Může se jednat o pokusy o klasickou krádež peněz, cenných informací nebo sledování či odposlech dotyčného. To vše vede také k výrazným investicím do technologií, které mají zabezpečení mobilních telefonů naopak prolomit.

Bohužel stále existuje i mnoho lidí, kteří jsou ochotni zaplatit za možnost sledovat, co si jeho partner píše s ostatními třeba na Facebooku. Výsledkem je pak většinou jen zjištění, že to vlastně vědět nechtěli.

Kritická místa mobilních telefonů

Při zabezpečování mobilních zařízení musíme mít na paměti následující skutečnosti:

  • Mobil používají i lidé, kterým slova "kybernetická bezpečnost" říkají asi tolik, co většině lidí "kvantová fluktuace vakua". Máme zde tedy klasický problém s uživatelem.
  • Mnoho uživatelů si do mobilu instaluje spoustu aplikací. Je pravda, že OS poskytují řízení práv na úrovni kernelu pro Android nebo dokonce i něco na způsob SandBoxu u iOS zařízení. Instalace je navíc ve výchozím stavu povolena pouze z oficiálního úložiště, kde jsou aplikace na výskyt "nežádoucího chování" do jisté míry kontrolované. Každá další instalace ale i tak představuje vyšší bezpečnostní riziko.

Zájemce odkážu na aféru z roku 2021, kdy byl odhalen profesionální spyware izraelské organizace NSO Group nazvaný Pegasus.

  • Dalším problémem je snadný fyzický přístup k zařízení. Na rozdíl od běžného počítače nebývá většinou problém se k zařízení alespoň na chvíli fyzicky dostat, protože ho nosíme a odkládáme skoro všude.
  • SmartPhones delší dobu trpěly nedostatky v hardwarovém zabezpečení. Jak dlouho trvalo alespoň to, aby výměna baterie za kompromitovanou nebyla otázkou pár sekund (iPhone z toho vyjímaje)? A přitom tento způsob možného útoku na každého hackera přímo křičí!
  • Poslední riziko představuje potřeba ověřovat uživatele každou chvíli, snadno a hlavně rychle. To víceméně znemožňuje použít klasickou, spolehlivou a osvědčenou metodu spočívající v zadávání bezpečného hesla.

Limity zabezpečení mobilních telefonů

Většina klasických aplikací je navržena dobře. Jejich prolomení, pokud dodržujeme nějaká základní pravidla bezpečného používání, je pro běžného útočníka prakticky nemožné. Jedná se o bankovní aplikace a některé "peněženky", většinu správců hesel, TOR Browser, WhatsApp, Signal atd.

Pak jsou aplikace, které prolomí celkem snadno i průměrný hacker, např. už zmiňovaný Facebook.

Pokud stojíme proti profesionálům a máme běžně dostupný telefon, tak se o jeho zabezpečení snad ani nesnažme. Ti mohou totiž disponovat (někdy i neoficiálním) přístupem ke službám operátora, zařízeními jako je například Agáta ("IMSI catcher") nebo dalším forenzním softwarem.

Svůj telefon dále nejspíš nikdy nezabezpečíme před kapesními zloději, kteří si ho od nás bez problémů kdykoli "vypůjčí".

Hardwarové zabezpečení a e-doklady

Základ skutečného zabezpečení u takovéhoto typu zařízení spočívá zejména v hardwarovém zabezpečení. K tomu doplňme samozřejmě patřičné znalosti uživatelů. Všude a stále platí, že každý nepoučený uživatel představuje vyšší bezpečnostní riziko.

Hardwarové zabezpečení se snad podstatně zlepší, až v mobilech budou i státem uznávané doklady. V současnosti jsou již schválená zařízení splňující eIDAS. Jde o zabezpečení už na velmi slušné úrovni. Na obzoru je snad už i evropská "občanka v mobilu", která by u nás mohla využívat aplikací eDokladovka a mojeID.

Zásady bezpečného používání mobilních telefonů

Než se vývoj mobilních telefonů posune dál, snažme se alespoň dodržovat základní bezpečnostní zásady.

Při důvěrných jednáních:

  • Použijeme šumové generátory. Pokud nemusíme, nepoužíváme telefonní hovory a už vůbec ne SMS. Pro komunikaci zvolíme např. WhatsApp nebo Signal (ten ale u nás není tolik rozšířený a protistrana ho nejspíš mít nebude).

Ideálním řešením by bylo mít k dispozici službu absolutního zákazu SMS, která by odesílateli automaticky vrátila zprávu typu: "Cílová stanice z bezpečnostních důvodů příjem SMS nepovoluje". Ideálně by zahrnovala také SMS systémové a konfigurační. Taková služba bohužel zatím neexistuje.

  • Dále si v mobilu nastavíme automatické odstraňování zpráv po nějaké době, v případě Messengeru použijeme rovnou "mizející zprávy".
  • Neignorujeme případnou zprávu, že se klíč protistrany změnil! V takovém případě se jiným způsobem ujistíme, že nový klíč je skutečně její (porovnáme si navzájem jeho kryptografický otisk). Může totiž jít o útok typu MITM, který si popíšeme v příštích lekcích.
  • Nezapomeneme, že i když je vlastní přenos E2E šifrovaný, pořád lze bez problémů zjistit, že jste spolu komunikovali, kdy jste spolu komunikovali a kolik dat jste při tom přenesli. I když je například váš partner technikou zcela nedotčená panna, mohl si s trochou vynalézavosti na to někoho najmout. A navíc má pravděpodobně dost usnadněný fyzický přístup k vašemu telefonu.

Všeobecná bezpečnostní doporučení

I pro telefony pak platí všeobecná doporučení, která mnohdy zazněla už v předchozích lekcích:

  • Do telefonu neukládáme informace vyžadující vysokou úroveň zabezpečení, zejména hesla. Můžeme si udělat zvláštní databázi hesel nebo pro tuto nižší úroveň používat hesla uložená v prohlížeči. V žádném případě je nemíchejme s hesly C2+!
  • Pokud jdeme na schůzku, která má zůstat skutečně soukromá, necháme telefon jednoduše doma nebo jej alespoň vypneme.
  • I když běžně používáme biometrické ověření, je i u telefonu základem bezpečnosti stále heslo. To platí i kdybychom měli nejmodernější ultrazvukovou čtečku otisků prstů, která navíc kontroluje i teplotu těla a krevní řečiště. Taková technologie je nám fakt úplně k ničemu, když se pak do telefonu po restartu dostaneme s heslem "1234567890" nebo "Simonka".
  • Pravidelně aktualizujeme software. Kritické jsou samozřejmě security updaty vlastního systému, ale úplně nezapomínejme ani na aplikace. Vůbec neinstalujme aplikace, které jsou v obchodě zcela nové. Aplikace z jiných zdrojů neinstalujeme vůbec.
  • Aplikacím přidělujeme co nejméně práv. Čteme, o co nás při instalaci žádají. Jestliže nějaké oprávnění nepotřebujeme používat často, přidělíme ho jednorázově. V momentě, kdy je oprávnění aktuálně potřeba nás o něj aplikace znovu požádá.
  • Žádná služba umožňující přihlášení, či obnovení zapomenutého hesla jen na základě zaslání jednorázového kódu na naše telefonní číslo nebo email, není zcela bezpečná už z principu! Tato metoda má sloužit pouze jako dodatečná ochrana, nikoli jako hlavní ověření.

Telefon dnes představuje naše soukromí. Je to naše peněženka, klíčenka a brzy nejspíš i identita. Nedáváme ho tedy do ruky cizím lidem pod žádnou záminkou. Pokud už to musíme udělat, alespoň ho vypneme. Telefon nenecháváme nikde ležet bez dohledu či uzamčení.

V následujícím kvízu, Kvíz - Zabezpečení e-mailu, telefonu a pracovního prostoru, si vyzkoušíme nabyté zkušenosti z předchozích lekcí.


 

Předchozí článek
Bezpečnost pracovního prostoru - Možnosti ochrany
Všechny články v sekci
Kybernetická bezpečnost
Přeskočit článek
(nedoporučujeme)
Kvíz - Zabezpečení e-mailu, telefonu a pracovního prostoru
Článek pro vás napsal David Janko
Avatar
Uživatelské hodnocení:
37 hlasů
Autor se věnuje poradenství převážně v oblasti kybernetické bezpečnosti.
Aktivity