[ Siirry blogin etusivulle ]

perjantai, heinäkuu 22, 2005

Nokia 9500 turvallisin mobiililaite?

ProtectStar on palkinnut Nokia 9500:n vuoden 2005 turvallisena mobiililaitteena. Luin raportin (PDF, 724 kt) läpi, enkä aivan ymmärtänyt millä perusteella Nokia 9500 on markkinoiden turvallisin mobiililaite. Minulle sen tietoturvaominaisuudet ovat olleet pikemminkin pettymys:

  • Tiedostojen kryptausta ei ole vakiona.
  • VPN-sovellus ei tue Microsoftin PPTP:tä, mutta on silti rauta- ja softariippuvainen muiden valmistajien ratkaisuihin.
  • WLAN-asetusten hallinta on sekavaa ja useissa valikoissa, esimerkiksi WPA- ja WEP-asetukset hankala syöttää.
  • WEP-salausta käyttäessä ongelmia ajoittain Bluetoothin kanssa.
  • Sähköpostin salausasetukset ovat piilossa ja vaikeaselkoiset. Kunnon ohjeita en ole löytänyt. Sähköpostisovellus ei jostain syystä edes käytä samoja yhteysasetuksia kuin esimerkiksi web-selain tai muut sovellukset.
  • Suurin osa Symbian-natiivisovelluksista on ilman allekirjoitusta tai varmennetta, eikä laite edes oletuksena vaadi niitä. Myös Nokia on jakanut tai suositellut Symbian-ohjelmia, joilta varmenne puuttuu.
  • Series 80:n käyttöliittymä on esimerkiksi Pocket PC:hen verrattuna kokonaisuutena hyvin hankala, joten turvallisten asetusten määrittämisen kynnys on korkea.
"Testiraportti" on sikäli outo, ettei siinä kerrota mitään testimenetelmistä tai mihin laitteisiin Nokia 9500:aa verrattiin, vaan dokumentti vaikutti lähinnä ominaisuusluettelon referoinnilta. Nokian vika tämä ei tietenkään ole, mutta palkitsijan uskottavuus valahtaa miinuksen puolelle.

Minä valitsisin turvallisiksi mobiililaitteiksi lonkalta heitettynä mieluummin vaikkapa HP iPAQ hx2750:n tai hx4705:n, joissa on mainio ProtectTools-ohjelmisto vakiona tiedostojen salaukseen ja käyttäjän tunnistukseen sekä helppokäyttöiset sähköposti-, VPN- ja muut verkkosovellukset. Uusissa hx2000-sarjan malleissa on myös biometrinen sormenjälkitunnistus pelkän salasana-/PIN-koodikyselyn lisäksi tai vaihtoehdoksi.

Itse en haluaisi palkita tai tuomita mitään laitetta tutkimatta asiaa kunnolla, joten tällaiset pilipaliraportit pistävät silmään.

Kommentit: 7

Anonymous Anonyymi kirjoitti:

Lonkalta heitetty? :D ;)

perjantai, 22 heinäkuu, 2005  
Anonymous Tuomas kirjoitti:

Olihan testimenetelmistä heti kakkossivulla? Todettiin, että avoimia portteja ei löydetty, DoS-hyökkäykset eivät toimineet, WEP/WPA-salaukset olivat oikein toteutettu eikä Bluetooth vuotanut käyttäjän tietoja. Lisäksi laitetta ei saatu kertaakaan kaatumaan verkkohyökkäyksillä.

Nuo listaamasi puutteet ovat enemmän käytettävyyden ja ominaisuuksien puutetta kuin tietoturvareikiä. Ominaisuudet (tai niiden puute) tosiaan ohitettiin aika kevyesti.

lauantai, 23 heinäkuu, 2005  
Blogger Tero Lehto kirjoitti:

Ehkä käsityksemme testimenetelmien määrittämisestä ja kuvaamisesta on erilainen, mutta minulle nuo kakkossivun tiedot herättivät lähinnä kysymyksiä, eli miten tarkalleen testattiin, oliko Nokia 9500 kiinni suoraan reitittimessä ilman NAT:ia tms. välissä ja miten esimerkiksi DoS-hyökkäyksiä testattiin. Perustieto olisi, että kerrottaisiin käytetyt ohjelmistot ja ohjelmistoversiot.

Minulla on käytössä aika monta mobiililaitetta, jossa on integroitu WLAN, ja kyllä Nokia 9500:ssa esimerkiksi WEP-asetusten määrittäminen ja käyttäminen on ollut kaikkien hankalinta. Ja kun se on hankalaa, jää helposti tekemättä eli salaus ehkä kokonaan käyttämättä. Sikäli katsoisin, että hallintaohjelmien käytettävyys on osa tietoturvaa.

sunnuntai, 24 heinäkuu, 2005  
Anonymous Anonyymi kirjoitti:

Jaa, en tiedä. Tuohon nyt ei tarvinnut manuaalia, joten kokolailla intuitiivinen käyttöliittymän täytyy olla.

sunnuntai, 24 heinäkuu, 2005  
Anonymous Anonyymi kirjoitti:

Tässä muutamia vastauksia noihin issueihin
- tieodstokryptausta ei ole koska tieto ei ole otettavissa laitteesta pois kuten PC tai PocketPCssä boottaamalla muuhun käyttikseen tai irroittamalla kovalevy/mmc. Tietty kryptaus toisi vielä hieman paremmankin suojan mutta nyt ei normaalikäyttäjän tarvi häslätä sen kanssa. Secure MMClle tallettettu tieto voidaan hw suojata salasanalla tai lukitsemalla kone SMS:llä.
- VPN on IPSEC pohjainen eli IETF standardi jota käyttävät major VPN vendorit muttei MS. Puute se on tietty silti.
- Sähköpostin salausasetuksethan ovat samat kuin esim outloook express tai mozilla thunderbirdissä. Web selain käyttää tietty erilaisia asetuksia tai en ehkä ymmärtänyt komenttia
- Natiiivisovelluksia asennettaessahan varoitetaan aina moneen kertaan jos yritetään asentaa ilman varmennetta samaan tapaan kuin ms internet explorer. en ymmärtänyt mitä tarkoitti että suurin osa sovelluksista ilman varmennetta? siis koneen mukana tulevat sovellukset vai mitkä? mihis niissä varmennetta tarvittais jos ne on koneen rommilla tai sen mukana tulevalla cdrommilla?

torstai, 04 elokuu, 2005  
Blogger Tero Lehto kirjoitti:

"tieodstokryptausta ei ole koska tieto ei ole otettavissa laitteesta pois kuten PC tai PocketPCssä boottaamalla muuhun käyttikseen tai irroittamalla kovalevy/mmc."

Jos Nokia 9500 joutuu vääriin käsiin (katoaa tai varastetaan), miten niin tietoa ei ole otettavissa ulos? Etenkin MMC-kortilta? Onhan Symbian-koneille jo kehitetty monia tiedostojen salausohjelmia, kuten Pointsec for Symbian OS, joka on saatavana myös kommunikaattoreille. Myös Psilocilla on tiedostojen kryptaussofta.

On tietysti makuasia, pitäisikö tällaisten ominaisuuksien tulla laitteen mukana, kenties on hyväkin, jos ne vvat vain erikseen hankittavissa.

"Sähköpostin salausasetuksethan ovat samat kuin esim outloook express tai mozilla thunderbirdissä."

Asetukset ovat samat, mutta tarkoitin, että Series 80:ssa niiden määrittely on minusta tehty turhan vaikeaksi.

"Web selain käyttää tietty erilaisia asetuksia tai en ehkä ymmärtänyt komenttia."

Miksei sähköpostisovellus voi käyttää samaa verkkoyhteyksien hallintaa kuin vaikkapa web-selain ja muut TCP/IP-sovellukset? Olen määrittänyt yleisiin verkkoasetuksiin verkkoyhteyksien prioriteetin, mutta sähköpostisovelluksessa verkkoyhteydet on määritettävä erikseen. Tämä ei enää ole tietoturva-asia.

Enkä minä oikeastaan edes väittänyt, ettei Nokia 9500 voisi olla turvallinen, vaan epäilin kyseisen tutkimuksen perusteluita nimetä se turvallisimmaksi laitteeksi vuonna 2005. Minusta on vielä paljon asioita, jotka voisi toteuttaa turvallisemmin, ja esmes HP:n ProtectTools tekee heidän yritystason PDA-laitteistaan turvallisemman tällä hetkellä.

perjantai, 05 elokuu, 2005  
Anonymous Anonyymi kirjoitti:

Siitä tiedon ottamisesta... Jos käyttää secure MMC:tä niin filemanagerista se voidaan lukita salasanalla joka rautalukitsee MMC:n. Tällöin MMCtä ei voi lukea esim PC kortinlukijassa. Sisäiseen flashmuistiin (jossa filesystem on) pääsee kösiksi vain etsimällä piirilevyltä flashpiiri joka vaatii jo käsittääkseni icmuovien ja juotosten syövyttämistä auki eli on relevantti vain jos laitteessa on todella niin arvokasta tietoa että sen varastaminen ja avaaminen kannattaa erikseen suunnitella -- jolloin tietysti laitteeseen on jo syytä ostaa erlliset suojausohjelmat.

maanantai, 08 elokuu, 2005  

Lähetä kommentti

<< Etusivulle