Защита мобильных платформ – новейшие угрозы информационной безопасности

Заражению вирусом подвержены не только смартфоны. «Лаборатория Касперского» обнаружила вредоносные программы, способные  заражать мобильные телефоны с поддержкой технологии Java (J2ME). В последние годы эта платформа устанавливается на все аппараты, поскольку с ее помощью запускаются приложения и игры. Оказавшись в мобильнике, троянец начинает рассылать сообщения на некоторые платные мобильные сервисы. При этом со счета пользователя снимается 5-6 долл. (вирус Redbrowser).

 

3. ВЗЛОМ МОБИЛЬНЫХ УСТРОЙСТВ

В дополнение к спаму и вредоносному ПО мобильные устройства могут быть подвергнуты обычному взлому с целью  прекратить работу устройства. Как  только произойдет атака подобного  рода, ваш мобильный помощник просто перестанет работать!

4. Обзор свредств защиты мобильных платформ

Как известно, безопасность обеспечивается совместными усилиями людей, процессов  и технологий. Для защиты мобильных  устройств и корпоративных сетей  от потери данных (производительности) руководство организации должно предпринять следующие действия:

• создать в организации понятную политику использования мобильных устройств;
• определить порядок аутентификации пользователей и устройств для доступа к данным;
• зашифровать все данные;
• обеспечить защищенные соединения для доступа к данным;
• создать правила для межсетевого экрана и системы обнаружения вторжения для защиты от взлома;
• установить защиту от вредоносного ПО на мобильных устройствах;
• обеспечить централизованное управление этой защитой;
• обеспечить понимание пользователями необходимости мер безопасности.

 

1. ПОЛИТИКА ИСПОЛЬЗОВАНИЯ  МОБИЛЬНЫХ УСТРОЙСТВ В ОРГАНИЗАЦИИ

В организации должна быть создана  понятная политика безопасности мобильных  устройств, скоординированная с  ИТ-отделом, юристами и отделом HR.

Стоит учитывать, что помимо мобильных  устройств, принадлежащих организации, сотрудники будут пользоваться и  собственными. Так что политика безопасности по применению мобильных устройств  должна быть однозначной независимо от принадлежности устройств.

Для построения политики безопасности необходимо точное знание типа и модели устройств, используемых в организации. Проанализировав  применяемые типы устройств, администратор  безопасности сможет разобраться в  дефектах их системы защиты, а следовательно, составит более четкое представление о том, какие именно действия необходимо предпринять для надежной защиты корпоративной сети.

 

2. АУТЕНТИФИКАЦИЯ ПОЛЬЗОВАТЕЛЕЙ  И УСТРОЙСТВ ДЛЯ ДОСТУПА К  ДАННЫМ

Мобильные устройства должны быть защищены с  помощью устойчивой аутентификации, то есть мобильное устройство должно с момента включения питания  надежно идентифицировать пользователя.

Стоит учесть, что централизованное управление процессом идентификации позволяет  управлять политикой идентификации  всех пользователей. В идеале ИТ-администратор  должен иметь возможность установить глобальную политику, которая будет  применима ко всем устройствам из одного места.

Решение для мобильной аутентификации должно предоставить администраторам возможность  принудительно устанавливать политику аутентификации. Например, администратор  должен быть способен предотвратить  попытки входа в систему путем  подбора пароля. При этом администратор  должен иметь возможность выбора ответа на множественные отказы входа  в систему типа:

• перезапустить мобильное устройство, а затем потребовать от пользователя ввести пароль включения питания для продолжения загрузки устройства;
• требовать административного входа в систему для разблокирования устройства;
• удалить все данные из мобильного устройства и любой вставленной в него карты памяти и восстановить заводские настройки по умолчанию.

Для достижения максимальной защиты данные могут быть стерты, даже если беспроводная сеть устройства выключена и устройство не может связаться с администратором.

 

3. ШИФРОВАНИЕ УСТРОЙСТВА

Шифрование  является наиболее эффективным способом защиты данных при потере или краже  устройства. Оно должно распространяться на флэш-карты, а также на всю возможную  информацию, включая контакты, календари  и т.д. При этом администратор  должен иметь возможность конфигурировать  устройство таким образом, чтобы  зашифровать и сам используемый алгоритм шифрования.

Фактически  устойчивость любой системы шифрования определяется применяемым алгоритмом шифрования. В данный момент наиболее распространены алгоритмы AES (Advanced Encryption Standard) и более ранний 3DES (Triple Data Encryption Standard).

Вместе  с тем стоит учесть, что при  увеличении длины ключа возрастает потребляемая мощность, а следовательно, сокращается срок службы аккумулятора, то есть ИТ-администратор должен уметь выбрать наиболее подходящий алгоритм шифрования 3DES и AES и соответствующую длину ключа в 128, 192 или 256 бит. При этом необходимо остановиться на том алгоритме (и длине ключа), который позволит соответствовать политике безопасности с минимальными затратами. Поскольку технология шифрования потребляет ресурсы центрального процессора, памяти и батареи, следует шифровать только то, что действительно необходимо.

При этом централизованное управление в  идеале должно обеспечивать возможность  восстановления зашифрованных данных пользователя в случае, если он забыл  пароль шифрования.

 

4. БЕЗОПАСНОЕ СОЕДИНЕНИЕ ДЛЯ  ДОСТУПА К ДАННЫМ

Помимо  шифрования данных на устройстве требуется  их безопасная передача, а именно шифрование электронной почты, данных, передаваемых по беспроводным сетям, и т.д. Для  выполнения этого условия можно  применить либо протокол SSL, либо VPN-решения. Однако стоит учесть, что использование SSL не потребует установки дополнительного  клиентского ПО, а решение на базе VPN может оказаться относительно дорогим и потребует расхода  ресурсов центрального процессора, а значит, уменьшит срок службы батареи из-за расхода на работу дополнительного клиентского ПО.

Установка защиты от вредоносного ПО на мобильных устройствах

Необходимо  предусмотреть защиту мобильного устройства от вредоносного ПО так же, как защищаются рабочие станции и ноутбуки, ведь мобильные устройства используют сети, находящиеся вне периметра предприятия, но в момент соединения с корпоративной  сетью могут заразить ИТ-системы. Таким образом, мобильные устройства нуждаются в программном обеспечении по защите от вредоносного кода.

Программное обеспечение, применяемое для защиты мобильных устройств, будет блокировать  вредоносное ПО еще на этапе установки. Однако для большей эффективности такое ПО должно регулярно обновляться при условии минимального вмешательства со стороны пользователя и администратора.

Для усиления безопасности защита мобильных  устройств должна обеспечиваться в  реальном времени. При этом необходима защита самого устройства и внешних флэш-карт, в случае если они подсоединены к устройству. Также должна быть предусмотрена функция ручного сканирования с возможностью проверки Cab- и Zip-архивов.

 

5. МЕЖСЕТЕВОЙ ЭКРАН

Оптимальное решение для настройки межсетевого  экрана должно иметь удобный в  работе интерфейс, чтобы можно было легко установить соответствующую  политику.

Наиболее  подходящим вариантом является возможность  выбора администратором одного из заданных по умолчанию уровней защиты:

• Low — разрешить весь входящий и исходящий трафик;
• Medium — разрешить весь исходящий трафик, однако запретить входящий;
• High — блокировать весь входящий и весь исходящий трафик.

Кроме того, это решение должно позволить  администратору определять список исключений, чтобы можно было отменить параметры  настройки уровня защиты для соответствующего приложения.

 

6. ЦЕНТРАЛИЗОВАННОЕ УПРАВЛЕНИЕ

Наличие централизованного управления снизит сложность настройки мобильных  устройств, ведь, как правило, мобильные  устройства используются вне офиса. Централизованное управление гарантирует, что все мобильные устройства используют одну и ту же версию программного обеспечения, позволяет удалить  несанкционированные приложения. Кроме  того, централизованное управление облегчает  процесс распространения программного обеспечения и обновлений.

Вместе  с тем данные, содержащиеся на устройстве, должны быть удалены в случае, если происходят некоторые предопределенные события типа множественных неправильных попыток входа. Данные должны быть успешно  удалены, даже если устройство отсоединено  от сети и злоумышленник сменил sim-карту.

Не  забудьте о необходимости обучать  пользователей, вовлеченных в процесс  работы с мобильными устройствами.

 

 

5. Обзор безопасности основных мобильных платформ

 

В Apple iOS. Исторически начала развиваться из Apple OS X 10.4, ядро которой, носящее название Darwin, включало в себя компоненты операционных систем Unix и BSD. Также OS X является высокозащищенной серверной операционной системой, сертифицированной OpenBrand как Unix 03 (актуальный сертификат здесь). Несмотря на то, что iOS не является серверной операционной системой, и даже не поддерживает работу ни на каких платформах кроме ARM, подходы к безопасности системы в целом, заложенные в ней, дублируют решения материнской ОС — OS X, что практически исключает в этой ОС наличие системных проблем в безопасности, которыми так славится, к примеру, Android. Более того, встроенный в процессор крипточип, обеспечивающий механизмы шифрования и работу с электронной подписью, очень крепко связывает iOS с аппаратной платформой. Именно этим объясняется тот факт, что производством процессоров для iPhone, iPad и iPod Touch занимается сама Apple несмотря на то, что производством остальных компонентов и итоговой сборкой заняты сторонние производители — Foxconn, Quanta и Pegatron. Именно поэтому в настоящее время iOS является самой защищенной из мобильных операционных систем.

RiM PlayBook от известного "ежевичного" производителя использует операционную систему BlackBerry Tablet OS, основанную на разработке другого канадского производителя — QNX, базирующейся на UNIX операционной системе реального времени Neutrino. Несмотря на то, что выбор операционной системы реального времени кажется сомнительным сам по себе, материнская ОС закладывает очень высокие стандарты безопасности, что, кстати, косвенно подтверждает и целевая аудитория планшета — корпоративный сектор.

Google Android. Эта платформа появилась, как результат портирования для мобильных ARM-решений современной реализации Linux (хотя затем появилось решение и доя х86 архитектуры). Открытость ОС, изобилие средств для разработки сделали свое дело — платформа стала очень популярной, однако именно ее открытость и привела к тому, что, с одной стороны, существовала возможность проведения анализа уязвимостей самой ОС, с другой, - постоянные дрязги с правообладателем технологий Java, корпорацией Oracle (Sun), привела к тому, что изготовителю Android, поисковому гиганту Google приходило полностью перерабатывать значительные компоненты операционной системы. Еще одной особенностью, влияющей на безопасность ОС, является ее фрагментированность: если последняя версия iOS 5.1 установлена практически на всех i-устройствах, то для Android характерна ситуация, при которой телефоны и планшеты старше одного года с большой долей вероятности обновления операционной системы не получают, как следствие, не получают и различных "заплаток" и иных мер защиты.

Рассмотрим безопасность двух наиболее распространенных мобильных платформ для планшетных компьютеров — iOS и Android сравнительно.

Если  говорить кратко, у iOS проблем с безопасностью нет, а вот у Android их очень и очень много. И эти проблемы можно условно разделить на две группы: уязвимости и вредоносное ПО. Уязвимости есть у любых систем, более того, они выявляются и продолжают выявляться и под Windows, Mac OS X, UNIX. К примеру, именно поиск и эксплуатация уязвимостей дает возможность устанавливать на iOS сторонние приложения посредством процедуры джайлбрейка. Однако эта процедура необычайно сложна и с каждым поколением операционной системы становится все сложнее и сложнее: так, взлом iPad 2 был произведен за 4 месяца, и этот срок все увеличивается. Боле того, появилась выраженная фрагментированность в используемых уязвимостях — то, что подходит для одного устройства, может не подходить для другого. Можно говорить об однозначном росте безопасности платформы iOS в целом.

Вся информация о том, что под iOS появились вирусы и т.д., касалась только взломанных Jailbreak'ом систем. Таким образом, единственная возможность искусственно снизить безопасность iOS — это добровольно от нее отказаться, выполнив для этого целый ряд технических процедур ("танцы с бубном"). И вот счастливый обладатель взломанной iOS может после этого рапортовать об отправке платных SMS-сообщей и прочих сомнительных удовольствиях. Владельцы же Android-планшетов могут испытывать подобные радости жизни всегда - с момента покупки устройства. Для того же, чтобы этого не происходило, практически все производители продуктов и систем безопасности — Касперский, Symantec и др. выпускают собственные решения, но за отдельную плату.