13. oktober 2010  

Pressemeddelelse om Mobil IT Sikkerhed

Hvem har ikke prøvet at miste sin mobil?
Der rapporteres årligt mere end 10.000 mistede mobiltelefoner / smartphones , nogle er stjålet - særligt populær er  iPhone.

Hvilke data lagers typisk på enheden?
Er der konfidentielle data?
Er der private billeder?
Er der vigtig kontakt info?
Er der adgang til bank/offentlige myndigheder eller sociale netværk?
Er der synkroniserede erhvervs e-mails?
Er der erhvervshemmeligheder?

Selvom telefonen ikke mistes, bør brugeren være kritisk overfor hvem der kan tilgå informationerne på mobilen. De sikkerhedsangreb der sker i dag, er langt mere målrettede end de var tidligere…

Vidste du...
At din mobil kan blive smittet med malware, blot ved et enkelt besøg på et inficeret website? Hvis din telefon er inficeret med malware, så er det muligt for en tredjepart at tilgå lagrede filer, aflytte samtaler, læse dine beskeder (sms/mms), tilgå dine synkroniserede e-mails (hvis dette benyttes), følge din færden via GPS (hvis din telefon har dette), aflæse alle indtastede kodeord til f.eks. sociale netværk eller bank og selvfølgelig er det også muligt, at dine data blot kan blive ødelagt af destruktiv virus. Din mobil kan f.eks. inficeres med virus, som uopfordret og automatisk foretager opkald til betalingsnumre, vel at mærke uden at du opdager dette før du ser din regning.

Sker alt det her i Danmark lige nu? 
Nej ikke i stor udstrækning. Men vi har set eksempler på jaloux ægtefæller der installerer spyware til via GPS funktionaliteten i den anden ægtefælles mobil, for derved at overvåge vedkommendes færden. Softwaret der skal bruges til dette kan billigt købes og downloades på internettet. 
Vi har også set eksempler på inficerede mobiler der foretager opkald til betalingsnumre. En del brugere klager desuden over at modtage spam på sms.

Den oversete faktor
Men en helt overset faktor lader til at være, alle de mobiler der mistes, hvor der er lagret fortrolige oplysninger på eller oplysninger man vil være kede af at andre skal få indsigt i. Både private og virksomheder, bør være opmærksomme på hvad de lagrer på de mobile enheder og om informationerne er tilstrækkeligt beskyttet. Det er selvfølgelig ikke sjovt at f.eks. nøgenbilleder falder uvedkommende i hænde, men det kan være langt værre, hvis man bærer på personhenførbare data, som kan føre til identitetstyveri. Personhenførbare data SKAL altid krypteres.

iPhone og sikkerhed
Men hvad gør man så når man har en iPhone? Alt indhold på en iPhone kan tilgås, selv hvis den ikke er "jailbroken". Det er ligegyldigt hvorvidt der er pin-kode på enheden. Hullet er nemt at udnytte med Ubuntu(linux operativ-system), eller på Windows og Mac OSX, hvis man bruger software som iPhone explorer. Apple har ikke ladet de almindeligt anerkendte sikkerhedsvirksomheder udvikle til iPhone, men har i stedet selv udgivet en såkaldt "hardware kryptering" i de nyere iOS versioner. Men det tager på en iOS 3 få minutter at bryde og der findes endda en video med forklaring til hvordan man kan tilgå alle data, endda data der har været slettet i helt op til et år. Bristen ligger i at "recovery mode" ikke kræver en pin-kode, og dermed har man fuld adgang. Den almindeligt kendte Remote Wipe funktion som fås til smartphones fungerer ringe på iPhones, idet at telefonen skal være forbundet til netværket for at kunne slettes, hvilket nemt kan forhindres ved ganske enkelt at fjerne SIM-kortet på iPhonen. Ifølge de seneste informationer fra vores samarbejdspartner Sophos Plc. gælder det på iOS 4 at mails og kontaktinfo kan krypteres, men det er fortsat muligt for en hacker at tilgå resten af informationerne på iPhonen.

Derudover, hvis man ikke har patchet sin iPhone, kan en hacker via SMS hacke en iPhone, uden at brugeren kan se noget som helst. Der kræves ingen bruger input, og der er ingen notifikationer om at angrebet er i gang. Man bør som forbruger være særdeles skeptisk..  Apple's "vi godkender alle applikationer og derfor er det 100% sikkert." Holder ikke i det virkelige liv. Der er adskillige eksempler på Apps der har været inde i AppStore, som sidenhen er blevet afsløret i at sende konfidentiel information til bagmændene. Generel opfordring til brugere af iPhone: Jailbreak aldrig, da du i mange tilfælde, ikke kan holde enheden fuldt opdateret. Benyt altid de seneste software-opdateringer til din iPhone.  

NemID
Vi har allerede set eksempler på at brugere af NemID har indscannet deres NemID kort i mobilen. Udover at dette er ulovligt, så er der intet der forhindrer brugeren i at gøre dette, men vedkommende kompromitterer sin egen sikkerhed. Argumentet om at mobilen er pin kode beskyttet, holder kun i nogen grad. En pinkode beskyttelse kan med lidt tid for en hacker forholdsvist nemt brydes.

Beskyttelse
I dag er det muligt at beskytte langt de fleste smartphones med antivirus, antispyware, firewall, antispam, Simkort overvågning og antitheft funktionalitet, som gør det muligt at du kan låse og slette dine data på mobilen, hvis den mistes. Det er med nogle løsninger endda muligt, at du kan se hvor telefonen er (via en GPS locater). Ikke alle operativsystemer kan krypteres lige nuanceret og der er derfor vigtigt, at man forholder sig kritisk til hvad man lagrer på den mobile enhed, såvel som det er vigtigt, at når man skal købe en ny mobil, at man da vælger en der kan beskyttes optimalt.

5 Gode råd:

• Undgå så vidt muligt at gemme data på smartphones, som ikke ønskes delt med uvedkommende (Erhvervshemmeligheder, Billeder, koder til -netbank, dankort, facebook etc.)
• Brug så vidt muligt ikke en iPhone i erhvervsøjemed, hvis du vil være sikker på at kunne beskytte din enhed optimalt.
• Brug pinkode på din smartphone ,- Både skærmlås, men også til netbanken, sociale netværk, pauseskærmen og på mail.  
• Krypter altid personhenførbare data hvis de skal opbevares på smartphonen, hvis ikke du kan det, så lad være med at lagre dem på din smartphone.
• Hvis du bruger Symbian, Android eller Windows Mobile, brug da mobil sikkerheds software (kan ikke installeres på iPhone)

Man kan få råd og vejledning og læse mere om Mobil IT sikkerhed hos C-cure

Mere info kan udleveres af
C-cure's IT Sikkerhedskonsulent Thomas Bo Nielsen og Direktør Mette Nikander på Tlf. 45411446

Har man spørgsmål om Mobil IT sikkerhed har IT & Telestyrelsen nedsat et Ekspertpanel hvor C-cure også er repræsenteret. Det er åbent på hverdagene i uge 41 og giver gratis råd og vejledning.