BIZIT 11 - prvi dan

Na braniku mobilne

Bezbednost komunikacije u mobilnim mrežama ranije nije izazivala mnogo interesovanja, pre svega zbog činjenice da su mehanizmi zaštite, inherentni radio‑sistemima, štivo za stručnjake i osim kompleksnih teorija o kodiranju informacija, nema mnogo uzbudljivih činjenica koje bi držale pažnju običnih korisnika mobilne telefonije. Ipak, nešto se promenilo…

Na-branikuPoslednjih godina mobilne broadband tehnologije dovele su do uskog povezivanja mobilne telefonije i interneta, a mobilni operatori počeli su da nude iste usluge kao internet servis provajderi. Povezivanje mobilne mreže i interneta je, zapravo, i dovelo do ubrzanog razvoja ovog poslednjeg, mnogo više nego što je, na primer, fiksni broadband tome doprineo za skoro dve decenije svog postojanja. Uz sve pozitivne efekte, povezivanje mobilne mreže na internet uvodi na scenu i sve one bezbednosne rizike koji su karakteristični za provajdere internet usluga, od napada na mrežnu opremu do krađe poverljivih podataka s korisničkih uređaja. Dakle, bezbednost u mobilnim mrežama danas prevazilazi okvire radio‑komunikacije i mora obuhvatiti sve segmente, od telefona, baznih stanica i backhaul linkova, pa do mobilnog core‑a i internet gateway‑a.

Kako se štiti mobilna mreža?

Napadi na opremu provajdera obično se sprovode sa ciljem da se ova neko vreme onesposobi, tako što se ključni resursi na opremi, kao što su procesorski takt, memorija ili zauzeće linka okupiraju zlonamernim saobraćajem. To su DOS (Denial‑of‑service) napadi i rezultuju delimičnim ili potpunim blokiranjem rada opreme za vreme trajanja napada. S druge strane, korisnička oprema je podložna napadima zbog krađe ličnih podataka, a ako se uređaj koristi u poslovne svrhe, krađa može imati i mnogo veće posledice. Posebno zbog činjenice da se kompanijskim resursima često pristupa sa udaljenih lokacija, a u nekim slučajevima zaposleni koriste i svoje uređaje u poslovne svrhe (sve popularniji koncept Bring Your Own Device). Poslednji trendovi hostovanja mobilnih servisa u oblaku dodatno će zakomplikovati zaštitu podataka u mobilnim mrežama, budući da prodavci usluga (mobilni operatori) neće imati direktnu kontrolu nad kompletnom infrastrukturom.

Da ipak ne bude tako jednostavno provaliti u mobilnu mrežu, brinu su se bezbednosne procedure koje se primenjuju kako na strani mreže, tako i na strani telefona. Svaka SIM kartica u mobilnom telefonu sadrži identifikacioni ključ koji služi kao lozinka prilikom prijavljivanja telefona na mrežu, kao i ključ za šifrovanje, koji se izračunava za svaku uspostavljenju konekciju i služi za šifrovanje komunikacije. Mreža, koja takođe zna ove ključeve, koristi ih kao ulazne parametre u svojim algoritmima za autentifikaciju korisnika i šifrovanje podataka. Sličan algoritam koristi i mobilni telefon, tako da potvrda identiteta korisnika podrazumeva da i mreža i telefon dobiju isti rezultat na osnovu svojih algoritama.

Kao i u svakoj mreži, i u mobilnoj postoje određeni segmenti koji su manje ili više osetljivi na napade. Primera radi, u GSM‑u govor se šifruje samo u radio‑delu mreže, tj. od mobilnog telefona do bazne stanice, dok se u GPRS‑u prenos podataka šifruje od telefona pa sve do core dela mreže. S druge strane, u 3G mrežama šifrovanje ide dalje od baznih stanica, tj. komunikacija se šifruje od telefona do kontrolera baznih stanica. To je neophodno i zbog toga što je backhaul segment za 3G (od baznih stanica do njihovih kontrolera) zasnovan uglavnom na Ethernet tehnologijama, koje su same po sebi manje bezbedne od onih koje se koriste u 2G backhaul‑u (kao što je TDM). Naredna generacija mobilne telefonije, LTE, bazirana je na all‑IP tehnologijama, što znači da su svi rizici kojima su izložene mreže tradicionalnih internet servis provajdera sada prisutne i u LTE mreži. Kao i u ranijim generacijama, i u LTE‑u postoje standardom propisane bezbednosne procedure koje se primenjuju u pristupnom delu mreže (između telefona i bazne stanice), ali je backhaul i deo mreže kojim se LTE povezuje na internet potrebno posebno zaštititi. Naime, nije redak slučaj da mobilni operatori koriste optičke linkove drugih operatora ili ISP‑jeva, nad kojima nemaju apsolutno nikakvu kontrolu, da povežu LTE bazne stanice sa svojim core uređajima. Bez neke dodatne zaštite, saobraćaj mobilnog operatora bi se lako mogao presresti i zloupotrebiti, pa je zato neophodno da se kontrolisani segmenti mreže povežu preko ovih nekontrolisanih pomoću security gateway‑a, koji će kriptovati kompletan saobraćaj.

Za zaštitu mreže i korisnika od napada s interneta operatori koriste firewall. Firewall je uređaj koji se postavlja u zoni razdvajanja mreže operatora od interneta i koristi se za inspekciju paketa koji dolaze i odlaze ka internetu. Inspekcija se obično radi na nivou IP adresa i transportnih portova TCP i UDP protokola, koji određuju tip aplikacije, a svrha je da se obezbedi kontrola nad adresama i aplikacijama koje mogu međusobno da komuniciraju kroz mrežu operatora. Takođe, jedna od bitnih uloga firewall‑a je da spreči da se komunikacija inicira s interneta, tj. da neki uređaj s interneta započne komunikaciju s mobilnim telefonom. Naime, telefon uvek prvi šalje zahtev za komunikaciju (preko pretraživača ili neke druge web aplikacije) ka nekom serveru na internetu, a ovaj mu samo odgovara. Na taj način firewall sprečava napade i druge maliciozne oblike komunikacije koji mogu doći s interneta.

Korisnik kao prva linija odbrane

Koliko god da su mobilne mreže zaštićene od spoljašnjih upada, mobilni telefoni i dalje ostaju najranjivija komponenta mreže. Trend offload‑a data saobraćaja na Wi‑Fi tehnologije, koji pokazuje da će se do 2016. godine čak 80 odsto podataka s mobilnih telefona preneti preko Wi‑Fi‑a, baca u vodu prethodnu priču o zaštiti u pristupnom delu. Naravno, Wi‑Fi ima svoje mehanizme zaštite, ali treba imati u vidu da, za razliku od 2G, 3G ili LTE mreža, u kojima telefon ne može da se „zakači“ na mrežu ako prethodno ne prođe procedura uzajamne verifikacije između telefona i mreže, na otvorenim Wi‑Fi hot spot‑ovima telefon može da se zakači na Wi‑Fi automatski, bez ovakve verifikacije. Wi‑Fi konekcije su omiljeni teren hakera, između ostalog i zbog toga što su sve bezbednosne rupe Wi‑Fi‑a poprilično dobro dokumentovane na internetu. Uz to, mobilni telefoni retko koriste bezbednosni softver, a još ređe ograničavaju internet konekcije po TCP i UDP portovima, tako da haker koji se nađe u Wi‑Fi mreži može pristupiti telefonu preko bilo kog nezaštićenog porta.

Većina aplikacija ne koristi nikakve mehanizme enkripcije za slanje i primanje podataka. Podaci između web klijenata i servera najčešće se razmenjuju preko HTTP, a ređe preko kriptovane verzije ovog protokola (HTTPS). HTTP transfer je laka meta za tzv. man‑in‑the‑middle napade, u kojima haker presreće komunikaciju da bi došao do poverljivih informacija, kao što je npr. lozinka za pristup nekom korisničkom nalogu. Bezbednost podataka na telefonu zavisi i od toga koliko je operativni sistem zaštićen od neautorizovanog pristupa softverskim funkcijama, odnosno kakve privilegije OS daje aplikacijama koje se pokreću na telefonu. Korisnici često sami menjaju ove privilegije root‑ovanjem operativnog sistema, ne razmišljajući da na taj način daju veća prava i malicioznim aplikacijama. Budući da aplikacije koje se mogu preuzeti sa Google Play‑a ne prolaze proceduru verifikacije, lako se može desiti da neki divlji softver preuzme kontrolu nad root‑ovanim mobilnim telefonom. Opet, ako se radi o službenom telefonu, možete pretpostaviti koje bi se informacije mogle izvući iz e‑mail‑ova, kalendara ili imenika i koliko bi to moglo koštati neku firmu.

Pošto su aplikacije i protokoli takvi kakvi jesu, prva linije odbrane je adekvatna tehnička kontrola samih telefona. Dobra praksa je upotreba lozinki za pristup folderima sa osetljivim podacima, kao i korišćenje isključivo zaštićenih bežičnih mreža (na primer Wi‑Fi sa WPA ili WPA2 PSK enkripcijom). Eksperimentisanje s nepoznatim aplikacijama nije preporučljivo, ali je zato dobro redovno ažurirati OS zbog novih bezbednosnih zakrpa. U slučaju da se telefon ili tablet koriste u poslovne svrhe, bitno je da se za pristup kompanijskim resursima koristi VPN softver s jednokratnim lozinkama (One‑Time Password). Postoji još mnoštvo sigurnosnih mera koje korisnici mogu preduzeti, ali su za neke potrebna malo šira tehnička znanja koja se ne mogu očekivati od običnog korisnika.

Iako ne postoji apsolutna zaštita od krađe podataka ili presretanja komunikacije, važno je imati na umu da su upravo korisnici najranjivija komponenta mreže, a mreža je sigurna onoliko koliko je sigurna njena najslabija karika. Primena nekih jednostavnih mera zaštite može obezbediti komunikaciju dovoljno dobro, a u slučaju poslovnih korisnika, ne bi škodile ni obuke o naprednijim merama zaštite.

Aleksandar Cvjetić

(Objavljeno u časopisu connect #39)

Facebook komentari:
Računari i Galaksija
Tagovi: