Bezpečné smartphony – Samsung Knox

Samsung Knox je upravenou platformou operačního systému Android od společnosti Samsung. Je k dispozici pro každé zařízení Samsung s Androidem a spolupracuje s binárně, tj. jednostranně a nevratně přepisovatelnými čipy ARM Trust Zone na základní desce. Systém Samsung Knox je založený na virtualizaci a v podstatě umožňuje vytvořit dvě zařízení v jednom – jedno soukromé a jedno firemní. Kromě toho umožňuje díky API nastavit uživatelské profily a spravovat přes konzoli Mobile Device Management (MDM) více zařízení najednou.

Platforma umí například i rozlišit, ze které části telefonu stahuje data, a pokud toto operátor podporuje, vystavět za data dvojí vyúčtování. V České republice tato služba zatím není k dispozici.

Samsung má pro třetí strany také k dispozici SDK se sadou API pro tvorbu vlastních aplikací - řešení.

Platforma Samsung Knox

Jak funguje ochrana Samsung Knox

Nadstavba Samsung Knox má sedm vrstev. Nejdůležitějšími z hlediska pochopení, jak ochrana funguje, jsou Samsung Knox kontejner, TIMA a ARM Trust Zone.

V nejvyšší vrstvě kontejneru Knoxu uloženy aplikace se svými daty, jde o virtuální prostředí daného uživatele. Kontejner je šifrován AES 256.

Uživatel se přihlašuje napřed do telefonu, pak do kontejneru Knox, nebo lze vynutit přihlášení „Container only mode“. Jde o jakýsi „další telefon“, do kterého se uživatel přihlásí. Administrátor přitom může povolit přístup z firemní části do soukromé a naopak, například ke kontaktům, dokumentům, fotografiím apod., Kontejner otevírá firemní IT správce prostřednictvím nástroje MDM.

Kontejner ještě může obsahovat složku Knox Chamber pro zvlášť citlivá data, která je znovu šifrována AES 256. Každé heslo je sice prolomitelné, avšak za jakou cenu; prolomit jedno šifrování AES 256 je velmi obtížné a dvojí pak až příliš nákladné. Zařízení Samsung proto získala certifikát i od Pentagonu, každoročně obhajuje Common Criteria a FIPS 140-2 za šifrování.

ARM Trust Zone komunikuje přímo s hardwarem, umí jej binárně přepsat v případě ohrožení korporátní části. Do ARM Trust Zone se dají ukládat i certifikáty. Knox po zapnutí telefonu zkontroluje všechny vrstvy až po kontejner.

Vrstva TIMA hlídá systém i aplikace při bootování i v reálném čase při běhu systému. Umožňuje instalovat „nezabalené“ aplikace do kontejneru. Umí zjistit, zda je zařízení důvěryhodné, tj. zda běží na oficiálním systému, nebo zda se aplikace nesnaží neuatorizovaně přistupovat k datům ostatních aplikacích v systému. Například když aplikace sahá do kontaktů, TIMA ji ukončí a uživatele upozorní, že byla ukončena. Nativně totiž není umožněno vykopírovat seznam kontaktů. Když se například uživatel pohybuje v privátní části telefonu a zavolá mu někdo z korporátních kontaktů, telefonát lze uskutečnit, avšak jméno volajícího se mu nezobrazí (pokud administrátor nenastaví jinak například povolí pouze zobrazení, nikoli však editaci či kopírování do soukromé části).

K pokynu TIMA do ARM Trust Zone k nevratnému přepsání čipu na základní desce může dojít ve dvou základních případech.

Za prvé, když vrstva TIMA pozná, že uživatel získá práva rootu, nebo při jakémkoliv pokusu o přístup do rootu. Pak dá pokyn do ARM Trust Zone pro binární přepsání čipu a uzavře kontejner Knoxu, kde běží korporátní aplikace a kde jsou uložena korporátní data. Za druhé, když si uživatel nahraje neutorizovanou verzi OS nebo jeho částí, ARM Trust Zone pozná odlišný obraz systému a opět přepíše čip na desce.

V obou případech lze smartphone nebo tablet používat dál, avšak nikoliv už v daném korporátním prostředí, pro které je trvale uzamčen. Odemčení nelze provést jinak než výměnu základní desky, prakticky jde o výměnu zařízení za nové. Pokud k přepisu dojde, tak je o této změně informován i IT správce prostřednictvím MDM konzole. Navíc IT správce obvykle nastavuje pravidlo, že pro nedůvěryhodná zařízení – které se okamžitě odebírá z podnikové správy a není umožněno je opět pod správu přidat (risk zavedení infikovaného zařízení do podnikové sítě).

„Osobní“ bezpečnost

Aktivováním Device Security lze zapnout vrstvu TIMA i v privátní části pro ochranu soukromých dat, což Samsung poskytuje i pro spotřebitelský segment, jinak Knox pro privátní část telefonu spí. Další možností je MyKnox, který otevře soukromý kontejner, pro bezpečné uložení soukromých dat do šifrovaného prostředí.

Secure Enhancement for Android je kopií serverového prostředí jaké používají bankovní karetní centra.

Kontejner Samsung S6

Hromadné zprovoznění zařízení

Pokud organizace zařazuje do správy větší množství zařízení, je možné využít produkt Knox Mobile Enrollment, který na základě vytvořnení profilu na Mobile Enrollment serveru (typ MDM, uživatelského jména a hesla) umožní aktivovat zařízení bez vlastního zásahu IT. Což šetří čas a náklady za IT.

Při hromadné dodávce několika stovek kusů do organizace tím lze ušetřit až měsíce času. Není výjimkou, když organizace objedná 100 kusů telefonů nebo tabletů najednou. Například v RWE vybavili 850 servisních mobilních pracovníků tablety Samsung. Administrátoři jiného zákazníka ručně nastavovali profily u 600 zařízení a trvalo jim to tři a půl měsíce. S výbavou Samsung Knox by to měli za chvíli. Hromadné zprovoznění zařízení velmi šetří čas administrátorů.

Knox Framework a partnerská řešení

Knox Framework je určen pro korporátní prostředí pro B2B služby. Je vybaven sadou API pro připojování příkazů externích aplikací od partnerů, kteří zakoupili od Samsungu SDK, například pro tvorbu vlastních konzolí MDM – Mobile Device Management za účelem ovládání, zablokování zařízení, nebo sestavení VPN či tvorbu vlastních řešení. API umožňují řídit zařízení i pomocí různých systémů s například Active Directory, z koncového zařízení lze provádět změnu hesla po jeho vypršení. Jsou k dispozici i propojení pro Dropbox, Box, SharePoint apod.

Existuje také API pro VPN – „data na cestě“, Per-App-on demand pro selektivní aplikace v mobilním zařízení s přenosy dat přes VPN. Trvalé sestavení VPN je totiž velmi náročné na výdrže zařízení – spotřebu energie a toto umožňuje zapnout sestavení VPN jen když je to nutné, tj. pouze při přístupu aplikace do firemního prostředí.

Plně připraveno pro firmy

Knox maximalizuje zabezpečení Androidu a znamená plné připravení smartphonů a tabletů Samsung pro firmy. Jde o zabezpečený design hardwaru od výroby s bootem, zavaděčem a runtime ochranou.

Samsung Knox má širokou podporu uživatelů MDM – SAP, Citrix, CA, BlackBerry, AirWatch, Mobile Iron a dalších. Jsou k dispozici i vlastní kontejnery od třetích stran, existují partneři z pohledu aplikací – Microsoft Office 365, MS Azure, CA, FireEye, Cisco, F5 apod. (více viz www.samsungknox.com). Systém dodává aktualizace vždy dvakrát ročně s řadami Samsung S a Note, vždy ale i se zpětnou podporou ostatních řad produktů Samsung. Aktualizace zabezpečení platformy je prováděna nezávisle na standardních aktualizacích.