A Google mobilos operációs rendszere, az Android ma a világ legelterjedtebb mobilplatformjának számít, olyannyira, hogy egyes statisztikák szerint a világon jelenleg használatos okostelefonok 85%-án ez a rendszer fut. Az informatika és a telekommunikáció világában márpedig kemény farkastörvények uralkodnak, ezen mondhatni törvényszerűségek egyike, hogy mindig a legnépszerűbb platformokat éri a legtöbb támadás.

A Google-féle Androidról persze nem csak ezért terjedt el korábban, hogy a rendszer biztonsági szempontból finoman szólva is kihívásokkal küzd, de a fejlesztők gőzerővel dolgoznak azon, hogy a felhasználókra leselkedő veszélyeket minimalizálják - még akkor is, ha a támadások nagy része valójában a felhasználók hanyagságára, nemtörődömségére, vagy figyelmetlenségére épül.

A cég az utóbbi években szerencsére eléggé transzparens módon áll hozzá a mobilos sebezhetőségek, biztonsági rések kérdésköréhez, illetve több olyan partneri megállapodást is kötött (egyebek mellett a BlackBerryvel), melyek rendszerszintű változásokkal, illetve egyes készülékgyártók közreműködésével próbálják a régi sztereotípiát megváltoztatni. 

yoy_playstore.jpg

Így például a Google minden évben kiad egy biztonsági beszámolót, melyben több aspektusból is vizsgálja a cég, hogy a korábbi időszakkal összevetve hogyan alakult a biztonsági incidensek aránya. Például a potenciálisan kártékony alkalmazások (PHA) telepítési rátája, mely a 2014-es évhez képest 2015-ben 40%-kal esett vissza, a ténylegesen fertőzött készülékek aránya pedig 0,5%-ra esett.

yoy_outsideplaystore.jpg

Fontos szempont, hogy a Google a Play Áruházba került alkalmazásokat igyekszik alaposan megvizsgálni a jóváhagyási folyamat során, így a legkisebb valószínűsége akkor van a fertőzésnek, ha valaki a hivatalos piactérről tölt le appokat a telefonjára. A Google szerint a Play Store-ból letöltött app esetén tized akkora az esély a fertőzésre, mint az egyéb (nem ellenőrzött) külső alkalmazásboltoknál. Gondolom ebből mindenkinek lejött mostanra a tanulság:

Ha jót akarsz, a Google Play Áruházból töltsd le az androidos appokat!

Egyre hatékonyabban igyekszik kivédeni a fertőzött, illetve kártékony alkalmazások telepítését az Android 4.2-es verziója óta a rendszer részét képező Verify Apps funkció, mely gyakorlatilag az Android beépített spyware/malware szekkenlő rendszere. Ez a telepítéskor és a telepítés után is ellenőrzi az alkalmazások működését, és mivel öntanuló, idővel egyre több gyanús elemet képes kiszűrni. A felhőalapú szolgáltatásnak egyébként van dolga bőven, a Google azt állítja, hogy napi szinten 6 milliárd alkalmazásra "néz rá". A Google által kiadott statisztikák szerint a Verify Appsnek köszönhetően a kéretlen adatgyűjtést végző, illetve spywar-ek fertőzési aránya egy év alatt 40, illetve 60 százalékkal csökkent (a telepített arány 2015-ben 0,08% és 0,02%.volt).

A fentiek tehát jól mutatják, hogy az Android már az átlagfelhasználó számára is jóval biztonságosabb játékszer, mint 2-3 évvel ezelőtt volt, a vállalatok szempontjából pedig egyebek mellett az olyan platformok jelentik a kulcsot a még nagyobb információbiztonsághoz, mint az egyfajta konténerizált megoldást nyújtó Android for Work, a BES részét képező Secure Work Space, vagy éppen a Samsung-féle KNOX. A BlackBerry saját mobilmenedzsment-platformja, a BES12 mindhárom rendszerrel kompatibilis, és képes akár teljesen elkülöníteni az alkalmazott privát szférájét a céges környezettől, egyebek mellett az alkalmazások letöltésének korlátozásával, vagy a céges alkalmazásboltok támogatásával.

flblackberrypriv.jpg

Az Android biztonsága szempontjából a fentieken túl kulcstényező lehet az is, hogy a rendszerszintű sebezhetőségeket az androidos gyártók milyen gyorsan javítják ki a Google közreműködésével. A minél gyorsabb reagálás érdekében az Android tavaly nyár óta gyakorlatilag a Windowshoz hasonló frissítési ciklusokat követ, vagyis havonta jönnek a rendszerhez a frissítőcsomagok, melyeket a gyártók kiadhatnak a saját készülékeikre.

Itt azért láthatóan még van hová fejlődni, a havi frissítéseket ugyanis a jelek szerint nagyon kevés gyártó készíti el, és küldi le a készülékekre időben -- többnyire a szolgáltatók jóváhagyatási procedúrája miatt, vagy arra hivatkozva. A BlackBerry gyakorlatilag a mai napig az egyetlen olyan független androidos gyártó, mely a félig-meddig a Google égisze alatt készülő Nexusokkal egy időben, vagy akár azoknál korábban leküldi a havi biztonsági frissítéseket a telefonokra.

Via Google, via HWSW.

Címkék: google biztonság blackberry android

Eddig kellett várni arra, hogy a BlackBerry részéről valamilyen reakció szülessen a média által múlt hét végén felkapott "sztorira", miszerint a mindig is szuperbiztonságos mobil megoldásairól híres gyártó telefonjait a kanadai rendőrség már "2010 óta lehallgatja". Ez persze így ebben a formában erős csúsztatás, de ezt már a múlt héten egy posztban részleteztem, a hivatalosnak tekinthető reakcióban pedig valójában semmi újdonságot nem mond John Chen, a BlackBerry elnök-vezérigazgatója.

A BlackBerry ugyanis régóta kitart azon álláspontja mellett, hogy a tech cégeknek a törvényes keretek közt, megfelelő etikai normák szerint igenis együtt kell működniük a nyomozó hatóságokkal annak érdekében, hogy bizonyos, a társadalom egésze, vagy jelentős része számára potenciális fenyegetést jelentő csoportokat (jellemzően terroristákat, szervezett bűnözői hálózatokat) lekapcsolhassanak.

chen_perfect.jpeg

Ennek a kérésnek a cégek egyébként saját belátásuk szerint, saját, kvázi etikai kódexük alapján tehetnek eleget, vagy utasíthatják el (vállalva annak jogi és egyéb következményeit), illetve vannak olyan helyzetek, amikor - az adatforgalom jellegéből adódóan - nem is tudnak eleget tenni ezeknek a kéréseknek, akkor sem, ha akarnának. Ilyen, nyilvános etikai kódexe amúgy a BlackBerrynek is van, itt lehet olvasgatni (angolul), tanulságos olvasmány, főleg újságíróknak.

A múlt héten nyilvánosságra került ügy kapcsán a BlackBerry voltaképpen semmit sem cáfol, Chen ugyanakkor hozzáteszi, hogy a BlackBerry mindvégig a saját maga által megállapított etikai normák szerint működött együtt a kanadai hatóságokkal, melynek végeredményeként egy maffiahálózat prominens tagjai rács mögé kerülhettek. A BlackBerry ezzel együtt határozottan tagadja, hogy a BES szervereken keresztüli adatforgalom lehallgatható (ezt mondjuk az ominózus cikk sem állította), illetve emlékeztet arra, hogy volt már rá példa korábban (nem is olyan rég), hogy kerek-perec megtagadta a cég, hogy egy kormányzat (Pakisztán) kénye-kedve szerint hozzáférhessen az országon belül zajló BlackBerry-adatforgalomhoz.

Nem minden országgal volt ilyen szigorú a BlackBerry (bár a fent belinkelt etikai kódex szerint nincs kivétel), vegyük például Indiát, ahol 2013-ban olyan megállapodás születhetett a cég és a helyi kormányzat között, hogy a BlackBerry adatforgalom egy részéhez jogállami keretek között hozzáférést kaphatnak a hatóságok a mobilszolgáltatókon keresztül. A BES adatforgalom itt sem volt érintett.

A fent belinkelt etikai normák értelmében egyébként az egyedi esetek kommentelése, vagy az azzal kapcsolatos bármilyen spekulálás a BlackBerry számára tabu, ennek megfelelően John Chen is gyorsan rövidre zárja a témát.

Most már tényleg csak az a kérdés - legalábbis számomra -, hogy ez az egész ügy miért pont most ütötte fel (újra) a fejét.

Via Inside BlackBerry blog.

Címkék: biztonság blackberry lehallgatás

Tegnap futótűzként kezdett terjedni az interneten a hír, miszerint a kanadai yard 2010-től kezdődően sikeresen visszafejtett egy bűnügy kapcsán bizonyos BlackBerryk közti kommunikációt. Az ügyet exkluzívként tálaló Vice News cikke azt sugallja, hogy a nyomozószerveknek valahogy a birtokába került az a mesterkulcs, amivel ezt megtehették, bár azt senki nem tudja biztosan, hogy ez pontosan hogyan került hozzájuk, és még mindig használják-e "megfigyelésre". 

A sajtó persze - részben az Apple-FBI csörte hatására - felkapta a sztorit, a témában megjelent cikkek egy része azonban szokás szerint köszönőviszonyban sincs a valósággal, de legalábbis némi pontosításra szorul. 

Először is, több cikk határozottan állítja, hogy hat évvel ezelőtt a kanadaiak kezébe került mesterkulcs a BBM titkosítását oldja fel, illetve kvázi akinek ez a kulcs a birtokába kerül, az kénye-kedve szerint beleolvashat bárkinek az üzeneteibe. Ez azonban egyértelműen hülyeség, mivel még a forrás cikk is PIN to PIN üzenetet ír, aminek kétségtelenül van köze a BBM-hez, nagyjából annyi, mint szekérnek a Lamborghinihez (gyk mindkettőnek négy kereke van).

A fenti hasonlat abból a szempontból is találó, hogy a PIN to PIN üzenetek tekinthetők a BBM ősének: A rendszer arra épült, hogy két BlackBerry közt direktben lehessen üzenetet küldeni a BlackBerry (akkor még RIM) szerverén keresztül, a készülékek egyedi azonosítóját (vagyis a PIN-t - aminek semmi köze SIM-ek, vagy bankkártyák PIN-jéhez!) felhasználva. A PIN üzenetek 168 bites 3DES titkosítást használtak, a visszafejtéshez szükséges univerzális kulcsokat pedig minden BlackBerry tartalmazta gyárilag. Vagyis aki ennek a kulcsnak a birtokában van (volt), és valahogy hozzájut(ott) a készülékek közti kódolt adatfolyamhoz, minden üzenetbe beleolvashat(ott). Nagyjából ezt érte el a kanadai rendőrség 2010-ben.

bbm_encryption.png

A BBM ehhez képest ma már erősebb titkosítást használ, így a 3DES titkosítás felett egy másik titkosítási réteg (TLS, vagyis Transport Layer Security) is húzódik. Ez a titkosítási módszer (amit többek közt a banki kommunikációban is használnak) máshogy épül fel, mint a 3DES, vagyis nem létezik egy olyan univerzális, mindenható kulcs, amivel minden üzenetet vissza lehetne fejteni. A (nagy)vállalatoknak kínált BBM Protected még ezt a titkosítási szintet is megemeli egy harmadik titkosítási réteg, a PGP beiktatásával, ami a váltakozó kulcspárok miatt a manapság elérhető egyik legbrutálisabb titkosítási metódus.

Magyarul ha BlackBerryd van, vagy BBM-et használsz más készüléken, ez a mostani "leleplezés" jó eséllyel egyáltalán nem érint téged, ha pedig 4-5 évnél régebbi BlackBerry típust használsz és még mindig PIN-üzenetekkel kommunikálsz valakivel, aki hozzád hasonlóan 4-5 évnél régebbi BlackBerryvel nyomul, akkor meg magadra vess.

Az ügy persze ettől még felvet bizonyos kérdéseket, például hogyan került az ominózus mesterkulcs a kanadai rendőrökhöz, illetve a rendőrség miért nem a mesterkulccsal rendelkező BlackBerrytől kérte az érintett adatok (kommunikáció) kiadását - ami egyébként a legális útja lenne egy nyomozati tevékenységnek. Vagy miért pont most ütött be a mennykő, amikor az ügyben érintett bírósági tárgyalás alapján évek óta kvázi nyilvános volt, hogy a kanadaiak BlackBerryk közti kommunikációt hallgattak le.

Itt tartunk most, remélhetőleg a BlackBerry is ismerteti mielőbb az álláspontját a témában, és tisztáz néhány hülyeséget, amit az utóbbi órákban produkált a netes hírgyár.

Címkék: biztonság elemzés lehallgatás bbm

Igen, a Google-től, jól olvastad.

Ma van a "Biztonságos Internet Nap", ami remek alkalom arra, hogy egy ilyen cég felhívja a nethasználók, illetve velük párhuzamosan az okoseszköz-felhasználók figyelmét a rájuk leselkedő biztonsági kockázatokra, egyben tippet adva arra, hogyan lehet ezeket elkerülni. A biztonsági szakértők ugyanis többnyire egyetértenek abban, hogy a (kiber)támadások sikerrátája jóval alacsonyabb lenne, ha a felhasználók kellő körültekintéssel választanák meg például a jelszavukat, vagy biztonságtudatosabban használnának egyes szolgáltatásokat.

cybersecurity.jpg

A Google most ráadásul +2 gigabájtnyi ingyenes Drive-tárhellyel próbálja a biztonsági beállítások megerősítésére, ellenőrzésére sarkallni a felhasználóit, valamint az alábbi tippeket tette közzé a cég a biztonságosabb kütyühasználat érdekében. Érdemes átfutni, nem csak Google-felhasználóknak (a lenti szöveg egy az egyben idézet a Google sajtóközleményéből):

Tíz egyszerű biztonsági tipp

A Google-nél a biztonság minden tevékenységünket átszövi. Azt szeretnénk, hogy mindenki biztonságosan és szabadon használhassa az internetet anélkül hogy feladná adatainak védelmét és biztonságérzetét.

 Ezért építettünk minden termékünkbe olyan funkciókat, melyek szűrik és megelőzik a gyanús tevékenységeket és adathalász-kísérleteket. Ennek ellenére az internetes adathalász támadások 45 százaléka még mindig sikeres. A legújabb technológia segítségével védünk meg az online biztonsági veszélyektől a Google termékekben és azokon kívül egyaránt, ugyanakkor számos apró dologgal te is tehetsz azért, hogy még biztonságosabb legyen az online jelenléted.

 Top tippek a biztonságos internetezéshez:

  • Legyen “hacker-biztos” jelszavad! A jelszó az első védelmi vonal a cyber bűnözők ellen, így jobb, ha a jelszavad nem az, hogy “jelszó vagy password”. Fontos, hogy erős jelszót válassz, ami minden fontos fiókod esetében eltérő, emellett jó ha időről-időre frissíted is ezeket. Minél hosszabb a jelszavad, annál nehezebb kitalálni. Számok, szimbólumok, nagy és kis kezdőbetűk hozzáadásával nehezebb kitalálni vagy feltörni a jelszavad. Ne használd az “123456” vagy a “jelszó/password” szavakat és kerüld az olyan nyilvánosan elérhető információk használatát mint amilyen a telefonszámod.
  • Duplázd meg a biztonságod a kétlépcsős azonosítással. A kétlépcsős azonosításnál a bejelentkezéshez a saját jelszavadra és egy másik adatra, a telefonodra küldött kódra lesz szükséged. Választhatod azt is, hogy SMS-t kapj, de akár telefonhívással, vagy egy erre való speciális alkalmazásban is megkaphatod a kódot. A lényeg, hogy hasonlóan például banki szolgáltatásokhoz, a jelszavad mellett plusz egy védelmi vonalad van, a jelszó mellett az egyszer használatos, csak neked elküldött kód is kell hozzá, hogy belépj a fiókodba. A kétlépcsős azonosításról bővebben olvashatsz itt: https://goo.gl/rZGE7m
  • Találd meg elvesztett készüléked! Ha elhagytad készüléked, csak lépj be a böngészőben az Android Eszközkezelőbe. Ennek segítségével meghatározhatod a térképen készüléked hozzávetőleges helyét, valamint megtudhatod mikor használták utoljára. Ha a közeledben szeretnéd megtalálni a telefonod, meg is csörgetheted így, de ha attól tartasz, hogy illetéktelen kezekbe került, egy kattintással zárolhatod, vagy törölhetsz is róla mindent.
  • Szánj 2 percet a biztonsági ellenőrzésre! Egy mindössze két perces művelettel még nagyobb védelmet biztosíthatsz Google fiókodnak. Ehhez mindössze a biztonsági beállításaidat kell ellenőrizned, frissítened. Először jelentkezz be Google fiókodba, majd a jobb sarokban látható nevedre vagy profilképedre kattintva menj tovább a “saját fiók” opcióra. Itt válaszd a biztonsági ellenőrzés opciót, és kattints a kezdésre. Szánj rá két percet, és tedd még biztonságosabbá az internetezést magadnak!
  • Állítsd a keresőt családbarát módba! A Biztonságos Keresés automatikusan szűri a potenciálisan sértő vagy felnőtt tartalmakat. Amikor bekapcsolod a Google fiókodon, a Biztonságos Keresés blokkolja a felnőtt tartalmakat a keresési találatokból bármely böngészőn és számítógépen ahol bejelentkezel a fiókodba. A Biztonságos Keresés bekapcsolásához látogass el a keresési beállítások oldalra. A Biztonságos Keresési szűrők pontban jelöld be a Biztonságos Keresést, majd az oldal alján mentsd el a beállításokat.
  • Zárold eszközöd távolról, akárhol hagytad is. Tedd biztonságosabbá készüléked, zárold, határozd meg a helyét, csörgesd meg vagy töröld a rajta lévő adatokat távolról. A legfrissebb Androidon nyisd meg az app menüből a Google beállításokat és kattints a biztonság menüpontra, itt engedélyezheted a távoli zárás és törlés funkciót, melynek segítségével a későbbiekben készüléked nélkül is azonnal cselekedhetsz.  
  • Rejtsd el a kíváncsi szemek elől készüléked! A személyes információk biztonságban maradhatnak PIN-kód jelszó vagy képernyőzár minta segítségével. Ne hagyd hogy felkapva telefonod bárki hozzáférhessen adataidhoz. Válassz PIN-kódot, jelszót vagy mintát de akár az arcoddal is zárolhatod készüléked.
  • Bízd jelszavaidat a böngésződre! Ha ugyanazt a felhasználónevet és jelszót több weboldalon is felhasználod és ezek egyikét feltörik, adataiddal a többi oldalhoz is hozzáférhetnek illetéktelenül. Hagyd hogy a Chrome megjegyezze jelszavaidat és csökkentsd az adathalászat kockázatát.
  • Kapj értesítést neved említéséről a weben. AzÉn a weben” funkció segíthet megérteni és kezelni mit láthatnak mások ha rákeresnek a nevedre a Google-on. Segítségével beállíthatsz Google értesítőt, hogy nyomon követhesd a neveddel együtt megjelenő online információkat, de automatikusan ajánlást tesz olyan kifejezésekre is, amelyeket érdemes lehet figyelemmel követned.
  • Kezeld a Google fiókodon tárolt adatokat! A Google Irányítópult megmutatja a Google fiókodban tárolt adatokat és áttekintést kínál a fiókodhoz tartozó tevékenységedről. Egyetlen központi helyen egyszerűen megnézheted az adataidat és tevékenységeidet, és hozzáférhetsz olyan szolgáltatások beállításaihoz mint a Blogger, Naptár, Dokumentumok, Google+.


Minél jobban átszövi életünket az internet és az ahhoz kapcsolódó eszközeink, a biztonság annál fontosabbá válik. Tudjuk, hogy együtt kell dolgoznunk azon, hogy az internetet mindannyiunk számára biztonságosabb hellyé tegyük.

Címkék: google biztonság jelszó tippek-trükkök mobilbiztonság

Nem éppen mai hír, már több mint egy hetes, mindenesetre egy mai sajtóközlemény apropóján most mégis úgy voltam vele, hogy érdemes foglalkozni a témával.

A mai hír az, hogy a Samsung Magyarország két díjat is nyert a "Kiválóság az Ügyfélkiszolgálásban" nevű üzleti versenyen.

Hogy mit gondolok erről a versenyről, most inkább nem részletezem, inkább jöjjön a másik hír:

Hollandiában egy fogyasztóvédelmi csoport azért perli a Samsungot, mert a koreai cég nem szolgáltatott elég információt az okostelefonjaira érkező szoftverfrissítéseket illetően, illetve úgy általában, nem igazán jeleskedett abban, hogy időben kiadta volna (ha egyáltalán) az ominózus frissítéseket.

Az androidos mobilok szoftverfrissítési kálváriája tavaly nyáron került mondhatni először komoly reflektorfénybe, amikor a StageFright sebezhetőség valósággal lesokkolta az iparágat. A Google nagyjából e tájt döntötte el, hogy a Microsofthoz hasonlóan havi rendszerességgel ad ki az Androidhoz biztonsági frissítéseket, melyeket minden gyártó rendelkezésére bocsát, így azok beépíthetik a saját szoftverfrissítéseikbe.

android_updating.jpg

És nagyjából ezen a ponton el is hasalt az amúgy ígéretesnek tűnő kezdeményezés, ugyanis hiába tapsolt a legtöbb androidos gyártó felállva a hír hallatán, a havi rendszerfrissítéseket hogy, hogy nem a mai napig csak a Nexusokra és a PRIV-re küldik le a gyártók. Ebből lett elege a holland Consumentenbondnak, mely pert indított a Samsung helyi leányvállalata ellen, részben a frissítések hiánya, részben az aluldokumentáltság (van ilyen szó?) okán. 

Azért tegyük hozzá, hogy a Samsung nem egyedüliként küzd kihívásokkal ezen a téren, másfelől az Android frissítési procedúrájának legnagyobb kerékkötői sokszor a mobilszolgáltatók, akiknek nem feltétlenül az az elsődleges érdekük, hogy a végfelhasználók biztonságos mobilokat használhassanak, hanem sokkal inkább az, hogy minden szolgáltatás hibátlanul működjön a készüléken. Vagyis az operátorok az erőforrásaikat nem igazán szeretik holmi biztonsági patchekkel való pepecselésre fordítani - kivéve persze, ha a saját biztonságukról van szó.

Másfelől a Samsungnak elképesztően széles körű az androidos kínálata, a BlackBerrynek ezzel szemben egyetlen androidos mobilja van, szóval mondhatni így könnyű a Nexusokkal egy időben leküldeni a patcheket a telefonra. Ettől függetlenül ma már hatványozottan igaz, hogy a gyártóknak fokozottan figyelniük kell a kliensoldali biztonságra, és nem feltétlenül csak az üzleti szférában. Ha erre önmaguktól nem jönnek rá, majd figyelmezteti őket a bíróság -- most még csak Hollandiában.

Via Forbes.

Címkék: biztonság patch samsung per blackberry android priv

A BlackBerry első androidos okostelefonja, a PRIV bizony nem gyerekjáték, bár mitagadás, a Google Play Store kínálata révén akár azzá is válhat, noha aligha ez a rendeltetésszerű használata. A telefon szoftvere nem véletlenül tartalmaz több tucatnyi, teljesen egyedi módosítást a motorháztető alatt, illetve végső soron nem véletlenül kerül annyiba, amennyibe: Ez egy professzionális munkaeszköz, hűen a BlackBerry márkához. Ha ez nem lenne elég világos mindenkinek, a BlackBerry egy globális webcast alkalmával ecseteli a részleteket a fejlesztőknek és vállalati rendszergazdáknak jövő kedden.

live-priv-webcast.jpg

A webcast éppen ezért két fő témakörre koncentrál majd, az egyik, hogy a PRIV egyedi hardveres képességeit (csúszka kialakítás, kapacitív érintésérzékeny fizikai billentyűzet) hogyan és mire használhatják a fejlesztők, valamint arra, hogy hogyan lehet a készüléket integrálni BES12, illetve Android for Work környezetbe.

Az internetes előadás egyben bemutatja azt is, hogy a BlackBerry fejlesztőknek szóló oldalán, a DevZone-on milyen új eszközök, letölthető dokumentumok teszik könnyebbé a fejlesztők munkáját -- nyilván itt elsősorban azokra igyekszik elsőként gondolni a BlackBerry, akik céges környezetben építenek (androidos) appokat, és szeretnék kihasználni a BlackBerry nyújtotta extra biztonsági réteget.

Ha kíváncsi vagy a részletekre, itt regisztrálhatsz, a webcast november 17-én, keleti parti idő szerint délelőtt 11-kor, azaz magyar idő szerint délután ötkor kezdődik -- ideális levezetés munka után, nemde?

Címkék: biztonság webcast fejlesztés fejlesztő android priv bes12