Mnohí ľudia či spoločnosti si v telefonátoch alebo cez SMS vymieňajú privátne informácie a know-how. Neuvedomujú si možné bezpečnostné riziká spojené s mobilnou komunikáciou. Povieme si o podstatných z nich a o možnostiach chrániť sa.
Na bezpečnosť vo svete mobilnej komunikácie sa treba pozrieť z viacerých uhlov. Závisí od používateľov, samotných zariadení, podnikovej siete, mobilnej siete a iných faktorov.
Bezpečnosť pri GSM/GPRS
V sieťach 2 a 2,5 generácie (GSM/GPRS) má proces autentifikácie nedostatky. Tým hlavným je jeho jednosmernosť -- autentifikuje sa len používateľ, nie sieť samotná. V praxi to znamená, že hacker sa môže tváriť ako operátor, zriadiť si falošné vysielacie stanice a odchytávať hovory, zaslané dátové balíky a SMS správy.
Dáta sú v sieti GSM/GPRS chránené pri prenose sieťou proti odpočúvaniu pomocou šifrovania. To však nie je pre potreby súčasného zabezpečenia komunikácie dostatočne silné.
Medzi bezpečnostné medzery pri týchto sieťach patrí napríklad aj kontrola integrity (celistvosti) dát a nedobrá bezpečnosť pri prechode medzi sieťami, čo sa prejavuje hlavne pri roamingu. Za bezpečnosť sú zodpovedné len základňové stanice, nie ústredne, teda dochádza k problémom s ochranou medzi ústredňou a základňovou stanicou.
Bezpečnosť v sieťach 3G
Vďaka tomu, že siete 3G (UMTS) majú dostatočnú šírku pásma, šifrovanie nemá žiaden dosah na rýchlosť prenosu dát. Preto je bezpečnosť komunikácie v sieťach UMTS vyššia ako v sieťach GSM/GPRS, ale stále nie dokonalá. UMTS obsahuje bezpečnostné prvky, ako utajenie identity účastníkov, autentifikácia účastníkov či šifrovanie prenosu. Šifrovanie je oproti GSM vyššie (128-bitové), dáta však nie sú zabezpečené koncovo proti útokom typu replay. Preto by koncová ochrana dát mala byť zabezpečená aplikačným softvérom. Prítomná je kvalitnejšia kontrola integrity dát. Bezpečnosť sa kontroluje nielen v rámci siete, ale aj medzi sieťami; sú za ňu zodpovedné ústredne. Prepájanie do roamingu je však aj pri týchto sieťach bezpečnostným rizikom.
Používateľské dáta nemajú kontrolný súčet a sú náchylné na útoky opakovaním.
3G siete majú ešte niekoľko ďalších slabých miest, ktorých opis je nad rámec článku. Vzťahujú sa na ne aj všetky možné bezpečnostné problémy IP komunikácie.
Nebezpečné SMS
Krátke textové správy SMS sa stali bežným komunikačným nástrojom aj v biznise. V rôznych firmách manažment firmy oznamuje svojim zamestnancom cez SMS zmeny, či pozýva všetkých na porady. SMS sa postupne dostávajú do rôznych firemných riešení. Ide napríklad o ovládanie inteligentných domov cez SMS či zasielanie poplašných správ na mobil zabezpečovacími systémami pripojenými na SMS bránu. Využívajú sa aj pri systémoch mobilného bankovníctva či na informovanie o zaplatení daného tovaru.
Mnohokrát sa pri takýchto biznis riešeniach posielajú cez SMS správy informácie, ktoré sú privátne a ich zverejnenie môže narušiť firemné know-how či súkromie. Ani samotní tvorcovia týchto riešení si často neuvedomujú bezpečnostné riziká s tým spojené alebo ich jednoducho ignorujú z dôvodu vidiny zisku. Ešte menej si možné riziká uvedomujú samotní používatelia týchto riešení. SMS v základnej podobe je veľmi dobrým nástrojom pre jednoduchú komunikáciu a pre rôzne firemné riešenia, nie však pre zasielanie citlivých informácií.
Vo svete sa pre rôzne druhy útokov na SMS používajú výrazy ako SMS snooping, SMS spoofing či SMS interception. Tieto termíny označujú situácie, keď sa k SMS správam dostanú zamestnanci mobilného operátora a môžu si ich čítať, ak niekto odchytáva zasielané SMS alebo sa niekto nabúrava do serverov mobilných operátorov, SMS brán alebo priamo do koncových zariadení. Našťastie, všetky tieto útoky sú nepravdepodobné a pre útočníka veľmi prácne.
Cez rôzne SMS brány je možné sfalšovať odosielateľa SMS správy. Toto zneužitie je realizovateľné veľmi ľahko -- stačí si na internete nájsť jednu z dostupných služieb a zaplatiť si úvodný kredit. Preto si pri dôležitých informáciách treba overovať aj pravosť správy -- najjednoduchšie zatelefonovaním dotyčnému človeku.
Úrady a ľudský faktor
V mobilných sieťach je povolené odpočúvanie na základe právneho povolenia oprávnenými úradmi. Týka sa to aj prenášaných dát, zasielaných SMS správ, ako aj informácií o danom volaní. Prevádzkovatelia telekomunikačných a dátových služieb majú navyše povinnosť zaznamenávať údaje o všetkých hovoroch a správach počas jedného roka.
Najväčšie bezpečnostné hrozby zväčša vznikajú zavinením ľudského faktora alebo náhodnými situáciami. K množstvu citlivých dát uložených v telefóne sa môžu nepovolané osoby dostať v prípade straty či krádeže telefónu. Najčastejšie získajú čísla v telefónnom zozname a SMS správy. V telefónnom zozname môžu byť uložené čísla osôb, ktoré majú radšej svoje číslo utajené.
Pri SMS správach je riziko zneužitia citlivých informácií ešte vyššie. Väčšina ľudí SMS správy nevymazáva, kým nemá pamäť v telefóne určenú pre správy zaplnenú.
Odpočúvanie hovorov
Pred časom sa na svete objavili programy, ktoré slúžia na odpočúvanie mobilných hovorov. Pri neopatrnosti si takýto program nainštaluje do mobilu ktokoľvek z nás bez toho, aby si to všimol. Stačí spustiť inštaláciu cez sťahovací odkaz, ktorý útočník zašle v SMS správe alebo v e-maili čítanom cez mobilný telefón. Ďalšou možnosťou je inštalácia útočníkom vo chvíli, keď mobil necháte bez dozoru.
Program pri každom uskutočnenom hovore vytočí aj číslo odpočúvajúceho a spustí konferenčný hovor bez toho, aby bolo čokoľvek badať. Taktiež hacker, ktorý program zaslal, dokáže zavolať na hacknutý telefón a použiť ho ako plošticu. Telefón automaticky hovor prijme bez toho, že by zazvonil alebo by bolo čokoľvek vidieť na displeji. Odpočúvaný teda ani nevie, že daný hovor prebieha. Hacker pritom môže odpočúvať všetko, čo zachytí mikrofón telefónu.
Cez SMS a prílohy v e-mailoch sa dajú šíriť aj iné vírusy do mobilných telefónov. Rizikové sú zväčša telefóny s operačným systémom Symbian alebo Windows Mobile.
Ako sa chrániť
Aby sa predchádzalo zneužívaniu citlivých informácií, bolo navrhnutých niekoľko bezpečnostných odporúčaní, ktoré by sa mali všeobecne používať. V prípade SMS správ existuje niekoľko riešení, ktoré garantujú bezpečnú textovú komunikáciu. Sú to buď zašifrované textové správy alebo samodeštruktívne správy, ktoré sa hneď po prečítaní samy zmažú. Ako najlepšie sa javia správy YAPs, ktoré možno nájsť vo svete aj pod názvom Privatext alebo Cha-cha-wa. Známe sú aj správy CryptoSMS, tie však fungujú len na zariadeniach s operačným systémom ako Windows Mobile či Symbian (teda nie v špeciálnych systémoch pre jeden -- dva druhy telefónov). Šifrovať sa dajú aj hovory.
Ak vám záleží na bezpečnosti komunikácie cez mobilné telefóny, v prvom rade si spravte analýzu a zhodnoťte reálne riziká. Skontrolujte, nakoľko citlivé správy a údaje uchovávate vo svojich telefónoch alebo ich posielate cez SMS a mobilný internet. Taktiež sa odporúča dať si pozor na to, kto všetko má k telefónom prístup. Z dôvodu ľahkej možnosti straty či ukradnutia telefónov je potrebné využívať ochranu koncovými aplikačnými nástrojmi. Je dobré stanoviť postup, ktorý treba dodržať po strate či ukradnutí telefónu (napríklad požiadanie operátora o zablokovanie SIM karty).
Ochráňte telefón alebo aspoň jeho funkcie a časti (telefónny zoznam, prístup k správam, plánovač) číselným kódom či heslom. Na zariadeniach s operačnými systémami Windows Mobile, Symbian či Palm OS by sa mali používať antivírusové programy a firewall -- podobne ako na počítačoch. Taktiež dávajte pozor, s akými okolitými zariadeniami telefón komunikuje a nenechávajte spustený Bluetooth alebo Wi-Fi na mobilných zariadeniach nepretržite. Zapínajte ich len v prípade potreby. Buďte opatrní aj pri prílohách v e-mailov v mobilnom telefóne, ako aj na aplikácie, ktorých sťahovacie odkazy vám prídu do telefónu cez SMS od neznámeho odosielateľa.
Pravidlá bezpečnej mobilnej komunikácie je potrebné vysvetliť aj svojim rodinným príslušníkom, známym a na pracoviskách. Ak iba jedna komunikujúca strana dodržiava bezpečnostné pravidlá a druhá nie, ochrana nemôže byť úplná.
Základné rady pre bezpečnosť
-- Preferujte 3G siete na komunikáciu.
-- Zabezpečte používanie telefónu alebo niektorých funkcií kódom (nie PIN kódom k SIM karte). Ak nie je úplne zabezpečený, nenechávajte ho bez dozoru.
-- Mažte SMS s citlivými údajmi. Zvážte používanie šifrovaných SMS pri obzvlášť citlivých údajoch. Nezabúdajte, že odosielateľ SMS nemusí byť skutočný.
-- Nesťahujte do mobilu čokoľvek z neznámeho zdroja.
-- Bluetooth a Wi-Fi majte zapnuté len v prípade potreby. Sledujte, či nekomunikujú s neznámymi zariadeniami.
-- Vysvetlite pravidlá známym.