Tek.no

Nyhet

Microsoft refser sikkerhetsanalyse

Espen Irwing Swang
4 Feb 2011 12:02

Analytikere i sikkerhetsselskapet Watchcom har presentert en rapport som tar for seg sikkerheten ved ulike mobilsystemer.
Konklusjonen er at Blackberry er sikrest, etterfulgt av iPhone. Android 2.2 kommer på en tredjeplass, mens Windows Phone 7 havner på jumboplassen. Det mest brukte OS-et på smartmobiler, Symbian, er ikke med i analysen.
Windows Phone 7 dårligst ut
Android 2.2 mangler sikkerhetsgodkjennelser, sertifiseringer og krypteringsmuligheter, og har i tillegg applikasjoner som kan hente og videresende informasjon fra telefonen din. Likevel mener altså sikkerhetsselskapet at dette operativsystemet er sikrere enn Windows Phone 7.
Påstanden får Microsofts sikkerhetsansvarlige, Ole Tom Seierstad til å reagere.
- Watchcom har tatt med parametre som ikke sier noe om sikkerhet, så som telefonens evne til å synkronisere e-post, kontakter, kalender og oppgaver. På flere punkter er det de sier om Windows Phone 7 direkte feil, og på andre områder har vi viktige sikkerhetsmekanismer som ikke er tatt med i analysen, sier Seierstad.
Men sikkerhetsrådgiver i Watchcom, Eirik Saltkjel forsvarer rapporten.
- Windows Phone 7 har ingen støtte for sikkerhetspakker. Innholdet på telefonen er ikke kryptert. Hvem som helst kan koble seg på telefonen og hente ut e-post. Den støtter ikke policy for sterke passord, og det er ikke mulig å sette som policy at kameraet skal være deaktivert, sier Saltkjel.
Saltkjel viser også til at telefonen ikke informerer om hvilke tilganger de ulike applikasjonene du installerer vil få. I analysen skriver Watchcom også at Windows Phone 7 kun støtter enkle passord mot Exchange 2010.

Tilbakeviser påstander

Det er ifølge Seierstad ikke riktig. Han hevder du kan bestemme at mobiltelefoner som skal koble seg til serveren må bruke et passord med et bestemt antall siffer, og at du kan bestemme at passordet ikke kan være enkle kombinasjoner som 0000 eller 1234.

Du kan også bestemme hvor lang tid telefonen skal være passiv før låsen slår seg på, hvor lenge passordet skal være gyldig og at telefonen skal slette seg selv dersom det blir tastet feil passord et visst antall ganger. Men har medgir at du foreløpig ikke kan forlange alfanumeriske passord.

Når det gjelder oppkobling til Exchange Server (EAS) så er det fult mulig og anbefalt med sterke passord, inkludert alfanumeriske tegn, store/små bokstaver og siffer.

- Vi trekkes fordi vi ikke synkroniserer oppgaver, en løsning vi tok bort fordi få brukte den. Vi får null poeng fordi hver enkelt applikasjon ikke forteller brukeren hvilke funksjoner i telefonen som applikasjonen bruker. Du får den samme informasjonen hos oss som hos andre, i tillegg til at vi kjører alle applikasjoner i en sandkasse, sier Seierstad. Det betyr at ingen programmer får tilgang til informasjon og data fra andre programmer. Du kan heller ikke laste ned såkalte plugins til telefonen.

Seierstad mener også det er galt å gi trekk for skadelig programvare til telefonen, når dette ikke finnes.

- Her har Microsoft fått trekk fordi Watchcom mener grunnen til at det ikke finnes skadelig programvare til Windows Phone 7 er at operativsystemet ennå er så nytt, hevder Seierstad.

Umulig å tappe informasjon

Men mest oppgitt er Seierstad over påstanden om at hvem som helst kan hente ut informasjon fra en stjålet eller mistet mobiltelefon.

- Det er ikke mulig å hente ut annen informasjon enn den du kan synkronisere med Zune, programvaren som brukes for å synkronisere medieinnhold mellom Windows Phone 7 og en PC. Det betyr at det er mulig å hente ut bilder og musikk, forutsatt at du kommer deg forbi apparatlåsen. All annen informasjon er utilgjengelig. Minnekortet er låst til mobiltelefonen, og skulle du forsøke å lese minnet ved hjelp av eksterne hjelpemidler, så vil du ikke få noe ut av det. Hvert minnekort har en unik ID og virker bare i den mobilen det hører hjemme i, forteller Seierstad.

Han mener også at det er umulig å hente frem andre typer data fra en mobiltelefon som ikke gir tilgang til filstrukturen. Data i Outlook og Sharepoint er kun tilgjengelig fra serveren du er koblet til, og med støtte for sertifikatbasert pålogging.

Grundige tester

- Jeg er ikke så overrasket over at Microsoft er uenige med oss. Men vi har satt opp vårt eget testmiljø og testet funksjonene vi beskriver. Kriteriene vi har valgt å fokusere på er de som våre kunder er opptatt av, og som omhandler sikkerhet. Vi har ikke tatt hensyn til pris, brukervennlighet eller hva som finnes av tredjepartsløsninger, sier Saltkjeler.

- Det er riktig at du ikke kan skru av kameraet via tvungen policy. Men ut over dette har våre mobiltelefoner en rekke løsninger som gir økt sikkerhet, og som ikke er tatt hensyn til i denne analysen, sier Seierstad. - Vi har en løsning der nettleser, applikasjoner og operativsystem er helt isolert fra hverandre. All programvare som skal installeres på telefonen må være sertifisert av Microsoft. Nettleseren kan ikke kjøre kode fra Internett. Data er beskyttet under sending og mottak, og det samme er filsystem, applikasjonsdata og systemdata, sier Seierstad.

Seierstad synes også det er underlig at Blackberry får poeng for sin onlineløsning, når Microsoft ikke får det for windowsphone.live.com. - Vi har jo fjernsletting, call phone, lock phone eller locate phone fra denne tjenesten.

- Og en ting til. Vi har ikke støtte for Thetering og BlueTooth PAN. Dermed er det ingen fare for å hente ut data trådløst, noe som burde vært en parameter i en sikkerhetsanalyse, sier Seierstad

Vil ikke anbefale Windows Phone 7

Eirik Saltkjel er likevel klar i sin tale: - Er du opptatt av sikkerhet skal du velge Blackberry eller iPhone med iOS 4.2. Verken Windows Phone 7 eller Android holder mål, sier Saltkjel.
Watchcom Security Group har vurdert de ulike mobile løsningene basert på kriteriene sikkerhet, administrasjon, programmer og funksjonalitet i tillegg til Sikkerhetsgodkjennelser og sertifiseringer.
Sikkerhetsselskapet bruker selv Blackberry med BES-server fra Trigcom, men har også en Windows Phone og en iPhone i sin portefølje. Grunnen er at selskapet har behov for å se hvordan disse mobiltelefonene fungerer i praksis. Under analysen er telefonene testet mot Microsoft Exchange Server 2010, mens Blackberry i tillegg er testet mot BES (Blackberry Enterprise Server).
Les også: Slik sikrer du mobilen din.

Les også
Nokia irritert på Watchcom
Les også
Her er de sikreste mobiltelefonene
Les også
Smarttelefoner truer bedriftene
Les også
Slik tyverisikrer du mobilen din
annonse

Les også