De keerzijde van BYOD-gemak

Mobiele apparaten zijn niet meer weg te denken uit werkplekken en kantoren. Deze apparaten bieden mogelijkheden om de productiviteit van uw werknemers te verhogen, maar brengen ook hun eigen risico's mee. Hebben uw werknemers telefoons en tablets van de zaak? Of neemt iedereen zijn eigen apparaat mee? In dit artikel kijken we naar de mogelijke risico's en geven we tips hoe deze geminimaliseerd kunnen worden.

Dit type apparaten zal vanwege hun kleine formfactor en het gebruiksgemak bijna overal mee naartoe worden genomen door de werknemers. Ook zijn ze ontwikkeld om permanent in verbinding te staan met het internet. Dit kan via Wi-Fi, maar ook via Bluetooth, usb-kabels of zelfs de traditionele ethernetkabel. Omdat veel functionaliteit afhangt van de internetverbinding zal het apparaat regelmatig worden verbonden met netwerken die minder veilig zijn dan uw bedrijfsnetwerk. Denk hier aan de gratis Wi-Fi-netwerken in de trein en koffiezaken, maar ook het thuisnetwerk van de werknemer.

Wanneer werknemers eigen tablets en mobiele telefoons meenemen en aansluiten op het bedrijfsnetwerk, dan valt dat onder de noemer `bring your own device’ (byod). Byod maakt het voor it-afdelingen aanzienlijk lastiger om controle en inzicht te houden over het eigen netwerk. Deze apparaten beslaan namelijk een groot spectrum van verschillende hardware, besturingssystemen en software.

Uiteindelijk is het meest voorkomende probleem dat medewerkers hun mobiele apparaten verliezen. Dit kan per ongeluk gebeuren, maar kan ook het resultaat zijn van diefstal. Denk eens na wat voor gegevens van uw bedrijf hierop achterblijven? Het gaat hier om onder andere e-mails, gevoelige documenten, contactgegevens en zelfs gps-data.

Wat kan een aanvaller?

Mobiele apparaten zijn computers. Ze zijn daarom ook kwetsbaar voor `ouderwetse’ aanvallen via software. Denk daarbij aan malafide applicaties of kwetsbaarheden die worden uitgebuit door op een link in een e-mail te klikken.

Naast de traditionele aanvalsvectoren via software hebben mobiele apparaten het bijkomende risico dat een gebruiker ze altijd bij zich heeft. Hierdoor is de kans dat het apparaat wordt gestolen of verloren groter dan bijvoorbeeld bij pc’s. Wanneer een apparaat in handen van een kwaadwillend persoon valt, dan zijn er afhankelijk van het apparaat, besturingssysteem en configuratie verschillende mogelijkheden om de data van de gebruiker te achterhalen.

De authenticatie is de eerste laag van bescherming die de aanvaller moet omzeilen. Als er geen pin-code, wachtwoord of andere vorm van authenticatie wordt gebruikt zal de aanvaller kinderlijk eenvoudig gevoelige informatie kunnen inzien. Zo kan deze applicaties openen waarin de gebruiker is ingelogd. Hierdoor is er toegang tot onder andere e-mails, opgeslagen bestanden, bezochte websites en foto’s.

Ook is het mogelijk om een back-up van alle data te maken op een systeem van de aanvaller. Als deze het systeem terug brengt voordat het wordt gemist dan kan in alle rust de data worden bekeken zonder dat de gebruiker weet dat er iemand toegang heeft gehad. Ook wanneer de authenticatie niet direct kan worden omzeild zijn er toch mogelijkheden. Zo is de sd-kaart, die voor extra opslag dient, over het algemeen niet versleuteld. Hier worden zaken zoals foto’s en downloads opgeslagen die door iedereen uit te lezen zijn.

Er zijn gebruikers die hun mobiele apparaten `rooten’ of `jailbreaken’. Hierdoor zijn modificaties aan het besturingssysteem mogelijk en kan men applicaties installeren die, in het geval van iOS, niet uit de officiële App Store komen. Van deze `root’-toegang zal een aanvaller gebruik maken om, onder andere, de lokale opslag van applicaties uit te lezen. In deze lokale opslag zijn vaak logingegevens of persoonlijke informatie opgenomen. Ook als een gebruiker zijn apparaat niet zelf heeft `geroot’ zijn er vooral in oudere versies van de besturingssystemen kwetsbaarheden beschikbaar waarmee `root’-toegang kan worden verkregen. Een voorbeeld hiervan is de `Android Towelroot Futex Requeue’-kwetsbaarheid die in het Metasploit-framework is opgenomen.

Is beleid een oplossing?

Na het opnoemen van de risico’s die aan het gebruik van dit soort apparaten zijn verbonden lijkt het misschien de beste oplossing om het zakelijk gebruik hiervan te verbieden.

Dit is waarschijnlijk het slechtste dat u kan doen. Mensen maken nou eenmaal graag gebruik van dit soort nieuwe technologieën en zullen het gemak hiervan missen, waardoor ze om het bedrijfsbeleid heen gaan werken. Hierdoor heeft de it nog minder zicht in wat er allemaal met apparaten en data op het netwerk gebeurd.

Op het internet zijn er voldoende lijsten te vinden met nuttig beleid omtrent dit soort apparaten. We zullen er hier een aantal bespreken:

Maak gebruik van sterke wachtwoorden
Een wachtwoord of pincode is de eerste horde die een aanvaller moet nemen om bij gevoelige data te komen. Het is hier van belang om te kiezen voor sterke wachtwoorden, en niet voor korte pincodes.

Zoals te zien is in de zaak tussen de Amerikaanse FBI en Apple is het in moderne versies van iOS niet eenvoudig om de pincode-beveiliging te omzeilen. Wanneer gebruikers echter hun eigen apparaten meenemen is de kans groot dat er ook oudere apparaten worden gebruikt waarbij dit wel te omzeilen valt.

Zo mogelijk, kies dan ook voor de optie dat de informatie op het apparaat wordt gewist na te veel foutieve inlogpogingen. Op deze manier is men beschermd tegen brute-force-aanvallen.

Denk ook na of u vingerafdrukken wilt toestaan als authenticatiemiddel. Zoals ik in mijn vorige artikel ‘De zin en onzin van wachtwoorden in 2015‘ heb beschreven zijn ook deze relatief eenvoudig te omzeilen. Hierbij is het een extra risico dat de benodigde vingerafdrukken meestal op het apparaat zelf aanwezig zijn.

Ga na welke beschermingen er zijn tegen `lockscreen-bypass’-aanvallen
Ook al kan een aanvaller het wachtwoord niet raden, toch zijn er vaak manieren om beperkte functionaliteit van het apparaat te bereiken. Zo is er een uitgebreide lijst te vinden van `lockscreen-bypass’-aanvallen per iOS versie en worden er mogelijke beschermingen aangedragen.

Zorg dat het bestandssysteem is versleuteld.
Als een aanvaller de data niet kan benaderen door de authenticatie te omzeilen kan deze proberen het bestandssysteem direct uit te lezen. Door gebruik te maken van encryptie kan dit worden tegengegaan.

Gebruik software waarmee apparaten op afstand gewist kunnen worden.
Wanneer apparaten in verkeerde handen vallen is het van belang om een aanvaller zo weinig mogelijk tijd te geven om hiervan misbruik te maken. Er bestaat software waarmee u de data die op een apparaat staat opgeslagen, op afstand kunt verwijderen. Het is nuttig om deze optie te hebben, maar vertrouw er niet blindelings op. Deze techniek werkt namelijk niet wanneer het apparaat niet met het internet verbonden is.

Stimuleer het snel melden van het verlies van een apparaat.
Als werknemers bang zijn voor negatieve consequenties bij het verliezen van een apparaat zullen ze geneigd zijn om het niet direct te melden, in de hoop dat ze het toch nog terugvinden. Hierdoor heeft een aanvaller meer tijd om het apparaat te kraken.

Maak gebruik van veilige/privacy-vriendelijke software
Werknemers hebben bepaalde use-cases voor hun apparaten. Inventariseer welke behoeften er zijn en kijk naar software om deze behoefte te vervullen. Gebruiken de werknemers Dropbox om bestanden uit te wisselen en Whatsapp om te communiceren? Bekijk dan of het gebruik van deze software past binnen het bedrijfsbeleid. Zo niet, geef dan geschikte alternatieven.

Wat het beleid ook is, het is van belang om dit beleid klaar te hebben liggen. Tijdens een incident is het niet de juiste tijd om hierover na te denken omdat er dan overhaaste beslissingen worden genomen.

Mobile Device Management

Een goed beleid voor dergelijke punten is belangrijk om te hebben. Maar in bedrijven is het moeilijk om het gebruik hiervan bij iedereen af te dwingen. Daarom bestaat er speciale software, zogenaamde `mobile device management’-software (mdm), om apparaten te beheren.

Met dit type software kan men applicaties, data, configuraties en patches distribueren over de aangesloten apparaten.

In de basis mag van deze softwarepakketten verwacht worden dat de volgende configuraties kunnen worden afgedwongen:

• Gebruik van sterke wachtwoorden;
• Minimaal patch-level van het apparaat;
• Gebruik van bestandsversleuteling.
• Blokkeren van `rooted’ of `jailbroken’ apparaten.

Daarnaast is functionaliteit voor het vinden van verloren apparaten, en het wissen hiervan ook redelijk standaard. Natuurlijk zijn er ook pakketten die extra functionaliteit bieden, zoals extra versleuteling van applicaties in `containers’.

Helaas zijn ook mdm-oplossingen niet bulletproof. Dit is bijvoorbeeld te zien in de presentatie Practical Attacks against Mobile Device Management Solutions van het bedrijf Lacoon Security. Ze demonstreerden hier een aanval hoe zowel iOS als Android apparaten `geroot’ konden worden zonder dat dit problemen opleverde met de aanwezige mdm-software. Hierna waren ze in staat om de beveiligde e-mails te benaderen.

Conclusie

Zoals bij veel gevallen in de it-wereld is er helaas geen geheel veilige oplossing voor de omgang met mobiele apparaten. Maar het is wel mogelijk om risico’s te minimaliseren en gevolgen te mitigeren. Hiervoor is het van belang om over de volgende zaken na te denken:

• Wat zijn de mogelijke risico’s?
• Welk beleid helpt om deze risico’s te mitigeren?
• Welke software helpt om dit beleid te implementeren?

Mobile is een noodzakelijk kwaad, maar biedt vooral ook veel mogelijkheden om productiviteit en efficiëntie te verhogen. Start daarom vandaag met het bepalen van het beleid en voorkom onnodige beveiligingsrisico’s.