Мобильная безопасность (основа и практика)

[Энди-701]

Мобильная безопасность, или Защита мобильных устройств в корпоративной среде

В этом году рынок мобильных устройств впервые обогнал рынок ПК. Такой стремительный рост возможностей мобильных устройств ставят перед нами новые задачи по обеспечении информационной безопасности. (Оригинал статьи).

Современные смартфоны и планшеты содержат в себе вполне взрослый функционал: удаленное администрирование, поддержка VPN, браузеры с flash и java-script, синхронизация почты, заметок, обмен файлами. Однако рынок средств защиты для подобных устройств развит еще слабо.

Удачным примером корпоративного стандарта является BlackBerry, смартфон с поддержкой централизованного управления через сервер, шифрованием, возможностями удаленного уничтожения данных на устройстве. Однако его доля на рынке не так велика, а на российском практически отсутствует.

По правде говоря, существует ещё масса устройств на базе Windows Mobile, Android, iOS, Symbian, защищенных значительно слабее. Основные проблемы безопасности связаны с многообразием ОС для мобильных устройств и множеством их версий в одном семействе. Тестирование и поиск уязвимостей в них происходит не так интенсивно как для ОС на ПК, то же самое касается и мобильных приложений.

Современные мобильные браузеры уже практически догнали аналоги из настольных ПК, но дальнейшее расширение их функционала влечет за собой большую сложность и меньшую защищенность. Далеко не все производители выпускают обновления, закрывающие критические уязвимости для своих устройств — дело в маркетинге и в сроках жизни конкретного аппарата.

Ознакомьтесь с типичными данными, хранящимися на среднестатистическом смартфоне, которые могут быть интересны для злоумышленника.

1. Доступ к почте и почтовому ящику
Как правило, доступ к почтовым сервисам и синхронизация почты настраиваются на мобильном устройстве один раз, и в случае потери или хищения устройства злоумышленники получают доступ ко всей переписке, а также ко всем сервисам, привязанным к данному почтовому ящику.

2. Интернет-пейджеры
Skype, ICQ, Jabber в достатке имеются в современных мобильных устройствах, а в случае их утери вся переписка данного человека, и его контакт-листы могут быть под угрозой.

3. Документы, заметки
DropBox для мобильных устройств вполне может стать источником компрометации каких-либо документов, равно как и различные заметки и события в календаре. Емкость современных устройств достаточно велика, чтобы они могли заменить usb-накопители, а документы, фото и файлы с них вполне способны порадовать злоумышленников. Нередко в смартфонах встречается использование заметок как универсального справочника паролей, также распространены хранящие пароли приложения, защищенные мастер-ключом. Необходимо учитывать, что в таком случае стойкость всех паролей равна стойкости этого ключа и грамотности реализации приложения.

4. Адресная книга
Иногда сведения об определенных людях стоят очень дорого.

5. Сетевые средства
Использование смартфона или планшета для удаленного доступа к рабочему месту посредством VNC, TeamViewer и прочих средств удаленного администрирования уже не редкость. Так же как и доступ к корпоративной сети через VPN. Скомпрометировав свое устройство, сотрудник может скомпрометировать всю «защищенную» сеть предприятия.

6. Мобильный банкинг
Представьте, что ваш сотрудник использует на своем мобильном устройстве систему ДБО — современные браузеры вполне позволяют осуществлять подобный вид деятельности, и это же мобильное устройство привязано к банку для получения sms-паролей и оповещений. Несложно догадаться, что вся система ДБО может быть скомпрометирована потерей одного устройства.

Основными путями компрометации информации с мобильных устройств является их пропажа или хищение. Сообщения о громадных финансовых потерях организаций из-за пропажи ноутбуков мы получаем регулярно, однако потеря бухгалтерского планшета с актуальной финансовой информацией тоже может доставить множество хлопот. Вредоносное ПО для смартфонов и планшетов в настоящее время скорее страшный миф и средство маркетинга, однако не следует терять бдительность, ибо этот рынок развивается бешеными темпами.

[Энди-701]

Средства защиты современных мобильных ОС

Современные ОС для мобильных устройств имеют неплохой набор встроенных средств защиты, однако некоторые функции не используются или отключаются.

WindowsMobile
Одна из старейших ОС на рынке. ПО для версий 5.0 и 6.х совместимо, потому средств защиты для них имеется немало, например, начиная с версии 6.0 поддерживается шифрование карт памяти. Сама ОС не имеет средств предотвращения установки приложений из сторонних непроверенных источников, поэтому подвержена заражению вредоносным ПО. Кроме концептов существует ряд реальных вредоносных программ под эту платформу. Корпоративные решения представлены множеством компаний (Symantec Mobile Security Suite for Windows Mobile, Kaspersky Endpoint Security for Smartphone, Dr.Web Enterprise Security Suite, McAfee Mobile Security for Enterprise, ESET NOD32 Mobile Security, GuardianEdge Smartphone Protection).


Данные решения дают не только антивирусную защиту, но и средства фильтрации трафика через все каналы связи мобильного устройства, средства шифрования, централизованного развертывания и управления. Решение от GuardianEdge включает в себя элементы DLP-системы. Средства ОС с помощью ActiveSync и Exchange Server разрешают удаленное уничтожение данных на устройстве. С помощью Exchange Server можно настраивать политики безопасности на устройствах, такие как использование экрана блокировки, длина пин-кода и прочее.

Выход новых прошивок, содержащих исправления уязвимостей, зависит от производителя устройств, но в целом это происходит крайне редко. Случаи повышения версии ОС также крайне редки. Windows Phone 7 вышла в свет совсем недавно, о корпоративных решениях для защиты этой ОС пока ничего не известно.


SymbianOS
Несмотря на недавний переход Nokia в Windows Phone 7, Symbian все еще превалирует на рынке мобильных ОС. Приложения для Nokia распространяются в виде sis-пакетов с цифровой подписью разработчика. Подпись самодельным сертификатом возможна, однако это накладывает ограничения на возможности ПО. Таким образом, сама система хорошо защищена от возможной малвари. Java-апплеты и sis-приложения запрашивают у пользователя подтверждение на выполнение тех или иных действий (выход в сеть, отправка смс), но, как и в настольных ОС, многие пользователи не сомневаясь соглашаются со всеми предложениями системы, и не особенно вникают в их суть.

SymbianOS тоже содержит средства для шифрования карт памяти, используются блокировки со стойкими паролями, поддерживаются Exchange ActiveSync (EAS) policies, позволяющие удаленное уничтожение данных на устройстве. Существует множество решений защиты информации от ведущих производителей (Symantec Mobile Security for Symbian, Kaspersky Endpoint Security for Smartphone, ESET NOD32 Mobile Security), которые по функционалу близки к Windows Mobile версиям.

Но существует ряд способов получения полного доступа с подменой файла «installserver», осуществляющего проверку подписей и разрешений устанавливаемого ПО. Как правило, пользователи применяют это для установки взломанного ПО, которое, естественно, теряет подпись после взлома. В таком случае неплохая в целом система защиты ОС может быть легко скомпрометирована. Прошивки для своих устройств Nokia выпускает регулярно, особенно для новинок. Средний срок жизни аппарата 2-2,5 года, в этот период можно ожидать исцеления детских болезней аппаратов и исправления критических уязвимостей.


iOS
Операционная система от Apple. Для устройств третьего поколения (3gs и старше) поддерживается аппаратное шифрование данных средствами системы. ОС поддерживает политики EAS, позволяет осуществлять удаленное управление и конфигурацию через Apple Push Notification Service, в том числе поддерживается и удаленное стирание данных.

Закрытость платформы и ориентированность на использование Apple Store обеспечивает высокую защиту от вредоносного ПО. Корпоративные средства защиты представлены меньшим количеством компаний (GuardianEdge Smartphone Protection, Panda Antivirus for Mac, Sophos Mobile Control). Решение от Panda — это антивирус для десктопа, который может сканировать и iOS-устройства, подключенные к Mac. Решение от Sophos на момент написания статьи находилось в разработке. Однако, как и в случае Symbian, система может быть скомпрометирована из-за сделанного Jailbreak’a. Недавняя новость о взломе iOS Фраунгоферовским институтом технологий защиты информации — тому подтверждение. Обновление прошивок и закрытие уязвимостей происходит для устройств от Apple регулярно.


AndroidOS
Молодое на рынке мобильных устройств детище Google стремительно завоевывает рынок. Начиная с версии 1.6 в ней поддерживается протокол Exchange Activesync, что делает устройства с данной ОС интересными для корпоративного сегмента. Также поддерживаются некоторые политики EAS. Шифрование карт памяти средствами ОС пока не предусмотрено. Существует ряд корпоративных решений для защиты (McAfee WaveSecure, Trend Micro Mobile Security for Android, Dr.Web для Android, есть заявка от Kaspersky). Приложения распространяются через Android Market, однако ничто не мешает устанавливать их и из других источников. Вредоносное ПО для Android существует, но при установке ОС показывает все действия, которые требуются для устанавливаемой программы, поэтому в данном случае все зависит напрямую от пользователя...

AndroidOS имеет защиту от модификации, но, как и для Symbian и iOS, возможно получение полного доступа к системе — root. После получения root возможна запись в системные области и даже подмена системных приложений. Обновление прошивок и повышение версий ОС, исправление ошибок и уязвимостей происходит регулярно на большинстве устройств.

Итак, современные мобильные ОС обладают неплохими средствами защиты — как встроенными, так и представленными на рынке. Основными проблемами являются несвоевременность или невозможность получения обновлений, обход защиты самим пользователем, отсутствие корпоративной политики безопасности для мобильных устройств. Из-за различия ОС и их версий не существует единого корпоративного решения, которое можно было бы посоветовать.

[Энди-701]

Что необходимо предпринять для защиты устройств и создания политик ИБ?

1. Блокировка устройства.
Например, ваш смартфон попал в руки к постороннему человеку. Для большинства пользователей это означает, что некто получит доступ сразу ко всему. Необходимо блокировать устройство паролем (стойким или с ограниченным количеством попыток ввода), после которых данные на устройстве затираются или устройство блокируется.

2. Использование криптографических средств.
Необходимо использовать шифрование съемных носителей, карт памяти – всего, к чему может получить доступ злоумышленник.

3. Запрет на сохранение паролей в браузере мобильного устройства.
Нельзя сохранять пароли в менеджерах паролей браузеров, даже мобильных. Установите ограничение на доступ к переписке почтовой и смс, используя шифрование.

4. Запрет использования менеджеров паролей для корпоративных учетных записей.
Существует множество приложений, созданных для хранения всех паролей на мобильном устройстве. Доступ к приложению осуществляется вводом мастер-ключа. Если он недостаточно стоек, вся парольная политика вашей организации будет скомпрометирована.

5. Запрет на установку ПО из непроверенных источников, осуществление взломов ОС.
К сожалению, средства для принудительного запрета есть только для Windows Mobile устройств. В остальных случаях придется доверять пользователю на слово. Используйте ПО от крупных, известных разработчиков.

6. Использование политик Exchange ActiveSync, средств антивирусной и прочей защиты.
Это позволит избежать множества угроз (в том числе новых), а в случае потери или кражи устройства осуществить его блокировку и уничтожение данных на нем.

7. В случае предоставления доступа в доверенную зону осуществлять тщательный контроль.
Для пользователей, обладающих доступом к доверенной зоне (внутренней сети по VPN, средствами удаленного администрирования), необходимо еще более тщательно следить за выполнением вышеизложенных правил (рекомендовать им использовать IPSEC, не хранить аутентификационные данные в приложениях). В случае компрометации устройства возможна угроза для всей внутренней доверенной зоны.

8. Ограничить список данных, которые можно передавать облачным сервисам.
Современные мобильные устройства и приложения ориентированы на использование множества облачных сервисов. Нужно следить, чтобы конфиденциальные данные и данные, относящиеся к коммерческой тайне, не были случайно синхронизированы или отправлены в один из таких сервисов.


В завершение можно сказать, что для корпоративного применения желательно использовать одну и ту же платформу (а лучше вообще одинаковые устройства) с установленным ПО корпоративного класса, которое можно конфигурировать и обновлять централизованно. Необходимо разработать и внедрить политику ИБ в отношении мобильных устройств, осуществлять проверки ее исполнения и обязательно использовать Exchange-сервер для задания политик EAS.

В данной статье не была рассмотрена BlackBerry OS (ввиду практически полного отсутствия на российском рынке), однако стоит отметить, что данная платформа является корпоративным стандартом во многих странах мира.

[Trixter]

Паранойя это все.

[Trixter]

ANDYBOND, тут все намекают на то, что скоро эпидемии будут. Но вот не верю и все.

[SDA]

Эпидемий не будет, но количество вирусов на тот же ведроид растет по нарастающей http://www.anti-malware.ru/analytics...id_under_sight
Хорошую статейку Валера написал

[Trixter]

SDA, полгода на Андроиде и ни одного вируса не видал. А господа, задвигающие фуфло делают это не просто так.

[SDA]

SDA, полгода на Андроиде и ни одного вируса не видал. А господа, задвигающие фуфло делают это не просто так.

Я за последние лет 5,6 на своей Винде вирусов не видел (виртуалка не в счет), а их миллионы. Странно, да?

[Trixter]

SDA, ты скорее исключение, ибо сферой инф. безопасности интересуешься.

[ole44]

Мобильная троянская война

Мобильная безопасность. Взгляд Коммерсанта. Читать статью

[Энди-701]

Ну, без азарта борьбы с угрозами заражения было бы пресно и неинтересно пользоваться Интернетом и вообще компьютером.

Многие хотят жить в богатстве, в мире, достатке и иметь те или иные зрелища, будоражащие душу, но какой ценой это достигается?
Массовыми репрессиями, человеческими жертвами, войнами, катастрофами и трагедиями, истреблением представителей животного и растительного мира?...

Нет уж, пусть лучше будут компьютерные вирусы и пр. пр., чем человеческие жертвы.

Хотя в нашем непростом мире порой и человеческая жизнь может зависеть от компьютера...

[ole44]

В Google Play появится бесплатное приложение «Мобильная полиция»

Инициатором разработки приложения выступил совет при главном управлении МВД по Центральному федеральному округу.
13 апреля текущего года в онлайн-магазине Google Play будет представлено бесплатное приложение «Мобильная полиция». Аналогичное приложение для iOS уже находится на модерации и появится в App Store на следующей неделе. Об этом сообщает CNews.

Инициатором разработки приложения «Мобильная полиция» выступил совет при главном управлении МВД по Центральному федеральному округу. Исполнителем проекта является сама общественная организация без привлечения сторонних IT-компаний.

В момент запуска приложение будет функционировать только на территории Москвы. Функционал «Мобильной полиции» можно разделить на три части. После нажатия большой кнопки «02» осуществляется вызов дежурного службы 112 по GSM-сети оператора. Далее происходит рассылка SMS-сообщений по выбранному списку близких людей, обратившегося в экстренную службу пользователя. Помимо этого, в приложении находятся информационные сервисы: данные МВД об адресах и телефонах подразделений, советы ведомства о поведении в той или иной ситуации и т.п.

Цены на SMS-сообщение устанавливаются в соответствии с тарифами мобильных операторов. SMS-сообщение, отправленное близким, будет содержать активную ссылку для перехода на карту с отметкой о местонахождении пользователя. Геоданные пользователя определяются при помощи location based service (LBS) оператора, при этом системы позиционирования GPS/ГЛОНАСС на мобильном устройстве могут быть отключены. Помимо этого, геоданные также определяются по базовым станциям GSM и точкам доступа Wi-Fi.

http://www.securitylab.ru/

[ole44]

Как на концерте не остаться без билета, смартфона и своих секретов

Эксперты советуют, как защитить свое устройство, свои данные и деньги перед и во время посещения общественных мест и зрелищных мероприятий.

[Black Angel]

К слову о мобильной безопасности. На данный момент можно обойти защиту Avast Mobile Security следующим , можно даже сказать, простым образом. Представим, что телефон попал в руки злоумышленника и еще не был заблокирован: (Сообщил в поддержку, привожу свои сообщения и ответы поддержки)

Анти-вор активирован в качестве администратора устройства. Но, если пытаемся отключить Аваст в качестве администратора устройства, появляется запрос пин-кода. Имитируем действия вора. Ничего не вводим, примерно через 10 секунд появляется кнопка "Отмена", нажимаем на нее, после чего Аваст можно отключить в качестве администратора устройства без какого-либо пин-кода.
Ответ

Мы это проверили и ошибку повторили на нашим мобильном. Мы передам информацию разработчиком. Спасибо за комментарий.

Аваст защищен от удаления пин-кодом. Если на телефоне зайти в Google Play, выбрать там Мои приложения, в них выбрать Аваст и нажать на него, то появляются кнопки "Открыть" и "Удалить". Если нажать кнопку "Удалить", то таким способом Аваст удаляется без запроса пин-кода. То есть из Google Play можно удалить Аваст без пин-кода, даже если в настройках Аваст стоит защита пин-кодом.
Ответ

Но Anti-theft постоянно будет на мобильном.

Да, останется. И Anti-Treft не видно в установленных программах. Но если установлен сторонний проводник, например, Total Commander, то через него виден Anti-Treft и его можно удалить без запроса пин-кода.
Ответ

Avast! может защитить только от удаления в "Управление приложениями". Нет никакого способа, как может аvast! блокировать Google Play и удаление файлов там. Avast! не имеет никаких прав, чтобы заблокировать третие производители, такие как Total Commander.

[Black Angel]

И еще один более простой способ стандартными средствами телефона без стороннего проводника:

Анти-вор активирован в качестве администратора устройства. Но, если пытаемся отключить Аваст в качестве администратора устройства, появляется запрос пин-кода. Имитируем действия вора. Ничего не вводим, примерно через 10 секунд появляется кнопка "Отмена", нажимаем на нее, после чего Аваст можно отключить в качестве администратора устройства без какого-либо пин-кода.

После этого заходим в Настройки телефона, далее Приложения, далее Управление приложениями. Находим Avast Mobile Security, жмем на него, выбираем "Стереть данные" и потом там же кнопка "Удалить". Никаких запросов пин-кода, ничего. Спокойно выносится. Те же действия дают тот же эффект и для Анти-вора, который отображается отдельным приложением.

[dreamkz]

Ну и фаерволл на смартфон не помешает. Понаблюдать за приложениями хотя бы иногда.

Фаерволл, не требующий прав "root" для работы. Он уведомляет, когда приложения пытаются получить доступ к интернету. Каждое соединение может быть разрешено / заблокировано выборочно.
Особенности
- * НЕ * ТРЕБУЮТСЯ права root.
- Выборочные разрешения / запреты для соединений.
- Фильтрция по имени и IP-адресу.
- Простой интерфейс. Простота в использовании.
- Минимальные разрешения для работы. Не требуются разршения типа телефонных звонков, отсылки СМС и т.д.
Вы можете защитить ваши личные данные от передачи в интернете шпионскими / вредоносными программами. Это приложение, как и DroidWall, для непривилегированных пользователей.

https://play.google.com/store/apps/d...firewall&hl=ru