Bring Your Own Risk

Bring Your Own Risk
Aan het gebruik van mobiele devices kleven bepaalde risico’s als het gaat om de beveiliging van gegevens, maar vaak weet de gebruiker niet welke risico’s dat allemaal zijn. Wanneer deze zijn privéapparaten op het bedrijfsnetwerken gaat gebruiken, komt ook de veiligheid van dat netwerk in gevaar. De auteur geeft een aantal voorbeelden van de risico’s van het gebruik van mobiele devices.

Walter Belgers
 
Er is een revolutie gaande binnen de IT-wereld: computers worden persoonlijk. In naam was dat sinds de komst van de personal computer al zo, maar met de komst van de zeer gebruikersvriendelijke smartphones en van besturingssystemen als iOS en Android is de computer pas echt persoonlijk geworden. Ook is er nu pas echt sprake van een revolutie, want er komen maandelijks miljoenen smartphones bij.
Zo’n revolutie is mooi, maar heeft ook een schaduwzijde. Nu eindgebruikers massaal op eigen apparatuur werken, willen ze deze ook ‘op het werk’ kunnen gebruiken. Denk aan toegang tot bedrijfsdata, e-mail, agenda’s et cetera. En daar wringt de schoen. Want wie waakt voor de beveiliging van al die systemen?
Tot enkele jaren geleden was dit probleem nog te overzien, alhoewel het ook toen gebeurde dat de door de ICT-afdeling ingerichte bedrijfslaptop bij de medewerker thuis door de kinderen werd gebruikt om wat op internet rond te neuzen en spelletjes te spelen, waardoor de laptop geïnfecteerd raakte en dit uiteindelijk leidde tot een virusuitbraak in een heel bedrijfsnetwerk. Veel mensen weten nu eenmaal niet dat veel websites proberen je systeem te infecteren door bijvoorbeeld een lek in de Flash Player te misbruiken. Dat kunnen ook vertrouwde websites zijn, die reclamebanners laten zien die van derde partijen komen. Is niet alle op de laptop aanwezige software (zoals de Flash Player) volledig gepatcht, dan kan dat leiden tot een infectie. Maar zelfs een systeem dat volledig up-to-date is met alle beveiligingsupdates, is niet te beschermen tegen de onwetendheid van eindgebruikers.
Onwetende eindgebruikers zijn dus een beveiligingsrisico en dat wordt met het grootschalige gebruik van mobiele devices alleen maar erger. Ga maar na: de benodigde kennis om zo’n apparaat te bedienen is lager, waardoor relatief meer mensen zonder kennis van technische risico’s ermee werken. Begrijpen gebruikers wat een applicatie die ze installeren allemaal zou kunnen doen op hun smartphone? En realiseren ze zich wat de gevolgen kunnen zijn van het gebruik van een willekeurig draadloos netwerk? En dat zijn nog voor de hand liggende vragen, er kleven nog veel meer risico’s aan mobiele apparatuur die minder voor de hand liggen.
Risico van draadloze netwerken
Maar eerst de voor de hand liggende risico’s, om te beginnen het gebruik van draadloze netwerken. Als een apparaat verbinding maakt met een draadloos netwerk, wordt de naam ervan normaliter opgeslagen in een lijst met bekende netwerken. Zo’n apparaat blijft dan in de toekomst zoeken naar die netwerken, door continu te vragen of ze er zijn. Hier kan een aanvaller handig op inspelen door, als een apparaat bijvoorbeeld om het netwerk ‘BEDRIJFSNET’ vraagt, zich razendsnel voor te doen als datzelfde ‘BEDRIJFS NET’. Het mobiele apparaat gaat daar vervolgens mee verbinden. Al het verkeer (denk aan e-mail) is dan eenvoudig te onderscheppen (en zelfs aan te passen). Dit werkt bij onbeveiligde netwerken en in sommige gevallen ook bij beveiligde (versleutelde) netwerken.
Zo’n draadloze aanval vergt wel enige kennis bij de aanvaller, hoewel de nodige standaardhulpmiddelen gemakkelijk te vinden zijn. Zo kan men op een Android-telefoon met het programma DroidSheep zulke aanvallen automatisch uitvoeren.
Dit programma filtert uit het draadloze verkeer automatisch gebruikersnamen en wachtwoorden voor bijvoorbeeld social-mediasites als Facebook, Twitter en LinkedIn. Zodra een mobiel apparaat een draadloos netwerk heeft gevonden, zullen de social-media-applicaties namelijk direct inloggen. Als ik in de trein zit en mensen met een Android-telefoon zie spelen, vraag ik me altijd af: spelen ze Angry Birds of zijn ze met DroidSheep de inloggegevens van alle gebruikers in de coupé aan het verzamelen? U ziet: draadloze beveiliging is ingewikkelder dan alleen het vermijden van onbeveiligde netwerken.
Ontoereikende beveiliging van mobiele apparaten
Nog erger wordt het wanneer men een mobiel apparaat verliest. Wat kan de oneerlijke vinder er allemaal uit halen? Veel smartphonegebruikers zien verlies wel als een risico, vandaar de populariteit van ‘remote wipe’-oplossingen. Hiermee is het mogelijk de telefoon op afstand te wissen, zodat mogelijk vertrouwelijke gegevens niet meer terug te halen zijn. Werkt dat ook? Helaas is het antwoord: nee! Als de vinder onmiddellijk de simkaart verwijdert, kunnen er geen opdrachten om te wissen naar het apparaat gestuurd worden.
Maar de pincodes en wachtwoorden dan? Die bieden nauwelijks bescherming. Een aanvaller die het apparaat fysiek in handen heeft, weet wachtwoorden doorgaans snel te achterhalen. En de logincode die de gebruiker heeft ingesteld om het apparaat zichzelf te laten wissen na een aantal foutieve pogingen, kan gemakkelijk omzeild worden. Vaak is het al voldoende om, voordat het apparaat zich wil wissen, de batterij er even uit te halen. Hierna kan er weer een aantal inlogpogingen gedaan worden. Een pincode van een paar karakters is dus onvoldoende om een aanvaller tegen te houden.
Als de aanvaller eenmaal toegang heeft tot het apparaat, kan er een schat aan informatie af gehaald worden. Denk aan de locaties waar iemand is geweest (gps-log), foto’s, e-mail, loginnamen en wachtwoorden in diverse applicaties.
Juist vanwege dit feit gebruiken veel mensen speciale software die gegevens extra versleutelt. Is dat een afdoende beveiliging? Dat hangt ervan af. Indien het hoofdwachtwoord van zo’n wachtwoordprogramma (te) kort is, is het door middel van een brute-force-aanval mogelijk om net zolang te raden tot het juiste wachtwoord is gevonden.
Bij het gebruik van een pincode van vier cijfers is ontcijferen een peulenschil. Aan te raden is om een passphrase te gebruiken (geen wachtwoord maar een ‘wachtzin’).
Infiltratie van bedrijfsnetwerken
Uit de bovengenoemde voorbeelden blijkt dat er nog wat te winnen is op beveiligingsgebied. Meer gevaar schuilt er echter in het gebruik van privéapparaten op het bedrijfsnetwerk.
Omdat we steeds meer op deze mobiele apparaten opslaan, bijvoorbeeld voor mobiel internetbankieren, wordt de aantrekkingskracht op criminelen alleen maar groter. Zij zullen voortdurend proberen de eindgebruiker over te halen een bepaald programma te installeren waarmee zij de volledige controle over het apparaat krijgen.
Bij iOS is dit nog lastig, omdat Apple controleert welke applicaties in de Apple Store worden aangeboden. Dit maakt het moeilijk (niet onmogelijk) om zo’n kwaadwillende applicatie in de Store te krijgen. Bij Android is dat gemakkelijker, omdat het model daar is dat de eindgebruiker zelf
controleert. De applicatie vraagt bij installatie om toegang tot allerlei gegevens en de eindgebruiker moet dat goedkeuren. Hoeveel eindgebruikers zouden begrijpen dat toegang tot ‘de telefoon’ inhoudt dat zo’n applicatie dure 0900-nummers in Kazachstan kan gaan bellen?
Nummers bellen gaat echter snel opvallen. Gevaarlijker zijn applicaties die gegevens doorsluizen of een backdoor openen waardoor de aanvaller binnen kan komen en verder onzichtbaar blijft. Zeker als die apparaten ook op het bedrijfsnetwerk worden aangesloten, want dan kan die backdoor mogelijk ook het bedrijfsnetwerk op.
Mogelijk, omdat bedrijfsnetwerken vaak lang geleden zijn gebouwd, in een tijd dat beveiliging nog geen belangrijk aandachtspunt was. Later, met de opkomst van cybercriminaliteit op het internet, heeft elk weldenkend bedrijf een firewall ingericht om verkeer van buiten naar het interne netwerk in te perken. Beveiliging is echter zo sterk als de zwakste schakel, vandaar ook het adagium ‘implementeer meerdere lagen van beveiliging’. Met andere woorden: als de beveiligingslaag die de firewall implementeert zou wegvallen, dan zouden er nog voldoende beveiligingslagen over moeten blijven om de omgeving voldoende veilig te houden.
De praktijk leert echter dat interne bedrijfsnetwerken naast de firewall vrijwel geen enkele beveiliging hebben. Er is vaak geen afscheiding van gedeeltes van netwerken, zodat iedereen bij elk systeem en elke dienst in het netwerk kan, er ontbreken patches, er is verouderde software in gebruik, men gebruikt eenvoudig te raden of standaardwachtwoorden en ga zo maar door.
Een aanvaller die door een infectie van een mobiel apparaat een ingang in zo’n intern bedrijfsnetwerk heeft, kan zich vrij eenvoudig toegang verschaffen tot alle gegevens daar.
Het moge duidelijk zijn dat netwerken ondanks een firewall op verschillende manieren geïnfiltreerd kunnen worden.
Conclusie
Hoe nu deze risico’s naar een acceptabel niveau te brengen? Bring Your Own Device negeren is geen optie. Maar de risico’s beperken kan wel. Hiervoor kunnen technische hulpmiddelen worden ingezet, bijvoorbeeld het verplicht aanbrengen van bepaalde policy’s op mobiele devices, waarmee beveiligingsinstellingen worden afgedwongen. Er zal echter ook veel werk gestoken moeten worden in het bewustwordingsproces bij de eindgebruikers. Dat vergt in mijn opinie net zo veel tijd en inspanning als het beveiligen van het interne netwerk.
Ik denk dat op beide vlakken echter veel winst te boeken valt.
Ir. Walter Belgers CISSP CISA
is partner en principal security consultant bij Madison Gurkha. E-mail: walter@madison-gurkha.com.

Tag

Onderwerp



Niet gevonden? Vraag het de redactie!

Heeft u het antwoord op uw vraag niet gevonden, of bent u op zoek naar specifieke informatie? Laat het ons weten! Dan zorgen we ervoor dat deze content zo snel mogelijk wordt toegevoegd, of persoonlijk aan u wordt geleverd!

Stel uw vraag