Mobiele veiligheid is hot. Smart phones, PDA’s en laptops, ja, daar zijn leuke dingen mee aan de hand. Neem de Blackberry, de smart phone voor de elite, van het Canadese bedrijf RIM.
Is een Blackberry veilig? Vast wel. Ze zijn in elk geval in ons land goedgekeurd voor het bevatten van (lage categorieën) staatsgeheimen. Nu was niet iedere regenjas hier te lande daar even blij mee, en de Franse collega’s hebben het tegen een vergelijkbare set beveiligingseisen afgekeurd. Ook elders is blijkbaar niet iedereen even overtuigd van de veiligheid van de BB. Onlangs ontstond nog ophef over de vermissing van twee toestellen van Amerikaanse diplomaten bij een internationale top. Als de BB’s superveilig waren, zou er geen ophef zijn geweest. Het Witte Huis geeft geen commentaar.
RIM stelt zich over het algemeen terughoudend op met claims over de veiligheid van het eigen product. Leveranciers echter geven er torenhoog over op. Brian Reed, chief marketing officer van BoxTone: "The Blackberry is the Sherman tank in terms of a secured device, as security has always been a focus for RIM". De Sherman tank stond er echter vooral om bekend dat hij zo snel in de fik vloog. De bemanningen gaven hem de bijnaam Ronson, naar de aansteker. Maar dat bedoelt Reed denk ik niet. Hij bedoelt denk ik gewoon dat je een Blackberry moet kopen en verder geen ingewikkelde vragen moet stellen. En dat zal je bedrijf gewoon doen, of je nu tegensputtert of niet.
RIM heeft met de laatste versie van de Blackberry server weer een boel extra beveiligingsfeatures toegevoegd. Zo kan de beheerder gewaarschuwd worden als het toestel zich op een onwaarschijnlijke plek bevindt. Ook kan de server instellen dat de telefoon zichzelf vernietigt als hij wordt aangevallen. De zwaktes van een paar jaar geleden met certificaten en trojans lijken nu ook onder controle. Dat is goed.
Met het sterker worden van de toestellen verschuift het beveiligingsvraagstuk richting de infrastructuur. De Blackberry servers in het eigen netwerk vormen een kritiek onderdeel van de beveiliging. Hoe je die inricht is een zeer prominent vraagstuk. Immers, de server is de sleutel tot het koninkrijk.
Nu word je door de consultants aangeraden een Blackberry router in een DMZ op te stellen vóór de BES server, die immers onderdeel van het LAN moet zijn. Denk echter niet dat de Blackberry router een echte router is: het is een Windows machine met een routerende functie erop. Gegeven het feit dat de BES ‘router’ berichten verwerkt, en dus input van buiten afhandelt, is dit systeem categorisch kwetsbaar. De input moet afgehandeld worden en dat brengt risico’s met zich mee. En die zijn niet denkbeeldig. Volg de berichten van 0day kwetsbaarheden en virussen maar: packers en parsers – daar gaat het om. Bovendien vraagt het veilig opstellen van een Windows server in een DMZ expertise en hulpmiddelen die in veel organisaties ontbreekt.
Verder luidt het dringende advies om een firewall tussen de BES router en de BES server in het LAN te plaatsen. Dat klinkt goed. Alleen moet het wel een hele slimme firewall zijn – hij moet toch eerst het verkeer snappen. Een simpele statefull firewall zal er weinig van bakken.
Zonder een DMZ/BES Router architectuur geldt het geheel als onacceptabel zwak. Maar ook als je alle adviezen opvolgt wordt het nooit heel sterk. Als het strengste dat je kunt doen is zorgen dat alleen de BES router kan communiceren met de BES server, is je winst eigenlijk niet zo groot. Deze structuur kan weliswaar een aanval vertragen en de pakkans vergroten, maar zeker niet uitsluiten. Helemaal niet op de lange termijn.
Als de server voor gaas gaat bij een aanval, gaat bovendien niet alleen het hele mobiele gebeuren mee, maar ook het interne netwerk. BES is een Windows applicatie die gebruik maakt van active directory. Een significant deel van de beveiliging ligt dus buiten BES en in de inrichting van de Windows omgeving. Met het introduceren van geavanceerde beveiligingsfeatures voor de telefoons krijg je vanzelf de neiging om de apparaten in te zetten voor meer kritieke rollen. En zo ontstaat dan juist meer onveiligheid: BES kan voor een aanvaller een mooie en permanente toegang vormen tot een beveiligd netwerk, dus het is het al snel waard.
De gaten zullen wel gevonden worden. Daarvoor staat de klantenlijst van Blackberry garant. Bij het zien van die lijst zal immers menig ondernemend of spionerend hart in Rusland of China al sneller gaan kloppen. En die melden hun exploits niet op Full Disclosure.
Tips
• De complexiteit waar je mee te maken krijgt als je de puzzel die Blackberry heet wil beveiligen in een bedrijfsnetwerk overstijgt het denkraam van vrijwel iedere beveiliger. En zodra niemand het overzicht kan bewaren, maak ik me zorgen. Daarom een paar tips:
Bedenk je dat mobiele veiligheid niet alleen de beveiliging van het apparaat zelf is. De verkopers hebben het wél alleen daarover. Het is namelijk hun product. En ze willen het verkopen.
• Beveiligingsfeatures dienen om toestellen te verkopen, niet om je data te beveiligen. Hoe beter je oplet en hoe meer je vraagt, hoe beter die beveiliging zal worden. Praat met de makers. De leverancier zal immers alles doen om je een nieuw apparaat te verkopen. En als dat inderdaad beter is, ach, waarom niet – je hoeft niet te doen alsof je het uit eigen zak betaalt, hoor.
• Vroeg of laat wordt de back-end kwetsbaarder dan de front-end. Een sterke beveiliging van de front-end via de back-end kan gebruikt worden als aanvalsmiddel. Als een toestel remote gesloopt kan worden met een beveiliginsfeature, zal er altijd iemand zijn die gaat uitzoeken hoe deze functie te misbruiken. Niet elke feature is een aanrader.
• Zodra een telefoon te breken is met een e-mailtje, zijn e-mailtjes een groter risico dan telefoondiefstal.
• Met Blackberry neemt de vervlechting van je systemen binnen en buiten toe, dus ook de kwetsbaarheid. Op enig moment zul je SAP en Putty op de toestellen aantreffen. Beveiliging per laagje, per clubje en per silo is dan kansloos.
• E-mail is grotendeels zut; e-mail op een telefoon is niet anders. Filtering van mail op onwenselijke zaken wordt dus nog belangrijker dan het al was. Daarbij moet je je realiseren dat bestaande mailfilters hoofdzakelijk bedreigingen voor Windows onderscheppen. Die zijn niet goed genoeg.
• Als berichten door een parser moeten, is een systeem zeer kwetsbaar. Het is fijn dat je bestanden in Word en Acrobat kunt bekijken op je minuscule schermpje, maar ieder format erbij introduceert ook tientallen mogelijke nieuwe gaten. Ook antivirusproducten gebruiken een parser. Stel je er dus op in dat je regelmatig bepaalde bestandstypen moet tegenhouden tot je kunt patchen. Zorg dat je dit kunt en dat de gebruikers dat weten.
• Het beveiligen van browseverkeer tegen malware en gerichte aanvallen staat in vergelijking tot mail al helemaal in de kinderschoenen. Zelfs de beste middelen die je kunt inzetten zijn zeer beperkt qua mogelijkheden, dus stel grove beperkingen in de sites die de BB-gebruikers mogen bezoeken.
• S/MIME en HTTPS certificaten mogen dan wel beveiligingsmiddelen zijn, als ze van onbekende herkomst zijn kunnen ze zelf een bedreiging vormen. Zij zijn immers óók input van onbekende users, die je eerst moet verwerken voordat je weet of het goed is.
Spionage en cyberterreur
Dan zijn er ook nog mensen die zich druk maken over het feit dat alle berichten via het RIM-netwerk lopen, en dus via Noord-Amerika. Dan zou de NSA ze kunnen onderscheppen en kan alle gevoelige informatie bij onze militaire bondgenoot annex economische concurrent terechtkomen. Eng? Misschien, maar het introduceert geen extra risico: hetzelfde geldt voor alle andere communicatiekanalen, behalve postduiven en buizenpost. (Rooksignalen niet: die worden door satellieten in de gaten gehouden.)
Andere overheden kunnen de berichten juist weer niet onderscheppen – zo lopen er discussies met de Indiase regering die de berichten van BB-gebruikers uit India wil kunnen onderscheppen. Hoewel het projecteren van dit soort nationale behoeftes op een grensoverschrijdend systeem als BB té 1952 voor woorden is, zal er toch heus wel een afluistervoorziening ingebouwd worden. RIM zal de groeimarkten in Azië immers niet willen missen. Nu vinden wij het over het algemeen niet zo heel erg dat Amerikaanse spionnen onze diepste geheimen kennen, maar om hun collega’s uit India of China hetzelfde privilege te geven gaat wel erg ver.
Wat belangrijker is, is dat een aanval op RIM zelf een mega-impact op de Command and Control keten van het Westen zal hebben, een kwetsbaarheid die steeds groter wordt met het groeiend gebruik. Nu zullen de verschillende krijgsmachten hopelijk hun eigen separate communicatiekanalen hebben, maar bedrijven en andere overheden zullen in dat geval strategisch onthoofd worden. Toch lastig, vooral in spannende tijden. Bovendien zal het lang niet altijd duidelijk zijn dat het aanval is – het zou ook een storing van een aantal dagen kunnen zijn.
Het onderuit schoffelen van het RIM netwerk zou een goede stap zijn in een cyberaanval, waarbij laagje voor laagje het weerstandsvermogen van een land afgebroken wordt. Misschien is het een idee om bij een rampenoefening een dergelijk scenario eens uit te proberen. Niet dat zo´n aanval eenvoudig zal zijn - RIM neemt de zaken vast wel serieus - maar de les van alle andere complexe en samengestelde systemen is, dat er altijd een aanval mogelijk is. Dus Blackberry: een leuk statusverhogend gadget, waar voor echt serieus gebruik een goed alternatief achter de hand gehouden moet worden.
Peter Rietveld, Senior Security consultant bij Traxion - The Identity Management Specialists -
Vorige columns van Peter
Deze posting is gelocked. Reageren is niet meer mogelijk.