Ob Sie als Kleinunternehmer oder für einen multinationalen Konzern tätig sind, die sollte jeden im Unternehmen angehen və zu den vordringlichsten Aufgaben der IT gehören. Der unaufhaltsame Trend zur Cloud və die neue BYOD-Mentalität (Bring Your Own Device) führen dazu, dass praktisch jeder Mitarbeiter zu jeder Zeit Zugriff auf Ihre Unternehmensdaten şapka. Beləliklə, Ihre Daten Sicherheitsrisiken durch Hacker, Viren və andere Angreifer ausgesetzt.
Möglicherweise ist Ihnen die Situation bereits bewusst, sodass Sie Vorkehrungen zum Schutz mobiler Daten getroffen haben. Allerdings stellt sich die Frage, ob Ihre Sicherheitslösung genügend Schutz vor der zunehmenden Bedrohung mobileer Daten gewährleistet. Hier einige Funktionen, auf die es bei der Wahl der richtigen ankommt.
- Container oder Personas auf Geräteebene: Mithilfe von Containern oder Personas auf Geräteebene kann Ihr IT-Team auf dem dem BYOD-Gerät eines Nutzers eine Umgebung oder einen Container einrichten, in Ihre Geschäft scheunschehrüst gear tzt werden. Beləliklə, Smartphone smartfonunuza daxil ola bilərsiniz, bu da öz növbəsində şəxsi Zwecke avadanlığından istifadə edə bilməzsiniz.
- Mobil Tətbiq İdarəetməsi (MAM): MAM Schutz mobil operatoru ilə birlikdə, Zugriff və ya xüsusi təyinatlı Mitarbeitern den Ihr IT-Team tərəfindən istifadə edilə bilər. Remotezugriff entfernt vasitəsilə IT-Team sizə kömək edə bilər. Dies ist von Vorteil, wenn ein Mitarbeiter sein Gerät verliert oder das Unternehmen nicht im Einvernehmen verlässt.
- Verschlüsselungsprotokolle: Mobile Sicherheitslösungen bieten auch die Möglichkeit, Verschlüsselungsprotokolle və -technologien zu kombinieren, um Ihre Daten praktisch überall zu schützen. Bu Protokol və Texnologiyanı birləşdirərək, Nəqliyyat Layeri Təhlükəsizliyi/Təhlükəsiz Sockets Layer (TLS/SSL), İnternet Protokolu Təhlükəsizliyi (IPsec), Qabaqcıl Şifrələmə Standartı (AES)-256 və BitLocker-Verschlüsselung ilə birləşdirilir. Beləliklə, Sie Ihr Sicherheitsnetz aus und können Ihre Daten umfassender schützen als mit einer Lösung, bei der nur eines dieser Protokolle zum Einsatz kommt.
- Multi-factor Authentication: Eine Lösung, Authentifizierung (Çox faktorlu Authentication) və SSO (Single Sign-On) funksiyalarını yerinə yetirməkdən imtina edin az. Die Authentifizierung lässt sich beispielsweise durch einen Telefonanruf, eine SMS oder eine Benachrichtigung auf dem Mobilegerät doğrulama və ist schnell və einfach bestätigt. Einige Multi-Factor Authentication-Lösungen Sicherheitsüberwachung ilə Echtzeit-də və Maşın Öyrənmə proqramında istifadə edin. Durch die Identifikation inconsistenter Anmeldemuster lassen sich verdächtige Aktivitäten ermitteln, auf die das IT-Team sofort reagieren kann.
Die Nutzung privater Geräte in Unternehmen jeder Größe boomt. Deshalb reicht es längst nicht mehr aus, nur Mobilgeräte zu schützen. Stattdessen benötigen Sie eine umfassende Datenschutzstrategie, die alle Möglichkeiten des mobilen Datenzugriffs abdeckt. Keine Sicherheitslösung kann Ihr Unternehmen vollständig vor Bedrohungen schützen. Bu paketi seçin, das verschiedene Maßnahmen bundelt, regelmäßig aktualisiert wird and sowohl millie als auch internationale Normen erfüllt. Belə ki, Sie dafür, dass Ihre Daten nach neuesten Sicherheitsstandards geschützt sind – bərabər, woder wie darauf zugegriffen wird.
“Apple” və “Android” cihazları üçün tətbiq mağazalarının məzmununun təhlili 14 min ədədi aşkar edib. şübhəli proqramlar.
Mütəxəssislər ümumilikdə 400 minə yaxın tətbiqi tədqiq ediblər ki, onlar adətən müxtəlif sənaye sahələrində - maliyyə xidmətləri, media, telekommunikasiya və s. üzrə ixtisaslaşmış korporasiyaların əməkdaşları tərəfindən quraşdırılır. Məlum olub ki, öyrənilən proqramların 3%-i təhlükəsizlik problemi ilə üzləşib.
Xüsusilə, bu növ proqramların 85%-i mühüm məxfi məlumatların etibarlı təhlükəsizliyini təmin etmir - məsələn, abunəçinin yeri, tarixçəsi, kontaktları, təqvim işarələri, SMS mesajları,cihaz identifikatorları.
Bundan əlavə, 14 min müraciətin 32%-i icra edir şübhəli fəaliyyətlər. Tutaq ki, bu proqramlar administrator hüquqları tələb edir və bu, nəticədə onlara digər proqramları silmək, quraşdırmaq və ya işə salmaq, dinləmək imkanı verə bilər. telefon danışıqları, antivirus proqramını söndürün, bank parolları daxil ola bilən keş məlumatlarına baxın.
Tətbiqlərin 35%-i istifadəçinin şəxsi məlumatlarını - brauzer tarixçəsini, təqvim qeydlərini, şəxsin hərəkətini qəbul etməyə və yönləndirməyə çalışır. Nəticədə, təcavüzkarlara istifadəçinin və onun sosial əlaqələrinin tam profilini yaratmaq şansı verilir.
Mütəxəssislər bu proqram təminatının yaratdığı ciddi təhlükələr barədə xəbərdarlıq edirlər. Veracode deyir ki, bütün məsul tərəflər şübhəli proqramlar barədə məlumatlandırılıb və CSO proqramların hələ də mağazalarda mövcud olduğunu və onları endirmək olar. Beləliklə, Lazy Listen audiokitablarını dinləmək üçün Çin tətbiqi artıq 500 min dəfə quraşdırılıb, lakin quraşdırma zamanı o, praktiki olaraq casus proqramı kimi fəaliyyət göstərmək üçün icazə istəyir. Veracode-un məlumatına görə, tətbiq tərəfindən toplanan məlumatlar abunəçilər üçün xidmət keyfiyyətinin yaxşılaşdırılması üçün istifadə edilmir.
FireEye tərəfindən dərc edilən hesabat, birlikdə 6 milyard dəfədən çox yüklənmiş iOS və Android proqramlarında zəifliyin acı mənzərəsini çəkir. Bu, FireEye-a görə, Apple iOS zəifliklərini düzəldən yamaq buraxdıqdan sonra belədir: “Android və iOS yamaqlarından sonra belə, cihaz RSA_EXPORT şifrələrini qəbul edən serverlərə qoşulduqda belə proqramlar hələ də FREAK-a qarşı həssasdır.”
FREAK hücumu mümkündür, çünki serverlər ABŞ hökuməti tərəfindən ixrac üçün təsdiqlənmiş 512 bitlik RSA açarlarını qəbul etməyə məcbur edilə bilər (kifayət qədər təvazökar hesablama resurslarından istifadə etməklə şifrələnmiş trafiki ələ keçirə və onun şifrəsini açmağa qadir olduğu düşünülən köhnəlmiş artefakt).
FireEye, Google Play-də hər biri ən azı bir milyon endirmə olan 11.000 tətbiqi skan etdiyini və həssas serverə qoşulmaq üçün həssas OpenSSL kitabxanasından istifadə etdiyinə görə risk altında olan 1228 tətbiq tapdığını söylədi. Onlardan 664-ü Android ilə gələn OpenSSL kitabxanasından, 564-ü isə ayrıca tərtib edilmiş kitabxanadan istifadə edib. FireEye-in məlumatına görə, iOS tərəfində problem daha az ciddidir: skan edilmiş 14 min proqramdan 771-i həssas HTTPS serverlərinə qoşulub. “Bu proqramlar FREAK hücumlarına qarşı həssasdır iOS versiyaları 8.2-dən aşağı, tədqiqatçılar yazdı. "Həmin 771 tətbiqdən yeddisi OpenSSL-in həssas versiyalarından istifadə edir və onlar iOS 8.2-də həssas olaraq qalırlar." Həssas tətbiqlərin əksəriyyəti istifadəçi məxfiliyinə və informasiya təhlükəsizliyinə təsir edən kateqoriyalara aiddir və bunlara foto və video proqramları, sosial şəbəkə proqramları, sağlamlıq və fitnes proqramları, maliyyə proqramları, rabitə proqramları, alış-veriş proqramları, həyat tərzi proqramları və biznes proqramları daxildir həmçinin tibbi tətbiqlər. 512 bitlik açarlar kriptoqrafik müharibənin artefaktıdır - ABŞ hökuməti onların ixrac istifadəsinə icazə verib. Əksər ekspertlər zəifləmiş kriptopaketlərə dəstəyin əksər serverlərdən silindiyinə inanırdılar, lakin bu, Microsoft Research və INRIA (Fransada bu sahədə çalışan milli tədqiqat institutu) tərəfindən hazırlanan hesabata qədər belə deyildi. kompüter elmləri, nəzarət nəzəriyyəsi və tətbiqi riyaziyyat).
Kral Kollecinin araşdırması həmçinin göstərdi ki, server administratorları və əsas texnologiya provayderləri zəifləmiş kriptopaketlər üçün dəstəyi sürətlə aradan qaldırırlar. İlkin hesablamalar serverlərin 26%-nin FREAK-a qarşı həssas olduğunu göstərdi, lakin King's College bu rəqəmin təxminən 11%-ə düşdüyünü müəyyən etdi. Eyni zamanda, ekspertlərin fikrincə, FREAK istismarlarının öz məhdudiyyətləri var, çünki onlar TLS bağlantısına təcavüzkarın aktiv müdaxiləsini tələb edir, yəni onların artıq serverə çıxışı olmalıdır. Bu barədə Rapid7-nin baş mühəndisi Tod Berdsli bildirib praktik effekt bu səhvlə məhdudlaşır. "Ortada olan aktiv insan tələbinə görə, bu səhv yüksək təhlükəsizlik şəbəkə mühitlərində xüsusi istifadəçiləri hədəf alan casuslar üçün çox faydalı ola bilər" dedi. - Bu, tipik internet cinayətkarları üçün çox faydalı deyil, çünki daha çox şey var sadə yollar müxtəlif çətinlik səviyyələrində istifadəçi trafikini yönləndirmək və toplamaq."
Belə ki, iOS üçün mobil bankların 35%-də və Android üçün mobil bankların 15%-ində SSL-nin düzgün işləməməsi ilə bağlı boşluqlar var, bu o deməkdir ki, kritik ödəniş məlumatları ortada adam hücumundan istifadə etməklə ələ keçirilə bilər. iOS proqramlarının 22%-i SQL inyeksiyasına qarşı potensial olaraq həssasdır və bir neçə sadə sorğu ilə bütün ödəniş məlumatlarını oğurlamaq riski yaradır. İOS proqramlarının 70%-i və Android proqramlarının 20%-i XSS-ə qarşı potensial olaraq həssasdır - mobil bank müştərisinin istifadəçisini çaşdırmağa və beləliklə, məsələn, onun autentifikasiya məlumatlarını oğurlamağa imkan verən ən populyar hücumlardan biridir. iOS proqramlarının 45%-i XXE hücumlarına qarşı potensial olaraq həssasdır, xüsusilə Rusiyada məşhur olan jailbreak əməliyyatına məruz qalan cihazlar üçün təhlükəlidir. Android proqramlarının təxminən 22%-i üçüncü tərəf proqramlarına həssas bank məlumatlarına daxil olmağa imkan verən proseslərarası əlaqə mexanizmlərindən sui-istifadə edir.
Niyə bu xüsusi əməliyyat sistemləri hücuma məruz qaldı? ƏS Android və iOS bu gün ən çox yayılmışdır və mövcuddur ən böyük rəqəm mobil bank tətbiqləri müvafiq olaraq Google Play və App Store-da). Fiziki girişlə təcavüzkar fayl sisteminə giriş əldə edə bilər. Tətbiq autentifikasiya məlumatlarını və ya digər həssas məlumatları aydın mətndə saxlayırsa, təcavüzkarın bu məlumatları əldə etməsi və pul oğurlaması asandır.
Zərərli proqram vasitəsilə hücum etmək üçün sosial mühəndislikdən və ya Drive-by-Dowload hücumundan istifadə edərək zərərli proqram təminatı quraşdırmalısınız.
Zərərli proqramı quraşdırdıqdan sonra təcavüzkar smartfonun ƏS zəifliyi üçün istismardan istifadə edərək sistemdəki imtiyazlarını yüksəldə bilər. uzaqdan giriş ilə cihaza tam hüquqlar cihazın tam kompromisinə səbəb olacaq giriş: təcavüzkar kritik mobil bank istifadəçi məlumatlarını oğurlaya və ya ödəniş əməliyyatı məlumatlarını əvəz edə biləcək.
Rabitə hücumları: Klassik adam-in-the-middle hücumu müştəri cihazı və server arasında məlumatları kəsir. Bunun üçün siz qurbanla eyni şəbəkədə olmalısınız, məsələn, ictimai yerdə Wi-Fi şəbəkələri və ya saxta simsiz giriş nöqtələri və saxta baza stansiyalarından istifadə edin. Mobil proqramda zəiflik tələb olunur: ötürülən məlumatların şifrələnməsinin düzgün işləməməsi və ya məlumatların şifrələnməsinin tam olmaması. Ən ümumi nümunə SSL-nin düzgün işləməməsidir. Nəticədə, təcavüzkar ötürülən məlumatları dinləyə və əvəz edə bilər ki, bu da nəticədə müştərinin hesabından vəsaitin oğurlanmasına səbəb ola bilər. Onu da qeyd etmək lazımdır ki, bir cihazı jailbreak etmək (iOS) və ya istifadəçinin cihazında (Android) kök girişinin olması cihazın təhlükəsizlik səviyyəsini əhəmiyyətli dərəcədə azaldır və təcavüzkarın hücumunu asanlaşdırır.
Mobil platformalar üçün tətbiqlər həm köhnə məlum təhlükələrə, həm də hələ tam öyrənilməmiş yeni təhlükələrə həssasdır. Zərərli Android proqramlarının yayılması getdikcə artır.
Mobil banklar üçün təhlükəsizlik təhdidləri kritik istifadəçi məlumatlarının, pul vəsaitlərinin oğurlanması və bankın reputasiyasının zədələnməsi riskini yaradır. Mobil bankinq müştərilərinin tərtibatçıları tətbiqin təhlükəsizliyi məsələlərinə kifayət qədər diqqət yetirmirlər və təhlükəsiz inkişaf qaydalarına əməl etmirlər. Tərtibatçılar tez-tez təhlükəsiz kod və arxitektura hazırlamaq üçün proseslərdən məhrumdurlar.
Statik kod təhlili əsasında aparılan araşdırma göstərir ki, mobil banklarda vəsaitlərin oğurlanmasına səbəb ola biləcək zəifliklər və çatışmazlıqlar var. Mobil bankların təhlükəsizlik səviyyəsi əksər hallarda adi mobil proqramların təhlükəsizlik səviyyəsini keçmir, onlarla bağlı risklər isə artan təhlükəsizlik tələblərini nəzərdə tutur.
Tədqiqat başlamazdan əvvəl güman edilirdi ki, mobil platforma üçün spesifik boşluqların sayı ümumi məlum olanların sayını xeyli üstələyir. Ancaq nəticədə hər iki sinifdə təxminən eyni dərəcədə zəiflik görə bilərsiniz. Bu, yaxşı aparma qabiliyyətinə malik olmaq deməkdir məlum hücumlar və xüsusiyyətlərini bilmədən mobil bankinq proqramlarına.
Hücumçuların hücumları həyata keçirmək üçün bir çox yolu var. Üstəlik, real mühitdə hücumun həyata keçirilməsinin xərcləri mümkün faydalarla müqayisədə çox aşağı ola bilər.
Mobil cihazlar üçün müasir mühafizə vasitələri - antivirus MDM həlləri və s. riski azalda bilər, lakin bütün problemləri həll edə bilməz. Təhlükəsizlik sistemin layihələndirilməsi mərhələsində tətbiq edilməli və proqramın həyat dövrünün bütün mərhələlərində, o cümlədən inkişaf və həyata keçirmə mərhələsində mövcud olmalıdır. Kodu yoxlamaq, tətbiqin təhlükəsizliyini təhlil etmək və nüfuz testini aparmaq lazımdır.
Mobil bankçılıqdan istifadə zamanı risklər tətbiqin təhlükəsizliyi ilə tərs mütənasibdir. Buna görə də, mobil bankinq proqramlarının təhlükəsizliyinin hərtərəfli auditi lazımdır. Bankın informasiya təhlükəsizliyi üzrə mütəxəssislər mobil bankların təhlükəsizliyinə internet bankların təhlükəsizliyindən az diqqət yetirməməlidirlər.
V. A. Artamonov
MOBİL CİHAZLARDA, SİSTEMLƏR VƏ TƏTBİQLƏRDƏ TƏHLÜKƏSİZLİK MƏSƏLƏLƏRİ
5-ci hissə
Mobil proqramların təhdidləri və zəiflikləri
Müasir dünyada təşkilatlar və şəxslər kritik biznes təşəbbüslərini dəstəkləmək üçün getdikcə daha çox mobil proqram proqramlarına etibar edirlər. Bu o deməkdir ki, mobil tətbiqetmələrin təhlükəsizliyi mobil əməliyyat texnologiyasından, o cümlədən bankçılıqdan istifadə edən təşkilatların və fiziki şəxslərin biznes prosesləri üçün təhlükəsizlik strategiyasının əsas prioriteti olmalıdır.
Mobil proqramların hazırlanmasının populyarlığının artması ilə onların kapital intensivliyi artır və bununla yanaşı, təcavüzkarların bu kapitalı öz hesablarına köçürmək istəyi artır. Çox müasir mobil proqramlar daxili alışları, habelə SMS göndərilməsiödənişli nömrələrə, bunlar hakerlərin istifadə edə biləcəyi boşluqlardır. Bir mobil proqram yaratmağın nə qədər baha başa gəldiyi bir şeydir və başqa bir şey onu təhlükəsiz etmək üçün nə qədər başa gələcəkdir. Mobil cihazlardan pul sındırmaq və çıxarmaq üçün olduqca çox sayda mexanizm var, hər il yeni alqoritmlər ortaya çıxır, lakin eyni zamanda, təhdidlərlə vaxtında mübarizə apara bilən əks qüvvələr artır. Qapalı sistemlər, xüsusən də iOS, bu tendensiyalara ən az həssasdır, çünki onun arxitekturası elə qurulub ki, virusların orada görünməsi praktiki olaraq mümkün deyil.
Digər şeylər arasında, iPhone üçün proqramlar hazırlamaq, ümumiyyətlə, ucuz bir fikir deyil, qeydiyyatdan keçmək daha asandır zərərli kod digər sistemlər üçün. Android üçün proqramların inkişafı daha sadə və daha həssasdır, lakin qiymətlər də aşağıdır. Effektiv qorunma problemi hər hansı məlumat oğurluğunun böyük risklərə və maliyyə itkilərinə səbəb ola biləcəyi şəxsi e-poçt və ya bank proqramları ilə işləyərkən xüsusilə aktualdır. Tərtibatçılar bu cür proqramlarda icazə prosedurunu tətbiq etməklə çətinləşdirirlər əlavə yoxlamalar orijinallıq, lakin hesaba giriş prosedurunun çox vaxt aparan və əlverişsiz olduğu ortaya çıxanda bu kövrək xətti keçməmək vacibdir.
IBM X-Force tərəfindən aparılan araşdırmalar mobil və WEB proqramları ilə bağlı zəifliklərin əhəmiyyətli faizini aydın şəkildə nümayiş etdirir. Mobil proqramlarını effektiv şəkildə qorumaq üçün təşkilatlar dəstəkləyici proqram təminatının və tətbiqlərin özlərini geniş sınaqdan keçirməlidirlər. Mobil texnologiyanın ilkin tətbiqində sınaq və təsdiqləmə təhlükəsizlik xərclərini azaltmağa kömək edə bilər.
Tətbiq təhlükəsizliyi həlləri aşağıdakı problemləri həll etməlidir:
– Tətbiq təhlükəsizliyi proqramının idarə edilməsinin səmərəliliyinin artırılması;
– Zəifliklər üçün mənbə kodu, WEB və mobil proqramların təhlili;
– Tətbiqlərin statik və dinamik sınaqlarının nəticələrinin avtomatlaşdırılması;
– Şəffaf qutu testi (İnteraktiv Tətbiq Təhlükəsizliyi Testi (IAST) forması) daxil olmaqla, tək konsoldan tətbiq testlərini, hesabatları və siyasətləri idarə edin.
Mobil qurğular üçün proqramların təsnifatı.
Mobil qurğular üçün proqramlar bir çox meyarlara görə təsnif edilə bilər, lakin proqram təhlükəsizliyi kontekstində bizi aşağıdakılar maraqlandırır: tətbiqin yerləşdiyi yerə və istifadə olunan məlumat ötürmə texnologiyasının növünə görə.
Tətbiq yerinə görə:
- SİM proqramlar – SIM Application Toolkit (STK) standartına uyğun olaraq yazılmış SİM kartdakı proqram;
- Veb proqramlar – Veb saytın xüsusi versiyası;
- mobil proqramlar smartfonda quraşdırılmış xüsusi API-dən istifadə edərək müəyyən mobil ƏS üçün hazırlanmış proqramlardır.
Serverlə qarşılıqlı əlaqədə istifadə olunan texnologiya növünə görə:
- Şəbəkə proqramları - HTTP kimi TCP/IP üzərindən öz kommunikasiya protokolundan istifadə edin;
- SMS proqramları – SMS əsasında proqramlar (Qısa Mesajlaşma Xidməti);
- Tətbiq qısa mətn mesajlarından istifadə edərək serverlə məlumat mübadiləsi aparır;
- USSD tətbiqləri USSD (Strukturlaşdırılmamış Əlavə Xidmət Məlumatı) əsasında tətbiqlərdir. Xidmət SMS-ə bənzər qısa mesajların ötürülməsinə əsaslanır, lakin bir sıra fərqlərə malikdir;
- IVR proqramları IVR (İnteraktiv Səsli Cavab) texnologiyasına əsaslanan proqramlardır. Sistem əvvəlcədən qeydə alınmışdır səsli mesajlar və tonla yığım.
Bu, xüsusi bir API istifadə edərək, müəyyən bir mobil əməliyyat sistemi üçün hazırlanmış, müvafiq xidmətlə qarşılıqlı əlaqə yaratmaq üçün bir smartfonda və ya digər gadgetda quraşdırılmış tətbiqlərdir, hazırda ən çox yayılmışdır, çünki mobil cihazın imkanlarından tam istifadə edir və ən mehribandır. istifadəçi interfeysi.
Bəzi proqramların təhlükəsizlik səviyyəsinin qiymətləndirilməsi.
Viaforensics şirkəti mobil proqramların təhlükəsizliyinin qiymətləndirilməsi sahəsində unikal tədqiqat aparıb və nəticədə olduqca maraqlı məlumatlar əldə edilib. Bu şirkətin tədqiqatçıları təsadüfi olaraq 30 məşhur mobil proqram proqramını seçib və onları ciddi etibarlılıq testindən keçiriblər. Nəticədə elan edilmiş həllərin təxminən dörddə biri sındırma yolu ilə açılıb və onlar təhlükəli adlandırılıb. Mütəxəssislər cihazın yaddaşından saxlanılan PİN kodları və nömrələri çıxarmaq üçün kənar təsirlərdən istifadə edə biliblər kredit kartları. Həmçinin, bir sıra hallarda ödəniş tarixçəsinə icazəsiz girişi təmin etmək mümkün olub. Əlbəttə ki, bu vəziyyət olduqca acınacaqlı görünür, Viaforensics hansı tətbiqlərdən bəhs etdiyimizi bildirmir.
Digital Security analitik şirkətinin mütəxəssisləri də qeyd edirlər ki, mobil proqramların təhlükəsizlik sistemlərini sındırmağın bir çox yolu var. Bunlara məlumat kanallarının manipulyasiyası, SQL ifadələrinin gizli inyeksiyasının mümkünlüyü, səhv giriş hüquqları və s. daxildir. Bu gün mobil telefonlar üçün proqramların hazırlanması müştəri üçün qısa müddət ərzində həyata keçirilir, ona görə də tərtibatçıların təhlükəsizlik məsələlərinə kifayət qədər diqqət yetirməyə vaxtı yoxdur.
Qanunu pozanların sındırmaya tipik yanaşmalarını bilməklə, cihazınızın qorunmasına bir qədər əmin ola bilərsiniz, çünki hal-hazırda bu texnikalar az və ya çox sabitdir, əksər nümunələr gözlənilir. İOS proqramlarının hazırlanmasını, xüsusən də maliyyə əməliyyatlarını harada sifariş edəcəyinizi axtarırsınızsa, yalnız güclü bir sistemin yaradılmasını öz üzərinə götürməyə hazır olan sübut edilmiş proqramçılara diqqət yetirin. təhlükəsiz giriş. Həllin əvvəlcə elə yazılması arzu edilir ki, standart aldatma alqoritmləri onun üzərində işləməsin. Tətbiq işləyərkən, məlumatlar aydın mətndə rabitə kanalları vasitəsilə ötürülə bilər, bu halda yaxşı bir antidot, tez-tez qabaqcıl proqramlarda istifadə olunan daimi məlumat şifrələməsi olacaqdır. Həmçinin, tam hüquqlu təhlükəsizlik sistemi hər zaman yenilənməlidir.
Hər bir platformadakı tətbiqlərin həm özünəməxsus yazısı, həm də özünəməxsus təhdidləri var ki, onların həyata keçirilməsi həm şəxsi məlumatların, o cümlədən bank məlumatlarının oğurlanmasına, həm də korporativ şəbəkəyə nüfuz etməyə səbəb ola bilər.
Digital Security aşağıdakı mobil platformalarda tətbiqlərin müştəri tərəfinin təhlükəsizlik auditini həyata keçirdi:
- Google Android;
- Apple iOS (iPhone/iPad);
- Java (J2ME/Java ME);
- Windows Phone.
Tipik təhlükələr.
Mobil proqramlar üçün tipik təhlükələr müəyyən edilmişdir, o cümlədən:
– Aydın formada məxfi məlumatlar;
– Təhlükəsiz məlumat ötürmə kanalları;
– Sazlama kodunun mövcudluğu;
– SQL ifadələrinin həyata keçirilməsi;
– Saytlararası skript (XSS);
– Daxil olan məlumatların yoxlanılmasının olmaması;
– Yanlış giriş hüquqları;
- Zəif kriptoqrafiya.
Auditin metodologiyası və iş məzmunu.
Rəqəmsal Təhlükəsizlik Araşdırma Mərkəzi tərəfindən hazırlanmış mobil proqramın müştəri tərəfinin təhlükəsizliyinin auditi metodologiyası ERP sistemləri, avtomatlaşdırılmış bank sistemləri, bank kimi müxtəlif funksionallıq və mürəkkəblik tətbiqlərinin təhlükəsizliyinin təhlili təcrübəsinə əsaslanır. müştərilər, veb proqramlar, verilənlər bazası idarəetmə sistemləri və s. Təhlil yanaşması PCI DSS Tələbləri və Təhlükəsizliyin Qiymətləndirilməsi Prosedurları, OWASP Test Bələdçisi, PA-DSS Tələbləri və Təhlükəsizliyin Qiymətləndirilməsi Prosedurları kimi sənədlərdə təsvir olunan ümumi qəbul edilmiş tətbiq tədqiqat metodlarına əsaslanır və DSecRG-nin praktiki tədqiqat təcrübəsi nəzərə alınmaqla təkmilləşdirilmişdir.
İşin mərhələləri.
Tətbiqin təhlili prosesi bir neçə əsas addımdan ibarətdir:
– Tətbiqin müştəri hissəsinin arxitekturasının təhlili;
– Təhdid modelinin tərtib edilməsi;
– Kod təhlükəsizliyi auditi;
– Stress testi (fuzzing);
– Tətbiq məntiqinə uyğun olaraq təhdidlərin həyata keçirilməsi.
Mobil bank proqramlarının zəifliyinin ekspert təhlili.
“Jet Infosystems” şirkəti “iOS”, “Android” və “Windows Phone” sistemləri ilə işləyən mobil bank proqramlarının zəiflikləri ilə bağlı analitik hesabat dərc edib. Tədqiqatın nəticələri göstərdi ki, proqramların 98%-də zəifliklər, 40%-də isə kritik zəifliklər var.
Hesabat 58 bank tətbiqi ilə bağlı sorğu zamanı şirkət ekspertlərinin əldə etdiyi məlumatlara əsaslanır. Məhsulun mənbə kodunun statik və dinamik təhlili aparılmışdır. Jet Infosystems mütəxəssisləri mobil proqram və WEB xidməti arasında internet şəbəkəsinin qarşılıqlı əlaqəsinin təhlükəsizlik səviyyəsini, həmçinin təhlükəsiz qoşulma parametrlərini qiymətləndiriblər.
“Sorğu zamanı biz mobil bankçılıq proqramlarının məruz qaldığı ən aktual zəifliklərə diqqət yetirdik. Bunlara Man-In-The-Middle sinifinin hücumları ("ortadakı adam") və hücumçulara bank sistemlərinin istifadəçilərinin məxfi məlumatlarını müxtəlif yollarla oğurlamağa imkan verən bir sıra boşluqlar daxildir", - deyə Qeorqi Qarbuzov izah edib. Jet Infosystems şirkətinin İnformasiya Təhlükəsizliyi Mərkəzinin konsaltinq şöbəsi.
Məlum olub ki, sınaqdan keçirilmiş mobil bankinq proqramlarının hər beşdə biri (22%) etibarlı olmayan məlumat ötürmə protokollarından, hər dördüncü (25%) isə etibarlı olmayan WEB server autentifikasiyasından istifadə edir. Mütəxəssislər məhsulların 87%-də proqram paketinin və onun komponentlərinin qeyri-kafi mühafizəsini, 78%-də isə mobil cihaza icazəsiz imtiyazlı girişin olub-olmaması üçün yoxlamaların olmadığını müəyyən ediblər. Ən kritik “deşiklər” Android proqramlarında, ən azı isə iOS mühitində işləyən proqram həllərində aşkar edilib.
Uzaqdan bank sistemlərinin (RBS) təhlükəsizliyi sahəsində ekspertlərin ənənəvi illik hesabatlarında qeyd etdiyi tendensiya öz təsdiqini tapıb. Mobil bankinq müştərilərinin tərtibatçıları tətbiqin təhlükəsizliyi məsələlərinə kifayət qədər diqqət yetirmirlər və təhlükəsiz inkişaf qaydalarına əməl etmirlər. Təhlükəsiz kodun və arxitekturanın inkişaf etdirilməsi üçün proseslər çox vaxt çatışmır. Məlum olub ki, nəzərdən keçirilən bütün proqramlarda ya müştəri ilə server arasında ötürülən məlumatların ələ keçirilməsinə, ya da cihazın və mobil proqramın özünün zəifliklərindən birbaşa istifadə etməyə imkan verən ən azı bir boşluq var. Belə ki, iOS üçün mobil bankların 35%-də və Android üçün mobil bankların 15%-ində SSL-nin düzgün işləməməsi ilə bağlı boşluqlar var, bu o deməkdir ki, kritik ödəniş məlumatları ortada adam hücumundan istifadə etməklə ələ keçirilə bilər. iOS proqramlarının 22%-i SQL inyeksiyasına qarşı potensial olaraq həssasdır və bir neçə sadə sorğu ilə bütün ödəniş məlumatlarını oğurlamaq riski yaradır. İOS proqramlarının 70%-i və Android proqramlarının 20%-i XSS-ə qarşı potensial olaraq həssasdır - mobil bank müştərisinin istifadəçisini çaşdırmağa və beləliklə, məsələn, onun autentifikasiya məlumatlarını oğurlamağa imkan verən ən populyar hücumlardan biridir. iOS proqramlarının 45%-i XXE hücumlarına qarşı potensial olaraq həssasdır ki, bu da Rusiyada çox populyar olan jailbreak edilmiş cihazlar üçün xüsusilə təhlükəlidir. Android proqramlarının təxminən 22%-i proseslərarası əlaqə mexanizmlərindən sui-istifadə edir və bununla da üçüncü tərəf proqramlarına həssas bank məlumatlarına daxil olmaq imkanı verir.
Qoruma.
Cihazın kriptoqrafik imkanlarından istifadə etmək, kritik məlumatları şifrələmək və zəruri hallarda məlumatları uzaqdan təmizləmək imkanı, həmçinin kritik məlumatların mümkün sızmalarını və şifrələmənin düzgün istifadə edilməməsini müəyyən etməyə kömək edəcək proqram təhlükəsizliyi təhlili aparmaq lazımdır. .
Hücum.
Zərərli proqram vasitəsilə hücum etmək üçün təcavüzkar sosial mühəndislik üsullarından və ya Drive-by-Download hücumundan istifadə edərək zərərli proqramı quraşdırmalıdır.
Zərərli tətbiqi quraşdırdıqdan sonra təcavüzkar smartfonun ƏS-də boşluq üçün istismardan istifadə edərək sistemdəki imtiyazlarını artıra və tam giriş hüquqları ilə cihaza uzaqdan giriş əldə edə bilər ki, bu da cihazın tam kompromisinə səbəb olacaq: təcavüzkar kritik mobil bank istifadəçi məlumatlarını oğurlaya və ya ödəniş məlumatları əməliyyatlarını əvəz edə biləcək.
Qoruma.
Cihazda proqram təminatını yeniləmək, istifadə etmək lazımdır proqram təminatı mühafizəsi və informasiya təhlükəsizliyi məsələlərində istifadəçi məlumatlılığının artırılması.
Rabitə kanalına hücumlar.
Klassik adam-in-the-middle hücumu müştəri cihazı və server arasında məlumatları kəsir. Bunun üçün ictimai Wi-Fi şəbəkəsi kimi qurbanla eyni şəbəkədə olmaq və ya saxta simsiz giriş nöqtələri və saxta baza stansiyalarından istifadə etmək tələb olunur. Tələblər: mobil proqramda zəiflik, ötürülən məlumatların səhv şifrələnməsi və ya məlumatların şifrələnməsinin tam olmaması. Ən ümumi nümunə SSL-in səhv işləməsidir. Nəticədə, təcavüzkar ötürülən məlumatları dinləyə və əvəz edə bilər ki, bu da nəticədə müştərinin hesabından vəsaitin oğurlanmasına səbəb ola bilər.
Qoruma.
SSL ilə işin düzgün həyata keçirilməsi. Mobil proqramda serverə qoşularkən yalnız bankın SSL sertifikatına etibar etməyiniz tövsiyə olunur. Kök sertifikat orqanına təhlükə yaranarsa, bu kömək edəcəkdir.
Onu da qeyd etmək lazımdır ki, bir cihazı jailbreak etmək (iOS) və ya istifadəçinin cihazında (Android) kök girişinin olması cihazın təhlükəsizlik səviyyəsini əhəmiyyətli dərəcədə azaldır və təcavüzkarın hücumunu asanlaşdırır.
Nəticələr:
Mobil platformalar üçün tətbiqlər həm köhnə məlum təhlükələrə, həm də hələ tam öyrənilməmiş yeni təhlükələrə həssasdır. Zərərli Android proqramlarının yayılması getdikcə artır.
Mobil banklar üçün təhlükəsizlik təhdidləri kritik istifadəçi məlumatlarının, pul vəsaitlərinin oğurlanması və bankın reputasiyasının zədələnməsi riskləri yaradır.
Mobil bankinq müştərilərinin tərtibatçıları tətbiqin təhlükəsizliyi məsələlərinə kifayət qədər diqqət yetirmirlər və təhlükəsiz inkişaf qaydalarına əməl etmirlər. Tərtibatçılar tez-tez təhlükəsiz kod və arxitektura hazırlamaq üçün proseslərdən məhrumdurlar.
- Proqramçılara təhlükəsizlik məsələləri barədə məlumat vermək;
- Arxitekturada təhlükəsizlik yaratmaq;
- Kod auditlərinin aparılması;
- Tətbiq təhlükəsizliyinin təhlilini aparmaq;
- Təhlükəsizliklə əlaqəli kompilyator seçimlərini tətbiq edin;
- Proqramın İnternetdə yayılmasına nəzarət etmək;
- Zəiflikləri tez bir zamanda bağlayın və yeniləmələri buraxın.
Yuxarıda göstərilənlər göstərir ki, mobil bankçılıqda vəsaitlərin oğurlanmasına səbəb ola biləcək zəifliklər və çatışmazlıqlar var. Mobil bankların təhlükəsizlik səviyyəsi əksər hallarda adi mobil proqramların təhlükəsizlik səviyyəsini keçmir, onlarla bağlı risklər isə artan təhlükəsizlik tələblərini nəzərdə tutur.
Mobil qurğular üçün müasir mühafizə vasitələri - antiviruslar, MDM həlləri və s. – riski azalda bilər, lakin bütün problemləri həll edə bilməz. Təhlükəsizlik sistemin dizayn mərhələsində tətbiq edilməli və proqramın həyat dövrünün bütün mərhələlərində, o cümlədən işlənib hazırlanması və həyata keçirilməsi mərhələsində mövcud olmalıdır. Kod auditləri, tətbiq təhlükəsizliyi təhlili və nüfuz testi aparmaq lazımdır.
Mobil bankçılıqdan istifadə zamanı risklər tətbiqin təhlükəsizliyi ilə tərs mütənasibdir. Buna görə də, mobil bankinq proqramlarının təhlükəsizliyinin hərtərəfli auditi lazımdır.
1. Proqramçılara təhlükəsizlik məsələləri haqqında məlumat verin.
2. Arxitekturada təhlükəsizlik qurun.
3. Kod auditini aparın.
4. Tətbiq təhlükəsizliyinin təhlilini aparın.
5. Təhlükəsizliklə bağlı kompilyator seçimlərini tətbiq edin.
6. Proqramın internetdə yayılmasına nəzarət etmək.
7. Zəiflikləri tez bir zamanda bağlayın və yeniləmələri buraxın.
Ədəbiyyat
- Yakushin Petr. Təhlükəsizlik mobil müəssisə// Açıq sistemlər № 01, 2013.
- InfoWatch Analitik Mərkəzi. Qlobal Sızma Araşdırması korporativ məlumat və məxfi məlumatlar, 2014.
- Şetko Nikolay. Hacking mobil şəbəkələr GSM: dotting the i’s // ET CETERA – 2013-cü il 32 nömrəli abunə ilə paylanmış rəqəmsal jurnallar seriyası.
- Korjov Valeri. LTE-də sürət və təhlükəsizlik // “Şəbəkələr/şəbəkə dünyası” № 6, 2012.
- 802.11i-2004 – Yerli və Böyükşəhər Şəbəkələri üçün IEEE Standartı – Xüsusi tələblər – 11-ci hissə: Simsiz LAN Orta Giriş Nəzarəti (MAC) və Fiziki Layer (PHY) spesifikasiyası: Düzəliş 6: Orta Giriş Nəzarəti (MAC) Təhlükəsizlik Təkmilləşdirmələri, 2004.
- Belorusov D.I. Wi-Fi – şəbəkələr və informasiya təhlükəsizliyinə təhdidlər / D.I. Belorusov, M.S. Koreshkov // XÜSUSİ TEXNOLOGİYA No 6, 2009; ilə. 2-6.
- Trifonov Dmitri. Korporativ Wi-Fi necə sındırılır: yeni imkanlar. [Elektr. res. ]// Pozitiv Texnologiyalar Araşdırma Mərkəzi. URL: http://www.securitylab.ru/analytics/471816.php.
- Tətbiq təhlükəsizliyi. Analitik hesabat IBM X-Force.[Elektron resurs]//Daimi URL: http://www.ibm.com/software/products/ru/category/application-security.
- Mobil proqramların təhlükəsizlik təhlili (müştəri hissəsi). Digital Security-dən analitik hesabat.
[Elektron resurs]//Daimi URL: http://www.dsec.ru/services/security-analysis/mobile-applications/.
10. Mobil bankçılıq proqramlarının 40%-də kritik zəifliklər var. Jet Infosystems şirkətinin analitik hesabatı/ [Elektron resurs]// Daimi URL: http://servernews.ru/910462
11. Minojenko Aleksandr. Mobil bank proqramlarının təhlükəsizliyi/ [Elektron resurs]// Daimi URL:
Rəqəmsal Təhlükəsizlikdə İnformasiya Təhlükəsizliyi üzrə aparıcı tədqiqatçı
Hər bir mobil OS-nin öz xüsusiyyətləri var, onların hər birində həm yeni, həm də tanınmış zəiflikləri tapa bilərsiniz.
Tədqiqatın əsas nəticələri
Uzaqdan bank sistemlərinin təhlükəsizliyi sahəsində ekspertlərin ənənəvi illik hesabatlarında qeyd etdiyi tendensiya öz təsdiqini tapıb. Mobil bankinq müştərilərinin tərtibatçıları tətbiqin təhlükəsizliyi məsələlərinə kifayət qədər diqqət yetirmirlər və təhlükəsiz inkişaf qaydalarına əməl etmirlər. Təhlükəsiz kodun və arxitekturanın inkişaf etdirilməsi prosesləri çox vaxt çatışmır. Məlum olub ki, nəzərdən keçirilən bütün proqramlarda ya müştəri ilə server arasında ötürülən məlumatların ələ keçirilməsinə, ya da cihazın və mobil proqramın özünün zəifliklərindən birbaşa istifadə etməyə imkan verən ən azı bir boşluq var.
Belə ki, iOS üçün mobil bankların 35%-də və Android üçün mobil bankların 15%-ində SSL-nin düzgün işləməməsi ilə bağlı boşluqlar var, bu o deməkdir ki, kritik ödəniş məlumatları ortada adam hücumundan istifadə etməklə ələ keçirilə bilər. iOS proqramlarının 22%-i SQL inyeksiyasına qarşı potensial olaraq həssasdır və bir neçə sadə sorğu ilə bütün ödəniş məlumatlarını oğurlamaq riski yaradır. İOS proqramlarının 70%-i və Android proqramlarının 20%-i XSS-ə qarşı potensial olaraq həssasdır - mobil bank müştərisinin istifadəçisini çaşdırmağa və beləliklə, məsələn, onun autentifikasiya məlumatlarını oğurlamağa imkan verən ən populyar hücumlardan biridir. iOS proqramlarının 45%-i XXE hücumlarına qarşı potensial olaraq həssasdır ki, bu da Rusiyada çox populyar olan jailbreak edilmiş cihazlar üçün xüsusilə təhlükəlidir. Android proqramlarının təxminən 22%-i üçüncü tərəf proqramlarına həssas bank məlumatlarına daxil olmaq imkanı verən proseslərarası əlaqə mexanizmlərindən sui-istifadə edir.
Mobil dünya
Mobil bank proqramlarının artan populyarlığını nəzərə alsaq, onların təhlükəsizliyi ilə bağlı ciddi narahatlıqlar var, çünki təhlükəsizlik sistemlərindəki boşluqlar yüzlərlə istifadəçinin maliyyə itkilərinə səbəb ola bilər. Rəqəmsal Təhlükəsizlik komandası mobil platformalar (Android və iOS) üçün hazırlanmış bank müştəriləri üçün təhdidləri, zəiflikləri və hücum vektorlarını toplayan araşdırma aparıb. Sankt-Peterburq, Baltika, Bank24.ru, BFA, VTB bankları da daxil olmaqla, Rusiyanın 30-dan çox bankının mobil bankinq proqramları tədqiq edilib; VTB24, Qazprombank. İnvestbank, Krayinvest-bank, KS Bank, Master-Bank MDM Bank, Moskva Sənaye Bankı, Moskva Kredit Bankı MTS-Bank, NOMOS-Bank; PrimSotsBank, Promsvyazbank, Rosbank, RosEvro-Bank, Russian Standard. Sberbank və s.
Populyar mobil əməliyyat sistemi
Niyə bu xüsusi əməliyyat sistemləri öyrənildi? Android və iOS OS bu gün ən çox yayılmışdır və mağazalarında ən çox mobil bank proqramlarına malikdir (müvafiq olaraq Google Play və App Store).
Windows Phone ƏS olduqca gəncdir və istifadəçilər arasında hələ o qədər də geniş yayılmayıb, lakin onun mağazasında (Windows Store) az sayda mobil bank proqramları var. Windows Phone ƏS üçün proqramlar hazırda az sayda olduqlarına görə bu araşdırmaya daxil edilməyib (onlardan Windows Mağazasında cəmi 9-u var). Amma verilir Windows-un yaranması Adi Windows 8 ƏS və mobil ƏS üçün proqramların eyni vaxtda inkişafına imkan verən (asan daşıma sayəsində) yeni inkişaf modelini ehtiva edən Phone 8, Windows Phone 8 üçün inkişafın populyarlığının artacağını gözləmək olar.
Mobil qurğular üçün proqramların təsnifatı
Mobil qurğular üçün proqramlar bir çox meyarlara görə təsnif edilə bilər, lakin proqram təhlükəsizliyi kontekstində bizi aşağıdakılar maraqlandırır: tətbiqin yerləşdiyi yerə və istifadə olunan məlumat ötürmə texnologiyasının növünə görə.
Tətbiq yerinə görə:
- SİM proqramlar - SIM Application Toolkit (STK) standartına uyğun olaraq yazılmış SİM kartdakı proqram;
- Veb proqramlar - Veb saytın xüsusi versiyası;
- mobil proqramlar smartfonda quraşdırılmış xüsusi API-dən istifadə edərək müəyyən mobil ƏS üçün hazırlanmış proqramlardır.
Serverlə qarşılıqlı əlaqədə istifadə olunan texnologiya növünə görə:
- şəbəkə proqramları - HTTP kimi TCP/IP üzərindən öz rabitə protokolundan istifadə edin;
- SMS proqramları SMS-ə (Qısa Mesajlaşma Xidməti) əsaslanan proqramlardır.
- Tətbiq qısa mətn mesajlarından istifadə edərək serverlə məlumat mübadiləsi aparır;
- USSD tətbiqləri USSD (Strukturlaşdırılmamış Əlavə Xidmət Məlumatı) əsasında tətbiqlərdir. Xidmət SMS-ə bənzər qısa mesajların ötürülməsinə əsaslanır, lakin bir sıra fərqlərə malikdir;
- IVR proqramları IVR (İnteraktiv Səsli Cavab) texnologiyasına əsaslanan proqramlardır. Sistem əvvəlcədən yazılmış səsli mesajlara və tonla yığmağa əsaslanır.
Bu, müvafiq bank xidməti ilə qarşılıqlı əlaqə yaratmaq üçün smartfonda quraşdırılmış, xüsusi API istifadə edərək, müəyyən bir mobil ƏS üçün hazırlanmış proqramlardır, hazırda ən çox yayılmışdır, çünki mobil cihazın imkanlarından tam istifadə edir və ən dostluq istifadəçi interfeysinə malikdir. . Bu araşdırmada onları nəzərdən keçirdik.
Tətbiq növləri mobil bankçılıq üçün
"Hesab girişi olmayan" kateqoriyasına yalnız köməkçi işləri yerinə yetirən proqramlar daxildir. Bu funksiyalar hesabla işləmək imkanı olan proqramlarda da mövcud ola bilər. Çox vaxt mobil proqram sadə naviqasiya proqramından hesabla işləmək imkanı olan proqrama çevrilir. Bəzi banklar, əksinə, bu funksiyaları bir neçə proqram üzrə paylamağa üstünlük verirlər ki, bu da bizim nöqteyi-nəzərimizdən düzgündür: əgər kritik proqram (ödəniş əməliyyatlarını həyata keçirən) lazımsız funksionallıqla yüklənməyibsə, hücum vektorlarının sayı azalır. hücumçu azalır. Bu araşdırma hesaba giriş proqramlarını araşdırdı.
Mobil proqramların təhlükəsizliyinin təhlili metodologiyası
Mobil proqramın təhlükəsizliyini təhlil edərkən üç əsas komponentin təhlükəsizliyi qiymətləndirilir: server hissəsi, müştəri hissəsi və rabitə kanalı.
Müştəri tətbiqinin təhlükəsizliyinin qiymətləndirilməsi üsulları:
Dinamik analiz:
- işləyən proqramın sazlanması (emulyatorda və ya cihazda);
- tündləşmə;
- təhlil şəbəkə trafiki;
- fayl sistemi ilə qarşılıqlı əlaqənin təhlili;
- proqram yaddaş təhlili.
Statik analiz: mənbə kodu təhlili (əgər varsa);
- tərs mühəndislik;
- sökmə;
- dekompilyasiya;
- kodun zəif bölmələri üçün nəticədə təqdimatın təhlili.
İntruder Modelləri
1. Müştərinin cihazına fiziki girişi olan təcavüzkar. Bununla belə, cihazda ekran kilidi aktiv deyil və şifrələmədən istifadə etmir.
2. Qurğuya çıxışı olmayan, qurbanın yanında yerləşən və ortada adam hücumu həyata keçirə bilən təcavüzkar.
3. Rəsmi proqram mağazalarından və ya digər üsullardan istifadə etməklə öz zərərli tətbiqini müştərinin cihazına endirmiş təcavüzkar.
Hücumlar server hissəsi hücumlardan heç bir fərqi yoxdur ənənəvi sistemlər DBO.
Hücumlar müştəri hissəsi varsa mümkündür:
- cihaza fiziki giriş;
- cihazda zərərli proqram;
- kanala nəzarət etmək bacarığı, məsələn, ortadakı adamın hücumu nəticəsində.
Fiziki girişlə təcavüzkar fayl sisteminə giriş əldə edə bilər. Tətbiq autentifikasiya məlumatlarını və ya digər həssas məlumatları aydın mətndə saxlayırsa və ya kritik məlumatlar aydın mətndə sızdırılırsa, təcavüzkarın bu məlumatları əldə etməsi və pul oğurlaması asandır.
Müdafiə: cihazın kriptoqrafik imkanlarından istifadə etmək, kritik məlumatları şifrələmək və zəruri hallarda məlumatları uzaqdan təmizləmək imkanı, həmçinin kritik məlumatların mümkün sızmalarını və şifrələmənin düzgün istifadə edilməməsini müəyyən etməyə kömək edəcək proqram təhlükəsizliyi təhlili aparmaq.
Zərərli proqram vasitəsilə hücum etmək üçün sosial mühəndislik üsullarından istifadə etməklə və ya Drive-by-Download hücumu vasitəsilə zərərli proqram quraşdırmalısınız.
Zərərli tətbiqi quraşdırdıqdan sonra təcavüzkar smartfonun ƏS-də boşluq üçün istismardan istifadə edərək sistemdəki imtiyazlarını artıra və tam giriş hüquqları ilə cihaza uzaqdan giriş əldə edə bilər ki, bu da cihazın tam kompromisinə səbəb olacaq: təcavüzkar kritik mobil bank istifadəçi məlumatlarını oğurlaya və ya ödəniş məlumatları əməliyyatlarını əvəz edə biləcək.
Müdafiə: cihazdakı proqram təminatını yeniləyin, proqram təminatının təhlükəsizliyi alətlərindən istifadə edin və istifadəçinin informasiya təhlükəsizliyi məsələlərinə dair məlumatlılığını artırın.
Rabitə hücumları: Klassik adam-in-the-middle hücumu müştəri cihazı və server arasında məlumatları kəsir. Bunun üçün ictimai Wi-Fi şəbəkəsi kimi qurbanla eyni şəbəkədə olmaq və ya saxta simsiz giriş nöqtələri və saxta baza stansiyalarından istifadə etmək tələb olunur. Mobil proqramda zəiflik tələb olunur: ötürülən məlumatların şifrələnməsinin düzgün işləməməsi və ya məlumatların şifrələnməsinin tam olmaması. Ən ümumi nümunə SSL-nin düzgün işləməməsidir. Nəticədə, təcavüzkar ötürülən məlumatları dinləyə və əvəz edə bilər ki, bu da nəticədə müştərinin hesabından vəsaitin oğurlanmasına səbəb ola bilər.
Müdafiə: SSL ilə işin düzgün həyata keçirilməsi. Mobil proqramda serverə qoşularkən yalnız bankın SSL sertifikatına etibar etməyiniz tövsiyə olunur. Kök sertifikat orqanına təhlükə yaranarsa, bu kömək edəcəkdir.
Onu da qeyd etmək lazımdır ki, bir cihazı jailbreak etmək (iOS) və ya istifadəçinin cihazında (Android) kök girişinin olması cihazın təhlükəsizlik səviyyəsini əhəmiyyətli dərəcədə azaldır və təcavüzkarın hücumunu asanlaşdırır.
Nəticələr
Mobil platformalar üçün tətbiqlər həm köhnə məlum təhlükələrə, həm də hələ tam öyrənilməmiş yeni təhlükələrə həssasdır. Zərərli Android proqramlarının yayılması getdikcə artır.
Mobil banklar üçün təhlükəsizlik təhdidləri kritik istifadəçi məlumatlarının, pul vəsaitlərinin oğurlanması və bankın reputasiyasının zədələnməsi riskləri yaradır. Mobil bankinq müştərilərinin tərtibatçıları tətbiqin təhlükəsizliyi məsələlərinə kifayət qədər diqqət yetirmirlər və təhlükəsiz inkişaf qaydalarına əməl etmirlər. Tərtibatçılar tez-tez təhlükəsiz kod və arxitektura hazırlamaq üçün proseslərdən məhrumdurlar.
Statik kod təhlili əsasında aparılan araşdırma göstərir ki, mobil banklarda vəsaitlərin oğurlanmasına səbəb ola biləcək zəifliklər və çatışmazlıqlar var. Mobil bankların təhlükəsizlik səviyyəsi əksər hallarda adi mobil proqramların təhlükəsizlik səviyyəsini keçmir, onlarla bağlı risklər isə artan təhlükəsizlik tələblərini nəzərdə tutur.
Tədqiqat başlamazdan əvvəl güman edilirdi ki, mobil platforma üçün spesifik boşluqların sayı ümumi məlum olanların sayını xeyli üstələyir. Ancaq nəticədə hər iki sinfin təxminən eyni sayda zəifliyini görə bilərsiniz. Bu o deməkdir ki, mobil bankinq proqramlarına onların xüsusiyyətlərini bilmədən də məlum hücumları həyata keçirmək mümkündür. Əldə edilən nəticələr OWASP Top 10 Mobil Riskləri ilə üst-üstə düşür.
Hücumçuların hücumları həyata keçirməyin bir çox yolu var. Üstəlik, real mühitdə hücumun həyata keçirilməsinin xərcləri mümkün faydalarla müqayisədə çox aşağı ola bilər.
Mobil qurğular üçün müasir mühafizə vasitələri - antiviruslar, MDM həlləri və s. - riski azalda bilər, lakin bütün problemləri həll edə bilməz. Təhlükəsizlik sistemin dizayn mərhələsində tətbiq edilməli və proqramın həyat dövrünün bütün mərhələlərində, o cümlədən işlənib hazırlanması və həyata keçirilməsi mərhələsində mövcud olmalıdır. Kodu yoxlamaq, tətbiqin təhlükəsizliyini təhlil etmək və nüfuz testini aparmaq lazımdır.
Mobil bankçılıqdan istifadə zamanı risklər tətbiqin təhlükəsizliyi ilə tərs mütənasibdir. Buna görə də, mobil bankinq proqramlarının təhlükəsizliyinin hərtərəfli auditi lazımdır. Bankın informasiya təhlükəsizliyi üzrə mütəxəssislər mobil bankların təhlükəsizliyinə internet bankların təhlükəsizliyindən az diqqət yetirməməlidirlər.
- Proqramçılara təhlükəsizlik məsələləri haqqında məlumat verin.
- Arxitekturada təhlükəsizlik qurun.
- Kod auditini aparın.
- Tətbiq təhlükəsizliyi təhlilini aparın.
- Təhlükəsizliklə əlaqəli kompilyator seçimlərini tətbiq edin.
- Tətbiqin İnternetdə yayılmasına nəzarət edin.
- Zəiflikləri tez bir zamanda bağlayın və yeniləmələri buraxın.
Keçən il tədqiqat mərkəzi Rəqəmsal Təhlükəsizlik“Bank müştərilərinin təhlükəsizliyi ilə bağlı araşdırmanın nəticələri rus istehsalçıları 2009-2011-ci illər üçün” adlı konfransda biz uzaqdan bank sistemlərinin təhlili üzrə təcrübəmizi və onların təhlükəsizliyinin qiymətləndirilməsinin məyusedici nəticələrini bölüşdük.
Biz bir yerdə dayanmırıq və sabah tələb olunanı bu gün etməyə çalışırıq. Bu tədqiqat mobil platformalar (Android və iOS) üçün hazırlanmış bank müştəriləri üçün təhdidləri, zəiflikləri və hücum vektorlarını təsvir edir.
Mobil texnologiyalar fəal şəkildə inkişaf edir, müasir biznes tələbləri elədir ki, informasiyaya tez, etibarlı və dünyanın istənilən yerindən daxil olmaq lazımdır. Ödəniş proqramları da istisna deyil və onlar tədricən mobil cihazlarımızda (smartfonlar, planşetlər və s.) peyda olurlar. Mobil qurğular hələ kifayət qədər öyrənilməmişdir və hər bir mobil ƏS (Android, iOS, Windows Phone, Symbian, BlackBerry və s.) öz xüsusiyyətlərinə malikdir, ona görə də onların hər birində çoxlu sayda həm yeni, həm də yaxşı-yaxşı olanları tapa bilərsiniz. məlum zəifliklər.
Banklar üçün mobil bank tətbiqləri, məsələn:
Alfa-Bank,
Bank "Sankt-Peterburq" Bank "Baltika", Bank24.ru,
BFA Bank,
VTB, VTB 24, Qazprombank, İnvestbank, Kraiinvestbank,
Master Bank,
MDM Bank,
Moskva Sənaye Bankı,
Moskva Kredit Bankı, Mordovpromstroybank,
MTS-Bank,
Xalq krediti
NOMOS-Bank,
Pervobank,
PrimSotsBank,
Promsvyazbank,
RosEvroBank,
RosİnterBank,
rus standartı,
Sberbank,
Svyaz-Bank,
Smolensky Bank,
Tinkoff Kredit Sistemləri, UBRD,
Həyat Maliyyə Qrupu,
Xantı-Mansiysk Bankı, UniCreditBank
və başqaları.
iOS üçün mobil bank proqramları
Yalnız az sayda mobil bank təhlükəsizlik mexanizmlərini tətbiq edir. Nəzərdən keçirilən bütün tətbiqlərdə ən azı bir boşluq var.
Əksər iOS proqramları yaddaşın düzgün işləməməsi ilə bağlı xətaların istismarından qorunmaq üçün tərtib edilmiş kompilyasiya seçimlərindən istifadə etmir.
Android üçün mobil bank proqramları
Əldə edilən nəticələrə əsasən, iOS və Android üçün ən az təhdidlərə malik ilk 10 mobil bankı tərtib etdik. Reytinq tərtib edilərkən, qoruyucu mexanizm varsa və ya müəyyən bir sinif təhlükəli API olmadıqda bir proqrama 1 bal verildi və əks halda 1 bal çıxarıldı. Qeyd edək ki, hər iki reytinqdə 4 bank yer alıb.
iOS üçün ən yaxşı 10 | Android üçün ən yaxşı 10 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Master Bank | Bank "Sankt-Peterburq" | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Həyat Maliyyə Qrupu | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
RosEvroBank | RosEvroBank | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Moskva Kredit Bankı | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Bank "Xalq Krediti" | Primsotsbank | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Sberbank | Rusiya Standart Bankı | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Bank "Sankt-Peterburq" | İnvestbank | ƏS Android və iOS bu gün ən çox yayılmışdır və mağazalarında ən çox sayda mobil bank tətbiqinə malikdir (müvafiq olaraq Google Play və App Store). Windows Phone ƏS olduqca gəncdir və istifadəçilər arasında hələ o qədər də geniş yayılmayıb, lakin onun mağazasında (Windows Store) az sayda mobil bank proqramları var. Windows Phone ƏS üçün bank proqramları hal-hazırda az sayda olduğuna görə bu araşdırmaya daxil edilməyib (onlardan Windows Mağazasında cəmi 9-u var). Lakin adi Windows 8 ƏS və mobil ƏS üçün proqramların eyni vaxtda hazırlanmasına imkan verən (asan daşıma sayəsində) yeni inkişaf modelini özündə cəmləşdirən Windows Phone 8-in meydana çıxmasını nəzərə alsaq, biz proqram təminatının inkişafının populyarlığının artacağını gözləmək olar. Windows Phone 8. Mobil qurğular üçün proqramlar bir çox meyarlara görə təsnif edilə bilər, lakin proqram təhlükəsizliyi kontekstində bizi aşağıdakılar maraqlandırır: tətbiqin yerləşdiyi yerə və istifadə olunan məlumat ötürmə texnologiyasının növünə görə. Tətbiq yerinə görə: SİM proqramlar - SIM Application Toolkit (STK) standartına uyğun olaraq yazılmış SİM kartdakı proqram; Veb proqramlar - vebsaytın xüsusi versiyası; Mobil proqramlar, smartfonda quraşdırılmış xüsusi API istifadə edərək, müəyyən bir mobil ƏS üçün hazırlanmış proqramdır. Serverlə qarşılıqlı əlaqədə istifadə olunan texnologiya növünə görə: Şəbəkə proqramları - HTTP kimi TCP/IP üzərindən öz rabitə protokolundan istifadə edin; SMS Proqramları - SMS (Qısa Mesajlaşma Xidməti) əsasında proqram. Proqram qısa mətn mesajlarından istifadə edərək serverlə məlumat mübadiləsi aparır; USSD proqramları - USSD (Strukturlaşdırılmamış Əlavə Xidmət Məlumatı) əsasında tətbiqetmədir. Xidmət SMS-ə bənzər qısa mesajların ötürülməsinə əsaslanır, lakin bir sıra fərqlərə malikdir; IVR proqramları IVR (İnteraktiv Səsli Cavab) texnologiyasına əsaslanan proqramlardır. Sistem əvvəlcədən yazılmış səsli mesajlara və tonla yığmağa əsaslanır. Bu, müvafiq bank xidməti ilə qarşılıqlı əlaqə yaratmaq üçün smartfonda quraşdırılmış, xüsusi API istifadə edərək, müəyyən bir mobil ƏS üçün hazırlanmış proqramlardır, hazırda ən çox yayılmışdır, çünki mobil cihazın imkanlarından tam istifadə edir və ən dostluq istifadəçi interfeysinə malikdir. . Bu araşdırmada onları nəzərdən keçiririk. Mobil Bankinq Proqramlarının növləri
"Hesab girişi olmayan" kateqoriyasına yalnız köməkçi işləri yerinə yetirən proqramlar daxildir. Bu funksiyalar hesabla işləmək imkanı olan proqramlarda da mövcud ola bilər. Çox vaxt mobil proqram sadə naviqasiya proqramından hesabla işləmək imkanı olan proqrama çevrilir. Bəzi banklar, əksinə, bu funksiyaları bir neçə proqram üzrə paylamağa üstünlük verirlər ki, bu da bizim nöqteyi-nəzərimizdən düzgündür: əgər kritik proqram (ödəniş əməliyyatlarını həyata keçirən) lazımsız funksionallıqla yüklənməyibsə, hücum vektorlarının sayı azalır. hücumçu azalır. Bu araşdırma hesaba giriş proqramlarını araşdırdı. Mobil proqramın təhlükəsizliyini təhlil edərkən üç əsas komponentin təhlükəsizliyi qiymətləndirilir: server hissəsi, müştəri hissəsi və rabitə kanalı.
Müştəri tətbiqinin təhlükəsizliyinin qiymətləndirilməsi üsulları: 1. Dinamik analiz: · Çalışan proqramın sazlanması (emulator və ya cihazda);
· Fayl sistemi ilə qarşılıqlı əlaqənin təhlili;
2. Statik analiz: · Mənbə kodu təhlili (əgər varsa); Əks Mühəndislik: o Sökülmə; o Dekompilyasiya; · Kodun zəif bölmələri üçün alınan təqdimatın təhlili. 1. Müştərinin cihazına fiziki girişi olan təcavüzkar. Bununla belə, cihazda ekran kilidi aktiv deyil və şifrələmədən istifadə etmir. 2. Qurğuya çıxışı olmayan, qurbanın yanında yerləşən və ortada adam hücumu həyata keçirə bilən təcavüzkar. 3. Rəsmi proqram mağazalarından və ya digər üsullardan istifadə etməklə öz zərərli tətbiqini müştərinin cihazına endirmiş təcavüzkar. Server tərəfdən hücumlar hesabatda müzakirə olunan adi uzaqdan bank sistemlərinə edilən hücumlardan heç bir fərqi yoxdur Rəqəmsal Təhlükəsizlik"2009-2011-ci illər üçün Rusiya istehsalçılarının bank müştərilərinin təhlükəsizliyinin öyrənilməsinin nəticələri." iOS mobildir əməliyyat sistemi Apple-dan. Bu əməliyyat sistemi yalnız Apple cihazları üçün nəzərdə tutulub: iPod, iPhone, iPad və Apple TV. iOS Mac OS X-ə əsaslanır. Bu platforma üçün proqramları yaymaq üçün xüsusi mağazadan - App Store-dan istifadə olunur. İnkişaf üçün tərtib edilmiş obyekt yönümlü proqramlaşdırma dili olan Objective-C dilindən istifadə olunur. Objective-C C proqramlaşdırma dili və Smalltalk proqramlaşdırma dili paradiqmaları üzərində qurulub. İOS üçün hesaba girişi olan Rusiya bankları üçün mobil bank tətbiqi tərtibatçılarının statistikası iOS üçün bank mobil tətbiqlərinin görünüş cədvəli
Bu məlumatlara əsasən, həm yeniləmələrin tezliyi, həm də tətbiqlərin təhlükəsizliyi haqqında nəticə çıxarmaq olar. Beləliklə, SDK 4.3 5-i zəif olmaqla 29 növ şifrələməni dəstəkləyən TLS 1.0 protokolundan istifadə edir. SDK-nın bu versiyasını istifadə edən proqramlar potensial olaraq təhlükə altına düşə bilər. Bu şifrələmə növləri SDK-nın sonrakı versiyalarından silindi. PIE tərtib seçimi PIE (Position Independent Executable) kompilyasiya parametri ilə təyin olunan və yaddaşla səhv işləmə ilə bağlı səhvlərdən istifadə prosesini çətinləşdirməyə yönəlmiş təhlükəsizlik parametrləri sinfinə aid olan xüsusi mexanizmdir. ASLR (Ünvan Məkanı Təsadüfi Təsadüfi) imkanlarından tam istifadə etməyə imkan verir. ARC (Avtomatik Referans Sayma) kompilyasiya seçimi ilə müəyyən edilən və dolayı yolla təhlükəsizlik parametri kimi təsnif edilə bilən xüsusi mexanizmdir. Yaddaşın idarə edilməsinə diqqət yetirir və yaddaş sızması və göstəricilərin düzgün işləməməsi ilə bağlı səhvlərin qarşısını almağa kömək edir, bu da istifadədən sonra pulsuz və ikiqat boş boşluqlara səbəb olur. Yanlış əməliyyat SSL ilə SSL bağlantısı ilə işləmək üçün bir sıra funksiyalar var ki, onlardan istifadə sertifikatın yoxlanılmasını deaktiv edir. Tərtibatçılar onlardan proqram testi zamanı istifadə edirlər və tez-tez tətbiqi App Store-da dərc etməzdən əvvəl müvafiq kodu silməyi unudurlar. Nəticədə, təcavüzkar müştəri və server arasındakı məlumatları dinləyib öz məqsədləri üçün manipulyasiya edərək, ortada adam hücumu həyata keçirə bilir. Məsələn, o, ödənişi əvəz edə və ya məlumat ötürə biləcək. iOS-da Anahtarlık kritik proqram məlumatlarını saxlamaq üçün nəzərdə tutulmuş xüsusi şifrələnmiş yaddaşdır. Anahtarlığın olmaması tətbiqin məlumatlarını aydın mətndə saxlaması demək deyil. Tətbiq standart və ya xüsusi istifadə edərək müştəri cihazında kritik məlumatları ümumiyyətlə saxlamaya və ya yerli fayllarında saxlaya bilməz doğma funksiyalarşifrələmə. Cihazı jailbreak etdikdən sonra brelokdakı məlumatlar aydın mətndə oxuna bilər. Lokal fayl kritik məlumatların saxlanması kimi istifadə olunarsa, o, təcavüzkar tərəfindən uzaqdan oxuna bilər. Ən yaxşı həll cihazda heç bir həssas məlumat saxlamamaqdır. Təəssüf ki, bu həmişə mümkün olmur. XXE (XML eXternal Entity) təcavüzkarın xarici və ya daxili obyektləri XML sorğusuna daxil edə biləcəyi bir hücumdur və onlar sistem tərəfindən müvafiq olaraq emal ediləcək. Hücum nəticəsində təcavüzkar cihazda jailbreak olmadıqda proqram kataloqunda ixtiyari faylları, əgər cihazda jailbreak varsa hər hansı faylları oxuya bilir (jailbreak zamanı sandbox mexanizmi söndürülür). Bu o deməkdir ki, istənilən həssas proqram faylları oxuna bilər. Bundan əlavə, təcavüzkar tətbiqin xidmətdən imtinasına səbəb ola bilər.
|
