Er det trygt å ta med jobbtelefonen til utlandet?

Er det trygt å ta med jobbtelefonen til utlandet?

Alt sikkerhetsarbeid må begynne med en risikovurdering. Hva skal vi beskytte og hvilke trusler skal vi beskyttes mot? I denne artikkelen tar vi utgangspunkt i en mobiltelefon og forklarer hvordan man vurderer hvilken risiko denne er utsatt for. Videre diskuterer vi hvordan man på bakgrunn av denne risikovurderingen kan velge tiltak for å redusere risiko, for eksempel når man reiser til utlandet.

Verdier

For det første må man kartlegge verdiene man trenger å beskytte. I en mobiltelefon er det først og fremst informasjon lagret på selve telefonen. Men en moderne telefon brukes også til å nå facebook, twitter, epost og en lang rekke andre skytjenester. I telefonen ligger også nøkler som gir tilgang til disse tjenestene, så den totale mengden informasjon som ligger på eller kan nås fra telefonen er ganske stor.

I tillegg representerer telefonen også informasjon som formidles gjennom telefonen når den brukes. Her tenker vi spesielt på telefonsamtaler, sms o.l., men også at telenettet vet hvor telefonen er til enhver tid.

Trusler

En trussel er en potensiell hendelse som kan true de identifiserte verdiene. Grovt sett er de truslene vi snakker om i informasjonssikkerhet enten brudd på konfidensialitet (informasjon blir kjent for uvedkommende), integritet (informasjon er endret av uvedkommende) eller tilgjengelighet.

Trusler som er relevante for en mobiltelefon er:

  • Overvåking: en angriper med tilgang til telenettet kan overvåke og avlytte trafikk derfra. I og med at trafikken fra mobiltelefonen sendes gjennom lufta som radiosignaler kan man også klare dette uten å ha fysisk tilgang til nettverket.
  • Malware, altså programvare installert på mobiltelefonen som kontrolleres av en angriper
  • Kopiering, at en angriper kan kopiere ut alt eller deler av informasjonen som ligger lagret i telefonen

Sårbarheter

En sårbarhet er en svakhet som kan utnyttes av en angriper til å kompromittere en verdi. Dette kan være en feil i designet av programvare eller maskinvare som gjør at angriperen kan gå rundt pin-koder eller andre sikkerhetsmekanismer, eller det kan være bakdører installert i programvare man har installert selv. 

Hvis trusselaktøren er en fremmed makt, kan man se på hele telenettet i aktuelt land som en sårbarhet, det vil ikke være noe som hindrer dem å installere overvåking på et sentralt punkt i telenettet og få tilgang til all trafikk. Og trafikken som sendes gjennom lufta fra telefonen til nærmeste mobilmast kan sannsynligvis overvåkes av hvem som helst. 

Men det er en forskjell på hva man bruker telefonen til. Telefonsamtaler, SMS og MMS som er tradisjonelle "teletjenester" går ukryptert gjennom nettet fordi disse er laget med antagelsen om at telenettet i seg selv er sikkert. Mens trafik til "internettjenester" som for eksempel Facebook, Twitter, epost, iMessage, Signal o.l. krypteres i telefonen og går kryptert gjennom telenettet og internett frem til tjenesten selv (og i noen tilfeller kryptert helt frem til mottakeren). Disse tjenestene er laget for å sende trafikk over internett med en antagelse om at all internettrafikk kan overvåkes. Dersom noen overvåker denne trafikken kan de se at du kommuniserer med for eksempel Facebook, men de kan ikke se innholdet i kommunikasjonen eller hvem som er mottakeren.

Angrep mot selve telefonen er avhengig av at det finnes en svakhet i telefonens programvare eller maskinvare. Leverandørene har etter hvert blitt ganske flinke til å tette sikkerhetshull så snart de oppdages, så hvis man har en noenlunde ny telefon med oppdatert programvare kan man anta at det ikke finnes noen kjente sårbarheter på denne. Men det finnes helt sikkert sårbarheter som ikke er kjent (såkalte "zero-days", de har vært kjent i 0 dager). Som privatperson er det veldig liten grunn til å være bekymret for "zero-days". Disse er sjeldne og vanskelige å finne, og hvis de brukes til et angrep vil de typisk bli kjent og fikset. Det betyr at de spares til angrep mot spesielt verdifulle objekt, ikke privatpersoner.

 Dette er de rene tekniske sårbarhetene. Men det finnes også trusler om ikke er avhengig av teknologi, og de kan være vel så effektive https://xkcd.com/538/. Enkelte steder kan man bli bedt om å låse opp telefonen når man passerer grensekontrollen, https://www.nytimes.com/2017/02/14/business/border-enforcement-airport-phones.html

For den videre vurderingen av risiko og valg av sikkerhetsmekanismer kan vi dele sårbarhetene i tre grupper:

  1. En angriper som klarer å lure deg til å installere ondsinnet programvare på telefonen kan gjøre dette fra hvor som helst i verden, og trenger ikke være i nærheten av din telefon
  2. En angriper som avlytter telenettet eller radiotrafikken fra telefonen din trenger enten privilegert tilgang til telenettet du er koblet til, eller å være fysisk i nærheten av telefonen din ("i nærheten" her betyr sannsynligvis opp til en kilometer)
  3. Andre sårbarheter vil kreve at angriperen fysisk får tak i telefonen.

Risiko

Når vi har en god forståelse av verdiene som skal beskyttes, trusler mot disse verdiene, og hvilke sårbarheter som kan utnyttes for å iverksette trusler kan vi gjøre en risikovurdering.

Risiko er sannsynligheten for at en trussel inntreffer multiplisert med konsekvensen dersom den inntreffer. Dette vil være kontekstavhengig. Som privatperson vil de ha ganske store konsekvenser for deg personlig om noen får tak i din facebook, gmail og twitter-konto (samt bank-id på mobil). Men hvis man for eksempel er regjeringsmedlem vil det også ha konsekvenser for rikets sikkerhet. Dessuten, hvis man er regjeringsmedlem er sannsynligheten for at noen skal prøve å angripe deg også mye større.

Sikkerhetsmekanismer

Når vi har en forståelse av hvilke trusler og sårbarheter vi er utsatt for, og hvilken risiko dette innebærer kan vi velge sikkerhetsmekanismer.

Valg av sikkerhetsmekanismer vil alltid være et kompromiss mellom kostnader, hvilke bruksbegrensninger man er villig til å akseptere og hvilke tekniske muligheter som finnes i løsningen man skal sikre.

 

Noen ekstreme eksempler som illustrerer dette:

  • Hvis man bruker en "dum" telefon uten mulighet til å installere programvare selv, vil det effektivt unngå mange potensielle sårbarheter, men da mister man også veldig mye funksjonalitet.
  • Ved å bruke forskjellige telefoner til forskjellige behov reduserer man hvor mye verdi som er knyttet til en enkelt telefon, og det er mulig å praktisk håndtere risiko ved å være bevisst på hvilken telefon man for eksempel tar med seg til utlandet.

For privatpersoner vil mye være gjort hvis man følger de samme rådene som gjelder på internett for øvrig: bruk gode passord, bruk 2-faktor-autentisering på tjenester som tilbyr dette, vær bevisst på hvilke linker du klikker på og hvilken programvare du installerer.

På en jobb-telefon kan man bruke MDM, "mobile device management". Dette er en infrastruktur som kan brukes til å kontrollere hva som kan installeres på telefonen, hva den kan brukes til, og fjern-slette den når den kommer på avveie. I tillegg kan slike løsninger typisk kapsle inn jobb-applikasjoner i en egen sandkasse, som reduserer sannsynligheten for at malware får tilgang til jobb-informasjon. 

Hvis man er i en spesielt utsatt posisjon er det ikke sikkert at dette er nok. Tilbake til sårbarhetene: hvis man tar med seg en telefon til utlandet vil dette øke sannsynligheten for at en angriper klarer å avlytte trafikken via telenettet (pkt 2) eller for at en angriper fysisk får tak i telefonen (pkt 3).

Hvis man i stedet tar med seg en tom lånetelefon når man drar til utlandet vil dette redusere risiko på to måter:

  • Konsekvensen av at en angriper fysisk får tak i telefonen er veldig liten
  • En lånetelefon kan også avlyttes, men hvis denne ikke er koblet opp mot facebook og epost, og den har et telefonnummer som færre personer kjenner til, er konsekvensen ved avlytting mye mindre enn for din vanlige mobiltelefon

Hvis man er redd for hva grensekontrollen kan finne på å gjøre, har wired noen råd:

https://www.wired.com/2017/02/guide-getting-past-customs-digital-privacy-intact/​

De fleste av disse er ganske omfattende, og er dessuten mest relevante for amerikanske borgere på vei inn og ut av USA. Men det kan også være en mulighet å ta backup av hele telefonen til skyen og slette telefonen før du reiser, og så gjøre en restore fra skyen når du har kommet frem.

comments powered by Disqus