Nutiseadmete turvalisus
1. Nutiseadmete füüsiline turvalisus
Mis võib juhtuda kui nutiseade satub ajutiselt ründaja kätte? Mida saab ründaja selle abil teha? Nutiseadme ajutise valdamise korral võib ründaja:
- lugeda / kopeerida / kustutada privaatset infot, enamasti on nutiseadmetel juurdepääs kirjakastile
- esineda nutiseadme omanikuna - saata nutiseadme omaniku nime alt kirju / sõnumeid / fotosid
- saada automaatne juurdepääs erinevatele kasutaja poolt salvestatud kontodele
- kasutada kasutaja kontoga seotud krediitkaarti (kulutada seadme omaniku raha)
- paigaldada seadmesse pahavara
- kasutada seadet kahefaktorilise autentimise jaoks
- saada juurdepääs omaniku poolt kasutavatele pilveteenustele
Seega on väga oluline, et ründaja ei saaks vaba juurdepääsu nutiseadmele. Selle vältimiseks tuleb nutiseadmel aktiveerida ekraanilukk ja kasutada koodiks mittetriviaalset mustrit / PIN koodi / parooli. Ka lühiajaline kokkupuude seadmega võib anda ründajale piisavalt aega, et olukorda enda huvides ära kasutada. Seetõttu peaks nutiseadme ekraan olema alati lukus, et kaitsta ennast olukorras kus võõras või ebausaldusväärne inimene jääb seadmega üksi.
Mustril põhinev lukk
Android kasutab mustril põhinevat ekraanilukku. Selleks, et ekraanilukku eemaldada tuleb sisestada muster 3x3 väljal. Selle meetodi kasutamisel võib ründaja mustri ära arvata juhul kui muster on lihtne või kui see on näpujälgede tõttu ekraanilt välja loetav. Ründajal on 20 võimalust, et mustrit ära arvata, pärast seda saab telefoni avada Google konto abil. Näpujälgede põhist rünnet on uuritud artiklis Smudge Attacks on Smartphone Touch Screens.
PIN koodil põhinev lukk
Nii Android kui ka iOS pakuvad PIN koodi põhist ekraani lukku. Androidis peab PIN kood koosnema neljast kuni 16 numbrist. Erinevalt Androidist pakub iOS võimalust kasutada kas neljakohalist PIN koodi (simple passcode) või siis parooli.
Kui Androidi seadmel on PIN kood viis korda valesti sisestatud, siis tuleb oodata 30 sekundit enne kui on võimalik uuesti proovida, kuid muid takistusi PIN sisestamisel ei ole. Oletame, et viie neljakohalise PIN koodi sisestamiseks kulub 10 sekundit, siis tegelikult koos viitega kulub viie PIN koodi sisestamiseks 40 sekundit. Tunnis on 3600 sekundit, seega saab ühes tunnis proovida umbes 90 PIN koodi. Sellises tempos kuluks neljakohalise PIN arvamiseks maksimaalselt 111 tundi ja keskmiselt 55.5 tundi.
Paroolil põhinev lukk
Nii Android kui ka iOS pakuvad parooli põhist ekraani lukku. Mõlemal süsteemil peab parool koosnema vähemalt neljast sümbolist, kusjuures Android lubab kuni 16 sümbolist koosnevat parooli ja iOS 6 kuni 37 sümbolist koosnevad parooli.
Kui Androidi seadmel on parool kood viis korda valesti sisestatud, siis tuleb oodata 30 sekundit enne kui on võimalik uuesti proovida, kuid muid takistusi parooli sisestamisel ei ole.
Sõrmejälje põhine lukk
Seitsmenda generatsiooni iPhone ehk iPhone 5S sisaldab sõrmejälje lugejat. Sõrmejälje tuvastamise funktsionaalsus kannab neil nime Touch ID. Apple sõnul hoitakse salvestatud sõrmejägede infot lokaalselt ja seda ei saadeta seadmest välja. Siiski on võimalik sõrmejälje lugejat ära petta kui ründaja leidab hea kvaliteediga sõrmejälje, mis kuulub seadme omanikule. Sellest kirjutatakse artiklis: Hackers claim to have defeated Apple's Touch ID print sensor.
Näotuvastusel põhinev lukk
Alates Android 4.0 on võimalik kasutada näotuvastusel põhinevat ekraanilukku. Näotuvastust seadistades tuleb lisada ka tagavara variant ekraaniluku eemaldamiseks juhul kui näotuvastus ebaõnnestub. Selleks saab valida kas mustri või PIN koodi. Juhul kui näotuvastus ebaõnnestub, siis pakub seade võimalust ekraanilukk kas mustri või PIN koodi abil eemaldada. Kui näotuvastus on kolm korda järjest ebaõnnestunud, siis saab ekraanilukku eemaldada ainult kas mustriga või PIN koodiga.
Näotuvastuse põhist ekraanilukku on lihtne fotoga avada ja seega on see pigem mugavusfunktsionaalsus. Selleks, et näotuvastust oleks veidi raskem ära petta lisati Androidi võimalus nimega "Liveness check", mis kontrollib näotuvastuse ajal silmapilgutust. Kui "Liveness check" on sisse lülitatud ja seadme omanik silmi ei pilguta, siis seadet näotuvastusega avada ei saa. Silmapiglutamise tuvastamiseks saab kasutada videot või fotost tehtud animatsiooni kus seadme omaniku silmad pilguvad.
2. Seadme krüpteerimine
Ekraanilukk ilma andmete krüpteerimiseta ei kaitse seadmele salvestatud andmeid. Seetõttu tuleks nutiseadmel aktiveerida krüpteerimine, sest see kaitseb nutiseadmel olevaid andmeid juhul kui seade varastatakse või kui ründajal on piisavalt aega, et seadmel olevad andmed kopeerida. Lisaks sellele tuleks teha võimalikuks andmete kaugkustutamine, seda võib vaja minna kui seade varastatakse ja on kahtlus, et ründaja võib ekraaniluku avada või kui seadmel olevad andmed on krüpteerimata.
Android ja iOS seadmete krüpteerimise ja kaugkustutamise õpetused on allpool. Isegi kui seade krüpteeritakse, siis sõltub andmete kaitstus PIN koodi või parooli keerukusest. Androidis kasutatavast krüpteeringust saab täpsemalt lugeda siit: Revisiting Android disk encryption.
2.1 Android seadme krüpteerimine
Kui vajate suuremat turvataset, siis kasutage kindlasti seadme krüpteerimist. See on operatsioonisüsteemi poolt toetatud alates Androidi versioonist 2.3.4. Tehke kindlaks kas teie seadme Androidi versioon, et teada saada kas seadme krüpteerimine on võimalik.
Hoiatused:
- Terve seadme krüpteerimine võib võtta mitu tundi, selle aja jooksul peab seade olema vooluvõrgus ja laetuna. Telefoni väljalülitumisel tühja aku tõttu keset krüpteerimist võib osa andmeid või kõik andmed kaduma minna.
- Pärast seadme krüpteerimist on iga kord ekraaniluku eemaldamiseks vaja sisestada PIN kood või parool, et seadmel olevaid andmeid kasutada (dekrüpteerida) saaks. NB! Parooli või PIN koodi kadumisel pole võimalik andmeid taastada.
Seadme krüpteerimise juhend:
- Settings -> Security -> Encrypt
2.2 iOS seadme krüpteerimine
Operatsioonisüsteemi iOS jooksutava seadme (iPhone, iPad) krüpteerimiseks on vaja seadmel kasutada ekraanilukku (pin koodi või parooli). Alates iPhone 3GS, iPod Touch 3 gen. versioonidest lülitab ekraaniluku kasutamine automaatselt sisse ka andmete krüpteerimise. Samuti toimib see kõikidel iPad mudelitel. Alatest iOS versioonist 8 ei saa ka Apple ise enam krüpteeritud seadmeid dekrüpteerida, kuna neil pole tagavaravõtit. Täpsemad turvasoovitused leiab Apple lehelt: http://support.apple.com/kb/HT4175.
3. Seadme jälgimine
3.1 Android seadme jälgimine
Google pakub Androidi jooksutava seadme jägmise võimalust läbi Android Device Manageri. Selleks, et seadet jälgida peab see omama internetiühendust (mobiilne internet / wifi) ja lubama oma asukohta määrata.
Jälgimise käivitamiseks:
- Minge lehele https://www.google.com/android/devicemanager
- Nõustuge tingimusega, et teie asukoha andmed saadetakse Googlele
- Vaadake kaardilt, kus jälgitav seade paikneb
- kui see ei tööta, siis kontrollige, kas jälgitaval seadmel on internetiühendus
- kui see ei tööta, siis kontrollige, kas asukoha määramine on seadetes lubatud
- Settings -> Location access -> Access to my location
- Settings -> Location access -> GPS satellites
- Settings -> Location access -> Wi-Fi & mobile network location
3.2 iOS seadme jälgimine
iOS alates versioonist 5 sisaldab funktsionaalsust Find My iPhone. See võimaldab kuvada vastavat seadet kaardil, saata seadmele sõnumeid, kaugjuhtimise teel seadet lukustada või seadmel olevad andmed kustutada.
Vastava funktsionaalsuse aktiveerimiseks minge: Settings -> Location Services (On) -> Find My iPhone (On). Samuti peab teil olemas olema iCloud konto.
Oma seadme jälgimiseks minge veebilehele https://www.icloud.com/ ja logige sisse kasutades oma Apple ID-d ja pärast seda vajutage ikoonile "Find My iPhone". Nüüd peate te uuesti oma Apple ID parooli sisestama ja siis kuvatakse kaardil vastava kasutaja seadmete asukohad. Vajutades seadet tähistavale täpile ilmub informatsiooni nupp, mille abil on võimalik seadet lukustada, seadmele sõnumeid saata või seadmel olevaid andmeid kustutada.
Apple ülevaade vastavast rakendusest: http://support.apple.com/kb/PH2696.
Youtube’is olev mitteametlik juhend: https://www.youtube.com/watch?v=XvvIyhgMnLI
Alates iOS 7 on lisaks olemas veel ka seadme aktiveerimislukk (activation lock), mis sisuliselt seob seadme konkreetse Apple ID kontoga ning varastatud seadet ei saa kustutada ega uuesti kasutusele võtta ilma vastava konto parooli teadmata. Selle eesmärk on muuta iOS seadmete varastamine mõttetuks. Aktiveerimislukk on Find My iPhone üks osa.
Lisamaterjalid ja viited
- Androidi turvamudel
- Mustril põhineva ekraaniluku ründamine
- Sõrmejäljel põhineva ekraaniluku ründamine
- The Guardian Project