Kako da svoj telefon učinite sigurnijim?
Već smo postavili pitanje da li su mobilni uređaji koje koristimo bezbedni i dobili odgovor da postoji puno rizika koji utiču na bezbednost uređaja, naročito onih koji su uvek online. Jedno od rešenja za ovaj problem je korišćenje anti-virus softvera.
Mi smo se pitali da li postoji još nešto što možemo da uradimo da bismo bili zaštićeni kada koristimo svoje telefone i tablet uređaje i o tome smo razgovarali sa Nikolom Miloševićem. Nikola je osnivač OWASP zajednice u Srbiji, lider lokalne OWASP zajednice u Mančesteru i vođa projekta SeraphimDroid koji upravo ima za cilj da mobilne telefone i aplikacije učini bezbednijim. Evo šta je Nikola rekao za naš blog.
Da li je vaš telefon siguran?
Zdravo Nikola, za početak nam reci da li su mobilni uređaji bezbedni za korišćenje?
Generalno jesu, ali samo ukoliko se vodi računa na koji se način koriste. Iako su mobilni operativni sistemi implementirali poprilično zavidan nivo sigurnosti nepažnja korisnika, aplikacije u kojima programeri nisu obraćali pažnju na bezbednost ili neke maliciozne aplikacije mogu da učine uređaj nebezbednim.
Koje sve opasnosti, o kojima korisnici obično ne razmišljaju, donose nebezbedni mobilni uređaji?
Postoji mnoštvo očiglednih i skrivenih opasnosti: krađa identiteta, krađa novca, dokumenata. Naravno, tu su i maliciozni programi koji mogu da imaju veoma destruktivno ponašanje (na primer, mogu obrisati podatke sa uređaja ili oštetiti funkcionisanje uređaja). Ove aplikacije mogu da koriste mobile uređaje kao izvor prihoda na mnogo načina – mogu da koriste procesorsku snagu uređaja za rudarenje bitcoin-a u ime kreatora aplikacije; mogu prikazivati i automatski kliktati na reklame; a ponekad napadač može da koristi mrežu kompromitovanih mobilnih uređaja za napad na određeni sajt, tako što će sa svih tih uređaja poslati veliki broj zahteva ka tom sajtu da bi ga oborio (DDoS napad).
Zanimljivo je da je sa mobilnim uređajima krađa novca postala jednostavnija nego ikada – dovoljno je da neki maliciozni program instaliran na telefon pošalje poruku na određeni broj i opljačkani ste. Mobilni uređaji su takođe savršeno sredstvo za praćenje. U svakom trenutku mogu snimiti vašu lokaciju, glas, slikati ili snimati video i pratiti sve vaše aktivnosti. Ovi podaci se mogu upotrebiti za potkopavanje nečije reputacije ili za krađu identiteta.
Jedan od izvora opasnosti je i sredina u kojoj mobilni uređaj funkcioniše. Podaci se jednim delom razmenjuju preko vazduha, bilo kroz WiFi ili mobilnu mrežu do bazne stanice. Sa odgovarajućom opremom ovaj saobraćaj se može presresti, a nakon toga podaci prolaze kroz veliku i često nepoznatu mrežu routera na internetu. Ukoliko je jedan od routera kompromitovan napadač može videti sve podatke koji prolaze kroz njega.
Još jedna vrsta opasnosti leži u fizičkoj krađi uređaja. Krađa samog telefona ne mora da bude strašna stvar, međutim napadač tako može da dođe u posed svih naloga koje koristite preko mobilnog i stvar postaje mnogo ozbiljnija. Recimo, na ovaj način napadač može da dođe do vašeg bankovnog računa, PayPal, Facebook i svih drugih online naloga. Ovo može da vam nanese veliku materijalnu i nematerijalnu štetu.
Kaži nam nešto više o virusima koji napadaju mobilne uređaje. Kolika su oni pretnja i šta se tačno dešava kada dospeju na mobilne uređaje?
Maliciozan softver je veoma ozbiljna pretnja. Koristim termin maliciozan softver, jer je virus samo jedna klasa ovakvih programa. Virusu je potrebna aplikacija domaćin uz koju se na određeni način prikači i sa pokretanjem te aplikacije se i sam virus pokreće i replicira. Reč “virus” se odomaćila za sve programe ove vrste, verovatno iz razloga što su oni bili jedni od prvih i najčešćih malicioznih programa tokom 80-tih i 90-tih godina prošlog veka. Moram da pomenem da sami virusi nisu česti na mobilnim uređajima,ali su tu druge klase zloćudnih programa koje su mnogo češće, poput trojanaca i crva.
Maliciozni softveri: virusi, trojanci i crvi
Trojanac je maliciozan softver koji izgleda kao korisna aplikacija ili igrica, ali prilikom pokretanja na naki način šteti korisniku ili telefonu. Trojanci su često kopije neke aplikacije koje su prepravljene da imaju malicioznu rutinu koja nanosi štetu korisniku. Jako mnogo trojanaca se nalazi u prodavnicama mobilnih aplikacija poput Google Play-a ili AppStore-a. Da bi trojanac mogao da nanese štetu korisnik mora da ga instalira i pokrene.
Za razliku od trojanaca, crvi su maliciozni programi koji ne zahtevaju nikakvu korisničku akciju. Oni se mogu širiti putem mreže, bluetooth-a, e-maila, i sl. Obično koriste neku ranjivost sistema kako bi se infiltrirali na uređaj i krenuli da se izvršavaju (prate korisnikove akcije, kradu naloge, itd.).
Zloćudni programi mogu da vam nanesu ogromnu štetu – da vam ukradu identitet; da pošalju informacije o vašim navikama, kretanju, lokaciji i ugroze vam privatnost; mogu da nanesu finansijsku štetu kroz pozivanje i slanje poruka bez vašeg znanja. Međutim postoje i druge pretnje koje se javljaju na mrežnom (presretanje podataka) ili serverskom nivou (nebezbedni serveri mogu da budu kompromitovani i nanesu štetu svim korisnicima te aplikacije ili servisa).
Kako možemo da se zaštitimo od malicioznih softvera i učinimo svoje uređaje sigurnijim?
Najveća pretnja bezbednosti mobilnih uređaja je nepažnja i neznanje korisnika. Iako mobilni uređaji pružaju veliki broj alata za zaštitu i enkripciju podataka oni se često ne koriste ili se isključuju. Na ovaj način se korisnik izlaže nepotrebnim rizicima. Da biste bili bezbedniji koristite ove sisteme zaštite.
Koristite “jake” šifre
Takođe, pomenuo sam da trojanci koji se nalaze u zvaničnim prodavnicama aplikacija predstavljaju veliku pretnju i da se predstavljaju kao regularne aplikacija. Ovakve aplikacije možete relativno jednostavno da prepoznate – prilikom instalacije ćete dobiti obaveštenje koje su sve dozvole potrebne toj aplikaciji. Pročitajte ih pažljivo i ukoliko među ovim dozvolama primetite bilo šta sumnjivo verovatno se radi o trojancu. Na primer, ukoliko aplikacija baterijske lampe zahteva pristup vašim nalozima, imeniku, porukama i internetu, ovo verovatno nije samo baterijska lampa već kamuflirana maliciozna aplikacija koja vaše podatke šalje autoru aplikacije. Na žalost, postala je praksa da ljudi ne čitaju uslove korišćenja, obaveštenja i zahteve o dozvolama kada instaliraju novu aplikaciju već sve automatski prihvataju i na taj način se izlažu ogromnoj opasnosti.
Za kraj Nikola, reci nam šta može da se uradi da bi se povećao stepen bezbednosti mobilnih uređaja?
Postoje dve strane koje mogu i moraju da se pozabave problemom bezbednosti mobilnih uređaja – s jedne strane programeri, a sa druge korisnici. Programeri mobilnih aplikacija često nisu dovoljno upoznati sa načinima na koje mogu da zaštite svoje aplikacije, a dešava se i da naprave određeni propust koji postaje bezbednosni rizik. Zbog toga programeri moraju da povećaju stepen svog znanja o bezbednom programiranju mobilnih aplikacija i da prilikom programiranja budu pažljivi i primene svoje znanje na pravi način. Ovde bih uključio i administratore mreža i servera koji takođe moraju konstantno da se edukuju i pronađu odgovarajuće načine zaštite.
S druge strane su korisnici koji su često neobavešteni o pretnjama i rizicima, pa ih treba edukovati i pomoći im da shvate ozbiljnost pretnji i ponašaju se u skladu sa tim. Ne želim da kažem da treba biti paranoičan, ali treba razmisliti prilikom instalacije nove aplikacije da li su određena prava toj aplikaciji zaista potrebna. Naročito u situaciji kada nam aplikacija traži da pošaljemo SMS, MMS ili email da bismo izvršili neku akciju (recimo da nam se omogući klik na neki link) treba se zapitati da li je to legitiman zahtev ili se radi o sajber napadu sa komponentom socijalnog inženjerstva. Takođe ne bi bilo loše da izbegavate javne i nezaštićene WiFi mreže, jer se one poprilično lako prisluškuju i napadaju. Dobra praksa je zaštititi se pomoću enkripcije i korišćenjem jakih lozinki. Naravno, nije loše imati ni najsvežiju verziju operativnog sistema, pa i aplikacije, jer se prilikom razvoja novih verzija često poprave i sigurnosni propusti.
Za kraj, Nikola je zaključio: savršena sigurnost ne postoji, ali korisici mogu puno toga da urade da bi povećali stepen bezbednosti svojih mobilnih uređaja, ukoliko ih koriste na odgovarajući način. Mi se slažemo sa njim i zahvaljujemo mu na vremenu koje je za nas izdvojio.
Da li se i vi slažete? Da li vi svoje mobilne uređaje koristite na pravi način? Da li ćete primeniti neki od saveta koji nam je Nikola dao?
