Jak długo utrzymamy bramy zamknięte?

Urządzenia telefonii mobilnej stają się coraz inteligentniejsze i szybsze… i coraz mniej bezpieczne!

Liczba bezpośrednich połączeń z Internetem przez szerokopasmowe sieci telefonii przenośnej, transmisji w roamingu, klientów korporacyjnych, usług informacyjnych oraz dostawców aplikacji uległa znacznemu wzrostowi, zwiększając tym samym ogólną podatność środowiska telefonii komórkowej na ataki.

Notebooki mają zwykle zainstalowane oprogramowanie antywirusowe i firewall, ale palmtopy i smartphony są gorzej chronione przed złośliwym, błyskawicznie instalującym się oprogramowaniem (out of the box malware). Prawdopodobny wydaje się bezpośredni atak na te urządzenia, podobnie jak używanie ich jako platformy do ataku na sieć danych przenośnych. Możliwa jest również infekcja tych urządzeń lub ich uszkodzenie przez oprogramowanie ściągnięte w trybie OTA, lub przez wiadomości MMS lub SMS.

Operatorzy sieci komórkowych nie są już dłużej w stanie utrzymywać całkowitej ochrony nad urządzeniami lub ich konfiguracją (zwłaszcza: opartych o wymienne karty pamięci palmtopów, smartphonów i notebooków). Użytkownicy mogą korzystać z tych urządzeń, kiedy tylko chcą – a nie zawsze podejmują słuszne decyzje z punktu widzenia bezpieczeństwa.

Sieci telefonii przenośnej odchodzą od obwodów na rzecz pakietów … i upodabniają się do Internetu

Piąta edycja systemu 3GPP obejmuje podział rozwiązania Mobile Switch na Media Gateway (MGW) oraz Mobile Softswitch - z którymi można się łączyć przez IP. Edycja 6 wprowadzi IMS – więcej elementów kontroli opartych o IP – i w zasadzie zmieni sieć telefonii komórkowej w wielką dystrybuowaną sieć pakietową.

Powyższe rozwiązania są niezwykle korzystne z punktu widzenia przychodów, ponieważ pozwalają operatorom na oferowanie nowych, fascynujących usług w rodzaju wiadomości multimedialnych, ściągania plików, przeglądarek, gier sieciowych, aplikacji biurowych, TV i wirtualnych sieci prywatnych.

Jednakże oznacza to również, że hakerzy i twórcy malware, posiadający ponad 20 lat doświadczenia w Internecie, w trakcie których zwiększali swe umiejętności, czekają z niecierpliwością na przetestowanie nowych sieci mobilnych IP!

Wszystkie rodzaje ataków znane z Internetu będą również obecne w sieciach telefonii mobilnej

Ataki będą przypuszczane na

• serwery aplikacji (bazy danych, billingi, rozwiązania softswitch, itp.)
• elementy sieci (routery, rozwiązania MGW, serwery video, itp.)
• użytkowników telefonów – łącznie z robakami, trojanami i wirusami, ale również atakami DoS (blokada usług)
• sieci strony trzeciej – inne ISP lub sieci klientów korporacyjnych

Pierwszym znanym przestojem w działaniu spowodowanym atakiem, był przestój w wyniku działania robaka Slammer/Sapphire w roku 2003, który rozprzestrzenił się w ciągu 15 minut i doprowadził (poza przerwaniem działania usług kryzysowych i tysięcy bankomatów) do blokady usług telefonii komórkowej u 23 milionów użytkowników w Azji. A atak ten nie był nawet skierowany na sieci komórkowe…

Pierwszy wirus sieci komórkowych został odkryty w roku 2004. Od tego momentu liczba wirusów Symbian i Windows Mobile, oraz ich negatywne oddziaływanie zaczęły rosnąć na niespotykaną dotąd skalę (patrz rys.).

Najlepsze praktyki ochrony sieci: warstwa, warstwy i jeszcze więcej warstw

Wiodący dostawcy usług mobilnych i konwergentnych są świadomi zagrożenia powodowanego przez pakietyzację sieci telefonii komórkowej (patrz rys. 2) i pracują z wiodącymi dostawcami bezpieczeństwa, którzy zapoznali się już z wymogami "klasy carrier" (wydajność, wiarygodność, dostępność, itp.).

Ponieważ 100% ochrona nie jest możliwa bez całkowitej izolacji sieci (można by przecież uniknąć wszystkich wypadków, gdyby nasze samochody mogły poruszać się z prędkością 0 km/h!), istnieje pewna liczba najlepszych praktyk, których stosowanie może w znacznym stopniu przyczynić się do zmniejszenia ryzyka ataków.

1. Stosowanie MPLS VPN w sieciach szkieletowych
   Rozwiązania VPN są stosowane w celu oddzielenia różnych funkcji sieci i tym samym zmniejszenia ich narażenia na ataki. Również wpływ zmasowanego ataku na jedną funkcję może być ograniczany przez redukcję przepustowości łącza dostępnego dla każdego VPN.
2. Ochrona wszystkich funkcji sieci za pomocą firewalli
   Pełnostanowe firewalle liniowe powinny być wdrażane na wszystkich interfejsach GPRS: Ga, Gi, Gp, Gn. Firewalle te powinny być w stanie śledzić GTP (protokół tunelowania GPRS).
   Należy także instalować firewalle pomiędzy sieciami rdzeniowymi UMTS (rozwiązania Media Gateway i Softswitch) oraz serwerami peryferyjnymi (serwery bilingów, eksploatacji i utrzymania, danych).
3. Dodanie liniowych systemów IPS na urządzeniach równorzędnych i interfejsach systemów Tradycyjne firewalle GPRS pozostawiają bez ochrony najbardziej podatną na ataki część sieci: aplikacje. Jedynie pełnostanowe IPS (systemy blokady włamań) eliminują taką podatność. Wszystkie interfejsy zewnętrzne (do Internetu, innych operatorów, korporacyjnych VPN) powinny być chronione za pomocą zaawansowanego IPS, który identyfikuje protokoły aplikacji i chroni przed atakami w sposób automatyczny. Również interfejsy do farm serwerów powinny być chronione za pomocą IPS, najlepiej w połączeniu z urządzeniami przyspieszającymi działanie aplikacji.
4. Wdrażania bezpieczeństwa aplikacji na wszystkich smartphonach
   Podczas gdy większość wirusów i złośliwego oprogramowania ściąganych w trybie OTA jest wykrywana w sieci za pomocą urządzeń IPS, niektóre wirusy mogą rozprzestrzeniać się od urządzenia do urządzenia (na przykład przy użyciu Bluetooth lub połączeń przez podczerwień). Wszelkie urządzenia przenośne, które funkcjonują w oparciu o otwarte systemy operacyjne, takie jak Symbian, Windows Mobile lub PalmOS powinny być sprzedawane wyłącznie z wbudowanymi aplikacjami bezpieczeństwa zawierającymi firewall i system wykrywania wirusów, tak jak PC.

Inwestowanie w bezpieczeństwo sieci mobilnych prowadzi do oszczędności

Koszty pośrednie i bezpośrednie ataku na sieć mogą okazać się bardzo wysokie.
(Częściowa) awaria sieci prowadzi nie tylko do utraty przychodów z powodu niemożności wykonywania połączeń, ale również z powodu przeciążenia helpdesku, nie wspominając o wyższym odpływie klientów oraz mniejszej liczbie nowych abonentów z powodu niezadowolenia klientów.

Badania przeprowadzone przez Juniper Networks wykazały, że, na przykład jedna, godzinna przerwa w dostawie usług dla 15% klientów skutkuje wyższymi kosztami niż odpowiednia ochrona sieci!

Z drugiej strony, wiarygodna, dobrze chroniona sieć 3G może spowodować powstanie nowych, zrównoważonych dochodów z tytułu usług korporacyjnych, takich jak bezpieczne funkcje Dial Backup dla mobilnych VPN lub ISDN.

Wniosek: bystrzy trzymają się z dala od złych

Obecnie nadszedł czas na dogłębną analizę sieci komórkowych i narzędzi bezpieczeństwa, a operatorom sieci zaleca się pracę z ekspertami sprzedaży, zaznajomionych z kwestiami bezpieczeństwa sieci. W przeciwnym czasie pojawienie się nagłówków w rodzaju "awaria sieci telefonii komórkowej spowodowana atakiem będzie tylko kwestią czasu...

Wzrost znanych wariantów malware dla telefonii komórkowej – źródło: Kaspersky Lab 2006

Firma Juniper Networks oferuje wysokiej jakości platformy IP, które umożliwiają jej klientom wdrażanie i sprawne funkcjonowanie szeregu usług i skalowalnych aplikacji. Z rozwiązań firmy Juniper Networks korzystają dostawcy usług, przedsiębiorstwa, instytucje rządowe oraz ośrodki badawcze i edukacyjne.