Rés az okostelefonok pajzsán

A HP tavalyi Cyber Risk kutatása a felhasználók 80 százaléknál talált olyan sérülékenységi problémát, ami konfigurációs hibából, helytelen fájlbeállításból, elavult változat használatából, vagy utólagos beállítási hibából származott. Ezek azok a hiányosságok, amelyek felhasználói oldalon megfelelő „házirendek” útján könnyen orvosolhatók. Éppen ez teszi érdekessé azt a tényt, hogy a felmérés alapján felfedett sérülékenységek száma az elmúlt három évben lényegében stagnált.

Ha a megjelenő alkalmazások mennyiségi növekedését nézzük, akkor ezzel a trenddel foglalkozni kell, mert a probléma eszkalálódik. Számos olyan biztonsági technológia (például a sandbox vagy az MDM) jelent meg, amely az ismeretlen minőségű programok futtatási környezetét próbálja biztonságossá tenni. Ez egy leárnyékolt területet hoz létre a rendszeren belül, ahol a programokat úgy lehet futtatni, hogy azok ne tudják megtámadni a futtató számítógépet. Ezek a megoldások elengedhetetlenek, mivel mind több munkahelyen használhatják az alkalmazottak a saját mobileszközeiket.

Emiatt a mobilplatformok fejlesztői arra törekszenek, hogy minél inkább elmosódjon a határ a tartalom előállítását (munkahelyi) és tartalom fogyasztását (személyes) biztosító eszközök között. Így a felhasználók mára csaknem ugyanolyan egyszerűen férnek hozzá érzékeny munkahelyi vagy személyes adatokhoz, mint asztali gépük előtt. Ehhez képest a mobileszközök közösségi oldalakon keresztüli támadás elleni védelme még elmarad az asztali gépekétől. Általában is igaz, hogy okosnak nevezett eszközök védelme még nem éri el az asztali gépekét, miközben a hagyományos felületeken már ismert és kezelt sérülékenységek a mobileszközöket is kiszolgáltatják a külső támadásoknak.

Paradox módon a felhasználók sokkal jobban bíznak hordozható eszközeik biztonságában, mint az asztali gépekében. A hamis biztonságtudat veszélye még érzékletesebbé válik a fejlesztőkkel kapcsolatban: vizsgálatunk szerint az okoseszközök által kínált biztonsági megoldásokat a fejlesztők 37 százaléka nem ismeri. Aki pedig mégis tud róla, többségük a fejlesztés során nem, vagy helytelenül alkalmazza azokat. Ennek következtében olyan sérülékenységek jelennek meg a fejlesztett alkalmazásokban, ami az egyszeri felhasználót nem zavarja, de az üzleti felhasználás során megengedhetetlen. Csakhogy ez a két terület összemosódik, amiatt, hogy saját mobileszközeiket használják a dolgozók a munkahelyükön is.

Ugyancsak veszélyt hordoz a kényelmi funkciók miatt sok helyen nélkülözhetetlennek tekintett Java-programok alkalmazása. Az amerikai belbiztonsági szervezet már 2013 januárjában sürgette a felhasználókat, hogy távolítsák el a programot az eszközeikről. A Java komponenseinek teljes architektúrája magában hordozza a hasonló programok minden sérülékenységét. Éppen ezért minden szervezetnek gondoskodnia kell a javítóprogramok frissítéséről, és a működésen túl a biztonsági követelmények tesztelésére is hangsúlyt kell helyezni.

Még a sandbox, vagy a hozzá hasonló kontrollált környezetben futtatott programoknál is elő kell írni a fejlesztők számára az alapvető kódminőségi előírásokat, hiszen erre könnyen megvalósítható szabványok is rendelkezésre állnak. Üzleti felhasználás során pedig ügyeljünk arra, hogy a futtatási környezet szintjén is jól különüljön el a magánfelhasználás és az üzleti célú alkalmazás.