Modularisering sikrer mobilen

Denne sommeren og høsten er det kommet flere solide løsninger for både endepunktsikkerhet i bedriftene og totale sikkerhetspakker for hjemmepc-ene. Antivirus er snart like vanlig og effektivt som strøm, vann og internettkopling. Men på de mobile klientene er det ofte sikringsfritt, selv om sikkerhetspakker for små, mobile enheter finnes.

- De store virksomhetene har som regel sikkerhet for mobiltelefoner på plass. De har gjerne hatt det en stund. Og det er vekst i sikring av mobile enheter, fortelle Mats Aronsson hos Symantec. Han har jobbet med sikring av mobile enheter for Symantec globalt de siste to årene.

- Grunnen er ikke at det er så overveldende mange trusler mot mobiltelefoner. Men konsekvensene av et vellykket sikkerhetsbrudd mot en mobil er så mye større.

Få, men effektive

Det er drøyt tusen forskjellige kjente trusler som kan brukes til bryte inn i en mobiltelefon, og rundt femti er alvorlige. Sårbarheten ligger i at en mobiltelefon er en personlig enhet, som entydig kan knyttes til én person. En pc er slik sett mer upersonlig, de færreste har med seg pc-en overalt, inkludert i alle møter eller i soverommet. Den har også sjeldent en-entydig nettilkopling hele tiden, den kopler seg til fra mange typer nett, med mange typer ip-adresser eller sikring.

Og det er ingen garanti for at samme person alltid bruker samme pc. Et rettet angrep mot en mobiltelefon er derimot entydig: Det er et kjent mobiltelefonnummer, med en kjent eier og bruker.

- Det vi ser er forsøk på å installere fjernstyringsprogram i mobiltelefoner. Slike programmer kan brukes til å skru på mikrofonen for å ta opp hva som sies i møter, eller aktivere kameraet for å ta bilder. Både lyd og bilder overføres til den kriminelle uten å etterlate seg vanlige spor i mobilen, forteller Aronsson.

Installasjon av slik fjernstyringsprogramvare kan både komme via web-lesing, mms-meldinger eller minnekort. Og her ligger også nøkkelen til sikring.

- En mobiltelefon er i utgangspunktet en langt sikrere enhet eller en pc. Det er for eksempel bare én aktivitet i en mobil som ikke krever aktivt samtykke fra brukeren: Mottak av sms, understreker Aronson. Alle andre aktiviterer, fra mottak av samtaler til kjøring av mms, web-browsing eller hente noe fra et minnekort krever aktivitet eller annet samtykke fra brukeren.

En kjent innvendng mot dedikert sikringsprogramvare er at det blir nok en programvare i en ikke spesiell kraftig enhet. Konsekvensen er at mobilen blir tregere, og klagene og brukerstøttekravene til en it-avdeling stiger.

- God sikring av en mobiltelefon behøver ikke innebære installasjon av dedikert sikkerehetsprogramvare. God enhetskontroll og –adminstrasjon kan fint være nok til å sikre alle enheter, også de mobile, poengterer Aronsson.

Han forklarer at enhetskontroll hvor man skrur av funksjoner som er risikofyllte, som fri web-bruk, åpen bluetooth eller bruk av minnekort ofte vil være nok.

- Om en bruker ikke kan leve med, eller gjøre jobben sin med slike regler, så bør man installere dedikert sikkerhetsprogramvare. Men også dette bør moduliseres, om det er virus som er trusselen bør kun antivirus installeres, for eksempel.

Sikkert i design ikke nok

Foreløpig er det kjente operativsystem som Windows Mobile og Symbian som vanligvis kjører i virksomhetstelefoner. Men nye utfordringer kommer fra Apple og Google. Aronsson ser dem som illustrasjoner av hvordan sikkerheten blir en utfordring avhengig av grunndesign.

- Apple iPhone har fordelen av at den er designet som en mobiltelefon, og har dermed en sikkerhetsfordel. Android er et lett universal-os laget for en mengde enheter, også mobiltelefoner. Android krever dermed samme sikkerhetsregime som alle pc-os, forklarer Matsson.

I praksis er det imidlertid ikke bare enkelt. I Apple-stil er full kontroll over egne enheter kun for Apple sjøl, noe som gjør at administrasjon og sikring av iPhone fra virksomheten sin side er vanskelig.

- Apple hevder med rette at alt som installeres i en iPhone er testet og godkjent av dem. Derfor er sikkerheten alltid god. Sier Apple. Og skulle det avdekkes hull eller svakheter, så sendes en oppdatering ut fra AppStore, forteller Aronsson.

Dette vil ikke være nok for virksomheter. For det vil skje feil hos Apple, og en virksomhet vil ikke overlate denne type sentral sikkerhet til en tredjepart.

Og iPhoner som har cracket operatørlås er populære mål for angripere, siden flere av grepene som sikrer iPhone blir ødelagt gjennomslik cracking. Symantec jobber derfor både med Apple og med Google for å tilby sikring for disse plattformene i ikke for fjern framtid, røper Aronsson.