Fakty i mity o szyfrowaniu BlackBerry Internet Service

Avatar
Piotr Barycki
16.08.2011

Od momentu, kiedy terminale i usługi BlackBerry trafiły do „zwykłych” ludzi, opuszczając tym samym korporacyjne serwerownie i telefony, wokół bezpieczeństwa przesyłanych danych i sposobów szyfrowania informacji w BIS narosły legendy, których spodziewać nie mógł się prawdopodobnie sam RIM. Jak jest naprawdę z tym bezpieczeństwem i co jest tak naprawdę zaszyfrowane?Na początek należy obalić kilka (zaskakująco popularnych) mitów:

  • BlackBerry/RIM szyfruje SMS – nic takiego nie ma miejsca
  • BlackBerry/RIM szyfruje połączenia telefoniczne – również nie ma na to wpływu

Jeśli to już wiemy, możemy przyjrzeć się bliżej temu, co jest faktycznie szyfrowane i temu jak jest to zabezpieczone:

Przeglądanie internetu:

W tym przypadku Research In Motion oferuje nam w ramach BIS standardowe szyfrowanie SSL, dla stron, który takie udogodnienie oferują (banki, portale transakcyjne i aukcyjne, sklepy internetowe). Rozwiązanie to jest dostępne także przy bezpośrednim połączeniu za pośrednictwem TCP/IP oraz bramek dostępowych WAP. W tych przypadkach wymagane jest odpowiednio oprogramowanie systemowe BlackBerry w wersjach: 3.6.1, 4.0 i 3.2 SP1 (tak więc raczej nie musimy się martwić, że trzeba cokolwiek doinstalować).

Za pomocą SSL zabezpieczone są również nasze dane wymagane do połączenia z panelem konfiguracji email (aplikacja/WWW).

Wiadomości email

Tutaj również zastosowane zostało szyfrowanie SSL, w przypadkach, kiedy nasz dostawca internetowy (skrzynki pocztowej) udostępnia takie udogodnienie. Co najważniejsze, wiadomości przesyłane pomiędzy usługą BlackBerry Internet Service a terminalem nie są szyfrowane – szyfrowaniu, z wykorzystaniem SSL podlegają wyłącznie wiadomości przesyłane pomiędzy BlackBerry Internet Service (czyt.: NOC RIM) a naszym serwerem pocztowym.

Wiadomości PIN i BlackBerry Messenger

Ten typ wiadomości nie podlega już szyfrowaniu SSL, a – jak to określił sam RIM – niskopoziomowemu szyfrowaniu innego rodzaju, obejmującego całą drogę, którą przebywa wiadomość. Rozkodowywanie odbywa się dopiero na terminalu adresata, przy czym wszystkie terminale używają tego samego klucza, przez co wiadomość wysłana przypadkowo do innego niż planowanego adresata, zostanie automatycznie odszyfrowana na jego telefonie.

A w skrócie:

  • Poczta email – SSL (o ile udostępnia to nam nasz dostawca poczty)
  • Strony internetowe (o ile udostępniają taką możliwość)
  • PIN i BBM – szyfrowanie innego typu (charakterystyczne dla usług BlackBerry)

Komentarz eksperta:

Wiemy, że w tej chwili wiadomości e-mail wysyłane i odbierane z wykorzystaniem usługi BIS nie są szyfrowane po stronie terminala oraz serwera RIM. Warto jednak prześledzić całą drogę jaką przebywają nasze wiadomości by mieć o tym pełną wiedzę i samemu dojść do wniosku czy nasze wiadomości są bezpieczne czy nie.
Pełna droga jaką przebywają nasze wiadomości składa się z następujących elementów:

  • Terminal BlackBerry
  • Radiowa siec operatora
  • Sieć operatora / sieć szkieletowa
  • Łącze do serwera RIM (NOC)
  • Pobieranie poczty przez serwer RIM

Przyjrzyjmy się teraz każdemu elementowi dokładniej:

Terminal BB, jak wiemy, nie szyfruje wiadomości, ani nie dodaje innych zabezpieczeń do wysyłanych maili.

Radiowa sieć operatora: BlackBerry korzysta z dedytkowanego APN by połączyć się z siecią operatora, ale ten APN nie jest również szyfrowany ponad to co daje nam technologia przesyłu danych: gprs, edge, umts, etc.

Sieć operatora: O sieć szkieletową operatora nie powinniśmy się martwić – nie było jeszcze przypadków by ktoś niepowołany uzyskał dostęp do pakietów przesyłanych przez sieć szkieletową operatora.

Łącze do serwera RIM: By BIS działał, operator musi połączyć się z NOC (Network Operation Center) do podłączenia się wykorzystuje łącze bezpośrednie (jako, że RIM nie ma NOCa w każdym państwie, większość operatorów zmuszona jest do korzystania z łączy dzierżawionych od firm trzecich). Dodatkowo na tym łączu stawiany jest tunel VPNowski w celu dodatkowego zabezpieczenia.

O pobieraniu poczty przez serwery RIM już pisaliśmy – w dużym ogóle, w tej części działania serwer RIM nie różni się zbytnio od zwykłego czytnika poczty e-mail. Pobiera i wysyła maile z i do serwerów pocztowych na tyle bezpiecznie na ile dopuszcza to serwer pocztowy (SSL/TLS).

Jak widać w przypadku wysyłki i odbioru maili przy wykorzystaniu BIS, proces ten nie różni się znacząco od pobierania poczty na terminal bezpośrednio z serwera pocztowego korzystając z dodatkowego programu i nie ma nad tym rozwiązaniem żadnego punktu przewagi. Można nawet powiedzieć, że bezpieczeństwo zmniejsza się gdyż maile przechodzą przez dodatkowy serwer firmy trzeciej. Jednak tak na prawdę bezpieczeństwo wiadomości w usłudze BIS nigdy nie było stawiane jako priorytet tej usługi ani tak zwany „key selling point”. Przewagi BISa nad „normalnymi” rozwiązaniami należy szukać gdzie indziej, ale to jest już materiał na inny artykuł.

Więcej informacji