Hlavní navigace

Korporátní bezpečnost: mobilně šifrovat end-to-end!

Pavel Štros

Cílem této volné série článků s četností občasníku je srozumitelně popsat působení aktuálně diskutovaných bezpečnostních hrozeb, a to v kontextu prostředí českých podniků a organizací. Zároveň bychom chtěli poskytnout v souvislostech přehled některých technických opatření vedoucích ke snížení rizika.

Komunikace zabezpečená E2E

Motto: Dva poskytovatelé „bezpečného“ e-mailu z USA, LavabitSilent Circle, raději ukončili provoz těchto svých služeb. Lavabit, údajně letitý poskytovatel mailových služeb pro Snowdena, tak učinil v návaznosti na kauzu PRISM a legislativní událostí posledních týdnů – raději než se stát „komplicem ve zločinech proti americkému lidu“. Silent Circle k tomuto rozhodnutí podle svého prohlášení dospěl v předstihu před potenciálními žádostmi o data od státních služeb se zdůvodněním, že jeho Silent Mail uživatelům neposkytuje dostatečné zabezpečení. Silent Circle pokračuje v provozování end-to-end šifrováním zabezpečených služeb pro mobilní zařízení – telefonie, výměny zpráv a videokonferencí. A v posledních týdnech se zejména pro Android objevila přehršel aplikací slibujících E2E zabezpečení mailu, zpráv nebo hovorů.

Ponechme stranou otázku, kolik firem potřebuje chránit komunikaci před dlouhými prsty státních agentur. Téměř každá potřebuje zajistit důvěrnost určité komunikace vůči konkurenci, správcům své ICT infrastruktury apod. Na úvod tedy pár otázek pro každého:

  1. Máme firemní standard pro bezpečnou komunikaci? (Výměnu zpráv, dokumentů, hovory.)
  2. Umí ho uživatelé rutinně používat? Umím ho rutinně používat?
  3. Používají ho uživatelé rutinně pro výměnu citlivých firemních informací? (Využívám ho … )
  4. Používají ho uživatelé rutinně i pro výměnu interních/neveřejných informací? (Využívám ho … )
  5. Pokud jste zatím se svými odpověďmi spokojeni, přichází otázka závěrečná. Platí vaše odpovědi i v případě komunikace mimo firmu?

E-mail

Se zdůvodněním od Silent Circle částečně nesouhlasíme. Pro většinu organizací je zabezpečení obsahu mailové zprávy dostatečné a nepotřebují chránit údaje o příjemci, odesílateli ani jiná metadata zpráv. Pro podnikovou sféru je standardem šifrování a podepisování e-mailů na bázi S/MIME a X.509 certifikátů. Technologie je běžně podporována mail/groupware servery i nezávislými a některými mobilními e-mail klienty. Jediným problémem je, že ji pro komunikaci se třetí stranou kvůli své pohodlnosti málokdo používá. Kdo by se obtěžoval s ověřením a importem certifikátu příjemce, že? A pro tento „drobný“ problém už dobré technické řešení neexistuje, je třeba přikročit k opatřením organizačním – vzdělávání, kontrole a represím. K automatizaci kontroly mohou dobře posloužit DLP systémy, ale o těch až někdy příště.

Alternativně lze pro zabezpečení e-mailu použít technologie na bázi PGP/OpenPGP, ale ty jsou vhodné jen pro uzavřenější komunity nebo jednotlivce. Přesvěčte svého obchodního partnera, aby si nainstaloval nějakého klienta/plugin, nastudoval jeho používání, vygeneroval klíče do keyringu atd. – jen abyste mu mohl poslat jednou za měsíc např. nějaký interní report … v lepším případě skončíte u heslem šifrovaného ZIPu nebo PDFka. Klidně tedy systémy založené na PGP používejte, ale podporujte i S/MIME šifrování a podepisování zpráv.

A pak jsou tu „bezpečné“ hostované mailové služby. Většina implementuje kryptografii na bázi OpenPGP, tj. pro podnikovou sféru jsou obecně nedostačující. Většina také spravuje klíče a certifikáty za uživatele, centrálně, což je pro uživatele pohodlné, ale nemají pak zabezpečení zpráv pod svou výhradní kontrolou. Google šifrování a podepisování zpráv ve svém hojně využívaném Gmailu a Google Apps neřeší vůbec. Existují různé doplňky do prohlížečů, které implementují OpenPGP technologii nebo symetrické šifrování heslem do webmailů, ale jejich použití bývá nepraktické a relativně komplikované. A pak je tu Penango. Uživatelsky přívětivé rozšíření prohlížečů (zatím IE a Firefox), které umožňuje šifrovat a podepisovat zprávy standardem S/MIME v běžném webovém rozhraní Gmailu. Tedy žádný applet pro kryptografické operace stahovaný z webu a klíče a certifikáty jsou uloženy v lokálním úložišti prohlížeče. Funguje i s dvoufaktorovou Google autentizací. Zdarma pro uživatele bezplatných Google Apps, jinak za cca 20 USD za rok a s technickou podporou.

Telefonie

Nabídka aplikací poskytujících E2E šifrování hovorů a zpráv pro chytré mobily je zejména na Androidu pestrá. Počítejte však s menším uživatelským komfortem a kvalitou hovoru více závislou na kvalitě signálu (datového připojení). RedPhone (Android, brzy iPhone) poskytuje výhod hned několik:

  • je zadarmo (nejde jen o peníze, přináší to i jednoduchost nasazení napříč lidmi z různých firem a organizací),
  • je open source, tedy veřejně verifikovatelný,
  • jako identifikátor volaného využívá jeho běžné telefonní číslo, takže si nemusíte vytvářet a udržovat další seznam kontaktů,
  • při volání partnerovi, který má RedPhone instalovaný (tj. na registrované číslo), se vás aplikace prostě zeptá, zda chcete volat zabezpečeně či normálně.

Seecrypt slibuje širokou podporu platforem (kromě obvykle podporovaného Androidu a iPhone i Windows Phone a Blackberry) a výhodně spojuje volání a zasílání zpráv do jedné aplikace, takže odpadá nepřívětivé a uživateli zanedbávané ověřování identity protější strany pro messaging – ověření proběhne při telefonním hovoru a přebírá se i pro ověření důvěryhodnosti přijatých zpráv. Poplatek 3 dolary za měsíc je cca třetinový oproti Silent Circle. Ti ovšem nabízí i přenos souborů, zničení zpráv podobně jako známější Wickr na iPhone a přidávají analogicky zabezpečené konferenční a video hovory z windows PC.

A aby vše nevypadalo tak růžově, přidejme odkaz na postesknutí jenoho bezpečnostního manažera nad Androidem. Prakticky neaktualizovatelný systém je v dnešní době skutečně trochu problém, souhlasíte?

Instant Messaging a videohovory

Pro začátek stojí za úvahu, zda je ve vaší organizaci nutné i messaging využívat pro výměnu citlivých a interních informací. Proč ale ne, když možnosti kvalitního zabezpečení se přímo nabízejí. Mnoho multiplatformních IM klientů podporuje OTR protokol, který je pro IM a VoIP komunikaci vhodný. A třeba Pidgin implementuje i uživatelsky přívětivé prvotní ověření identity protistrany prostým položením otázky, případně předem domluveným heslem. Při širším využívání může být přínosná i instalace vlastního IM komunikačního serveru ve firmě – integrace s kancelářskými aplikacemi, přístup ke všem firemním kontaktům, integrované ověřování vůči LDAP apod. Ta je ale samozřejmě nesrovnatelně náročnější než využití některé z existujících, na Internetu hostovaných služeb.

Nepochybně tendenční, ale věcné a užitečné srovnání služeb pro (nejen) videohovory najdete na stránkách VSee. I z našeho vlastního srovnání hostovaných služeb vychází VSee nejlépe, protože kromě kvality hovorů má neobyčejně intuitivní rozhraní, obsahuje užitečné nástroje pro vzdálenou spolupráci (interaktivní sdílení aplikací/desktopu, přenos souborů) a deklaruje šifrování E2E, byť ho uživatel nemá pod kontrolou. U nás populárnější Skype je pro firemní použití nepříliš vhodný. A vzhledem k tomu, že Skype je Microsoftem propagován jako „brána do světa“ i pro Lync, má to širší souvislosti.

Shrnutí

Technické prostředky pro zabezpečení firemní komunikace E2E existují, nemusí být nákladné a nemusí se vždy jednat o „in-house“ provozované systémy. Při správném výběru mohou i hostované služby poskytnout uživatelský komfort a vysokou úroveň kryptografické ochrany dat. Klíčová je „standardizace“ používání takových komunikačních nástrojů v organizaci a její důsledné prosazování.

Našli jste v článku chybu?

5. 9. 2013 21:56

Clock (neregistrovaný)

A co social engineering? Nekde jsem cetl ze social engineering je nejvetsi bezpecnostni hrozba.

Je super kdy ma clovek korporatne certifikovane genialni superbezpecne sifrovani s milionbitovym klicem, kdyz pak tam nekdo zavola, bude se vydavat za podporu, a nekdo mu rekne heslo.

5. 9. 2013 14:47

lvr (neregistrovaný)

Divne cisla mi ukazovalo cez web rozhranie na current linux klientoch (4 kusy). Mam zakazane DHT a aj relay a mam definovanych svoje stroje. Ten sw mi spokojne stahoval zo vzialeneho serveru dva subory a dva subory z lokalneho, po gigabite pripojeneho, serveru. Takto vytazenie linky behalo od 100 kB/s az po 7MB/s. Veeeelmi casto bolo blizsie k spodnej hranici. Zosynchronizovat 1.5GB dat trvalo asi 20 minut. Uznavam, ze Internetovu konektivitu mam hnilu na danom mieste, ale preco ten blbec nevyuz…

DigiZone.cz: R2B2 a Hybrid uzavřely partnerství

R2B2 a Hybrid uzavřely partnerství

Měšec.cz: Exekuční poradna: ptejte se online

Exekuční poradna: ptejte se online

Lupa.cz: Levný tarif pro Brno nebude, je to kartel

Levný tarif pro Brno nebude, je to kartel

Vitalia.cz: To nejhorší při horečce u dětí: Febrilní křeče

To nejhorší při horečce u dětí: Febrilní křeče

Root.cz: Nová třída SD karet A1 s vysokým výkonem

Nová třída SD karet A1 s vysokým výkonem

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Podnikatel.cz: Chtějte údaje k dani z nemovitostí do mailu

Chtějte údaje k dani z nemovitostí do mailu

Podnikatel.cz: Udávání a účtenková loterie, hloupá komedie

Udávání a účtenková loterie, hloupá komedie

DigiZone.cz: Ohrozí Freedom TV přechodové sítě?

Ohrozí Freedom TV přechodové sítě?

DigiZone.cz: Česká televize mění schéma ČT :D

Česká televize mění schéma ČT :D

Podnikatel.cz: Podnikatelům dorazí varování od BSA

Podnikatelům dorazí varování od BSA

DigiZone.cz: Sat novinky: slovenská TV8 HD i ruský NTV Mir

Sat novinky: slovenská TV8 HD i ruský NTV Mir

Vitalia.cz: Proč vás každý zubař posílá na dentální hygienu

Proč vás každý zubař posílá na dentální hygienu

Lupa.cz: Insolvenční řízení kvůli cookies? Vítejte v ČR

Insolvenční řízení kvůli cookies? Vítejte v ČR

Vitalia.cz: Jak vybrat ořechy do cukroví a kde mají levné

Jak vybrat ořechy do cukroví a kde mají levné

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Podnikatel.cz: E-Ježíšek si zařádí: nákupy od 2 do 5 tisíc

E-Ježíšek si zařádí: nákupy od 2 do 5 tisíc

120na80.cz: Horní cesty dýchací. Zkuste fytofarmaka

Horní cesty dýchací. Zkuste fytofarmaka

Lupa.cz: Co se dá měřit přes Internet věcí

Co se dá měřit přes Internet věcí

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky