Fie că este vorba de reprezentați de vânzări, consultanți, implementatori care lucrează la client sau doar managerul plecat în vacanță, în orice companie există câteva sisteme mobile (laptop-uri, netbook-uri sau chiar smartphone-uri) care conțin date sensibile. Încep astăzi o serie de câteva articole în care voi prezenta idei de configurare și bune practici pentru utilizarea în sigurantă a dispozitivelor mobile. Mai jos, poți citi despre securitatea fizică.
Strategia pe care o voi folosi presupune următoarele puncte:
- să fie greu de obținut acces fizic la sistem de către un atacator
- dacă un atacator a obținut acces fizic la sistem, datele să nu poată fi utilizate
- dacă utilizatorul a pierdut accesul fizic la sistem, să poată distruge remote datele
- dacă utilizatorul a pierdut accesul fizic la sistem, să poată recupera datele
Prima și cele mai simplă măsură de protecție pentru a bloca accesul fizic la sistem este utilizarea de parole:
- să nu permiți login-ul automat, iar parola de login să fie una puternică. Utilizatorul trebuie să fie “security aware” și să nu permită nimănui să-l observe atunci când își introduce parola. Dacă sistemul de operare permite, calculatorul ar trebui să fie blocat pentru un interval oarecare de timp la introducerea a 3 parole greșite consecutiv.
- screensaver-ul să ceară parolă pentru dezactivare, iar timpul la care acționează să fie de ordinul minutelor.
- utilizatorul să folosească funcția “lock screen” atunci când pleacă de lângă sistem.
Sisteme mai complexe, de exemplu autentificarea biometrică sau “two-factor”, vor aduce un pic de securitate suplimentară, dar complică utilizarea sistemului. Una dintre cele mai simpatice sisteme, complet transparentă pentru utilizator, este blocarea/deblocarea sistemului dacă un anumit dispozitiv Bluetooth (un telefon) este în apropierea calculatorului. Proiectul se numește BlueProximity.
Aceste tehnici sunt utile pentru a îndepărta un eventual oportunist curios care vede un sistem disponibil și simte nevoia să butoneze un pic. De cele mai multe ori, aceste persoane nu au intenții criminale serioase și nu sunt cu adevărat periculoase pentru datele existente pe sistem (asta desigur, dacă nu ai lăsat deschis pe ecran un document cu cel mai secret proiect al tău).
Mult mai serioasă este însă situația în care un atacator încearcă să fure dispozitivul mobil. Pe cât posibil, ar trebui ca atunci când nu folosești sistemul să îl faci cât mai puțin vizibil. Asta înseamnă să renunți la geanta de laptop brand-uită și să o înlocuiești cu un rucsac generic, și să plasezi laptop-ului în portbagaj, nu pe banchetă.
De multe ori însă ești nevoit să folosești sistemul în locuri publice, ba mai mult să-l și lași nesupravegheat. O posibilă soluție la problemă este folosirea slot-ului Kensington, cu care sunt dotate majoritatea laptop-urilor. Acesta se va folosi împreună cu un cablu de oțel cu cifru sau cheie, cu ajutorul căruia laptop-ul se va ancora de un obiect imobil, mare și greu.
Deși nu sunt imbatabile (există pe Internet metode de a descuia relativ repede cifrurile de la cablurile Kensington), aceste sisteme de securitate fizică asigură suficient de multă protecție împotriva hoților care ar putea să înșface sistemul și să fugă.
Dar nici una din metodele de securitate fizică de mai sus nu este perfectă și de multe ori sistemul va ajunge, fie furat, fie chiar pierdut de către utilizator (se întâmplă mai des decât crezi), în mâinile altcuiva. Pentru că șansele de recuperare sunt aproape nule, prioritatea noastră acum va fi ca datele să nu poată fi utilizate.
Am menționat deja utilizarea screensaver-ului cu parolă, folosirea “lock screen” și interzicerea login-ului automat. Din păcate, aceste metode sunt inutile atunci când atacatorul are deja acces fizic la sistem și nu este presat de timp – va fi trivial pentru el să pornească sistemul cu un CD bootabil sau să demonteze hard-disk-ul și să-l plaseze în alt sistem.
În acest caz, singura strategie de a ne proteja datele este utilizarea unei metode de criptare puternică. Absolut toate datele utilizatorului ar trebui să fie criptate, practic singurele fișiere care pot rămâne necriptate sunt datele sistemului de operare. O protecție eficientă este dificil de obținut pe Windows, drept pentru care eu recomand utilizarea sistemului de operare Linux, pentru care se poate face ușor separarea sistem de operare – datele utilizatorului și se poate instala software de criptare care face imposibilă recuperarea datelor de către un atacator.
În privința distrugerii datelor în cazul pierderii controlului fizic asupra sistemului, există diverse strategii și soluții software. Fie că cer diverse parole și dacă se introduce greșit, datele se șterg, fie că leagă datele de un anumit dispozitiv hardware, fie că fac un “call home” și pot fi comandate să distrugă datele, cea mai mare parte a acestor metode au succes limitat în cel mai bun caz și pot deveni periculoase pentru utilizator, care le-ar putea activa din greșeală. Nu recomand folosirea de astfel de software pentru laptop-uri, care pot fi protejate mult mai bine cu un sistem de operare sigur, cum este Linux, criptare puternică și parole greu de ghicit.
Pentru dispozitivele mobile însă, un “remote kill switch” poate fi foarte util, mai ales dacă este integrat cu sistemul SMS. Dacă atacatorul nu a stins deja telefonul furat și n-a aruncat cartela SIM, poate fi eficientă folosirea unui software care atunci când primește un anumit cod prin SMS șterge datele și face telefonul inutilizabil. Până când operatorii de telefonie mobilă nu vor permite însă dezactivarea telefoanelor pe bază de IMEI, va trebui să te bazezi pe noroc și pe rapiditatea ta de a trimite SMS-ul cu “kill switch”-ul.
Dar vine un moment în care realizezi că sistemul tău este pierdut și nu-l vei mai recupera. Te liniștești pentru că datele tale sunt imposibil de accesat de către un atacator și te gândești cum să te întorci mai repede la lucru. Vei cumpăra un nou sistem și vei recupera datele, ceea ce este foarte simplu, asta desigur, dacă ai făcut backup cu cap!
Tu cum te protejezi când folosești laptop-ul în locuri publice? Scrie un comentariu!
Ai nevoie de ajutor la implementarea unei strategii de securitate pentru operatorii mobili? Te putem ajuta, contactează-ne!
Image credit: nDevilTV.
Related posts:
- Operatorii mobili și securitatea accesului la Internet În articolul anterior am abordat partea mai simplă a securității...
[...] Am publicat pe blog-ul NOVIT un prim articol dintr-o serie despre securitatea sistemelor folosite de operatorii mobili (agenți de vânzări, consultanți, manageri în concediu): Operatorii mobili și securitatea fizică a sistemelor. [...]