Bezpečné smartphony – Samsung Knox

Richard Jan Voigts , 01. srpen 2016 14:00 1 komentářů
Bezpečné smartphony – Samsung Knox

Mobilní telefony a tablety se musejí v podnikové infrastruktuře chovat bezpečně a jejich správa musí být jednoduchá. Výbava Samsung Knox jim dnes tyto vlastnosti jako jediná platforma s Androidem dává. Samsung navíc poskytuje některé vyspělé služby zabezpečení Androidu i pro spotřebitelský segment.

Samsung Knox je upravenou platformou operačního systému Android od společnosti Samsung. Je k dispozici pro každé zařízení Samsung s Androidem a spolupracuje s binárně, tj. jednostranně a nevratně přepisovatelnými čipy ARM Trust Zone na základní desce. Systém Samsung Knox je založený na virtualizaci a v podstatě umožňuje vytvořit dvě zařízení v jednom – jedno soukromé a jedno firemní. Kromě toho umožňuje díky API nastavit uživatelské profily a spravovat přes konzoli Mobile Device Management (MDM) více zařízení najednou.

Platforma umí například i rozlišit, ze které části telefonu stahuje data, a pokud toto operátor podporuje, vystavět za data dvojí vyúčtování. V České republice tato služba zatím není k dispozici.

Samsung má pro třetí strany také k dispozici SDK se sadou API pro tvorbu vlastních aplikací - řešení.

Platforma Samsung Knox
Platforma Samsung Knox

Jak funguje ochrana Samsung Knox

Nadstavba Samsung Knox má sedm vrstev. Nejdůležitějšími z hlediska pochopení, jak ochrana funguje, jsou Samsung Knox kontejner, TIMA a ARM Trust Zone.

V nejvyšší vrstvě kontejneru Knoxu uloženy aplikace se svými daty, jde o virtuální prostředí daného uživatele. Kontejner je šifrován AES 256.

Uživatel se přihlašuje napřed do telefonu, pak do kontejneru Knox, nebo lze vynutit přihlášení „Container only mode“. Jde o jakýsi „další telefon“, do kterého se uživatel přihlásí. Administrátor přitom může povolit přístup z firemní části do soukromé a naopak, například ke kontaktům, dokumentům, fotografiím apod., Kontejner otevírá firemní IT správce prostřednictvím nástroje MDM.

Kontejner ještě může obsahovat složku Knox Chamber pro zvlášť citlivá data, která je znovu šifrována AES 256. Každé heslo je sice prolomitelné, avšak za jakou cenu; prolomit jedno šifrování AES 256 je velmi obtížné a dvojí pak až příliš nákladné. Zařízení Samsung proto získala certifikát i od Pentagonu, každoročně obhajuje Common Criteria a FIPS 140-2 za šifrování.

ARM Trust Zone komunikuje přímo s hardwarem, umí jej binárně přepsat v případě ohrožení korporátní části. Do ARM Trust Zone se dají ukládat i certifikáty. Knox po zapnutí telefonu zkontroluje všechny vrstvy až po kontejner.

Vrstva TIMA hlídá systém i aplikace při bootování i v reálném čase při běhu systému. Umožňuje instalovat „nezabalené“ aplikace do kontejneru. Umí zjistit, zda je zařízení důvěryhodné, tj. zda běží na oficiálním systému, nebo zda se aplikace nesnaží neuatorizovaně přistupovat k datům ostatních aplikacích v systému. Například když aplikace sahá do kontaktů, TIMA ji ukončí a uživatele upozorní, že byla ukončena. Nativně totiž není umožněno vykopírovat seznam kontaktů. Když se například uživatel pohybuje v privátní části telefonu a zavolá mu někdo z korporátních kontaktů, telefonát lze uskutečnit, avšak jméno volajícího se mu nezobrazí (pokud administrátor nenastaví jinak například povolí pouze zobrazení, nikoli však editaci či kopírování do soukromé části).

K pokynu TIMA do ARM Trust Zone k nevratnému přepsání čipu na základní desce může dojít ve dvou základních případech.

Za prvé, když vrstva TIMA pozná, že uživatel získá práva rootu, nebo při jakémkoliv pokusu o přístup do rootu. Pak dá pokyn do ARM Trust Zone pro binární přepsání čipu a uzavře kontejner Knoxu, kde běží korporátní aplikace a kde jsou uložena korporátní data. Za druhé, když si uživatel nahraje neutorizovanou verzi OS nebo jeho částí, ARM Trust Zone pozná odlišný obraz systému a opět přepíše čip na desce.

V obou případech lze smartphone nebo tablet používat dál, avšak nikoliv už v daném korporátním prostředí, pro které je trvale uzamčen. Odemčení nelze provést jinak než výměnu základní desky, prakticky jde o výměnu zařízení za nové. Pokud k přepisu dojde, tak je o této změně informován i IT správce prostřednictvím MDM konzole. Navíc IT správce obvykle nastavuje pravidlo, že pro nedůvěryhodná zařízení – které se okamžitě odebírá z podnikové správy a není umožněno je opět pod správu přidat (risk zavedení infikovaného zařízení do podnikové sítě).

„Osobní“ bezpečnost

Aktivováním Device Security lze zapnout vrstvu TIMA i v privátní části pro ochranu soukromých dat, což Samsung poskytuje i pro spotřebitelský segment, jinak Knox pro privátní část telefonu spí. Další možností je MyKnox, který otevře soukromý kontejner, pro bezpečné uložení soukromých dat do šifrovaného prostředí.

Secure Enhancement for Android je kopií serverového prostředí jaké používají bankovní karetní centra.

Kontejner Samsung S6
Kontejner Samsung S6

Hromadné zprovoznění zařízení

Pokud organizace zařazuje do správy větší množství zařízení, je možné využít produkt Knox Mobile Enrollment, který na základě vytvořnení profilu na Mobile Enrollment serveru (typ MDM, uživatelského jména a hesla) umožní aktivovat zařízení bez vlastního zásahu IT. Což šetří čas a náklady za IT.

Při hromadné dodávce několika stovek kusů do organizace tím lze ušetřit až měsíce času. Není výjimkou, když organizace objedná 100 kusů telefonů nebo tabletů najednou. Například v RWE vybavili 850 servisních mobilních pracovníků tablety Samsung. Administrátoři jiného zákazníka ručně nastavovali profily u 600 zařízení a trvalo jim to tři a půl měsíce. S výbavou Samsung Knox by to měli za chvíli. Hromadné zprovoznění zařízení velmi šetří čas administrátorů.

Knox Framework a partnerská řešení

Knox Framework je určen pro korporátní prostředí pro B2B služby. Je vybaven sadou API pro připojování příkazů externích aplikací od partnerů, kteří zakoupili od Samsungu SDK, například pro tvorbu vlastních konzolí MDM – Mobile Device Management za účelem ovládání, zablokování zařízení, nebo sestavení VPN či tvorbu vlastních řešení. API umožňují řídit zařízení i pomocí různých systémů s například Active Directory, z koncového zařízení lze provádět změnu hesla po jeho vypršení. Jsou k dispozici i propojení pro Dropbox, Box, SharePoint apod.

Existuje také API pro VPN – „data na cestě“, Per-App-on demand pro selektivní aplikace v mobilním zařízení s přenosy dat přes VPN. Trvalé sestavení VPN je totiž velmi náročné na výdrže zařízení – spotřebu energie a toto umožňuje zapnout sestavení VPN jen když je to nutné, tj. pouze při přístupu aplikace do firemního prostředí.

Plně připraveno pro firmy

Knox maximalizuje zabezpečení Androidu a znamená plné připravení smartphonů a tabletů Samsung pro firmy. Jde o zabezpečený design hardwaru od výroby s bootem, zavaděčem a runtime ochranou.

Samsung Knox má širokou podporu uživatelů MDM – SAP, Citrix, CA, BlackBerry, AirWatch, Mobile Iron a dalších. Jsou k dispozici i vlastní kontejnery od třetích stran, existují partneři z pohledu aplikací – Microsoft Office 365, MS Azure, CA, FireEye, Cisco, F5 apod. (více viz www.samsungknox.com). Systém dodává aktualizace vždy dvakrát ročně s řadami Samsung S a Note, vždy ale i se zpětnou podporou ostatních řad produktů Samsung. Aktualizace zabezpečení platformy je prováděna nezávisle na standardních aktualizacích.


Komentáře

Jenda #0
Jenda 02. srpen 2016 14:44

Myslíte, že tam pořád je ten backdoor umožňující modemu číst a zapisovat na kartu?

http://redmine.replicant.us/projects/replicant/wiki/SamsungGalaxyBackdoor


RSS 

Komentujeme

Chatbot mluví za mrtvého – od nápadu k realizaci

Pavel Houser , 30. listopad 2016 13:00
Pavel Houser

Na webu The Verge popsala Casey Newton příběh dvou přátel (Eugenia Kuyda a Roman Mazurenko). Peripet...

Více





Kalendář


RSS 

Zprávičky

Vodafone zvýšil do září počet zákazníků na 3,54 milionu

ČTK , 04. prosinec 2016 18:00

Mobilní operátor Vodafone zvýšil do konce září počet zákazníků na českém trhu meziročně o 146.000 na...

Více 0 komentářů

Nový škodlivý program ukradl údaje k milionu účtů Google

ČTK , 02. prosinec 2016 14:00

Nový škodlivý program Goolian narušil bezpečnost více než jednoho milionu účtů Google. Šíří se na za...

Více 0 komentářů

Telefony Nokia se příští rok vrátí na trh

ČTK , 02. prosinec 2016 10:30

Chytré telefony se značkou Nokia se objeví zpátky na trhu v příštím roce. Finská společnost Nokia dn...

Více 2 komentářů

Starší zprávičky

CETIN nabídne příští rok operátorům připojení až 250 Mbit/s

ČTK , 01. prosinec 2016 17:00

Společnost Česká telekomunikační infrastruktura (CETIN) zvýší od května příštího roku rychlost inter...

Více 0 komentářů

Akcie Samsungu stouply na nový rekord

ČTK , 01. prosinec 2016 12:00

Akcie jihokorejské společnosti Samsung Electronics dnes stouply o více než čtyři procenta na nový re...

Více 0 komentářů

FBI bude moci s povolením soudu pronikat do jakýchkoli počítačů

ČTK , 01. prosinec 2016 10:30

V americkém Senátu dnes selhal poslední pokus o zablokování rozšířených policejních pravomocí, které...

Více 2 komentářů

Gartner: Prodej tabletů v ČR letos klesne o osm procent na 1,1 mil

ČTK , 30. listopad 2016 14:00

Zájem o tablety letos dále klesá. Prodej tabletů a hybridních notebooků na českém trhu se letos sníž...

Více 0 komentářů