Původně jsme si měli povídat o IT bezpečnosti zeširoka, od exploit kitů přes nejnovější trendy ohrožení až po zranitelnost mobilních zařízení. Vzhledem k mému zájmu o bezpečnost mobilních zařízení jsem se v rozhovoru s Johnem Shierem, bezpečnostním poradcem společnosti Sophos, zaměřil právě na tuto oblast.
Jsou exploit kity skutečně tak aktuální? Nějakou dobu přece trvá, než je někdo vytvoří, pak distribuuje, a přitom přicházejí stále nové hrozby, které takový nástroj využívat neumí.
Exploit kity se v současné době přenesly do privátní sféry. Dříve byly dostupné na internetu a kdokoliv si je mohl objednat. Dnes už tak běžné není, aby vám kyber zločinci prodali exploit kit na nějakou kampaň, protože jejich vývoj trvá nějakou dobu. Existují proto kity pro různé oblasti jako Java, flash, MS Word.
Sophos dodává nástroje pro ochranu, musejí exploit kity překonat tento obranný val? Kdo je vyrábí a dodává?
Exploit kit je vždy určitým souborem softwarových nástrojů, které ohrožují počítače a hledají jejich zranitelnosti – například před několika dny se objevil malware napadající virtuální stroj v sandboxu Oracle. Exploit kity, jak je známe dnes, se snaží využít hrozby nultého dne (malware s neznámou signaturou), přičemž jejich ceny se různí. Objevují se na skrytých webech, na Twitteru, a jejich vývoj zadávají i některé vlády. Sophos samozřejmě nabízí ochranu, která je schopna zmírnit tyto útoky, které míří například na buffer overflow, code injection, code caving.
Odkud přichází nejčastější ohrožení mobilních zařízení?
Nejčastější ohrožení mobilních zařízení vychází z chování a interakce samotných uživatelů. Používají smartphone nebo jiné mobilní zařízení jinak než běžný telefon, k surfování na webu, čtení e-mailů, hraní her, autorizaci bankovních transakcí, pořizování a přenášení fotek na chatech. Všechny mobilní operační systémy, zejména iOS, jsou dnes velmi dobře zajištěné. Avšak když se jako uživatel připojíte k nechráněné síti a budete tam provádět bankovní transakci, jste v ohrožení, dokonce i když budete mít svoje zařízení zašifrováno. Když se připojíte k nezajištěné Wi-Fi a budete tam dělat citlivé operace, každý v takové síti to může vidět.
Každý by se tedy měl v síti chovat s vědomím, že jeho zařízení je v podstatě dopředu kompromitováno?
Přesně tak. S mobilním zařízením byste měli v každé síti zacházet z pohledu bezpečnosti jako s desktopem nebo notebookem a starat se stejně i o jeho bezpečnost. Smartphone v síti už není jen telefonem.
Jak jsou na tom z pohledu bezpečnosti Android, čistý Android a Apple iOS?
Dnes zde máme jednu verzi Androidu vedle stovek jeho jiných verzí. Tou první je Android, který vydává Google s pravidelnými aktualizacemi. Ty další verze jsou pak z dílen výrobců smartphonů jako jsou Samsung, LG a další. Vždy si ten čistý Android sami trochu přiohnou, doladí; s každou další změnou v nastavení, ale třeba i klávesnicí, tam přidají další software. A čím více softwaru v zařízení je, tím je také zranitelnější, dává větší potenciál k napadení.
Další položkou jsou (bezpečnostní) aktualizace. Google vydává aktualizace pro (svůj čistý) Android každý měsíc. Spousta výrobců smartphonů však aktualizace pro svoji verzi Androidu nevydává. Do takového přístroje se můžete dostat třeba přes aplikaci pro fitness. Apple má oproti tomu 100% kontrolu, protože vyvíjí a vyrábí hardware i software. Když se rozhodne, že vydá aktualizaci, každý ji dostane prakticky ihned (Apple dokáže distribuovat svoje aktualizace k uživatelům z neuvěřitelných 95 %, pozn. red.). Je proto snazší argumentovat, že iOS je bezpečnější.
Když vezmete dva uživatele smartphonů, jednoho s Androidem a druhého s iOS, bude ten s iPhonem skutečně od vybalení z krabice bezpečnější. Už jen z toho důvodu, že jediné místo, kde může pořídit nějaké aplikace, je na App Store od Apple. Jak pro App Store, tak pro Google Play, dnes existuje mnoho aplikací. Nebezpečím pro uživatele Androidu přitom je, že se mezi nimi stále potuluje množství telefonů s verzí Android 5 a nižší, kde je nižší míra bezpečnostních prvků, než je tomu u nejnovějších modelů. Nový Android od Google už je ale velmi bezpečný, systém i samotné čipy obsahují mnoho bezpečnostních prvků.
Podle informací z white papers od obou výrobců však základním rozdílem zůstává, že Apple řídí a kontroluje vše, zatímco Android je platformou pro všechny ostatní výrobce, a proto je v souvislosti s chováním uživatelů zranitelnější. V Androidu také můžete odblokovat stahování aplikací z jiného místa než z Google Play, což je další potenciální hrozba. Stáhnete si aplikaci, která nebyla prověřena, analyzována, je infikována, a hned jste v maléru.
Jak může Sophos z pozice dodavatele bezpečnostních řešení pomoci v ochraně mobilních zařízení?
Sophos nabízí hned několik způsobů. Administrátorům dáváme k dispozici nástroje pro distribuci verzí konfigurací firemních profilů do podnikové infrastruktury. Podporujeme sledování mobilních telefonů, aby byly k nalezení, když je uživatelé ztratí. Přidali jsme další vrstvy bezpečnosti o kontrolu stahování aplikací z jiného místa než z Google Play, ve smyslu kontroly aplikací, zda nejsou infikovány. Takto samozřejmě kontrolujeme i aplikace, které jsou z Google Play a App Store. Umíme řídit a kontrolovat i vnitřní Wi-Fi síť, a to včetně firewallů, od připojených desktopů a notebooků až po mobilní zařízení jako jsou smartphony a tablety zaměstnanců i návštěvníků. Nejdůležitějším přitom je, mít jedno centrální místo, ze kterého veškerý síťový provoz řídíte jako ze serveru, což Sophos poskytuje pod názvem Sophos Central.