Notebooks en pda’s zijn populair, maar veel kwetsbaarder dan gewone desktop-pc’s. De eigenaar raakt ze sneller kwijt door diefstal of verlies. Bij onvoldoende beveiliging liggen de gegevens dan op straat. Een ander probleem is dat iedereen een draadloos mobiel apparaat kan binnensmokkelen om daarmee ongemerkt binnen te dringen op een onbeveiligd netwerk.
Beveiligingsmaatregelen voor mobiele apparaten zijn dus onontkoombaar. Enkele voorbeelden zijn getest aan de hand van vier concrete gevallen: fysieke diefstalbeveiliging, opsporing na diefstal, bescherming van gegevens, en bescherming van netwerken tegen onbevoegde mobiele apparatuur.
DIEFSTALPREVENTIE
| Productinfo Producten: Suresafe Item-Locator en Luggage Locator Producent: Suresafe Technology, http://www.suresafe.com.tw/ Leverancier: Secutech, Enschede, tel.: 0534619631, http://www.secutech.biz Prijs: respectievelijk 41,97 en 50,38 euro |
Item-Locator
De Item-Locator heeft twee doelen: het lokaliseren en het bewaken van een apparaat. Hij is bedoeld voor notebooks, maar tevens te gebruiken om andere voorwerpen te lokaliseren of te bewaken. Hij bestaat uit twee onderdelen: een zender (de PC Card) en een pen-achtige ontvanger van 46 gram (de Master). De zender past in de PC Card-sleuf van een notebook, maar kan ook ergens anders in worden gestoken. Met de ontvanger kan je een notebook (of een ander voorwerp) bewaken door de schuifknop op de linkerzijkant in de Alert-stand te zetten. Aan de rechterzijkant stel je het bereik in met behulp van een draaiknop (0,5 tot 8 meter). Als de notebook buiten het bereik raakt, begint de ontvanger te piepen en brandt er een ledje. Om de notebook te lokaliseren zet je de schuifknop in de Find-stand. Wanneer je in de buurt komt van de zender klinkt het alarm. De batterij van de ontvanger gaat ongeveer honderd uur mee. Die van de zender houdt het ongeveer 450 uur uit.
Luggage Locator
De Luggage Locator werkt volgens hetzelfde principe. De zender is uitgerust met een kabel die je bijvoorbeeld aan een koffer kunt vastmaken. Snijdt iemand de kabel door, dan gaat het alarm af. Dat alarm zit in dit geval op de zender en niet op de ontvanger, en klinkt een stuk luider: het begint op 70 dB (de maximale geluidssterkte van de Item-Locator) en stijgt dan tot een oorverdovende 100 dB. De knop om de zender in te schakelen is verzonken in de zijkant. Hij is alleen te bedienen met een puntig voorwerp. Toch is dit een potentieel zwak punt, want een handige dief zou het alarm ongezien kunnen uitschakelen. Hij moet dan wel het product al kennen, anders is het even zoeken.
De Luggage Locator heeft twee functies die de Item-Locater niet bezit. Ten eerste zit op de ontvanger een Panic-knop die het alarm in werking zet bij noodgevallen. Ten tweede zit in de zender een bewegingsdetector die het alarm in werking zet als iemand de bagage opheft of verplaatst. De batterij van de zender gaat 210 uur mee. Die van de ontvanger houdt het 450 uur uit.
Conclusie
De Suresafe Item-Locator en Luggage Locator zijn handige beveiligingsproducten voor een redelijke prijs. De Item-Locator is lichter en compacter dan de Luggage Locater, maar de laatste biedt meer functies en heeft een veel luider alarm.
OPSPORING NA DIEFSTAL
| Productinfo Product: nTracker 1.02E Producent: Synet Electronics, VS, http://www.synet.biz Leverancier: Kenfil Distribution, tel.: 0553680620, http://www.kenfil.nl Adviesprijs: 49,95 euro Systeemvereisten: minstens Intel Pentium III 400 MHz of equivalent, Windows 98/98SE/Me/2000/XP, minstens 16 MB ram vrij, IE 5.0 of hoger |
nTracker
De software draait onzichtbaar in de achtergrond en stuurt zonder verdere meldingen een mail naar een door de eigenaar vastgelegd mailadres en met een door hem opgegeven frequentie zodra er een internetverbinding beschikbaar is. Die mail bevat informatie over de status en de fysieke locatie van de notebook, voor zover nTracker dat automatisch kan bepalen. Het product meldt in ieder geval het soort internetconnectie: analoog, adsl- of kabelmodem, isdn of een lan (local area network). Daarbij hoort ook het ip-adres en het pad naar internet toe. Met deze informatie en de hulp van de betrokken internetaanbieder kan de politie dan te weten komen waar de gestolen of verloren notebook zich bevond toen de mail verstuurd werd. Wellicht is dat voldoende om de dief te pakken en de notebook terug te krijgen.
Niets houdt een dief of niet zo eerlijke vinder tegen om niet met het bestaande Windows op de notebook te werken, maar meteen een nieuw besturingssysteem te installeren. De eigenaar kan, zoals Synet aanraadt, een bios-wachtwoord instellen en het starten vanaf een diskette of een cd-rom uitschakelen. Dat is echter niet 100 procent veilig, want doorgaans is het mogelijk een bios naar de fabrieksinstellingen te resetten.
De testers installeerden nTracker op een Dell Latitude X200 notebook onder Windows XP SP2. De installatieprocedure laat geen inschrijvingen achter in het startmenu of softwareoverzicht van Windows, noch in de Windows-diensten of de takenlijst. Bij het invoeren van de initiële instellingen van nTracker kan de eigenaar kiezen voor de frequentie waarmee de mails gestuurd worden (om de drie, zeven of vijftien dagen). Hij kan daarnaast opgeven dat alarm moet worden geslagen zodra de notebook een bepaald aantal keren is herstart. Hij kan er ook voor kiezen om een map met gevoelige informatie automatisch te laten versleutelen.
Alles lijkt prima te werken, op één punt na. nTracker bevat een eigen smtp-server om mail te versturen. Als de internetaanbieder uitgaande smtp alleen voor zijn eigen mailserver toelaat en al het andere smtp-verkeer blokkeert, werkt het versturen van de mail niet. nTracker toont dan zelfs een ‘pop-up’-venstertje om daarop te wijzen, waardoor de dief gewaarschuwd is. Het is ook lastig dat de eigenaar tijdens de installatie van nTracker geen testmail kan versturen om te zien of een en ander correct werkt. Dat zou het opsporen van eventuele problemen in de mailconfiguratie enorm helpen.
Lukt het nTracker om iets te versturen, dan krijgt de eigenaar een mail met daarin één bijlage: nTracker.ntk. Om dit speciale bestand te bekijken is nTrackerViewer nodig. Met de gegevens kan de eigenaar zonodig naar de politie gaan om aangifte te doen van diefstal. Die kan dan een beroep doen op de internetaanbieder om de naam en het adres van de internetabonnee met wiens account de gestolen pc gebruikt is te achterhalen.
Conclusie
Synet nTracker is beter dan helemaal niks. Als het lukt om een mail te versturen, is de eigenaar ten minste gewaarschuwd en heeft hij een mogelijk spoor voor de politie. Je kunt er echter in geen geval op rekenen: er kunnen heel wat dingen misgaan, waardoor nTracker zijn mail niet kan versturen. Een dief kan ook besluiten om de notebook te herformatteren en te herinstalleren, en dan werkt dit product niet meer. Synet moet dus nog het een en ander verfijnen voordat de testers dit product zonder voorbehoud kunnen aanbevelen.
GEVOELIGE DATA BESCHERMEN
De testers hebben diverse producten voor het beschermen van gegevens uitgeprobeerd, afkomstig van het Duitse Utimaco Safeware en het Nederlandse SecureNotebook.
SecureNotebook
| Productinfo Product: SecureNotebook Leverancier: SecureNotebook, http://www.securenotebook.com Adviesprijs: één licentie setup 160 euro en jaarlijkse bijdrage 115 euro, twintig licenties setup 120 euro en jaarlijkse bijdrage 100 euro Systeemvereisten: SecureNotebook werkt op alle versies van Windows vanaf 98 en ondersteunt ook verschillende smartcards en usb-tokens |
Na een herstart is de notebook beschermd door een initiële gebruikersnaam en wachtwoord die zijn terug te vinden in de handleiding. Rechts in de ‘systray’ staat een ‘SE’-pictogram. Klik daarop met de rechtermuisknop en kies de optie ‘synchroniseer’. Neem vervolgens contact op met de helpdesk van SecureNotebook (via mail of telefoon). Dan wordt een specifieke gebruikersnaam en wachtwoord voor de bewuste notebook aangemaakt. Deze gebruiker is de enige die toegang heeft tot de notebook.
SecureNotebook ondersteunt ‘single logon’, waardoor de gebruiker slechts één gebruikersnaam en wachtwoord hoeft te onthouden om zowel bij Windows als bij SecureNotebook in te loggen. Het is ook mogelijk om het systeem in combinatie met een smartcard of usb-token te gebruiken, om het nog veiliger te maken.
Na nog eens herstarten gebeurt de tweede synchronisatie met de site van SecureNotebook. Het systeem gaat dan alle sectoren van de harde schijf versleutelen met een superveilige 256-bits aes-sleutel (advanced encryption standard). Dit proces kan enkele uren duren, afhankelijk van de snelheid van de notebook en de omvang van de harde schijf. Je kunt ondertussen gewoon verder werken, of zelfs het systeem uitschakelen of herstarten. SecureNotebook zal de encryptie verder uitvoeren vanaf het punt waarop deze is onderbroken. Een en ander is getest op twee verschillende systemen, een met Windows 98 en een met Windows XP. De hele procedure verliep probleemloos, zelfs als het testsysteem midden in het encryptieproces gereset werd.
De laatste stap is registratie op de website. De gebruiker moet vijf vragen beantwoorden. De antwoorden worden willekeurig gebruikt om de notebook opnieuw toegankelijk te maken als de eigenaar zijn wachtwoord verliest of vergeet. Ook dit is uitgeprobeerd en leverde geen problemen op. Het is wel lastig dat de vragen vooraf gedefinieerd zijn, maar de keuze is groot genoeg om vijf vragen te vinden waarop je het antwoord gewoon kunt onthouden. Het wachtwoord is gemakkelijk te wijzigen. Tijdens het starten verschijnt de optie Change. Als je die aanklikt en het oude wachtwoord correct ingeeft, kan je vervolgens een nieuw wachtwoord kiezen.
SecureNotebook is niet zelf te verwijderen. Is dat toch noodzakelijk, dan moet de eigenaar contact opnemen met de helpdesk, die de de-installatie op afstand start. Daarbij wordt eerst de harde schijf ontsleuteld en vervolgens de software verwijderd. Dit kan naar keuze met of zonder herstarten van het systeem. Ook als je SecureNotebook wilt overzetten naar een andere computer moet je contact opnemen met de helpdesk.
Bij een mankement aan de harde schijf probeert SecureNotebook deze gratis te herstellen voor zover daar geen extern laboratorium bij nodig is (een ‘level 2 recovery’). Een ander gratis extraatje is Vdisk, een programma waarmee het mogelijk is versleutelde folders te creëren op verwisselbare schijven, zoals cd’s, dvd’s, en geheugenkaarten en -sticks. Op het vlak van prestaties merkten de testers net als bij SafeBoot CE geen verschil met een niet versleutelde notebook.
Conclusie
SecureNotebook merkt op zijn website terecht op dat gestolen gegevens minstens even erg zo niet erger zijn voor de reputatie van een bedrijf als gestolen notebooks. De gegevens op een notebook die SecureNotebook beschermt zijn op geen enkele manier door onbevoegden te lezen. Het systeem werkt transparant en is gebruiksvriendelijk.
SafeGuard
| Productinfo Producent: Utimaco Safeware, Duitsland, http://www.utimaco.com Leverancier: Utimaco Safeware, Arnhem, tel.: 0263557575 Product: SafeGuard Easy Adviesprijs: 148 euro (single user) Systeemvereisten: pc met Windows 2000/XP/2003 en minstens 25 MB ruimte vrij op de harde schijf Product: SafeGuard PrivateDisk Enterprise Adviesprijs: 70 euro per gebruiker Systeemvereisten: pc met Windows NT4/2000/XP, PocketPC met ARM of XScale processor en PocketPC 2002 of Windows Mobile 2003 Product: SafeGuard PDA Enterprise Adviesprijs: 79 euro per gebruiker Systeemvereisten: PocketPC met ARM of XScale processor, 2 MB ram en PocketPC 2002 of Windows Mobile 2003 |
Easy
SafeGuard Easy versleutelt volledige partities of volledige harde schijven. Bovendien kan dit product de toegang tot het hele systeem beveiligen met een extra veilige login. Die komt vóór het starten van Windows, en de gebruiker hoeft dan niet nog een keer in te loggen in het besturingssysteem: SafeGuard biedt sso (single sign-on ofwel eenmalige inlog). Je kunt hierbij optioneel een smartcard of usb-token gebruiken. SafeGuard ondersteunt standaard het eToken van Aladdin. Het is mogelijk om, naast de harde schijf (-partities), ook andere media te versleutelen: alles wat beschrijfbaar is onder Windows. Als encryptiemethode is er de keuze tussen 128- en 256-bit aes en 128-bit idea (international data encryption algorithm).
Conclusie
Ondanks de bewering van Utimaco dat de invloed op de prestaties van SafeGuard Easy ‘verwaarloosbaar’ is, kregen de testers toch de indruk dat Windows op een heel wat tragere harde schijf geïnstalleerd was. Desondanks is het een interessant product voor wie de hoogste graad van veiligheid wil.
PrivateDisk
Als de medewerkers regelmatig moeten werken met gevoelige data, maar er normaal geen andere kwetsbare gegevens op hun systemen voorkomen, kan een organisatie werken met een virtuele vergrendelde schijf zoals SafeGuard PrivateDisk die aanmaakt.
Het principe is eenvoudig: je maakt een virtuele schijf aan. Dat is een groot bestand dat overal kan staan, ook ergens in een netwerk. Alleen de medewerkers die bij de bestanden en data op de virtuele schijf moeten kunnen komen, krijgen toegang tot die schijf. Daarvoor moeten ze een wachtwoord intikken. Dan verschijnt een nieuwe driveletter op hun systeem; daar zijn de bestanden en data terug te vinden. Het SafeGuard PrivateDisk-bestand kan zo groot of klein zijn als nodig is, en het kan lokaal of ergens in een netwerk staan. Als het PrivateDisk-bestand klein genoeg is, zou het zelfs op usb- en flashcard-geheugens kunnen staan.
Er bestaan twee versies van PrivateDisk. De Personal Edition is bedoeld voor individueel gebruik. De Enterprise Edition, die getest is, is bedoeld voor grotere bedrijven. Deze versie heeft meer configuratiemogelijkheden en bezit distributiemechanismen. Hij ondersteunt bestaande pki’s (public key infrastructure) en kan ook smartcards en usb-tokens gebruiken voor het verkrijgen van toegang tot een PrivateDisk-volumebestand.
Conclusie
Organisaties die willen beschikken over een makkelijke en snelle manier om een beperkt aantal documenten te beveiligen en beschikbaar te stellen aan bepaalde medewerkers, moeten zeker naar SafeGuard PrivateDisk kijken.
SafeGuard PDA
SafeGuard PDA houdt data veilig aan boord van zakcomputers door ze te versleutelen en alleen in versleutelde vorm via internet of een draadloze verbinding te versturen. SafeGuard PDA kan gebruik maken van de modernste authenticatiemethodes, waaronder biometrische patroonherkenning en numerieke of symbool-pin’s.
Ook hier is het mogelijk om de beveiligingsmaatregelen voor pda’s centraal te beheren. Er kan een drempel voor authenticatiepogingen gedefinieerd worden, waarna een alarm klinkt of eventueel het volledige geheugen van de pda gewist wordt. De encryptie geldt niet alleen voor het lokale geheugen van de pda, maar ook voor flash-opslag en allerlei opslagkaartsystemen. Als je met een gewoon wachtwoord inlogt, neemt de wachttijd tussen inlogpogingen drastisch toe bij iedere poging. Omdat de rekencapaciteit van een pda beperkt is, bedraagt de maximale sleutelomvang voor aes 128 bit.
SafeGuard PDA kent ook blokkeermogelijkheden voor de infrarode poort en ActiveSync (laat alleen interne bedrijfstoestellen toe), en voorziet in beperkingen en beveiligingen voor op PocketPC gebaseerde mobieltjes.
Conclusie
Wie de gewoonte heeft om gevoelige data op zijn PocketPC te bewaren, kan met SafeGuard PDA ervoor zorgen dat die gegevens veilig zijn.
TOEGANGSCONTROLE
| Productinfo Product: Trusted Mobility Suite Enterprise Edition Producent: Trust Digital, VS, http://www.trustdigital.com Europese distributeur: Ubitexx, München, +49-89550699-15, http://www.ubitexx.com Adviesprijs: 12.500 euro voor de server plus een bedrag per client (bijvoorbeeld 2256 euro voor vijftig clients); de ‘business edition’ kost 7500 euro voor de server en 4625 euro voor vijftig clients Systeemvereisten: Windows 2000 of hoger, domeinbeheerdertoegang; voor PDASecure pda’s met PalmOS of PocketPC (Windows Mobile) en de Blackberry |
Zo ver hoeven we echter niet te gaan. Alles wat we nodig hebben is een oplossing die een beveiligingsreglement oplegt aan mobiele apparaten, en die systemen die zich niet aan zo’n reglement houden absoluut weert. Omdat mobiele apparaten ook gemakkelijk te ontvreemden zijn, spreekt het vanzelf dat ze niet zomaar gebruikt mogen kunnen worden. Toegang tot eventuele opgeslagen data is ook niet de bedoeling. Een oplossing die ook de toegang tot draadloze mobiele apparaten aan banden legt is dus noodzakelijk.
Trusted Mobility Suite
TMS (Trusted Mobility Suite) van het Amerikaanse Trust Digital speelt in op die behoefte. Deze oplossing bestaat in drie varianten: een mkb-editie (small business edition), een werkgroepeditie en een ‘enterprise’-editie. Die laatste is bedoeld voor meer dan duizend gebruikers. Deze versie is getest.
Trust Digital heeft een behoorlijk aantal beveiligingsmodules voor mobiele apparaten met draadloze toegang. De TMS Enterprise Edition bestaat uit acht onderdelen: de Trusted Mobility Server, PDASecure, Mobile Discovery Monitor, Mobile Asset Manager, PDASecure VPN, Mobile StorageSecure en de optionele onderdelen Mobile DeskopSecure en Trusted Mobility Software Development Kit. Allemaal ronkende namen, maar omdat alles netjes in de centrale beheerinterface geïntegreerd is, merkt de gebruiker niet dat het eigenlijk aparte modules zijn.
De benamingen zijn redelijk zelfverklarend. PDASecure is bijvoorbeeld een module voor het beveiligen van zakcomputers. Er zijn ook modules voor het uitbouwen van vpn’s (virtueel privé-netwerk) met pda’s en voor het beveiligen van notebooks en allerlei opslagmedia. Dat laatste gebeurt door encryptie van bestanden zodra deze opgeslagen worden op verwisselbare media als usb-geheugensticks. Overigens ondersteunt TMS een grote verzameling encryptieprotocollen, waaronder het krachtige aes.
De testers hebben zich geconcentreerd op het onderdeel PDASecure. Aan de kant van de mobiele gebruiker met zijn pda blijft het gebruik van PDASecure transparant. Er wordt een beveiligingsagent op de pda (naar keuze PalmOS, PocketPC of Blackberry) geïnstalleerd. Die kan daar overigens ook naartoe ‘gepusht’ worden. De gebruiker moet vanaf dat moment bij het starten van de pda een pincode of wachtwoord invullen. Ook kan hij in de pda opgeslagen bestanden of mappen versleutelen.
Aan de beheerderskant speelt een Windows-applicatie de hoofdrol: de Trusted Mobility Server. Die biedt een beheerinterface waarmee de beheerder alle pda’s en andere mobiele toestellen kan opsporen in zijn netwerk. Hij ziet deze dan gesplitst in veilige en onveilige systemen. Alles wat bijvoorbeeld met PDASecure beveiligd is, geldt als een veilig systeem. De rest geldt als onveilig.
De beheerinterface laat de beheerder alle gebruikers definiëren en in groepen indelen, ook per soort apparaat. Hij kan bestaande gebruikers inlezen uit zijn netwerkdomein via verschillende connectoren. De op de pda geïnstalleerde agent meldt zich aan bij de Trusted Mobility Server en is niet omzeilbaar. Op die manier verhindert de beheerder toegang voor pda’s waarop niet behoorlijk is ingelogd.
De beheertool maakt logs van al het pda-gebruik binnen het netwerk. Met behulp van de beheerinterface kan de beheerder allerlei beperkingen opleggen aan mobiele apparatuur in verband met de netwerktoegang, of het gebruik van encryptie verplichten. Ook het toelaten van pda-gebruik binnen bepaalde uren en het uitsluiten daarvan buiten die uren is mogelijk.
Conclusie
Trusted Mobility Suite is een beveiligingssysteem voor pda’s en andere draadloze toestellen en opslagmedia. Het beschermt afdoende tegen fraude en diefstal, ongeoorloofde toegang en gebruik, sabotage door werknemers, hackers, bedrijfsspionage en malware (kwaadaardige code).
