Úvod

V dnešní době dochází k zásadním změnám ve způsobu použití výpočetní techniky. Ze sociologického hlediska se prudce mění požadavky na pracovní sílu a její režim práce. Dochází k explozivnímu růstu různých aplikací určených pro přístup z mobilních zařízení a ovládání IoT. Tento trend je relativně nový a většina subjektů (všech velikostí) nemá koncepci, jak tento nový bezpečnostní problém vlastně řešit. Škody, které hrozí prostřednictvím narušení duševního vlastnictví (odcizení firemních a státních tajemství, zneužívání osobních údajů a lékařských záznamů, ztráta zakázek apod), jsou obrovské a mnohdy je nelze vyčíslit. Vedle materiálních škod může docházet i k ohrožení života. Základním stavebním kamenem je však uživatel (tedy člověk, neboť stroje zodpovědnost nenesou) a právě člověk je nejzranitelnější částí celého řetězu.

Základní fakta

• Narůstající počet IoT zařízení, která jsou napojena přímo do internetu, nebo do kybernetického perimetru hraničícího s prostředím internetu.
• Chytré telefony a tablety jsou dnes součástí prakticky každé domácnosti.
• Komerční sektor je dnes na chytrých telefonech, tabletech a IoT zařízeních prakticky závislý, podobné je to ve státním sektoru.
• Uživatelé vůbec netuší, jaká data mají uložena ve svých chytrých telefonech, tabletech, hodinkách, automobilech, vysavačích apod. Jedná se o velmi nebezpečný trend, který vede k odcizování a zneužívání duševního vlastnictví, soukromí a má dopady prakticky do všech odvětví společnosti.
• Absence bezpečnostních politik a základních pracovních návyků uživatelů jednotlivých zařízení (chytré telefony, tablety, chytré hodinky, automobily, chytré domy, zdravotnická zařízení apod.).

Není pochyb o tom, že veškeré chytré telefony, tablety, ale i hodinky, automobily a řada dalších zařízení, obsahují řadu citlivých (osobních, firemních) dat, jejichž získáním může útočník majitele těchto údajů zkompromitovat. Grafické znázornění těchto dat můžete najít zde. Vykřičníkem ve žlutém trojúhelníku jsou označeny kategorie dat, jejichž získáním může útočník oběť zkompromitovat. Jednou z možných obran před tímto "odcizením" citlivých dat je tzv. hardening (zodolnění) zařízení, které tato data obsahuje.

Ptáte se, proč rootovat chytrý telefon nebo tablet?

Hardening

Vlastní hardening je popsán zde.

Ochrana osobních a průmyslových údajů

Jedná se zejména o tyto typy dat:

• osobní kontakty (konkrétní osoby, rodinní příslušníci, přátelé, obchodní partneři apod.)
• seznam telefonních volání (tedy seznam odchozích a příchozích hovorů)
• fotografie (ano, všechny fotografie v zařízení)
• šifrovací klíče
• ID zařízení
• údaje o poloze zařízení (tzv. geolokační data)
• seznam SMS (jako u telefonních hovorů, tedy odchozí a příchozí)
• veškeré další údaje, týkající se provozovatele zařízení
• veškerá data účtů, které v zařízení použity (elektronická pošta, přihlášení k Google Play, přihlašovací účty k dalším aplikacím)
• zamykání zařízení
• osobní poznámky
• záznamy v kalendáři
• údaje pro přihlašování k přípojným bodům datových sítí (WiFi hotspot list)
• ostatní dokumenty, obsahující soukromá nebo obchodní data (např. přílohy mailů, dokumenty k prostudování apod.)
• lékařské záznamy
• bankovní údaje
• přístupové kódy
• repozitáře pro aktualizace systému a aplikací
• zdrojové kódy (pokud se nejedná o veřejné údaje)
• statistiky využití zařízení

Oblasti nasazení OS Android

• Chytré telefony (přesah do všech oblastí trhu)
• Tablety (přesah do všech oblastí trhu)
• Chytré hodinky (přesah do všech oblastí trhu)
• Chytré domácnosti (televize, vysavač, řídící jednotka domácnosti nebo bytu, multimediální jednotka, další zařízení)
• Kamery a jejich řídící jednotky
• Zabezpečovací zařízení
• Zdravotnictví, iHealth
• Průmysl (zejména automobilový průmysl, letectví, doprava)
• Municipalita (křižovatky, parkoviště, senzory, kamery, routery, kiosky)
• Pokladní systémy a samoobslužné kiosky
• Telefonní operátoři
• Bankovní aplikace
• Pojišťovny – systémy a aplikace
• Kritická infrastruktura (SCADA, IoT)