Category None
Bookmark :              

De Blackberry is, vanwege zijn toenemende populariteit, een steeds interessanter doelwit voor security-experts en hackers. De Blackberry heeft immers een directe verbinding met het bedrijfsnetwerk, en zou daarom gebruikt kunnen worden als vector om datzelfde netwerk binnen te dringen. Sinds enkele dagen circuleren er enkele nieuwsberichten (bijvoorbeeld op WebWereld en Wired.com) over een beveiligingsexpert die een programmaatje ontwikkeld heeft om dit te bereiken: BBProxy, van Jesse D'Aguanno, die werkt bij Praetorian Global. Dit programmaatje is, mits geïnstalleerd op de Blackberry, in staat een netwerk te infiltreren. Zo stelt het een hacker in staat de firewalls te omzeilen en het bedrijfsnetwerk binnen te dringen, waarbij de Blackberry handheld fungeert als 'stepping stone'.

Voor het moment is dat nog een theoretische dreiging; maar, het programma BBProxy wordt binnenkort ter download aangeboden, en het is vrijwel onvermijdelijk dat iemand het gaat gebruiken. De dreiging is dus reeël en dient serieus genomen te worden.

Nu is er ook weer geen reden tot paniek. Er zijn een aantal zaken die in uw voordeel werken, en er zijn enkele stappen die u of uw beheerders kunnen nemen om het risico te minimaliseren. Mijn collega Robert Nijbroek, die veel ervaring heeft met installatie en onderhoud van Blackberries en Blackberry enterprise server, gaf me het volgende overzichtje:

• Het programmaatje moet echt fysiek geïnstalleerd worden op de Blackberry handheld. Mogelijk kan dit door een virus of een trojaan, of door eindgebruikers te verleiden tot het installeren. Dat moet u dus zien te voorkomen.
• Voorkom dat gebruikers zelf applicaties kunnen installeren welke niet goedgekeurd zijn door Research In Motion. Via IT Policies kunnen er restricties verbonden worden aan het mogen installeren gebruiken van 'third party' applicaties. Verstandig is om in ieder geval de IT Policy: Disallow Third Party Application Download op "true" te zetten. Hierdoor kunnen gebruikers geen kwaadaardige applicaties downloaden en installeren op de BlackBerry.
• Applicaties deployen kan dan alleen gedaan worden door BlackBerry beheerders, door middel van een software configuration. Hiermee kunnen applicaties wireless naar een BlackBerry 'gepushed' worden. Ook kunnen applicaties op een netwerk share geplaatst worden en op een BlackBerry geinstalleerd worden via de Application loader.
• Zorg voor een goede en up-to-date antivirus scanner op (email-)serverniveau, die trojans tegenhoudt.
• Door gebruik te maken van Application control policy rules (mogelijk vanaf BES 4.1) kunnen ondermeer regels opgesteld worden welke resources een third party applicatie mag raken. Ook kan ingesteld worden welk verbindingen de applicatie kan opzetten naar een intern of extern netwerk.
• De veiligheid kan ook vergroot worden door verschillende BES componenten op verschillende servers te plaatsen, met firewalls ertussen. Met een dergelijke gesegmenteerde achitectuur kunnen risico's verspreid worden, omdat componenten geisoleerd zijn van elkaar. Alleen de TCP en/of UDP poorten die nodig zijn kunnen worden opengezet en de rest dichtgezet worden. Als iemand dan toegang krijgt tot een component heeft diegene niet meteen toegang tot de rest van het netwerk.

Voorlopig zijn dit de eerste en belangrijkste stappen die u kunt ondernemen; zolang we niet precies de omvang van de risico's kunnen inschatten, doet u er verstandig aan deze maatregelen (zeker de eerste drie) in te zetten. "Better safe than sorry!". Natuurlijk houden we u op de hogote van (eventuele) verdere ontwikkelingen.

Update 15-08-06 Via Security.NL: een aanvullend commentaar van RIM, inclusief links naar documenten op de RIM website.