Najlepsza obrona przed komórkowymi hakerami
Naukowcy z W.Brytanii i Niemiec opracowali aplikacje do zabezpieczania połączeń komórkowych przed niepowołanym dostępem poprzez ich szyfrowanie w czasie rzeczywistym
10.12.2012 | aktual.: 10.12.2012 11:24
Włamania, jakich na telefony komórkowe należące do celebrytów, polityków i zwykłych Brytyjczyków dokonywali hakerzy wynajęci przez brytyjski tabloid "News Of The World", pokazały iż bezpieczeństwo telefonów komórkowych jest iluzoryczne.
Smartfony nie są bezpieczniejsze od klasycznych komórek
Badania smartfonów przeprowadzone przez analityków z F-Secure wykazały, że mimo rozwiniętych funkcji bezpieczeństwa, smartfony nie są lepiej zabezpieczone przez niepowołanym dostępem niż zwykłe komórki. Ilość włamań hakerskich na komórki rośnie, według analityków firmy, w tempie "przypominającym koniec lat 90. i masowe ataki z internetu na komputery".
Według portalu technologicznego Phys.org, w ostatnich kilku miesiącach pojawiły się nowe technologie, umożliwiające zabezpieczenie przekazu między smartfonami. Badacze pracujący dla niemieckiej firmy technologicznej GSMK, zaadaptowali technologię szyfrowania stosowaną w Bundeswehrze do zabezpieczania smartfonów w trakcie działania.
Firma oferuje CryptoPhones - komercyjne smartfony z zaimplementowanymi aplikacjami zawierającymi algorytmy szyfrujące. Aplikacje te są niskopoziomowe, ponieważ standardowy system operacyjny danego smartfonu został zastąpiony własnym bezpiecznym systemem operacyjnym autorstwa GSMK. Jest to specjalnie opracowana dystrybucja mobilna Linuksa.
Wszyscy muszą mieć CryptoPhones
Zastosowanie bezpiecznego przekazu wymaga obecności smartfonów CryptoPhones, zarówno po stronie nadawcy jak i odbiorcy. Posługiwanie się takimi smartfonami umożliwia całkowite zabezpieczenie przed niepowołanymi dostępem połączeń głosowych, SMS-ów, MMS-ów czy przesyłanych danych. Jednak telefony takie są drogie – kosztują 2000 EUR za sztukę. Mimo tego firma twierdzi iż w użyciu znajduje się już 10 tys. CryptoPhones. Klientami są zwykle managerowie dużych firm i korporacji oraz działy badawczo rozwojowe koncernów i dużych firm, a także kadra zarządzająca instytucji bankowo-finansowych.
Z kolei, jak poinformował New Scientist, badacze pracujący dla amerykańskiej firmy technologicznej Silent Circle opracowali działająca w czasie rzeczywistym aplikację szyfrująca Silent Phone. W październiku br. na rynek wypuszczono jej wersję dla systemu iOS. Na początku grudnia br. ukazała się z kolei wersja przeznaczona dla smartfonów działających pod kontrolą Androida. Aplikacja dostępna jest w modelu płatności abonamentowej w wysokości 2. USD miesięcznie. Jak powiedział New Scientist Mike Janke, były ekspert bezpieczeństwa w formacji Navy Seals i obecnie prezes Silent Circle, w ciągu pierwszych dni dostępności usługi zamówili ją "kierujący siłami specjalnymi, celebryci z Hollywood, kadra firm z listy Fortune 100 i dyplomaci z 9 krajów".
Jak działa mechanizm szyfrowania?
W przypadku obu aplikacji mechanizm szyfrowania jest podobny. W momencie połączenia ukazują się na ekranie dwa słowa kodowe, które muszą wypowiedzieć rozmówcy. Jeśli słowa wypowiedziane zgadzają się z wyświetlonymi, wówczas połączenie następuje prawidłowo i w sposób bezpieczny. W oby przypadkach jako jeden z algorytmów szyfrujących zastosowano AES256. co powoduje iż szyfr jest bardzo trudny do złamania.
Jednak Mike Janke zauważa iż najnowsze wersje złośliwego kodu przeznaczonego dla smartfonów, mogłyby umożliwić przechwycenie szyfrowanego przekazu, np. po zainstalowaniu na bezpiecznej komórce, przechwytując jej zrzut ekranu ze słowem kluczowym. Jest to utrudnione w przypadku GSMK, gdzie oryginalny system operacyjny został zastąpiony specjalną bezpieczna dystrybucją, utrudniającą penetrację smartfonu przez malware.
Jak powiedział jednak New Scientist Eric King z fundacji ochrony praw obywatelskich Privacy International, przechwytywanie połączeń i danych w telefonach komórkowych można łatwo ukrócić. "Wystarczy ze operatorzy będą generowali losowy PIN do każdej rozmowy, podobnie jak robią to banki internetowe przy transakcjach przez tokeny" - stwierdził.
Według Daily Tech projekt losowego zabezpieczania rozmów poprzez losowe słowa kluczowe lub PIN-y jest "od pewnego czasu rozważany przez operatorów" jednak jego wprowadzenia nie należy spodziewać się szybko - infrastruktura techniczna konieczna do tego celu byłaby bardzo droga nawet dla wielkiego operatora. Oznacza to, że firmy technologiczne stosujące niestandardowe systemy szyfrowania połączeń będą miały jeszcze przez kilka najbliższych lat wielu klientów.