Knowit Secure

Vi gjør IT sikrere!

Tanker om sikkerhet rundt (i)Beacons

Beacon(Planen var å fortsette serien om ISO 27001 i dag men jeg kom over et annet emne jeg tenkte kunne være av interesse for noen der ute. Jeg fortsetter med ISO 27001 neste uke).

Forrige uke ble vi spurt om tanker rundt bruken av (i)Beacons og IT- og sikkerhet. Jeg tok litt tid og sjekket hva (i)Beacons er for noe rart og hvordan sikkerhet kan spille en rolle. Dette er absolutt ikke ment som en fullstending liste over sårbarheter, trusler eller muligheter rundt Beacons, men jeg ønsker å vise noen av utfordringene.


Så, hva er Beacons?

iBeacons er enkle sendere som sender ut et ID nummer enhver smarttelefon med en kompatibel App kan motta. Signalene sendes via Bluetooth Low Energy protokollen og har en begrenset rekkevidde (opp mot 100 meter).

Skal du ha nytte av iBeacons må du altså ha en kompatibel App som sjekker ID-nummeret som mottas fra et Beacon mot en database for å se hva som skal skje innenfor dennes rekkevidde. Enkle eksempler kan være å vise en beskjed, som et tilbud, fra butikken du nettopp passerte eller si i fra at dette er den 50. gangen du besøker en kaffebar så du kan få en gratis kaffe.

Jeg vet det finnes andre typer Beacons på markedet, gjerne koblet sammen med trådløse tilknytningspunkter. Disse typene kan sende og motta mer informasjon enn et «rent» beacon og har dermed andre bruksområder og utfordringer.

Hvilke utfordringer ser jeg rundt bruken av Beacons?

Bare for å ha sagt det:

  • Dersom du ikke har lastet ned en kompatibel App eller aktivert Bluetooth vil du ikke motta signalene fra Beacons.
  • Det er ikke mulig å laste ned informasjon ved å hacke eller stjele et Beacon. Et Beacon sender kun ut sitt ID nummer og kan ikke lagre informasjon om brukere.

Tilbake til utfordringene som må vurderes nærmere skal du ta i bruk Beacons:

  1. Et Beacon kan ikke brukes, direkte, til å spore brukere siden den ikke kan motta informasjon. Men, det er mulig å gjøre dette indirekte via en App hvor informasjon om hvile Beacons som er innen rekkevidde kan lagres på telefonen eller i en database over internet.
    Et eksempel: Om et kjøpesenter installerer Beacons ved inngangen til alle butikker i senteret og har en App som gir kundene tilbud eller informasjon etter hvert som de passerer en sender kan informasjonen fra Appen brukes til å spore hvilke butikker du besøker, hvor lang tid du bruker ulike steder i senteret og hvilken veg du beveger deg gjennom senteret.
    Mottiltak som bruker: Du kan f.eks. slå av Bluetooth på din telefon.
  2. Kloning #1: Beacons kan lett klones ved at noen kopierer et ID nummer fra en eksisterende Beacon og setter opp en egen sender med samme ID. På denne måten kan en få tilgang til tjenester og fordeler som er knyttet til en sender uten å være i nærheten av originalen.
    Mottiltak: Som utvikler eller systemeier kan du ikke forvente at ID nummeret er hemmelig. Ta i bruk andre metoder for å verifisere at brukeren er på rett sted. Bruk GPS posisjon og sjekk at den stemmer med plasseringen av din Beacon. Du kan også bytte ID nummer med (u)jevne mellomrom.
  3. Kloning #2: Om noen lager en klone er det mulig at denne kan brukes til å skape forvirring eller å mislede brukere som kommer innen rekkevidde av den klonede senderen.
    Mottiltak: Som ved forrige eksempel, bruk alternative metoder for å sjekke brukerens posisjon.
  4. Piggybacking: Siden ID nummeret til Beacon er tilgjengelig for alle kan de misbrukes av andre ved at andres sendere brukes til egne handlinger. F.eks. kan en virksomhet vise egne tilbud når de kommer innen rekkevidde for sendere hos konkurrenter.
    Mottiltak: Bytt ID nummer på dine Beacons med (u)jevne mellomrom.
  5. Hacking av Beacons: De fleste typer konfigureres trådløst via Bluetooth, så om de ikke er godt nok beskyttet er det mulig for en hacker innen rekkevidde å endre oppsettet.
    Mottiltak: Det finnes Beacons og tjenester som krever autentisering før du tillates å endre konfigurasjonen av et Beacon.
  6. Stjeling av Beacons. Dette er små sendere som noen lett kan ta med seg. Hvordan vet du, som systemeier, at dine Beacons fortsatt er der du satte dem ut?
    Mottiltak: Det finnes enheter som rapporterer sin fysiske plassering ved hjelp av GPS og trådløse nettverk


    Bjørn-Are,
    Seniorkonsulent hos Knowit Secure; Et firma med spisskompetanse på IT- og informasjonssikkerhet, og de ansatte er Norges dyktigste på sine felt innen sikkerhetstesting og sikkerhetsrådgivning.

Om BA Karolius

Seniorkonsulent innen informasjonssikkerhet hos Knowit Secure AS.

Legg igjen en kommentar

Fyll inn i feltene under, eller klikk på et ikon for å logge inn:

WordPress.com-logo

Du kommenterer med bruk av din WordPress.com konto. Logg ut /  Endre )

Google+-bilde

Du kommenterer med bruk av din Google+ konto. Logg ut /  Endre )

Twitter-bilde

Du kommenterer med bruk av din Twitter konto. Logg ut /  Endre )

Facebookbilde

Du kommenterer med bruk av din Facebook konto. Logg ut /  Endre )

w

Kobler til %s

Informasjon

Dette innlegget ble postet den oktober 28, 2015 av i IT sikkerhet med stikkord , , , .

Siste blogg innlegg

Følg oss på twitter

Skriv inn e-post adresse for å følge denne bloggen og få beskjed på mail når det er nye blogg innlegg.

%d bloggere like this: