Del 3 af “15 råd om sikkerhed på mobile enheder”

Sidste del af den artikel serie, hvor jeg gennemgår de “15 råd om sikkehed på mobile enheder” fra Center for Cybersikkerhed (“CFCS”).
I dette indlæg tager jeg udgangspunkt i de sidste 5 råd og går igen et spadestik dybere. Til sidst tilføjer jeg også nogle råd, som jeg mener skal med her.

Klik på billedet her for at komme til 1. del af denne serie om de 15 råd fra Center For Cybersikkerhed.

I sidste indlæg gennemgik jeg følgende råd fra CFCS’s vejledning:

  • 15. Adskil arbejde og privatliv
  • 3. Hold dine mobile enheder opdaterede
  • 2. Kryptér data på dine mobile enheder
  • 1. Beskyt dine mobile enheder med en adgangskode
  • 7. Slet data på din mobile enhed, hvis du mister den.
  • A. Brug en datablocker mod Juicehacking.
  • 6. Backup og lagring af informationer uden for din mobile enhed
  • 13. Installér kun apps fra officielle tjenester.
  • 8. Brug trådløse netværk (Wi-Fi) med omtanke.
  • 9. Brug ”Virtuel Private Network” (VPN)
  • 4. Undgå at uvedkommende kan læse beskeder fra din låste telefon eller tablet.

Jeg har valgt min egen prioritering af CFCS’ råd, en rækkefølge, som jeg finder mere korrekt. Jeg har valgt at indsætte et råd: A, som er mit eget råd, men som jeg fandt vigtigt at indsætte som punkt 6, da jeg indledningsvis havde valgt at lave min egen prioritering af CFCS’s råd, og her manglede dette råd imellem deres. Derfor har jeg indsat mine egne råd i denne prioritering.


“Råd 5. Modvirk aflytning af din mobile enhed.”

CFCS gode råd er, at være opmærksom på hvilket netværk, som du er på. Det sikreste er 4G netværket, herefter 3G og sidst EDGE (eller 2G).

Appen SIgnal. Klik på billedet for at læse mit indlæg om hvordan signal virker.

CFCS går skridtet videre og anbefaler at du benytter apps med end-to-end kryptering, som fx. Signal, WhatsApp, iMessage, mfl.
Dette råd mener jeg skal opdateres set bl.a. i lyset af at EU Kommisionen, i marts måned ’20 anbefalede at man kun benyttede appen Signal, og ikke iMessage, WhatsApp, Telegram, Messenger, HangOuts, mv.

Selv om de andre services også benytter end-to-end kryptering, så er Signals styrke, at denne app er baseret på Open Source. “Open Source” vil sige, at alle kan se med ind i programkoden, og fx. kontrollere at der ikke er bagdøre til NSA eller andre.
Jeg bloggede om EU kommisionens anbefaling i forrige uge i dette indlæg, som uddyber argumentet for at vælge Signal, frem for andre løsninger.

Din organisation kan vælge at udrulle appen Signal vha. organisations device management løsning.

Bemærk at Signal findes til iOS, Android, Windows og Mac, hvilket betyder at man kan kommunikere på tværs af de forskellige OS.


“Råd 14. Send krypterede SMSer.”

Dette råd falder sammen med det forrige, idet CFCS også her anbefaler at man benytter appen Signal til at sende SMS’er.
De normale SMS’er er ikke krypteret.
Og med samme begrundelse, som i punktet ovenfor, så bør du ikke benytte iMessage, HangOuts, WhatsApp, Telegram eller lignende ikke-open-source løsninger til at dele fortrolige oplysninger.


Råd B. Tag ikke dit smartphone med til fortrolige møder.

Skal i afholde et fortroligt møde, så skal lade PC’er, smartphones, tablets og smartwatches, bluetooth højtalere, smart TV, mv. blive udenfor mødelokalet.

Jeg har faktisk hørt, at CFCS faktisk anbefaler dette råd, om end det ikke er med i deres 15-punkts vejledning. Jeg tager det derfor med her, da jeg synes det falder fint ind i min omarrangering af rækkefølgen af CFCS vejledning.

Googles Echo og Amazons Alexa

I efteråret ’19 var der en del polemik om at Apples Siri, Google Echo, Samsung Bixby og Amazons Alexa havde aflyttet folks private samtaler. Nuvel for at “forbedre kvaliteten” af disse services, forklarede de…
Edward Snowden dokumenterede, at NSA har værktøjer, som kan aflytte din smartphone. Snowden hævdede at NSA endda kunne bruge denne viden til at assistere amerikanske virksomheder.
I dette indlæg fra 2017 skrev jeg om et hackerværktøj “Droidjack”, som kunne bruges til at lytte med på din smartphone, filme, mv. Det bør give stof til eftertanke. I foråret 2019 talte man meget om værktøjet “Karma” som kunne hacke en iPhone.
Det korte af det lange er: din PC, din smartphone, dine tablet, dit smartwatch, osv. benyttes til at lytte med på dine samtaler. Derfor hold disse enheder udenfor møderum, hvor du skal have en fortrolig samtale.


“Råd 10. Slå Bluetooth fra”

Der er flere grunde til at en organisation skal forholde sig til dette.

Flere og flere smartphones og tablets forudsætter at man benytter trådløse Bluetooth headsets, når man vil lytte til en film eller musik, men også føre en samtale. Mange forbinder også deres trådløse tastaturer vha. Bluetooth. Men Bluetooth trafik kan hackes. Læs dette indlæg om Bluetooth-hacking. Allerede her er der et problem med bluetooth.

Mange forbinder deres smartphone til (leje-) bilens radio via Bluetooth og synkroniserer kontakterne med bilens systemer. Er her tale om organisationens kontakter, så har vi et databrud.
Jeg har lejet biler på feriesteder og tit konstateret, at den forrige lejer havde glemt at slette alle data i telefonbogen.

Endelig kan Bluetooth benyttes til at overføre data til din enhed!

I denne artikel fra 2019 på Cyware.com kan du læse mere om forskellige måder at hacker vha. Bluetooth.

Så følg CFCSs råd og slå Bluetooth fra, når du ikke bruger din enhed.

CFCS anbefaler, at organisationer fuldstændigt slår brugen af bluetooth fra vha. organisationens device management løsning.
Ja..jo…tja…igen, som jeg var inde på i indledningen til denne gennemgang af CFCSs råd, så ville sådanne et tiltag aldrig lade sig gøre på en BYOD enhed. Og jeg kan forestille mig at ganske mange medarbejdere, der har fået enheden udleveret af deres organisation OG må bruge den privat (betaler skat af det), absolut vil have mulighed for at benytte et bluetooth keyboard, bluetooth headset eller højtaler, osv.

Ubertooth, værktøj til at hacke bluetooth.

For at hacke bluetooth, skal hackerne normalt have den hackende enhed indenfor 10 meter af enheden, der skal hackes.


“Råd 11. Deling af data ved direkte trådløs forbindelse mellem mobile enheder”

CFCS anbefaler i dette råd, at man benytter direkte deling af fortrolige dokumenter, mv. imellem enheder, fremfor at sende disse på en email eller overføre dem via cloud tjenester.

Her er jeg ikke enig.

Well…hvis der er tale om en enhed, som alene benyttes til virksomhedens data og hvor man har 200% tillid til personen, der benytter enheden, så kan man argumentere for dette råd.

Mange virksomheder ønsker netop at lukke ned for tjenester, så som Apple AirDrop eller Google Files, idet enhver kan dele virksomhedens fortrolige data med andre uden at IT-afdelingen har en chance for at opdage dette!
Mange organisationer har implementeret fx. Data Leakage løsninger (“DLP”), der alarmerer brugeren (og måske IT-afdelingen) såfremt en fil med sensitive/personhenførbare/fortrolige data forsøges at blive sendt ud af organisationen, gemt på en USB-nøgle, mm.

Data Leakage Protection - DLP

Handler jeg i ond tro og vil overdrage fortrolig data til min nye kommende arbejdsgiver uden at min organisation bliver alarmeret om dette, jamen så vil jeg da benytte disse direkte delingsmuligheder på min enhed!

Igen et godt argument for at benytte containerisering, der adskiller private data fra organisationens data. Og skal man være helt sikker, så kunne filkryptering af organisationens data give den optimale sikkerhed.


“Råd 12. Slå lokalitetstjenester fra og skjul din placering.”

På de fleste enheder i dag skal brugeren af enheden selv godkende deling af sine lokationsdata. CFCS anbefaler, at du slår det helt fra, såfremt at du har behov for at skjule din GPS placering. Og det giver måske god mening.
MEN… når du bruger forskellige apps, som fx. Google Maps, jamen så afgiver du din GPS-position, også selv om du har lukket ned for lokationsdata (GPS).

Kortet viser lokaliserede Wi-Fi netværk, som benyttes til at bestemme din position mere nøjagtigt. De 3 indsatte telemaster viser hvordan triangulering virker.

Hertil kommer at teleselskabernes sendemaster triangulerer hele tiden din placering. Du husker måske sagen om fejlene i de loggede teledata, som kom frem i 2019.

Ydermere så bruger Apple og Google dine Wi-Fi oplysninger og Bluetooth til at være med til at bestemme din placering.
De små blå prikker på kortet fra Wigle.net indikerer alle kendte Wi-Fi-netværk!

Endelig skal man huske, som CFCS minder om, at fitness apps og ikke mindst fitness-ure og lign. også logger din lokation.

Kort sagt: ønsker du ikke, at man skal kende din lokation, så tag ikke en smartphone, en tablet, en PC, et smartwatch, et fitness-ur, osv. med dig.


Råd D. Løft sikkerheden, når din medarbejder rejser udenfor Danmark.

Jeg har været inde på dette i flere af de ovenstående råd. Man skal være varsom med at bruge Wi-Fi på hoteller og i konference lokaler, når man er i udlandet. Man skal være opmærksom på, at det mobile netværk overvåges af regeringer, som fx. i Kina, Iran, men også USA. Man skal benytte en VPN forbindelse. Bruge den krypterede tjeneste Signal, mm.

Nokia model 110 med KiaOS. Pris omkring dkr. 320,-

Der har været mange eksempler på folk, der er blevet stoppet i paskontrollen i fx. Kina, USA, Israel, hvor man er blevet taget til side og bedt om at låse sin mobile enhed op, hvorved myndighederne nu kan kopiere alle ens data. Det betyder også virksomhedens data. Læs mit tidligere blog indlæg her om dette.

CFCS er inde på netop dette i flere af deres 15 råd, og det sidste jeg har hørt fra dem er, at de anbefaler at udlevere simple telefoner, som fx. denne simple Nokia model 110, til fx. borgmestre/politikere/direktører/chefer. Ja faktisk ikke lade dem medbringe deres smartphones og tablets, når de rejser til bestemte lande..


Råd D. Brug skærmbeskyttelses filter på dine enheder.

Når jeg sidder i morgen flyveren på vej til Aalborg eller på morgenfærgen på Molslinien, så sidder ganske mange passagerer og arbejder på deres bærbare eller tablet. Og det er let at se med på deres skærme.

Man kan købe skærmfiltre til PC’er, Macs, tablets og smartphones, som man kan sætte på sin skærm og som gør det svært for andre, der ikke står lige bagved en, at læse med på ens skærm. Jeg benytter selv filtre fra producenten Kensington.

Firmaet Panzerglass® producerer beskyttelsesfilm, der ud over at beskytte skærmen mod ridser og slag, også tilbyder 4-vejs privacy-beskyttelse. 4-vejs vil sige at det også virker, når du holder din smartphone i landscape-mode.

Så sidder du ofte blandt fremmede, så få fat et skærmfilter.


Råd E: Installer en Endpoint protection løsning på dine enheder.

For nogle år siden kaldte vi Endpoint Protection (“EPP”)løsninger for “anti-virus”-programmer. I dag sikrer disse løsninger dig og din organisation mod meget mere, herunder ransomware, hjemmesider inficeret af hackere, og meget mere. Mange af disse løsninger har live-opdateringer, dvs. at din enhed straks får besked, hvis der opdages ny malware, osv.

Endpoint protection til iOS og Android fra firmaet SOPHOS. Klik på billedet for mere information.

Jeg kender ikke en organisation eller virksomhed, der ikke har installeret en endpoint løsning på deres Windows PC’er. Jeg ser flere og flere installere endpoint løsninger på deres Android enheder. Desværre ser jeg mange Chrome, Mac og iOS brugere, der mener, at deres enheder ikke behøver at blive beskyttet med Endpoint løsninger. Det er ganske forkert. Prøv blot at google malware på iOS eller MacOS!

Sikkerhedsfirmaer og organisationer, bl.a. CFCS, konstaterer at hackerne i stærkt stigende omgang angriber vores smartphones. Via denne forsøger de at få adgang ind til virksomhedens data. Hackerne udnytter også organisationernes Mac-books til at få malware ind og rundt i organisationen, fordi disse enheder i høj grad ikke er beskyttet med Endpoint løsninger.

For de organisationer, der tillader medarbejderne at benytte deres egne enheder (“BYOD”) eller udleverer enheder til deres medarbejdere, som de må benytte privat (“COPE” eller “Hybrid”), så skal man huske at enhederne er sårbare, når medarbejderne surfer rundt privat, og evt. malware kan derved ramme virksomheden!

Phishing angreb kan let ske – også på en smartphone med en endpoint løsning: hackerne udsender en email, sms eller som vi så henover sommeren ’19 via besked funktionen i LinkedIn, der opfordrer brugeren til at logge ind med brugernavn og password. Herved har hackerne fået vigtige “nøgler” ind til virksomheden. Dette sikrer endpoint løsninger ikke mod.


Sammenfatning.

Som jeg indledte disse 3 sammenhængende blogindlæg med, så er Center for Cybersikkerheds 15 råd om mobil sikkerhed gode.

Men jeg mener også, at de sigter mod aller højeste sikkerhed. Og sikkerhed er naturligvis godt, men når man kigger ud på danske offentlige organisationer og private virksomheder og deres daglig dag, så vil disse ikke følge disse råd, ganske enkelt fordi de er pokkers besværlige i en hverdag. De kan forhindre effektivitet og mobilitet. De kan blive afvist af medarbejderne, som umulige for dagligdagen. De kan konflikte med fx. med GDPR.

Naturligvis har CFCS ret, når de anbefaler at man ikke benytter BYOD-enheder og opdeler private og organisationernes data på to forskelige enheder.

Som jeg har fremført i ovenstående gennemgang, så tager de 15 råd heller ikke helt højde for de tekniske muligheder idag. Nuvel, vejledningen er skrevet i november 2018, og der sker løbende en udvikling indenfor mobilitet og sikkerhed.

Jeg tror, at min første anke mod CFCS vejledning – da jeg læste den første gang – var at mange organisationerne hurtigt ville lægge den væk, når de læser de meget firkantede anbefalinger, som man ser som stort set umulige at implementere.

Jeg mener, at man er nødt til at se på hvilken type organisation man er, den enkelte medarbejders position i organisationen og derved adgang til organisationens data; og ud fra dette udarbejde sin strategi.

Jeg oplever, at ganske mange virksomheder og offentlige institutioner endnu ikke benytter et device management system til at håndtere de enheder, som man giver adgang til firmadata! Og jeg ser også mange, som ikke har adresseret sikkerheden på de mobile enheder endnu.
CFCS, Datatilsynet, Rådet for Cybersikkerhed, osv kommer med den klare udmelding at man KUN kan få styr på sikkerheden, når man benytter en MDM-løsning!

Strategien skal løbende evalueres, både mht. den teknologiske udvikling på enhederne, på operativ systemernes udvikling, på de ansattes arbejdsdag og krav til hverdagen og ikke mindst udviklingen indenfor (virksomheds) spionage, hacking, overvågning og aflytning.


Jeg har undervejs selv tilføjet 6 råd, som jeg mener burde have været med i CFCS’s vejledning. Men jeg kunne let tilføje flere områder, som fx. brugen af Apple Keychain og Samsung Pass, eller brugen af 2FA/MFA.

Jeg håber, at min gennemgang af CFCSs råd har givet IT-administratorer og sikkerhedsfolk ude i danske virksomheder og offentlige organisationer nogle optioner og værktøjer til at løfte sikkerheden gevaldigt med disse råd, som – min erfaring fortæller mig – er mere i tråd med disse organisationer og virksomheders dagligdag.


Læs også disse indlæg:

Del dette: