image

Column: Mobiele dreiging valt niet te bagatelliseren

maandag 24 augustus 2015, 12:19 door Bart Verhaar, 16 reacties

"Mobiele malware neemt wereldwijd aanzienlijk toe, maar tot op heden zijn grootschalige besmettingen in Nederland nog niet vastgesteld", zo meldde het Nationaal Cyber Security Centrum (NCSC) vorig jaar in zijn Cybersecuritybeeld Nederland. Een vergelijkbaar geluid dook in april van dit jaar ook op in het 2015 Data Breach Investigations Report van Verizon. Het aantal kwetsbaarheden in de beveiliging van mobiele platforms waar cybercriminelen misbruik van maken, zou verwaarloosbaar zijn. In een begeleidend persbericht werd de berichtgeving over mobiele dreigingen zelfs als 'grotendeels overdreven' afgedaan.

Feitelijk gezien hebben het NCSC en Verizon misschien gelijk; grootschalige infecties door mobiele malware zijn inderdaad nog zeldzaam. En toch vind ik het zogenaamd geruststellende signaal dat het allemaal (nog) wel meevalt met de mobiele dreiging, zoals afgegeven door bijvoorbeeld het NCSC en Verizon, ronduit gevaarlijk. Wie de mobiele dreiging nu niet serieus neemt, en geen aanvullende beveiligingsmaatregelen neemt, zal in de toekomst gericht worden aangevallen via zijn smartphone, tablet of ander mobiel apparaat. Ook dat is voor mij een feit.

Opmars mobiele malware

Mobiele platformen worden voor hackers een steeds aantrekkelijker doelwit nu het (zakelijk) gebruik van smartphones en tablets toeneemt, evenals het aantal kwetsbaarheden dat wordt aangetroffen in mobiele besturingssystemen. Met name Google's Android is geregeld de klos. Zo waarschuwde beveiligingsbedrijf Zimperium eind juli nog voor een lek dat hackers in staat stelt om een Android-smartphone geheel over te nemen. Slechts enkele dagen later maakte Trend Micro melding van een nieuw lek dat kan worden misbruikt om van een Android-smartphone of -tablet een 'kasplantje' te maken.

Het gevolg is dat mobiele malware aan een stevige opmars bezig is. Alleen al in het tweede kwartaal van dit jaar doken er volgens onderzoek van Kaspersky Lab ruim 290.000 nieuwe mobiele malwareprogramma's op. Dit is bijna drie keer zoveel als in het eerste kwartaal van dit jaar. Ondertussen constateer ik nog dagelijks dat bijna al het securitybudget wordt besteed aan het versterken van de randen van het netwerk, en dat smartphones en tablets vrijwel onbeveiligd over de organisatie worden 'uitgestrooid' en op die manier de zwakke schakel in de beveiliging vormen.

Mobiel veiliger in vier stappen

Om te voorkomen dat je als organisatie wordt aangevallen via de mobiele platformen die in gebruik zijn, is het naar mijn mening absoluut noodzakelijk om ook mobiele apparaten integraal mee te nemen in de beveiliging. Maar hoe beveiligen we al die mobiele apparaten? Vanuit het oogpunt van performance wordt niemand gelukkig van een antiviruspakket op zijn smartphone of tablet. Met een Mobile Device Management-oplossing het apparaat van de gebruiker volledig onder controle nemen, is volgens mij ook niet de oplossing om diezelfde gebruiker mee te krijgen. Een oplossing die wel kan rekenen op de instemming van de gebruikers, kan naar mijn mening worden gecreeerd door in ieder geval onderstaande vier stappen op te volgen:

Stap 1. Zorg voor een 'container' op de mobiele apparaten waarin zakelijke data volledig versleuteld en gescheiden van de persoonlijke data worden opgeslagen.

Stap 2. Zorg ervoor dat mobiele apparaten altijd via een beveiligde (VPN)-verbinding het internet op gaan, waar het verkeer inline wordt gescand op malafide inhoud.

Stap 3. Zorg voor slimme technologie om mobiele apparaten vrij te houden van apps met malware.

Stap 4. Zorg ervoor dat documenten al bij de creatie een 'automatische beveiliging' meekrijgen waardoor alleen geautoriseerde gebruikers toegang hebben tot beveiligde documenten op al hun apparaten en waarmee bijvoorbeeld printen, kopiëren of delen met andere personen is te blokkeren.

Deze vier stappen zorgen ervoor dat de data zo veilig mogelijk zijn. Het 'managen' van het apparaat zelf is dan minder belangrijk, zelfs als het om een Android-apparaat gaat.

Bart Verhaar is werkzaam als Pre-Sales Consultant Netwerkwerkbeveiliging en Gebruikersbeveiliging bij Motiv.

Deze column is geschreven op persoonlijke titel van de auteur en reflecteert niet noodzakelijk de zienswijze van Security.NL.

Reacties (16)
24-08-2015, 13:49 door Anoniem
Mobiele malware is vooral bangmakerij. Cijfers van av-boeren zijn opzettelijk misleidend. Er wordt niet gemeld waar de "290.000" nieuwe dreigingen vandaan komen. Iig niet van de playstore waar de meeste mensen downloaden. Mobiele malware speelt in Rusland, China, via onofficiele stores. Gewoon alleen downloaden van de playstore en opletten wat je binnenhaalt, net alsop de PC. Mobiele anti-virus is dan overbodig.
24-08-2015, 14:34 door Anoniem
Stap 1 is op Android al niet te verwezenlijken door de architectuur van het platform, wel op iOS
Stap 2 lijkt me ook niet echt haalbaar. Iedereen, altijd, overal via een (bedrijfs) netwerk laten gaan dat volledig op inhoud gescand wordt? Met decryptie van alle versleutelde verkeer dan toch, anders heeft het geen zin...!
Stap 3 en 4 zijn idd zinvol.

Je vergeet er bij te vertellen dat de meeste malware afkomstig is van niet-Google stores.
24-08-2015, 16:14 door Anoniem
Door Anoniem: Mobiele malware is vooral bangmakerij. Cijfers van av-boeren zijn opzettelijk misleidend. Er wordt niet gemeld waar de "290.000" nieuwe dreigingen vandaan komen. Iig niet van de playstore waar de meeste mensen downloaden. Mobiele malware speelt in Rusland, China, via onofficiele stores. Gewoon alleen downloaden van de playstore en opletten wat je binnenhaalt, net alsop de PC. Mobiele anti-virus is dan overbodig.

Verklaar dit dan eens?
http://www.techrepublic.com/blog/google-in-the-enterprise/malware-in-the-google-play-store-enemy-inside-the-gates/
http://www.pcworld.com/article/2099421/report-malwareinfected-android-apps-spike-in-the-google-play-store.html
http://blogs.wsj.com/personal-technology/2015/02/04/android-malware-removed-from-google-play-store-after-millions-of-downloads/

Met andere woorden, je weet bij god niet waar je het over hebt.
24-08-2015, 16:38 door Anoniem
Er valt weinig te verklaren. Adware is nog geen malware. Daarnaast zijn het incidenten. En ook hier weer misleiding van av-boeren, waarbij geen namen en rugnummers worden gegeven, of het aantal downloads van een app. Uiteindelijk is goochelen met percentages. Rapport van Google zelf

https://static.googleusercontent.com/media/source.android.com/en/us/devices/tech/security/reports/Google_Android_Security_2014_Report_Final.pdf

"Ongoing monitoring by Verify Apps found that efforts to deliver Potentially Harmful Applications (PHAs) continued
Google’s security services for at low levels throughout 2014, less than 1% of all Android increased protection
devices had a PHA installed. Fewer than 0.15% of for users and improved devices that download only from Google Play had a PHA installed."

en dan al die lekken die worden genoemd, blijft allemaal theorie.

"Exploitation attempts were tracked for multiple vulnerabilities, and the data does not show any evidence of widespread exploitation of Android devices."

en als afsluiter

"Google Play reviews all applications for potential security issues prior to making them available to users. No review process is perfect, and with over 1 million applications in Google Play, there are a small number of Potentially Harmful Applications that do still manage to be published in Google Play."

Oftewel een beetje opletten goes a long way. En ja, ik heb meer vertrouwen in google dan in hijgerige av-boeren attentiezoekende companies die hun waar moeten slijten.
24-08-2015, 16:41 door Anoniem
Heel grappig dat MDM niet als de oplossing wordt gezien, terwijl er volgens mij 1 MDM systeem bestaat dat al jouw 4 stappen implementeert.

Dat is BES12 van BlackBerry.

Stap 1: BlackBerry Balance (onderdeel van BES12)

Stap 2: BES12 kan dit volgens mij ook

Stap 3: Beheer over toegestane apps op de telefoons

Stap 4: WatchDox, recent overgenomen door BlackBerry
24-08-2015, 17:09 door Anoniem
De salesdroid van wc-eend promoot de zienswijze van wc-eend. Het hele verhaal van de salesdroid gaat mis op de suggestieve aanname dat een feitelijke weergave van de huidige stand van zaken ronduit gevaarlijk is. Laten we vooral allemaal gaan roepen dat de huidige situatie ronduit gevaarlijk is en zonder enig houvast gaan roepen dat het hemelgewelf naar beneden komt.
25-08-2015, 07:02 door karma4
Door Anoniem: Stap 1 is op Android al niet te verwezenlijken door de architectuur van het platform, wel op iOS
.
Het begrip/woord Data heeft meerdere betekenissen. In een ruime betekenis zijn het de apps en alles wat er bij hoort. Elke app krijgt al een eigen container mee. Een verzameling specifieke bedrijfsapps wil in een bedrijfscontainer hebben. Dat soort zaken bestaan dan wel komen (docker). Het is niet echt slim om het hele apparaat te wissen op het moment dat er als bedrijfbelang iets mis gaat.

Het is een gangbare vraag met byod. http://blog.iusmentis.com/2013/09/11/mag-een-werkgever-verloren-of-gestolen-byod-apparaten-op-afstand-wissen/ - http://cio.nl/beveiliging/83268-virtuele-containers-maken-byod-veilig
Knox en meer is ook beschikbaar op android http://www.infoworld.com/article/2889074/mobile-device-management/android-for-work-brings-container-security-to-google-play-apps.html
25-08-2015, 09:47 door Anoniem
Denk dat hier een klassieke onderschattingsfout de ronde doet. Mensen die AV-boeren paniekzaaiers noemen zijn naar mijn mening over het algemeen te beroerd om te betalen voor software dus dat negeer ik maar even (of toch niet).
De essentie wordt weer eens over het hoofd gezien. Het is niet zo zeer het besturingssysteem of platform dat hier de oorzaak is maar de belabberde, ongecontroleerde en controleerbare applicaties die het ongemeen zeer (gaan) zijn van de mensen.
Connecteer onderling maar op je smartdevice, wissel maximaal gegevens uit en vooral, stuur mijn gegevens door als ik via NFC in de winkel betaal en wat ik gekocht heb.
Ben het dus ook met enkelen eens dat wellicht een container-oplossing de enige veilige weg is om data veilig(er) te stellen als het om bedrijfsdata gaat.
Het is héél jammer, en een kans gemist dat grote bedrijven zoals Microsoft, Google én ja ook Apple applicaties toelaten in hun "store" dat zich niets aantrekt van privacy en veiligheid van zijn gebruikers. Bij Microsoft en Apple is het eigenlijk nog erger, bij hen betaal je ook nog eens voor hun telefoon, dan verwacht je ook wat terug. We hebben nog niet veel geleerd van Edward Snowden. Jammer, hij waarschuwde voor de overheidsdiensten die massaal met privacy spelen, vergeet echter niet dat juist cybercriminelen dit een zéér lucratief platform vinden. Stelen en niet gezien worden.
25-08-2015, 11:52 door Anoniem
Zou Verhaar ook de volgende documenten gelezen hebben?
https://www.ncsc.nl/actueel/whitepapers/beveiligingsrichtlijnen-voor-mobiele-apparaten.html
25-08-2015, 12:55 door Anoniem
Stap 2 en 4 zijn praktisch onhaalbaar. De software bestaat er uiteraard voor, maar de kosten om het uit te rollen én er voor te te zorgen dat de gebruikers het ook zo toepassen is voor heel veel bedrijven niet haalbaar.

Stap 1 lijkt me nog het zinnigst: als je mensen een business phone geeft, gebruik dan sandbox oplossing zoals XenMobile waarbij de telefoon gewoon de telefoon blijft, maar alles van business data in een beveiligde "kluis" zit. Zo kan de gebruiker rotzooien wat ie wil met z'n smartphone, alles wat met de business te maken heeft zit safe.
26-08-2015, 09:13 door Anoniem
Door Anoniem: Stap 1 is op Android al niet te verwezenlijken door de architectuur van het platform, wel op iOS

Op de laatste versie is het standaard mogelijk om onderscheid te maken tussen werk en prive. In (iets) oudere versies is dat mogelijk met een app. Waarbij je baas zelf een eigen store op kan zetten of kan bepalen welke apps je wel of niet uit de Play Store mag installeren.

Het bijkomend voordeel is dat als je baas je telefoon wist, hij alleen het werk-deel kan wissen. Prive doe je dat via je account.

Stap 2 lijkt me ook niet echt haalbaar. Iedereen, altijd, overal via een (bedrijfs) netwerk laten gaan dat volledig op inhoud gescand wordt? Met decryptie van alle versleutelde verkeer dan toch, anders heeft het geen zin...!

Veel bedrijven weten niet hoe een dergelijke server goed op te zetten en beheren. Dat levert alleen een vals gevoel van beveiliging op. Dat is nog erger.

Stap 3 en 4 zijn idd zinvol.

Je vergeet er bij te vertellen dat de meeste malware afkomstig is van niet-Google stores.

Ja. Stap 0 is alleen software gebruiken uit officiele Stores. Zelfs als ik de leverancier van de apk vertrouw, installeer ik de software niet.

Peter
18-10-2015, 21:50 door Dozer72 - Bijgewerkt: 18-10-2015, 21:53
Wat mij opvalt is dat er vooral over de problemen word gesproken en weinig over de haalbare oplossingen.
Volgens mij (schiet maar af) is veel te achtehalen als via wifi gaat en VPN is hier een goede optie maar ook niet waterdicht volgens mij.

Ook denk ik dat mensen laks zijn omdat er heel veel geroepen word over dat er malware en hackers uit zijn op je data op je devices maar totdat het of bij jou of iemand close to you gebeurt zal het voor velen een ver van mijn bed show zijn.

Wat een begin zou zijn is makkelijke apparaten (KEEZEL?) die het niet meer nodig maken om op openbare wifi netwerken te komen.

Een gepasseerd station is inderdaad dat men vanaf het begin de apps op alle platformen had moeten scannen op malware en andere ongewenste zaken. de niet officiele appstores tja dat blijf je houden en blijft een risico maar .........

Is het niet mogelijk dat men begint met (ook bestaande) apps te testen? te beginnen met basis apps zoals whatsapp, youtube ect ect en deze van een keurmerk oid te voorzien (als het al bestaat hoor ik het graag en nee niet de blackphone)?
Denkt de maker dat hij voldoet kan hij hem aandragen voor keuring.

Nu weet ik dat de azijpissers gelijk gaan roepen dat dit moeilijk is en niet mogelijk en dat de appstore dit zelf moet doen blablalbla.

Als er zoveel onofficiële appstores zijn is het dan zo moeilijk om er nog 1 te beginnen met een groep experts tenslotte gaat het ons allemaal aan en zal het ons vroeg of laat ook allemaal raken.

MAAR WE/ZE MOETEN TOCH ERGENS EEN X GAAN BEGINNEN VOORDAT HET TE ...............................
18-06-2016, 11:21 door Anoniem
Door Anoniem: Mobiele malware is vooral bangmakerij. Cijfers van av-boeren zijn opzettelijk misleidend. Er wordt niet gemeld waar de "290.000" nieuwe dreigingen vandaan komen. Iig niet van de playstore waar de meeste mensen downloaden. Mobiele malware speelt in Rusland, China, via onofficiele stores. Gewoon alleen downloaden van de playstore en opletten wat je binnenhaalt, net alsop de PC. Mobiele anti-virus is dan overbodig.
Door Anoniem: Stap 1 is op Android al niet te verwezenlijken door de architectuur van het platform, wel op iOS
Stap 2 lijkt me ook niet echt haalbaar. Iedereen, altijd, overal via een (bedrijfs) netwerk laten gaan dat volledig op inhoud gescand wordt? Met decryptie van alle versleutelde verkeer dan toch, anders heeft het geen zin...!
Stap 3 en 4 zijn idd zinvol.

Je vergeet er bij te vertellen dat de meeste malware afkomstig is van niet-Google stores.

Ben ik niet helemaal met je eens.

Stap 1 Is ook toepasbaar op Android, door bijvoorbeeld gebruik te maken van een mdm oplossing als Mobileiron.
Hier wordt zowel data-at-rest als data-in-transit beveiligd dmv encryptie en certificate authentication. Hier kun je dus ook Apps beveiligen die het zelf niet ondersteunen, maar meestal alleen haalbaar voor de zakelijke omgeving. Een nirmale gebruiker zal niet snel over een mdm oplossing beschikken.
Daarom wil je deze beveiliging eigenlijk al in je App hebben staan, zodat jij als gebruiker er zelf niet over hoeft na te denken. Ook daar heeft Android verschillende mogelijkheden ( https://developer.android.com/training/articles/security-tips.html)
23-08-2016, 21:37 door Anoniem
Whitepapers (witte papieren) impliceert dat er niets op staat. Het is wit dus leeg. Maar niets is minder waar.

Definitie van: 'WHITE PAPER':
Een witboek of white paper is een document dat beschrijft hoe overheidsbeleid, een technologie, en/of product een specifiek probleem oplost. Witboeken worden gebruikt om de lezer van objectieve relevante informatie te voorzien die wordt gebruikt voor het nemen van een beslissing. Witboeken worden zowel in de politiek als in het bedrijfsleven gebruikt."

In het Gemenebest en in het Verenigd Koninkrijk is het een (in)officieel overheidsdocument. Het wordt ook wel ‘command paper’ genoemd. Witboeken gepubliceerd door de Europese Commissie zijn documenten van de Europese Unie waarin specifieke acties worden voorgesteld. Soms worden deze voorafgegaan door een groenboek (green paper) met als doel om de discussie over het onderwerp te bevorderen.

Witboeken, wanneer deze objectief geschreven zijn, worden vaak beschouwd als een betrouwbare bron van informatie. Oorspronkelijk was een witboek echter een overheidsdocument (met oorspronkelijk een witte omslag) waarin het eigen beleid rond politieke vraagstukken (met name op het gebied van buitenlandse zaken) juist vaak werd gerechtvaardigd. Dergelijke diplomatieke aktes hebben niet altijd een witte omslag; in het Verenigd Koninkrijk zijn ze blauw, in Italië groen, in Frankrijk geel, in Duitsland wit, in de Verenigde Staten en Oostenrijk rood, in Japan grijs en in Rusland waren ze tot 1917 oranje. [Bron: Wikipedia].
22-09-2016, 20:31 door Anoniem
Witboek (White Paper) blijkt Zwartboek (Black Paper) te zijn? Het verdoezelen van ...(?).
08-10-2016, 00:24 door Anoniem
Je moet het probleem inderdaad niet bagatelliseren, maar de gekozen aanpak moet wel in lijn zijn met de risico's die je denkt te lopen. En juist die risicoanalyse is wat ik hier volledig mis. Daarmee valt er ook weinig te zeggen of de door deze pre-sales consultant geopperde oplossingen wel echt oplossingen zijn voor jouw organisatie.
De keuzes die je hierin kunt maken verschillen wellicht van bedrijf tot bedrijf, maar er valt in het algemeen zeker wel iets te zeggen over de mogelijke risico's van gebruik van smartphones (of beter gezegd mobiele platformen). De malware uit het voorbeeld (in feite een denial of service) is daar slechts één van, maar waarschijnlijk is dataverlies (al dan niet voortkomend uit malware) in de praktijk een veel groter probleem met potentieel ook veel grotere gevolgen.

Als je nog eens goed nadenkt over wat een smartphone eigenlijk is, dan kun je concluderen dat een smartphone eigenlijk niet anders is dan een laptop op kantoor (welke ook onderweg gebruikt wordt). Naar mijn idee hebben smartphones, zeker wanneer die in de praktijk dezelfde toegang kunnen hebben tot dezelfde gevoelige bedrijfsgegevens, dan ook hetzelfde risicoprofiel als reguliere clients en zou je deze dus op een vergelijkbare manier moeten beveiligen.

De grootste risico's kun je beheersen door te allen tijden inzicht te hebben op de OS versie van de telefoons in kwestie (ivm security patches) en de security configuratie. Het kunnen afdwingen van OS updates en forceren van veilige instellingen vinden we onder Windows de normaalste zaak van de wereld; die lijn moet je gewoon één op één doortrekken naar mobiele devices.
Het verwondert mij dan ook dat een tool als MDM aan de kant wordt geschoven met het argument dat het niet de oplossing is "om diezelfde gebruiker mee te krijgen", terwijl andere (meer geavanceerdere en dus kostbare) technieken naar voren worden gebracht als zijnde de oplossing. Zolang ik veel bedrijven zie die niet eens aan MDM beginnen, dus in feite niet eens in control zijn over hun eigen apparaten die wel toegang hebben tot bedrijfsdata, hoe realistisch is het dan om bijvoorbeeld packet inspection op VPN tunnels aan te zetten (als de gebruiker de VPN configuratie gewoon uit kan zetten en zo kan omzeilen).

Dergelijke oplossingen zijn tegenwoordig zelfs bereikbaar voor kleine organisaties zonder grote initiële investering vooraf. Denk bijvoorbeeld aan de ingebouwde MDM in een G Suite of Office 365 omgeving, of andere partijen die dergelijke diensten aanbieden voor een vast bedrag per maand per device.

Een ander ding om rekening mee te houden is het gekozen platform. Ik ben om allerlei redenen meer fan van Android, maar als het gaat om beveiligingsfeatures van het OS en eigenlijk de totale hardware/software life cycle dan steekt Apple daar met kop en schouders bovenuit. Ja, zo'n iPhone kost initieel wat meer centjes, maar als je bedenkt dat een iPhone 5 nu vier jaar na de eerste release nog steeds het nieuwste iOS 10 kan draaien, kun je stellen dat het zeker geen 'wegwerp' toestellen zijn. Vanuit een oogpunt van bedrijfseconomie en -continuïteit een erg prettig gegeven.
Zetten we daar bijvoorbeeld de 'pure' Nexus toestellen (met in theorie en in de praktijk de langste support) tegenover, met als voorbeeld de LG Nexus 5 (geïntroduceerd grofweg een jaar na de iPhone 5) krijgt al een jaar geen gegarandeerde updates meer en draait het niet de allerlaatste versie van Android. Wellicht dat dit gaat veranderen met de Google Pixel die onlangs is gereleased, maar daarmee hebben ze het prijsvoordeel ten opzichte van een iPhone weer helemaal teniet gedaan.

Kortom: Koop een iPhone, en dwing door middel van een MDM tool een aantal basale beveiligingsinstellingen af. Het meest eenvoudig kan dat met de Apple Configurator, maar bij voorkeur gebruik je een MDM tool om ook na uitgifte van het toestel de status te kunnen controleren en zo nodig verdere instellingen af te dwingen of te pushen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.