TTY / Tietoturvallisuuden jatkokurssi / Harjoitustyö 2011 / Luonnosvaihe

Markus Heiskanen

iOS-laitteiden tietoturva

Johdanto

Mobiililaitteiden käyttöjärjestelmät ovat nykyään selkeästi turvallisempia kuin tavallisten tietokoneiden. Niidenkään tietoturva ei ole kuitenkaan puutteetonta. Nämä puuteet korostuvat, sillä nykyään mobiililaitteet (matkapuhelimet, taulutietokoneet) ovet selkeästi yleistyneet.

iOS

Applen iOS on uuden sukupolven iPodin, iPhonen, and iPadin taustalla olevä käyttöjärestelmä jonka on käytännössä tarkoitus olla kevennetty versio Apple’s OS X Mac operating system. (Lähde Apple 20xx) OS X perinnöltään Unix-pohjainen järjestelmä jonka taustat ovat Mach-käyttöjärjestelmässä ja DarwinBSD?-käyttöjärjestelmässä. i OS on suunniteltu käytettäväksi kosktusnäytön avulla. Apple julkaisi käyttöjärjestelmän ensimmäisen version kesäkuussa 2007. Applen iPhone on merkittävin iOS laite, sillä se on eniten käytössä ja se on ainoa joka toimii puhelinverkossa. Siksi sen rooli ja yleistyminen organisaatioissa on aihettanut kysymyksen sen tietoturvallisuuden riittävyydestä.

Turvallisuusmenetelmät


iOS noudattaa viittä mobiilin tietoturvallisuuden perustoimintapaa, joista neljä ensinmainittua on primäärisiä ja viimeiseksimainittu on sekondäärinen.

Alkeellisin toimintatapa on perinteinen pääsynhallinta, joka suojaa perinteisesti laitteelle pääsyä yksinkertaisin autentikoimismenetelmin, kuten salasanalla tai lukitsemalla puhelimen kun sitä ei hetkeen käytetä.

Toinen keskeinen toiminatapa on sovellusten alkuperän autentikointi, jossa tekijän luotettavuus tunnistetaan hänen digitaalisesta allekirjoituksestaan. iOS:n viralliset sovellukset ladataan Applen hallinnoimasta AppStoresta?, missä jokainen sovellus on käynyt perinpohjaisen hyväksymisprosessin. Tämä osaltaan lisää merkittävästi yksittäisten sovellusten turvallisuutta.

Laitteen muisti on myös kryptattavissa, eli laitteella olevaa dataa ei saada luettua ilman salasanoja. Laitteessa käytetään myös eristämistä mikä näkyy esimerkiksi muistinhallintana, missä sovellukset eivät pääse käsiksi toisten sovellusten (arkaluontoisiinkin) muistialueisiin.

Toisisijaisena ominaisuutena on lupapohjainen pääsynhallinta, mikä kaikissa yksinkertaisuudessaan tarkoittaa, että useimmat toiminnot mitä sovellus suorittaa, vaativat käyttäjän hyväksymisen. Jos käyttäjä ei hyväksy toimintaa, luonnollisesti sovelluksen suorittaminen keskeytyy.

Uhat

Symantecin tutkimus (2011) osoittaa, että vaikka iOS:n tietoturvasta onkin huolehdittu, muodostuu merkittäväksi ongelmaksi työ ja yksityiskäytön sekoittuminen.

Tämä aiheuttaa monia lieveilmiöitä. Yksityiskäyttö altistaa helpommin uhille ja täten arvokas työhönliittyvä informaatio saattaa joutua murron kohteeksi. He saattavat esimerkiksi yhdistää suojaamattoman laitteen yritysverkkoon ja samalla laitteella yhdistää suojaamattomaan kolmannen osapuolen verkkoon työajan ulkopuolella.

Tunnetuimpia uhkia mobiililaitteita kuten iOS vastaan ovat selain- ja verkkopohjaiset hyökkäykset, eli hyökkäykset jossa verkon kautta leviää haitallista koodia (viruksia).

Toinen merkittävä hyökkäystyyppi on kohdistetut hyökkäykset, joissa pyritään kalastelemaan käyttäjän tunnistetietoja, kuten salasanoja (ns. social engineering). Tällaiset hyökkäykset kohdistetaan yleensä tarkastivalittuihin korkean profiilin kohteisiin, joista saatava potentiaalinen hyöty on selkesti riskin arvoista.

Harvinaisempi hyökkäystyyppi mobiililaitteiden tapauksessa on palvelun- tai resurssienestohyökkäykset, jossa esim DDOS-toiminnalla pyritään estämään verkon käyttö. Muita perinteisiä uhkia ovat tietojen häviäminen hyökkäyksen takia tai vahingossa, sekä hyökkäykset, joilla yritetään murtaa laitteen suojaus.

Tietoturvapolitiikka


Vaikka mobiilililaitteiden oma suojaus on parempi kuin perinteisten tietokoneiden käyttöjärjestelmillä, niissä on edelleen haavoittuvuuksia, joita jo tunnetut uhat voivat hyödyntää.

iOS suojaa hyvin käyttäjää perinteisiltä haittaohjelmilta. Tämä johtuu lähinnä Applen tiukasta hyväksymisprosessista, joka sovellusten ja niiden kehittäjien on läpäistävä ennen kuin sovellus pääsee AppStoreen?. Siten ohjelmistojen kehittäjät tunnetaan ja haittaohjelmat karsiutuvat helpommin. Tämä tapa on osoittunut helpoksi tavallisen käyttäjän näkökulmasta, ja siirtänyt vastuuta tietoturvasta Applelle. Tämä toimintamalli eroaa selkeästi kilpailijoista, joiden puuttuminen ohjelmistojen kehitykseen ja kehittäjien tavoitteisiin on löyhempää.

Mobiililaitteet, joiden lukitus on murrettu tai joiden käyttäjä on ottanut tietoturvatoiminnot pois käytöstä, ovat erityisen houkuttelevia hyökkääjille, sillä ne ovat yhtä haavoittuvia kuin perinteiset tietokoneet. Tämä korostuu Applen laitteiden tapauksessa, sillä moni valistuneempi käyttäjä tahtoo käyttää omaa tai muiden ei-verifioitujen kehittäjien luomia ohjelmistoja. Tämä johtaa iOS:n tapauksessa niinsanottuun “jailbreakaukseen” eli turvallisuusohjelmistojen keirtämiseen. Jailbreakaamisesssa asennetaan ohjelmisto laitteeseen, joka kiertää Applen asettamat verifioinnit ja näin mahdollistaa vapaasti kolmannen osapuolten ohjelmien lataamisen kolmansien osapuolten lähteistä.

Päätelmät / yhteenveto

Vastaukset ongelmaan tiivistetään tässä luvussa, jonka maksimipituus on sama kuin johdantoluvunkin. Tässä ei toisteta aiempia ilmaisuja eikä viitata aiempiin kohtiin. Toisaalta uusia näkökulmia ei tuoda esille, paitsi ehkä mainintoja siitä, miten työtä voisi jatkaa: syvemmälle tai laajemmalle. Lukija voi lukea vain johdannon ja päätelmät. Päätelmäluku on hyvä, jos lukija tällöin haluaakin lukea, mitä välissä on.

Lähteet

  • [1] Lähde, johon tekstissä viitataan merkinnällä [1].

SivuTiedotLaajennettu edit

Vaativuus Jatko
Valmius Valmisteilla
Tyyppi Ydin
Luokitus Uhkat
Mitä Luottamuksellisuus
Miltä Ihmisetön uhka
Missä Organisaatio
Kuka Titu-ammattilainen
Milloin Ennakolta
Miksi Hyvä tapa
Print version |  PDF  | History: r3 < r2 < r1 | 
Topic revision: r3 - 20 Oct 2012 - 19:10:47 - MarkusHeiskanen
 

TUTWiki

Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback