Korporátní bezpečnost: mobilně šifrovat end-to-end!

Pavel Štros 3. 9. 2013

Cílem této volné série článků s četností občasníku je srozumitelně popsat působení aktuálně diskutovaných bezpečnostních hrozeb, a to v kontextu prostředí českých podniků a organizací. Zároveň bychom chtěli poskytnout v souvislostech přehled některých technických opatření vedoucích ke snížení rizika.

Komunikace zabezpečená E2E

Motto: Dva poskytovatelé „bezpečného“ e-mailu z USA, LavabitSilent Circle, raději ukončili provoz těchto svých služeb. Lavabit, údajně letitý poskytovatel mailových služeb pro Snowdena, tak učinil v návaznosti na kauzu PRISM a legislativní událostí posledních týdnů – raději než se stát „komplicem ve zločinech proti americkému lidu“. Silent Circle k tomuto rozhodnutí podle svého prohlášení dospěl v předstihu před potenciálními žádostmi o data od státních služeb se zdůvodněním, že jeho Silent Mail uživatelům neposkytuje dostatečné zabezpečení. Silent Circle pokračuje v provozování end-to-end šifrováním zabezpečených služeb pro mobilní zařízení – telefonie, výměny zpráv a videokonferencí. A v posledních týdnech se zejména pro Android objevila přehršel aplikací slibujících E2E zabezpečení mailu, zpráv nebo hovorů.

Ponechme stranou otázku, kolik firem potřebuje chránit komunikaci před dlouhými prsty státních agentur. Téměř každá potřebuje zajistit důvěrnost určité komunikace vůči konkurenci, správcům své ICT infrastruktury apod. Na úvod tedy pár otázek pro každého:

  1. Máme firemní standard pro bezpečnou komunikaci? (Výměnu zpráv, dokumentů, hovory.)
  2. Umí ho uživatelé rutinně používat? Umím ho rutinně používat?
  3. Používají ho uživatelé rutinně pro výměnu citlivých firemních informací? (Využívám ho … )
  4. Používají ho uživatelé rutinně i pro výměnu interních/neveřejných informací? (Využívám ho … )
  5. Pokud jste zatím se svými odpověďmi spokojeni, přichází otázka závěrečná. Platí vaše odpovědi i v případě komunikace mimo firmu?

E-mail

Se zdůvodněním od Silent Circle částečně nesouhlasíme. Pro většinu organizací je zabezpečení obsahu mailové zprávy dostatečné a nepotřebují chránit údaje o příjemci, odesílateli ani jiná metadata zpráv. Pro podnikovou sféru je standardem šifrování a podepisování e-mailů na bázi S/MIME a X.509 certifikátů. Technologie je běžně podporována mail/groupware servery i nezávislými a některými mobilními e-mail klienty. Jediným problémem je, že ji pro komunikaci se třetí stranou kvůli své pohodlnosti málokdo používá. Kdo by se obtěžoval s ověřením a importem certifikátu příjemce, že? A pro tento „drobný“ problém už dobré technické řešení neexistuje, je třeba přikročit k opatřením organizačním – vzdělávání, kontrole a represím. K automatizaci kontroly mohou dobře posloužit DLP systémy, ale o těch až někdy příště.

Alternativně lze pro zabezpečení e-mailu použít technologie na bázi PGP/OpenPGP, ale ty jsou vhodné jen pro uzavřenější komunity nebo jednotlivce. Přesvěčte svého obchodního partnera, aby si nainstaloval nějakého klienta/plugin, nastudoval jeho používání, vygeneroval klíče do keyringu atd. – jen abyste mu mohl poslat jednou za měsíc např. nějaký interní report … v lepším případě skončíte u heslem šifrovaného ZIPu nebo PDFka. Klidně tedy systémy založené na PGP používejte, ale podporujte i S/MIME šifrování a podepisování zpráv.

A pak jsou tu „bezpečné“ hostované mailové služby. Většina implementuje kryptografii na bázi OpenPGP, tj. pro podnikovou sféru jsou obecně nedostačující. Většina také spravuje klíče a certifikáty za uživatele, centrálně, což je pro uživatele pohodlné, ale nemají pak zabezpečení zpráv pod svou výhradní kontrolou. Google šifrování a podepisování zpráv ve svém hojně využívaném Gmailu a Google Apps neřeší vůbec. Existují různé doplňky do prohlížečů, které implementují OpenPGP technologii nebo symetrické šifrování heslem do webmailů, ale jejich použití bývá nepraktické a relativně komplikované. A pak je tu Penango. Uživatelsky přívětivé rozšíření prohlížečů (zatím IE a Firefox), které umožňuje šifrovat a podepisovat zprávy standardem S/MIME v běžném webovém rozhraní Gmailu. Tedy žádný applet pro kryptografické operace stahovaný z webu a klíče a certifikáty jsou uloženy v lokálním úložišti prohlížeče. Funguje i s dvoufaktorovou Google autentizací. Zdarma pro uživatele bezplatných Google Apps, jinak za cca 20 USD za rok a s technickou podporou.

Telefonie

Nabídka aplikací poskytujících E2E šifrování hovorů a zpráv pro chytré mobily je zejména na Androidu pestrá. Počítejte však s menším uživatelským komfortem a kvalitou hovoru více závislou na kvalitě signálu (datového připojení). RedPhone (Android, brzy iPhone) poskytuje výhod hned několik:

  • je zadarmo (nejde jen o peníze, přináší to i jednoduchost nasazení napříč lidmi z různých firem a organizací),
  • je open source, tedy veřejně verifikovatelný,
  • jako identifikátor volaného využívá jeho běžné telefonní číslo, takže si nemusíte vytvářet a udržovat další seznam kontaktů,
  • při volání partnerovi, který má RedPhone instalovaný (tj. na registrované číslo), se vás aplikace prostě zeptá, zda chcete volat zabezpečeně či normálně.

Seecrypt slibuje širokou podporu platforem (kromě obvykle podporovaného Androidu a iPhone i Windows Phone a Blackberry) a výhodně spojuje volání a zasílání zpráv do jedné aplikace, takže odpadá nepřívětivé a uživateli zanedbávané ověřování identity protější strany pro messaging – ověření proběhne při telefonním hovoru a přebírá se i pro ověření důvěryhodnosti přijatých zpráv. Poplatek 3 dolary za měsíc je cca třetinový oproti Silent Circle. Ti ovšem nabízí i přenos souborů, zničení zpráv podobně jako známější Wickr na iPhone a přidávají analogicky zabezpečené konferenční a video hovory z windows PC.

A aby vše nevypadalo tak růžově, přidejme odkaz na postesknutí jenoho bezpečnostního manažera nad Androidem. Prakticky neaktualizovatelný systém je v dnešní době skutečně trochu problém, souhlasíte?

Instant Messaging a videohovory

Pro začátek stojí za úvahu, zda je ve vaší organizaci nutné i messaging využívat pro výměnu citlivých a interních informací. Proč ale ne, když možnosti kvalitního zabezpečení se přímo nabízejí. Mnoho multiplatformních IM klientů podporuje OTR protokol, který je pro IM a VoIP komunikaci vhodný. A třeba Pidgin implementuje i uživatelsky přívětivé prvotní ověření identity protistrany prostým položením otázky, případně předem domluveným heslem. Při širším využívání může být přínosná i instalace vlastního IM komunikačního serveru ve firmě – integrace s kancelářskými aplikacemi, přístup ke všem firemním kontaktům, integrované ověřování vůči LDAP apod. Ta je ale samozřejmě nesrovnatelně náročnější než využití některé z existujících, na Internetu hostovaných služeb.

widgety

Nepochybně tendenční, ale věcné a užitečné srovnání služeb pro (nejen) videohovory najdete na stránkách VSee. I z našeho vlastního srovnání hostovaných služeb vychází VSee nejlépe, protože kromě kvality hovorů má neobyčejně intuitivní rozhraní, obsahuje užitečné nástroje pro vzdálenou spolupráci (interaktivní sdílení aplikací/desktopu, přenos souborů) a deklaruje šifrování E2E, byť ho uživatel nemá pod kontrolou. U nás populárnější Skype je pro firemní použití nepříliš vhodný. A vzhledem k tomu, že Skype je Microsoftem propagován jako „brána do světa“ i pro Lync, má to širší souvislosti.

Shrnutí

Technické prostředky pro zabezpečení firemní komunikace E2E existují, nemusí být nákladné a nemusí se vždy jednat o „in-house“ provozované systémy. Při správném výběru mohou i hostované služby poskytnout uživatelský komfort a vysokou úroveň kryptografické ochrany dat. Klíčová je „standardizace“ používání takových komunikačních nástrojů v organizaci a její důsledné prosazování.

Našli jste v článku chybu?
Lupa.cz: Proč jsou firemní počítače pomalé?

Proč jsou firemní počítače pomalé?

Root.cz: Hořící telefon Samsung Note 7 zapálil auto

Hořící telefon Samsung Note 7 zapálil auto

Podnikatel.cz: Babiš: Článek Soukupa k EET je plný nesmyslů

Babiš: Článek Soukupa k EET je plný nesmyslů

Vitalia.cz: Tesco nabízí desítky tun jídla zdarma

Tesco nabízí desítky tun jídla zdarma

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje

Vitalia.cz: 5 chyb, které děláme při skladování potravin

5 chyb, které děláme při skladování potravin

Podnikatel.cz: Nemá dluhy? Zjistíte to na poště

Nemá dluhy? Zjistíte to na poště

Vitalia.cz: Tahák, jak vyzrát nad zápachem z úst

Tahák, jak vyzrát nad zápachem z úst

Vitalia.cz: Jak Ondra o astma přišel

Jak Ondra o astma přišel

Vitalia.cz: dTest odhalil ten nejlepší kečup

dTest odhalil ten nejlepší kečup

DigiZone.cz: Numan Two: rozhlasový přijímač s CD

Numan Two: rozhlasový přijímač s CD

DigiZone.cz: Rapl: seriál, který vás smíří s ČT

Rapl: seriál, který vás smíří s ČT

Vitalia.cz: Tohle jsou nejlepší česká piva podle odborníků

Tohle jsou nejlepší česká piva podle odborníků

Lupa.cz: Cimrman má hry na YouTube i vlastní doodle

Cimrman má hry na YouTube i vlastní doodle

DigiZone.cz: Wimbledon na Nova Sport až do 2019

Wimbledon na Nova Sport až do 2019

Podnikatel.cz: Letáky? Lidi zuří, ale ony stále fungují

Letáky? Lidi zuří, ale ony stále fungují

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

120na80.cz: Nejsilnější alergeny jsou pryč

Nejsilnější alergeny jsou pryč

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

DigiZone.cz: Digi Slovakia zařazuje stanice SPI

Digi Slovakia zařazuje stanice SPI