Toen afgelopen week mijn smartphone vreemd ging doen, besloot ik dat dat een mooie gelegenheid was om een nieuwe aan te schaffen. Ik had een aantal functies op het oog die naar mijn gevoel onmisbaar waren, en de enige telefoon die ze allemaal had was een Droid. Tegen beter weten in liet ik hem inpakken.
Als beveiligingsexpert kostte het me veel moeite om het stemmetje in mijn hoofd te negeren dat riep: "nee, doe het niet!" Ik raak niet erg opgewonden van telefoons met het Android besturingssysteem. Er komt steeds meer malware beschikbaar voor dat OS, en bovendien moet je Android-telefoons back-uppen naar een cloud-dienst waarvan we geregeld moeten horen dat er weer is ingebroken. Het is helemaal niet zo raar om Android het minst veilige besturingsysteem voor telefoons van dit moment te noemen.
Als het over besturingssystemen gaat houd ik gewoonlijk niet zo van etiketjes als "veiligste" of "minst veilige". In mijn optiek is het veiligste besturingssysteem het systeem waarvan je zelf het beste weet hoe je het moet onderhouden. Maar in de mobiele wereld ligt het allemaal wat anders. Je kunt gewoonlijk zelf maar bitter weinig doen om het OS van een smartphone veiliger te maken. Er zijn zoveel apps, en er is zo weinig controle op. Malware vindt steeds eenvoudiger en vaker een weg naar je telefoon. Anti-malware software voor mobiele telefoons bestaat nauwelijks of stelt in elk geval bijzonder weinig voor. Ongeveer het enige wat je als gemiddelde gebruiker kunt doen om te voorkomen dat je besmet raakt is maar helemaal geen apps meer downloaden. Maar wie wil in de praktijk nou een smartphone zonder apps?
Wat kun je doen? Bij alle besturingssystemen vraagt beveiliging voortdurende aandacht. Het probleem met Android is dat beveiliging daar nog meer aandacht vraagt dan bij andere systemen. Je moet voortdurend op de hoogte blijven van de nieuwste dreigingen en gaten, en alle patches zo snel mogelijk installeren. Dat wil zeggen: als er patches zijn. Ik weet niet hoe het met jou zit, maar ik heb geen tijd om me voortdurend met dat soort zaken bezig te houden - en ik heb het geduld niet om me druk te maken over zero day vulnerabilities.
Ieder mobiel platform heeft zijn zwakke kanten. Maar na een aantal presentaties op BlackHat en een stuk of wat stevige discussies met collega's in de beveiliging die zich met dit soort zaken bezighouden, moet ik concluderen dat Apples iOS en de BlackBerry de betere keuzes zijn, vanuit veiligheidsstandpunt gezien. Maar dat heeft niet kunnen voorkomen dat Android het meest populaire besturingssysteem ter wereld werd, met uitzicht op een permanent dominante positie. En je weet het: bij populariteit horen aanvallen die speciaal voor de kampioen zijn ontworpen.
Natuurlijk is de mobiele wereld nogal dynamisch en verandert er daardoor voortdurend van alles. Nog niet zo gek lang geleden werd de iPhone lachwekkend onveilig bevonden. En nu wordt dat platform door de beste beveiligingsmensen op dit terrein aanbevolen als een van de veiligste mobiele besturingssystemen. Dat is voor een groot deel te danken aan Window Snyder, de voormalige beveiligingschef van Mozilla die nu ruim een jaar de beveiliging van alle Apple-producten onder haar hoede heeft. De beveiliging van Apple is niet perfect, maar wordt wel steeds betger. Google zou eenvoudig wat zaken kunnen veranderen om Android net zo veilig te maken.
Maar moet ik, zoals de zaken er nu voor staan, mijn verstand uitschakelen en voor Android kiezen, alleen omdat ik bepaalde functies wil kunnen gebruiken? Ik ben een beveiligingsexpert! Ik eet en slaap met risicomanagement.
Nou ja, we nemen allemaal wel eens een verkeerde beslissing. In gesprekken met collega's in de beveiliging heb ik ze gevraagd waarom ze voor hun telefoons hebben gekozen. Ze noemden vaak allerlei functies en apps, maar zelden noemde iemand de beveiliging. Niemand met een BlackBerry zei dat hij daarvoor had gekozen vanwege het indrukwekkende verhaal van RIM, dat met een aantal landen aparte overeenkomsten heeft moeten sluiten omdat de BlackBerry infrastructuur controle onmogelijk maakt. Ik doe zelf geregeld security assessments, waarbij ik al heel wat ondernemingen heb gezien die ik toch als goed beveiligd beschouw, die data-encryptie, anti-malware software, patch management et cetera verplicht stellen op alle bedrijfscomputers, om vervolgens die hele strategie onderuit te halen door het personeel van iPads te voorzien waar geen van die vereiste beveiligingsmaatregelen op mogelijk is. (Vergis je niet: iOS mag dan een van de veiligste mobiele besturingssystemen zijn, "veilig" is hier een bijzonder relatieve term.) Als organisaties en beveiligingsexperts die gewoonlijk hun beveiliging goed op orde hebben het hele beveiligingsaspect plots vergeten als ze een apparaat aanschaffen waarmee ze in potentie toegang krijgen tot hun meeste gevoelige gegevens, hoe kunnen we dan van gewone huis-, tuin- en keukengebruikers verwachten dat ze met dit soort dingen rekening houden?
Uiteindelijk is het me niet gelukt die stem in mijn hoofd tot zwijgen te brengen. Ik heb mijn Droid terug naar de winkel gebracht. Voorlopig kan ik weer even voort met een nieuwe batterij, waarmee ik het leven van mijn huidige smartphone nog wat kan rekken. Op die manier heb ik wat meer tijd om alle mogelijkheden op een rijtje te zetten. Misschien wordt de iPhone5 een optie - die zou volgende maand moeten uitkomen, en als het goed is heeft die alle functies die ik hebben wil, én een betere beveiliging. Geen perfecte beveiliging, maar wel veel beter.
De vraag waar ik nu mee blijf zitten is: gaan de makers van smartphones ooit nog eens zoveel aandacht aan beveiliging schenken als het onderwerp verdient? Als zo weinig mensen, inclusief beveiligingsexperts, zich iets aan beveiliging gelegen laten liggen bij hun keuze van een smartphone, ben ik bang daar voorlopig bar weinig van terecht gaat komen.
Reageer
Preview