Truslerne mod mobiltelefoner er reelle.
Det fik vi igen bekræftet for nylig, da et angreb på en polsk netbank blev opdaget.
Banken tilbyder ekstra sikkerhed i form af en engangskode, som sendes til brugerens mobiltelefon. Den skal indtastes, før man får adgang.
Men en variant af den trojanske hest Zeus kombinerer infektion af en pc og brugerens mobiltelefon.
Når programmet er installeret på pc'en, bliver brugeren bedt om at indtaste sit mobilnummer og telefonmodel.
Herefter bliver der sendt et link til mobilen. Det angives at være en certifikatopgradering, men er i virkeligheden et skadeligt program.
Hvis brugeren følger linket og installerer programmet, får bagmændene videresendt alle SMS'er sendt til telefonen - herunder også adgangskoderne til netbanken.
Nu kommer sikkerhedsprogrammerne
Foreløbig er der langt færre reelle angreb på mobiltelefoner end på pc'er.
Men vi bruger telefoner og andre bærbare enheder mere og mere, og derfor bliver de også mere interessante som angrebsmål for de it-kriminelle.
Det er da også en af de tendenser, DK-CERT påpeger i Trendrapport 2010, som udkom for nylig.
Derfor er det godt at se, at der dukker flere sikkerhedsprogrammer op. Nye spillere som Lookout og Netqin har været på markedet i nogen tid.
Men på det seneste er også de traditionelle antivirusfirmaer kommet med mobilløsninger. Det gælder fx AVG, Kaspersky, Symantec og Trend Micro.
Det er godt. Men det er ikke nok.
Savner administration
Som enhver it-chef ved, er en løsning man ikke kan administrere ikke nogen løsning.
Et antivirusprogram til Android er fint til den enkelte forbruger, men når man er ansvarlig for sikkerheden på en virksomheds mobiltelefoner, har man brug for mere.
Disse ting har vi brug for
Vi har brug for værktøjer, der centraliserer administrationen.
Det skal være muligt at fastlægge en sikkerhedspolitik centralt, hvorefter de mobile enheder automatisk indstilles, så de kan overholde den.
Derfor er det glædeligt, at de etablerede antivirusproducenter nu også dækker smartphones.
De har nemlig i forvejen centrale administrationsværktøjer, som mobilsikkerheden kan integreres i.
Verden har været ret ensartet, når vi taler pc'er i virksomhederne: De bygger på samme teknologi og kører en version af Windows.
Billedet er mere broget, når vi ser på mobiltelefonerne. De kører Symbian, iOS, Android, Windows Mobile eller noget helt femte.
Variationen er med til at gøre det sværere at styre sikkerheden.
Derfor har vi også brug for systemer, der kan håndtere flere typer enheder. Alternativt må virksomheden vælge en standard for, hvilke mobiler den vil understøtte.
Beskyt data på mobilen
Sikkerhed på mobile enheder består af flere elementer. Bekæmpelsen af skadelig kode (malware) er kun et af dem.
Et mindst lige så vigtigt element er beskyttelsen af fortrolige data. En ting er at miste en telefon med alle sine private kontakter.
Men når adressebogen i telefonen er identisk med virksomhedens kundedatabase, er det langt værre.
Derfor skal data på mobilen kunne beskyttes.
En mulighed er kryptering. Det kan sikre, at man kun kan få adgang til data, hvis man kan indtaste den rette kode.
Det kan suppleres med sletning på afstand. Når en telefon bliver tabt eller stjålet, sender man et signal til den, som sletter alle data på den.
Lille og farlig skærm
En telefon er i dag også en browser. Vi går på nettet med mobilen. Og derfor møder vi de samme typer trusler som på andre browsere.
Der er blot nogle ekstra udfordringer ved de mobile browsere. En af dem hedder skærmstørrelse.
Skærmen på en telefon er lille. Derfor er der mindre plads til at vise websider på.
For at udnytte pladsen bedst muligt skjuler browseren ofte adresselinjen.
Dermed er det lettere for phishing-svindlere at narre ofrene til at tro, at de er på den rigtige webside.
Integrer værktøjerne
Endelig har virksomhederne også brug for at holde styr på deres mobiltelefoner: Hvilke modeller har de, og hvilke medarbejdere har fået dem udleveret?
Den slags findes der administrationsværktøjer til.
Min pointe er, at sikkerhed ikke er et isoleret felt.
Sikkerhedssystemerne bør integreres med administrationsværktøjerne.
Det er de allerede, når det gælder sletning af data på afstand.
Næste skridt bliver også at få beskyttelsen mod skadelig software med.
Jeg vil gerne understrege, at situationen ikke er katastrofal. Vi har ikke set angreb på mobile platforme i nær samme omfang som på de traditionelle platforme.
Måske kan vi på mobilsiden undgå at begå nogle af de mange sikkerhedsfejl, der blev begået ved introduktionen af først pc'en og siden world wide web.
Netop derfor er det en god ide at forberede os nu.
DK-CERT (www.cert.dk) er det danske Computer Emergency Response Team.
I samarbejde med tilsvarende CERT'er over hele verden indsamler DK-CERT information om internetsikkerhed. DK-CERT udsender advarsler og tager imod anmeldelser af sikkerhedsrelaterede hændelser på internettet.
DK-CERT er en tjeneste fra UNI-C, en styrelse under Undervisningsministeriet.
Shehzad Ahmad opdaterer den sidste fredag i hver måned Computerworlds læsere med de seneste tendenser inden for it-sikkerhed.
