Je ‘smart’ mobieltje gebruik je om te socializen met je vrienden via Facebook of om filmpjes op Youtube te bekijken. Zo’n apparaat brengt echt de ideale combinatie van telefoon en internet in pocket-formaat, zodat je altijd met je vrienden online kunt zijn. Belangrijk bij gebruik zijn natuurlijk goed bereik, een snelle verbinding en een lange levensduur van de batterij. Wie denkt er dan aan veiligheid?
Ach, zo’n vaart zal het niet lopen, toch? Mobiele devices zijn moderner en jonger dan de conventionele computer of laptop en die zijn wel bestand tegen aanvallen van bedreigingen, zoals malware, virussen en datalekkage, toch?
Van gesloten naar open karakter
Tot nu toe zijn mobiele apparaten redelijk buiten schot gebleven en zijn er weinig meldingen van beveiligingsmistanden op mobieltjes te vinden. Dit heeft in belangrijke mate te maken met het feit dat de huidige generatie mobiele netwerken, zoals 2G en 3G, een meer gesloten karakter hebben. De lancering van 4G of lte zal hier verandering in brengen. De transitie naar lte is in belangrijke mate een transitie van een gesloten mobiel radio access-netwerk naar een meer open data of ip-georiënteerd netwerk. Deze transitie is noodzakelijk om de onbegrensde mogelijkheden van de slimme apparaten beter te benutten en flexibeler in te kunnen spelen op nieuwe (cloud)toepassingen. Met de hogere snelheden van 4G en integratie met Wi-Fi-hotspots voor de nodige dekking levert op dat het straks mogelijk is om overal je favoriete tv-programma te kijken via je mobiel.
De verschuiving naar het ip-gebaseerde 4G-netwerk levert op dat de hele omgeving zeer attractief wordt voor criminelen en er zal zeker een verschuiving plaats vinden in het aantal beveiligingsincidenten met slimme apparaten. Bovendien, wereldwijd zijn er twee keer meer mobiele dan vaste aansluitingen en tel daarbij op dat het gebruik alleen maar zal toenemen met de introductie van 4G, dan is het geen vraag meer of criminelen hun aandacht naar mobiele platformen gaan verleggen, maar meer wanneer het aantal mobile beveiligingsincidenten het aantal incidenten van vaste aansluitingen zal overtreffen.
Persoonlijk en zakelijk verkeer door elkaar
Het mobiele apparaat wordt uiteraard niet alleen privé gebruikt, maar ook voor steeds meer zakelijke doeleinden. Dit betekent een one-stop shop voor onverlaten die hier slim op in weten te spelen.
We kennen al de malware die in appstores wordt gepubliceerd in de hoop dat deze op slimme apparaten wordt geladen, zodat interessante data kan worden weggesluisd en misbruikt. Per dag komen er duizenden mobiele apps bij, wat de controle bijna onmogelijk maakt. Doordat lte end-to-end ip-gebaseerd is, neemt de kans toe dat het mobiele netwerk van de operator slachtoffer wordt van een centraal geplaatste aanval. Wat dacht je van een botnet van slimme apparaten gericht op het mobiele netwerk van de operator die een DoS-aanval uitvoeren of de meer webapplicatie-georiënteerde aanvallen zoals SQL-injecties, cross-site scripting-aanvallen om data te stelen of DNS-hijacking, zodat de aanvaller kan bepalen welke internetsites een mobiele abonnee bezoekt.
Gedeelde verantwoordelijkheid
Het signaling-netwerk wat bij mobiele operators cruciaal is in het afhandelen van abonnee-authenticatie, billing, roaming en mobile network management, wordt ook ip-gebaseerd bij de komst van 4G. Deze transitie van het gesloten SS7-protocol naar het ip-gebaseerde Diameter-protocol maakt het namelijk mogelijk dat operator-diensten centraal kunnen worden afgerekend. Ook dit gedeelte van het netwerk gaat te maken krijgen met een toename van het risico om te worden aangevallen.
Ondanks dat gebruikers van mobiele, slimme apparaten zelf voor een groot deel verantwoordelijk zijn voor de beveiliging van zijn of haar mobiel en opgeslagen data, is het niet ondenkbaar dat bij ontdekt misbruik de mobiele operator verantwoordelijk wordt gehouden. Het is voor de operators dan ook zaak om bij de lancering van 4G en de verdere integratie van bestaande of nieuwe diensten, continu kritisch te kijken naar het bestaande beveilingsbeleid en zich zowel organisatorisch als technisch te wapenen tegen de nieuwe bedreigingen in al haar aspecten. Op technisch vlak is voor operators belangrijk om bij aspecten als hoge beschikbaarheid, performance en security stil te staan. Ze moeten hierbij wel realiseren dat een applicatie zeer veilig kan worden aangeboden, maar wanneer het aspect performance wordt vergeten, de bewuste app(s) niet zal worden gebruikt. En voor een 4G-verbinding zonder dat hij optimaal gebruikt kan worden, zal lang niet iedereen willen betalen.
@ Gert Jan,
Goede kickoff nu 4 G net op of over de drempel staat. Significant meer capaciteit betekent nieuwe toepassingsmogelijkheden en parallel daar aan dus nieuwe bedreigingen. Daarmee goed om het onderwerp nu op de kaart te zetten. Er is echter meer aan de hand. Nu wordt bv door KPN 4G nog neergezet als meer van hetzelfde.
Enerzijds heben zij last van een imploderende SMS omzet en dus bijna 1 op 1 imploderende winst bij die dienst. Anderzijds is er geld te verdienen voor een operator met het neerzetten van nieuwe diensten. De keus ligt voor het oprapen, echter operators hullen zich in stilzwijgen. Natuurlijk 60 opstelpunten per week doen (KPN) is knap. Maar dat is niet voldoende. Een LTE kanaal biedt 1500 keer zoveel bitjes per seconde dan een GSM kanaal (50Mbit/30Kbit). Daar zou toch wat mee te doen moeten zijn in de markt van de communicatietoepassingen. Wellicht is meteen de discussie over ADSL via glas (of toch niet) een nieuwe dimensie te geven door ADSL door de lucht: “ADSLTE”
Ook belangrijk om te realiseren is dat smartphones de afgelopen jaren steeds meer gebruikt worden voor zakelijke toepassingen en dat er ook veel meer zakelijke data op staat (denk aan gerepliceerde e-mail).
Ook zijn aanvallen op mobiele apparaten nu veel aantrekkelijker omdat de laatste jaren de diversiteit in operating systems is afgenomen. Er zijn nu eigenlijk nog maar 2 of 3 OS-smaken waarvoor malware moet worden ontwikkeld (iOS, Android en wellicht Windows Phone).
Tenslotte is het door de grote dichtheid van telefoons (denk aan een voetbalstadion vol mensen) niet ondenkbaar dat malware direct zal communiceren tussen dichtbijzijnde telefoons onderling, zonder dat dit via het netwerk van de operator gaat. Dat de meeste smartphones ook Wifi aan hebben staan maakt dit alleen nog maar erger.
Op smartphones en tablets inbreken via WiFi lijkt mij makkelijker dan via 4G en ook een grotere bedreiging. Recent nog een demonstratie bijgewoond waarbij de presentator via WiFi een aantal smartphones en tablets van het publiek wist over te nemen.
Makkelijk leesbaar artikel, goed gedaan, Gert Jan. Zeker nu 4G gaat komen, zoals @maarten ook al aangeeft.
Mobiel gebruik, of dat smartphone of tablet is, zal nog veel meer toenemen dan nu al gebeurd. Het risico dat er oneigenlijk gebruik wordt gemaakt van deze devices neemt daardoor ook toe.
Providers willen het de klant niet te moeilijk maken, dus de standaard uitvoeringen zullen niet al te gesloten zijn. Hoewel sommige vendoren het de gebruiker makkelijk maken eigen aanpassingen te doen (zngd rooten), hebben de meeste bedrijven de policy dat deze telefoons niet op het netwerk worden toegelaten.
Zelf denk ik dat sandboxing een grote ontwikkeling gaat doen, samen met een viewer voor de bedrijfsoplossingen, of dat nu VMware is, KVM of iets anders. Wel altijd toegang, maar geen data op het device. Dan is het onderscheppen van data altijd nog een mogelijkheid. Het is dan aan de eigenaar en het bedrijf er voor te zorgen dat het onderscheppen zo moeilijk mogelijk wordt gemaakt.
Sandboxing levert ook de mogelijkheid om selectief te wipen, als er misbruik wordt geconstateerd. Minder stress voor de gebruiker “waar zijn mijn foto’s gebleven??”
De bewering dat 4G netwerken inherent minder veilig zijn dan de huidige generatie mobiele netwerken (2G en 3G) onderschrijf ik niet. Wel ben ik van mening dat beveiligingsincidenten zich zullen voordoen daar waar de meeste gebruikers zijn en door criminelen het meeste geld valt te verdienen.
De onstuimige groei van mobiele data, niet alleen via de nieuwe 4G netwerken, maar ook via de bestaande netwerken vormt in dat opzicht een zeer interessant werkterrein voor criminelen.
De grootste kwetsbaarheid zit ‘m echter vooral in mobiele mallware.
Indien HTML5 daadwerkelijk een grote vlucht gaat nemen, betekent dat dat een wereldwijde ontwikkelkracht van 18 miljoen webontwikkelaars niet alleen legitieme toepassingen kan ontwikkelen, maar ook dat zij die kwaad in de zin hebben, hun malware niet meer voor specifieke OSen hoeven te ontwikkelen en bovendien App store controles kunnen omzeilen.
Goed artikel dat wederom onderschrijft dat we steeds sneller de Informatie beveiliging centraal moeten stellen. Tot op heden hebben we vooral infrastructuur beveiliging gedaan, maar met de introductie van 4G en een steeds grotere “Consumerisatie van IT” wordt dat model onhoudbaar. We moeten ons realiseren dat elk device in principe onvertouwd is en dus een Content Aware Identity & Access beleid gecombineerd met ZeroTouch op het device zelf toepassen om te zorgen dat de interactie van mensen met informatie veilig kan verlopen.
Gelukkig helpt een steeds sneller en overal beschikbaar Internet, mee om deze aanpak ook werkelijk in te voeren.
Providers zijn dan wel druk met LTE, maar de consumenten zijn dat nog niet: Circa driekwart van de mensen heeft geen idee met welke snelheid ze mobiel internetten of mailtjes synchroniseren. Blijkbaar is deze snelheid dan ook niet belangrijk bij de keuze van het abonnement of de provider. En dat klopt: 90% van de (Britse) consumenten geeft aan dat zij niet van operator zullen veranderen bij een snellere (4G) verbinding. Daar is dus nog wel een weg te gaan.
Ook zijn de huidige abonnementsvormen nog vreemd: Abonnementen waarbij je 4G krijgt met een gelijke databundel als bij 3G schiet natuurlijk niet op. Je hebt dan dezelfde bundel, maar hij is alleen veel sneller op. Gelukkig komen er ook grotere (en duurdere) bundels. Mogelijk zal dat voorlopig genoeg zijn, maar pas over enige tijd zal blijken hoeveel meer data we zijn gaan verbruiken door LTE (door video, gaming, Wi-fi offloading, VoIP, etc). En een ongelimiteerde bundel is dan een must.
En als derde zie ik nog de vraag welke rol WiFi zal krijgen als algemeen beschikbaar mobiel netwerk. Google maar eens op FON. Alle WiFi modems van partijen als UPC en Ziggo (en KPN natuurlijk) die gebruikt kunnen worden voor mobiele internettoegang. Werkt op de snelweg natuurlijk niet zo goed, maar des te beter in de bebouwde omgeving. En ook bij WiFi zal op afzienbare termijn een hogere bandbreedte beschikbaar komen (de 802.11ac-standaard van 1 Gbps).
@Gert Jan,
Je refereert hier aan een deel van de core veiligheid, daar is de bewustwording nog niet zo heel groot van. Door het gebruik van IP is telefonie inderdaad meer vulnerable geworden. Operators zijn gefocused op fraude preventie en service assurance maar hebben door de dicussie over DPI ook minder mogelijkheden dan voorheen.
Maar waar de industrie zich nu al wel druk over maakt is over de data op de mobiele devices, dat valt in het domein MDM Mobile Device Management. Mobieltjes worden vergeten of gestolen en een bedrijf wil niet dat de bedrijfsgegevens op straat komen liggen. Gelukkig zijn er voor deze prille industrie al wel mooie oplossingen, die voorkomen dat data gelekt wordt, toestellen op afstand gewiped kunnen worden of bv getraced, verder kan bv mail secure opgeslagen worden etc
Dat een 4G/LTE netwerk per definitie kwetsbaarder zou zijn dan de bestaande mobiele netwerken (met de beredenering dat het nu all-IP is) durf ik niet als uitgangspunt te nemen. Immers, dat hangt af in hoeverre elk component robuust is ingericht. Wel wil ik een dimensie aan de beveiligingsproblematiek toevoegen. Omdat 4G/LTE open en standards-based is, is het relatief eenvoudig voor criminelen om zich voor te doen als 4G/LTE-netwerk; een ‘man-in-the-middle attack’, maar dan zeer elegant uitgevoerd.
Stel je het volgende voor:
1. Een groot congres, bijeenkomst of evenement waar mensen (bedrijfs)gevoelige data op hun smartphones, tablet of notebook hebben;
2. Een kwaadwillend individu kan hier met relatief eenvoudige middelen (die in de kofferbak van een auto passen) een 4G/LTE netwerk nabootsen;
3. Zodra een verbinding wordt opgezet met een client (smartphone, tablet, notebook etc.), dan staat die client per definitie onder het regime van de netwerkinfrastructuur;*
4. Je zou zelfs daadwerkelijk via-via een internetdienst kunnen aanbieden en het gedrag van de (nietsvermoedende) gebruiker observeren.
Dit is zeker geen al te hoog gegrepen fictief scenario, en met relatief eenvoudige middelen voor elkaar te krijgen. Er bestaat een mechanisme aan de client-zijde, die zal vragen of het netwerk daadwerkelijk het netwerk is. De vraag is of alle clients automatisch zo zijn ingesteld om zich zo sceptisch te gedragen. Het is aan te raden om dit te controleren en indien nodig aan te zetten.
Overigens, bedrijven en organisaties zullen in de toekomst op hun eigen terrein ook een 4G/LTE dienst op kunnen zetten (zgn. private-LTE). Het Agentschap Telecom heeft hier speciaal licentie-vrije frequentieruimte voor ter beschikking gesteld.
(met dank aan Tsjoi Tsim, BT Senior Consultant Wireless)
@Gregor,
Ik ben het met je eens dat 4G niet synoniem staat voor minder veilig. Het adopteren van een IP-gebaseerd end-to-end mobiel netwerk maakt echter dat het risico toeneemt en dit in de architectuur dient te worden meegenomen.
Neem als voorbeeld de recente berichtgeving van NTT DoCoMo waarin ze Google oproept om Android aan te passen. Een gratis Android VOIP applicatie kent in Japan een dusdanige populariteit dat het een signaling flood veroorzaakte met uitval van core services tot gevolg. Hier kwam dus geen hacker of botnet aan te pas. Dit is in 3G ondenkbaar.