IT Professional Security - ΤΕΥΧΟΣ 30

More documents

Info

P RACTICAL Σύστημα Εντοπισμού & Ενημέρωσης Χρηστών Κινητών Τηλεφώνων νωνία αυτή είναι δυνατό να καταγράφει και την ώρα που συνέβησαν αλλαγές ρυθμίσεων οι οποίες επηρεάζουν την α- σφάλεια, ώστε να είναι διαθέσιμα ακόμα περισσότερα στατιστικά στοιχεία. Σε κάθε περίπτωση η επικοινωνία λαμβάνει χώρα με κρυπτογραφημένο τρόπο για να μην είναι δυνατή η υ- ποκλοπή της. Ο πάροχος μπορεί εξάλλου να διαθέτει αναβαθμίσεις για την εφαρμογή ώστε να μπορεί να εξετάζει και ε- ντοπίζει μεγαλύτερο εύρος ρυθμίσεων του κινητού που αντανακλούν στην ασφάλειά του. Στοιχεία που συλλέγονται Όπως αναφέρθηκε παραπάνω, το σύστημα για να λειτουργήσει συλλέγει στοιχεία τόσο με αυτόματο όσο και με χειροκίνητο τρόπο. Τα δεδομένα που συλλέγονται περιλαμβάνουν ρυθμίσεις του κινητού, δημογραφικά στοιχεία και στοιχεία για τον τρόπο χρήσης του κινητού. Πιο συγκεκριμένα: Οι ρυθμίσεις που ελέγχονται διαφανώς από την εφαρμογή είναι οι εξής: 1) Εάν πρόκειται για κινητό με συμβόλαιο ή καρτοκινητό (από τα στοιχεία του παρόχου). 2) Ο μέσος μηνιαίος σας λογαριασμός (από τα στοιχεία του παρόχου). 3) H μάρκα του κινητού (βρίσκεται από τον αριθμό ΙΜΕΙ). 4) Αν διαθέτει εξελιγμένο λειτουργικό σύστημα (π.χ. Symbian, Windows Mobile, Android, iOS). Αξίζει να σημειωθεί ότι για τη συγκεκριμένη ρύθμιση το λογισμικό επίσης ρωτάει το χρήστη ώστε να διασταυρώσει το επίπεδο γνώσης του τελευταίου. 5) Η ενεργοποίηση του PIN στη SIM. 6) Η χρήση συνθηματικού στο Screen-Saver του κινητού. 7) Η κατάσταση του Bluetooth (Ενεργό και ορατό, Ενεργό και αόρατο, Εντελώς ανενεργό, Απουσία Bluetooth). 8) Αν το κινητό είναι κλειδωμένο για τη συγκεκριμένη μόνο κάρτα SIM. Αντίστοιχα, οι ερωτήσεις δημογραφικών και συμπεριφοράς που καλείται να απαντήσει ο χρήστης μέσα από το αντίστοιχο γραφικό περιβάλλον: 1) Φύλο. 2) Ηλικία. 3) Επάγγελμα. 4) Πόσα κινητά χρησιμοποιείτε καθημερινώς; Α)1, Β)2, C) >2 5) Διαθέτει εξελιγμένο λειτουργικό σύστημα (π.χ. Symbian, Windows Mobile, Android); A) Δεν γνωρίζω, Β) Ναι, Γ) Όχι. 6) Έχετε σημειώσει κάπου το ΙΜΕΙ του κινητού σας; A) Δεν γνωρίζω τι είναι, B) Ναι, C) Όχι. 7) Έχετε χάσει ποτέ το κινητό σας ή σας το έχουν κλέψει; A) Ποτέ, Β) 1 φορά, Γ) Περισσότερες από 1 φορά. 8) Γνωρίζετε για την ύπαρξη ειδικού εικονιδίου στη συσκευή σας, το οποίο σας ενημερώνει για την απενεργοποίηση της κρυπτογράφησης; A) Ναι, B) Όχι. 9) Έχετε ενεργοποιήσει την ερώτηση PIN στην κάρτα σας; Α Ναι, Β Όχι. 10) Χρησιμοποιείτε συνθηματικό στο Screen-Saver; Α) Δεν γνωρίζω αν έχει τη δυνατότητα, Β) Δεν έχει τη δυνατότητα, Γ) Ναι, Δ) Όχι. 11) Έχετε το Bluetooth: A) Αναμμένο και ορατό, Β) Αναμμένο και αόρατο, Γ) Σβηστό, Δ) Δεν ξέρω τη διαφορά ορατούαόρατου, Ε) Το κινητό δεν έχει Bluetooth. 12) Δανείζετε το κινητό σας σε άλλους; A) Ποτέ, B) Μόνο για λίγο και μόνο αν είμαι παρών, C) Ναι. 13) «Κατεβάζετε» λογισμικό στο κινητό σας; A) Δεν γνωρίζω ε- άν έχει αυτή τη δυνατότητα, B) Όχι, C) Κυρίως Ringtones/Logos, D) Κυρίως Παιχνίδια, E) Κυρίως Εφαρμογές. 14) Χρησιμοποιείτε Antivirus στο κινητό σας τηλέφωνο; A) Δεν έχει τη δυνατότητα, B) Δεν γνωρίζω αν υπάρχει τέτοιο προϊόν για το κινητό μου, C) Γνωρίζω ότι υπάρχει αλλά δεν χρησιμοποιώ, D) Ναι. 15) Αποθηκεύετε σημαντικά passwords στο κινητό σας (π.χ. κωδικούς Τράπεζας, Συναγερμών κ.λπ.); A) Όχι, B) Ναι με «κρυπτογραφημένη» μορφή, C) Ναι, χωρίς «κρυπτογράφηση». 16) Πόσο συχνά κάνετε αντίγραφα ασφαλείας των δεδομένων του κινητού σας; A) Ποτέ, B) >3 φορές το μήνα, C) 2-3 φορές το μήνα, D) 1 φορά το μήνα, E) Λιγότερο συχνά. 38 | security
17) Αποθηκεύετε ευαίσθητα προσωπικά δεδομένα στο κινητό σας (φωτογραφίες/ βίντεο/ ηχογραφήσεις συνομιλιών κ.λπ.); A) Ναι, B) Όχι. 18) Πόσο ασφαλή θεωρείτε την επικοινωνία μέσω κινητών τηλεφώνων; A) Πάρα πολύ, B) Πολύ, C) Μέτρια, D) Λίγο, Ε) Καθόλου. 19) Είστε ενημερωμένοι για το πώς επηρεάζουν την ασφάλεια του κινητού σας τηλεφώνου οι λειτουργίες και τα τεχνικά του χαρακτηριστικά; A) Πάρα πολύ, B) Πολύ, C) Μέτρια, D) Λίγο, Ε) Καθόλου. Δείκτες ενημέρωσης και ασφάλειας Από τα δεδομένα που συλλέγει το λογισμικό, εξάγεται ο μέσος δείκτης πραγματικής ενημέρωσης (mean actual awareness value-MAAV) όπως επίσης και ο μέσος δείκτης πραγματικής ασφάλειας (mean actual security value-MASV), όπως αναφέρονται στο [13]. Οι δείκτες αυτές προκύπτουν ως εξής. Για το MAAV προστίθεται +1 για κάθε ερώτηση στην οποία ο χρήστης απαντάει με «Δεν γνωρίζω». Επομένως η μέγιστη βαθμολογία είναι 7 και λόγω της αρνητικής κλίμακας αποτελεί και τη χειρότερη περίπτωση. Για το MASV, προστίθεται +1 για κάθε καλή πρακτική που ακολουθεί ο χρήστης. Ενδεικτικά - και σύμφωνα με το σύνολο των ερωτήσεων που προηγήθηκαν, καλές πρακτικές είναι οι παρακάτω: Σημείωση του IMEI, γνώση του εικονιδίου έλλειψης κρυπτογράφησης, ενεργοποίηση PIN στην κάρτα, ενεργοποίηση συνθηματικού στο Screen Saver, α- πενεργοποίηση Bluetooth, μη δανεισμός κινητού, αποφυγή downloading, χρήση antivirus, μη αποθήκευση συνθηματικών στο τηλέφωνο, μη αποθήκευση προσωπικών δεδομένων στο τηλέφωνο. Η μέγιστη βαθμολογία λοιπόν είναι 10, αφού υπάρχουν 10 ερωτήσεις Όπως αναφέρθηκε και νωρίτερα, μέρος των απαντήσεων του χρήστη μπορούν να διασταυρωθούν α- πό τις αυτόματες μετρήσεις. Επιπλέον μπορεί να γίνει σύγκριση του υποκειμενικού δείκτη ασφάλειας που αισθάνεται ο χρήστης (σύμφωνα με τις απαντήσεις του στις ερωτήσεις 18-19) σε σχέση με τους αντικειμενικούς δείκτες MAAV και MASV. Με τον τρόπο αυτό ο χρήστης μπορεί να προστατευθεί από εσφαλμένες εντυπώσεις που πιθανώς του έχουν δημιουργηθεί, πιστεύοντας ότι είναι ασφαλής, ενώ στην πράξη δεν είναι. Συμπεράσματα Με χρήση του απλού αυτού συστήματος επιτυγχάνεται η μέγιστη δυνατή προστασία των κινητών, ελαχιστοποιώντας τον παράγοντα κινδύνου που οφείλεται στο χρήστη. Πλημμελείς πρακτικές ασφάλειας και εσφαλμένος τρόπος χρήσης ανιχνεύονται άμεσα, ενώ μέσω της κατηγοριοποίησης του χρήστη σε συγκεκριμένες κατηγορίες-προφίλ μπορεί να λάβει χώρα η πρόβλεψη της συμπεριφοράς ασφάλειας. Σε κάθε περίπτωση το κατάλληλο εκπαιδευτικό πολυμεσικό υλικό είναι σε θέση να βελτιώσει την αντίληψη του χρήστη ως προς την ασφάλεια, ενημερώνοντάς τον όποτε αυτό είναι αναγκαίο. Η υιοθέτηση της εφαρμογής αυτής από τους παρόχους και η προ-εγκατάστασή της από τους κατασκευαστές συσκευών, θα βοηθήσουν στην αποτελεσματική αντιμετώπιση των απειλών ασφάλειας στα κινητά τηλέφωνα. iTSecurity Αναφορές 1. comScore M:Metrics: Smarter phones bring security risks: Study (2008) 2. Leung, A. Sheng, Y., Cruickshank, H.: The security challenges for mobile ubiquitous services. Information Security Technical Report, vol. 12, Issue 3, pp. 162--171 (2007) 3. Androulidakis, I., Kandus, G.: A Survey on Saving Personal Data in the Mobile Phone. Proceedings of Sixth International Conference on Availability, Reliability and Security (ARES 2011), pp. 633--638 (2011) 4. Allam, S.: Model to measure the maturity of smartphone security at software consultancies, Thesis. University of Fort Hare (2009) 5. McAfee: Mobile Security Report 2008 (2008) 6. Trend Micro: Smartphone Users Oblivious to Security. Trend Micro survey (2009) 7. CPP: Mobile phone theft hotspots. CPP survey (2010) 8. ABI Research, Study: Enterprises Need to Address Cell Phone Security (2009) 9. TechRepublic: Survey respondents say companies are lax on mobile security. TechRepublic article (2007) 10. Goode Intelligence: Mobile security the next battleground (2009) 11. National Cyber Security Alliance (NCSA): Schools Lacking Cyber Security and Safety Education (2009) 12. Cable & Wireless: Workers lack mobile phone etiquette (2009) 13. Androulidakis, I., Kandus, G.: Feeling Secure vs. Being Secure, Proceedings of 7th International Conference in Global Security, Safety and Sustainability (ICGS3), Lecture Notes of the Institute for Computer Sciences, Volume 99, pp 235—242 (2012) 14. King N. J, Jessen P. W.: Profiling the mobile customer – Privacy concerns when behavioral advertisers target mobile phones. Computer Law & Security Review, vol. 26, Issue 5, pp. 455--478 (2010) security | 39
Page 1: Μάρτιος - Απρίλιος 2
Page 5 and 6: McAfee Security Information and Eve
Page 8 and 9: NEWS Η ESET κυκλοφόρησε
Page 10 and 11: NEWS Οι νέες λύσεις Clo
Page 12 and 13: NEWS Πραγματοποιήθηκ
Page 14 and 15: REFERENCE Του Χρήστου Σ
Page 16 and 17: C OVER ISSUE Του Νότη Ηλι
Page 18 and 19: COVER ISSUE Ασφάλεια στο
Page 20 and 21: COVER ISSUE Ασφάλεια στο
Page 22 and 23: REPORT 3ο Infocom Security Ο κο
Page 28 and 29: I SSUE Της Παναγιώτας
Page 30 and 31: I SSUE Mobile Device Management Η
Page 32 and 33: I SSUE Της Παναγιώτας
Page 34 and 35: I SSUE Αναδυόμενες τε
Page 36 and 37: I SSUE Αναδυόμενες τε
Page 38 and 39: P RACTICAL Σύστημα Εντο
Page 42 and 43: P RACTICAL Ethical Hacking και
Page 44 and 45: P RACTICAL Ethical Hacking και
Page 46 and 47: P RACTICAL Αλέξανδρος Σ
Page 48 and 49: P RACTICAL Οδηγός διασφ
Page 50: Διμηνιαίο περιοδικ

IT Professional Security - ΤΕΥΧΟΣ 30

Create successful ePaper yourself

Delete template?

Save as template?