Zabezpečení mobilních zařízení v praxi - případová studie

Zprávy o ztrátách či krádežích informací uložených na přenosných zařízeních jsou stále více „na denním pořádku“, není proto divu že se firmy stále aktivněji snaží zneužití těchto informací předejít. Natož pak firmy obchodně závislé na přenášení citlivých osobních dat, jako tomu bylo u následujícího případu.

Před asi dvěma lety nás oslovila jistá velká farmaceutická společnost s požadavkem na řešení problému zabezpečení práce s daty v mobilních obchodních aplikacích, bezpečného uchování těchto informací a jejich přenosu na centrálu.

Požadavky na řešení

Projekt se týkal celkem zhruba 2000 koncových uživatelů, které bylo možno z hlediska využívání mobilních zařízení rozdělit do tří následujících skupin:

• medicínští reprezentanti, kteří v rámci své pracovní činnosti cestují po republice a sbírají informace o lékařských zařízeních, jejich pacientech a další data související s léčbou. Z těchto informací uložených na discích jejich notebooků pak vytvářejí reporty, které pravidelně prostřednictvím internetu odesílají na centrální pracoviště, kde se dále statisticky zpracovávají;

• vrcholový management, jehož představitelé vzhledem k velkému rozsahu zahraničních investic společnosti velmi často cestují po celém světě, svůj notebook či PDA využívají jako „mobilní kancelář“ a potřebují mít možnost bezpečně uchovávat a předávat si mezi sebou obchodně extrémně citlivé informace;

• ostatní firemní uživatelé, kteří většinou nejsou pracovně mobilní, ale často pracují s šifrovanými zprávami, elektronickým podpisem a šifrovanými soubory na discích svých stanic.

Vzhledem k velmi citlivému charakteru dat, která mj. často podléhají zákonu o ochraně osobních údajů, byla u prvních dvou skupin uživatelů absolutním požadavkem ochrana před jakýmkoliv únikem těchto dat při ztrátě či odcizení mobilního zařízení nebo během přenosu zpráv na centrálu. Chráněna neměla být pouze samotná data aplikací či jednotlivé soubory na disku, ale také systémové soubory pro odkládání paměti a dočasné soubory, ze kterých je možné při cíleném útoku podstatnou část informací zrekonstruovat.

Co se týče zabezpečení přenosu dat, projekt se týkal pouze dat přenášených z mobilních zařízení na pobočky firmy a výměny dat mezi pobočkami navzájem. Ostatní hrozby (např. únik informací v souvislosti s viry, apod.) nebyly předmětem zadání projektu a klient je řešil vlastními prostředky (desktopový firewall a antivirový SW).

Celková koncepce

Projekt zabezpečení mobilních zařízení a jejich komunikace byl jen jednou z částí rozsáhlejšího řešení, při kterém proběhla komplexní implementace infrastruktury veřejných klíčů (PKI) na bázi produktu Entrust. Realizace PKI byla vzhledem k tehdejším limitovaným možnostem pro investice do IT společnosti a požadavkům na rychlou implementaci alespoň části funkčnosti PKI rozvržena do dvou fází.

V první fázi jsme nasadili open-source certifikační autoritu OpenCA, přičemž za úložiště privátních klíčů koncových uživatelů byly zvoleny USB tokeny iKey firmy SafeNet. Tyto bezpečnostní tokeny, vzhledem připomínající obyčejné USB klíčenky, v sobě obsahují kryptografický čip, který spravuje klíče uložené v tokenu a umí nad nimi provádět kryptografické operace (především elektronický podpis). Tokeny s aplikacemi komunikují prostřednictvím standardních rozhraní PKCS#11 a Microsoft CryptoAPI a navenek se chovají v podstatě stejně jako čipové karty, s tou výhodou, že jsou kompaktnější a nepotřebují zvláštní čtečku, stačí obyčejný USB port. Ve společnosti byla také provedena komplexní revize vnitřní sítě, její rozdělení do bezpečnostních zón, oddělení demilitarizované zóny, nasazení VPN koncentrátorů zajišťujících bezpečný přístup do intranetu a propojení jednotlivých poboček. Pro autentizaci sloužily servery adresářové služby na bázi OpenLDAP.

Hlavní motivací pro druhou fázi, zahájenou krátce po realizaci fáze první, bylo zlepšení uživatelského komfortu (automatický management klíčů, integrace PKI s koncovými stanicemi, navázání na Active Directory doménu apod.) a obecně především dosažení standardizované a ověřitelné úrovně informační bezpečnosti v prostředí firmy. Z těchto důvodů jsme nejprve překlopili prostředí PKI na certifikované (na úroveň EAL4+) komerční řešení založené na platformě Entrust, zavedli odpovídající procesy, směrnice, atd. Neméně důležitou potřebou bylo povýšení zabezpečení mobilních zařízení na úroveň odpovídající citlivosti dat v nich uložených, s přihlédnutím také k příslušným zákonům o ochraně osobních údajů v zemích jednotlivých poboček společnosti.

Zabezpečení dat na mobilních zařízeních

Zaměříme-li se konečně na samotná mobilní zařízení (tj. notebooky, PDA a tzv. „chytré telefony“), nejdůležitějším úkolem bylo navrhnout řešení pro zajištění maximální bezpečnosti dat. Produkt Entrust Desktop poskytuje zajímavé funkce pro šifrování jednotlivých souborů, šifrování celého disku na fyzické úrovni je však řešeno produkty třetích stran. Museli jsme tedy toto řešení doplnit.

Popravdě řečeno, výběr v této oblasti není příliš rozsáhlý. Relativně jednoduché nástroje většinou nesplňovaly některý ze základních požadavků, byly omezeny jen na některé platformy, případně nebyly dostatečně uživatelsky komfortní nebo neumožňovaly centrální administraci. Jediným produktem, který obstál ve všech požadavcích, se nakonec ukázal být produkt PointSec od firmy PointSec Mobile Technologies.

Systém PointSec je vlastně množinou nástrojů zajišťujících obdobnou funkčnost na několika různých platformách, mezi nimiž nechybí Symbian OS, Palm OS či Pocket PC a samozřejmě desktopové operační systémy. Produkt je certifikován dle standardu Common Criteria na úroveň EAL4. PointSec v nejdůležitější variantě – pro PC – chrání data pomocí šifrování celého disku a zabezpečuje tak nejen uživatelská data ale kompletní operační systém, včetně všech odkládacích a dočasných souborů. Výjimečnou funkcí je plná integrace s Entrust Desktopem a podpora SmartCard a tokenů, takže jsme mohli zavést následující dvoufaktorový Single Sign-On autentizační mechanismus při startu operačního systému: (1) uživatel zapne notebook, (2) ještě před startem systému je vyzván k autentizaci pomocí svého tokenu a hesla a (3) při startu operačního systému je pak automaticky a transparentně přihlášen jak k Entrust Desktopu, tak i do Windows.

Autentizace na ostatních mobilních zařízeních je řešena prostřednictvím zajímavé funkce tzv. obrázkového PINu. Pro odblokování zařízení musí uživatel ve správném pořadí vybrat sekvenci několika (např. čtyř) obrázků z celkem dvanácti nabízených. Aby nebylo možné odhadnout heslo zkoumáním více „ohmataných“ míst na displayi nebo klávesnici přístroje, jsou při každé výzvě k zadání PINu obrázky zpřeházeny.

PointSec podporuje také autentizaci pomocí jednorázového hesla použitelnou v naléhavých případech, např. při ztrátě tokenu. Proto byly navrženy procesy pro přijímání krizových telefonátů na helpdesku společnosti, ověření uživatele a vygenerování údajů pro jednorázové heslo.

Produkt PointSec tak dobře splnil dva, z podstaty vlastně do značné míry protichůdné, nároky na zabezpečení dat na mobilních zařízeních. Poskytl kompletní šifrování jakýchkoliv dat na disku jištěné dvoufaktorovou autentizací a zároveň celá práce se systémem zůstala stále velmi komfortní, a to i pro případně méně technicky zdatné uživatele.

Zabezpečení komunikace s centrálou

Ochrana dat na mobilních zařízeních by neměla valný smysl nebýt podobně zajištěného bezpečného přenosu těchto informací do jednotlivých poboček společnosti. Standardní možnosti zabezpečení elektronické komunikace u notebooků poskytuje modul Entrust Express zahrnutý do balíku Entrust PKI, pomocí něhož lze velmi jednoduše šifrovat a podepisovat elektronickou poštu. Pro připojení externích uživatelů do korporátní sítě a propojení jednotlivých poboček společnosti jsme realizovali řešení založené na principu virtuální privátní sítě (VPN). Během realizace perimetru jsme jednu z jeho bezpečnostních zón osadili VPN koncentrátory Cisco VPN 3000, sloužícími jako brány pro zakončení šifrovaného IPSec VPN tunelu.

Uživatelé desktopu resp. notebooků se k firemnímu intranetu připojují prostřednictvím Cisco VPN klienta. Autentizace je založena na X.509 certifikátech, opět s využitím bezpečnostních tokenů jako úložišť privátních klíčů uživatele. Na straně VPN koncentrátoru jsou pak autentizační údaje ověřeny prostřednictvím Radius protokolu oproti LDAP adresářové službě. Klient je integrován s Entrust Desktopem a je nakonfigurován tak, že v případě úspěšného připojení dojde zároveň k automatickému přihlášení do PKI prostředí Entrust na intranetu a případnému obnovení klíčových párů, pokud došlo či by mělo brzy dojít k jejich expiraci. Díky tomu jsme vlastně rozšíli prostředí PKI s automatickým managementem klíčů i na zařízení, která nejsou součástí vnitřní sítě, ale alespoň jednou za čas (častěji než je nastavena doba expirace certifikátů) se do ní připojují prostřednictvím VPN.

Jak lze očekávat, na ostatních mobilních platformách byla situace poněkud složitější. Dříve velmi oblíbený a na poli univerzálních mobilních VPN klientů v podstatě jediný produkt MovianVPN nebylo v té době možno nasadit, neboť firma Certicom krátce předtím ukončila jeho prodej a podporu. Závazky spojené s touto aplikací převzala firma Worldnet, která začala vyvíjet VPN klienta nové generace s názvem AnthaVPN. Nezbylo tedy než počkat na tuto novou aplikaci.

AnthaVPN podporuje většinu mobilních operačních systémů, včetně tehdy nových Windows Mobile 2005 a je tedy možné jej nasadit na celou škálu různých mobilních zařízení. Aplikace má vlastní chráněné úložiště certifikátů a klíčových párů, do kterého lze importovat soubory ve formátu PKCS#12. Postup při přihlašování do korporátní sítě z PDA či mobilního telefonu je obdobný jako tomu bylo u notebooků: uživatel spustí AnthaVPN klienta, zadá heslo ke svým privátním klíčům a případě kladného ověření totožnosti je připojen do intranetu, kde si např. může sesynchronizovat elektronickou poštu. Jediným logickým omezením je nemožnost integrace s bezpečnostním USB tokenem jako úložištěm privátních klíčů, neboť současná mobilní zařízení USB rozhraní nepodporují. Toto omezení v podstatě limituje počet mobilních zařízení ve firmě, protože narušuje jinak plně automatický proces managementu klíčů a velmi tak zvyšuje nároky na administraci. V našem případě však nešlo o závažný problém, neboť se požadavek na VPN spojení z PDA zařízení či telefonů týkal jen okruhu lidí z vrcholového managementu firmy.

Závěr

Bezpečnost mobilních zařízení není nic, co by bylo možné řešit samostatně, naopak je integrální součástí komplexního řešení informační bezpečnosti dané společnosti. V korporaci se podařilo vytvořit silné, certifikované a ověřitelně bezpečné informační prostředí, vyhovující příslušným zákonům na ochranu osobních dat v zemích jejích jednotlivých poboček, díky čemuž mj. firma úspěšně prošla externím bezpečnostním auditem.

Smutnějším závěrem je to, že se dostupnost a výběr bezpečnostních technologií prudce snižuje při přechodu z mobilních platforem provozujících „obyčejné“ desktopové operační systémy na platformy s výrazně odlišným hardwarem i softwarem, čemuž bohužel výrazně napomáhá stále se zvyšující roztříštěnost jednotlivých typů těchto mobilních zařízení.

Napsal Matouš Borák - 3. květen 2007, 19:11 do kategorie Články