Информационная безопасность на мобильных устройствах – взгляд потребителей
Мобильные устройства стремительно становятся основным способом нашего взаимодействия с окружающим миром – возможность постоянно оставаться на связи является неотъемлемой частью нашей сегодняшней жизни, наши телефоны и всевозможные носимые устройства расширяют наши возможности при покупке продуктов, получении банковских услуг, развлечениях, видеозаписи и фотографирования важных моментов нашей жизни и, разумеется, возможности общения.
Одновременно, благодаря мобильным устройствам и приложениям бренды получили принципиально новый способ заявить о себе, и это, в свою очередь привело к феноменальным уровням роста мобильных технологий за последнее десятилетие. К сожалению, быстрый рост проникновения мобильных технологий приводит и к расширению возможностей для киберпреступников.
Сегодня через мобильные устройства пользователям доступно все больше весьма ценных сервисов, требующих внимательного отношения к безопасности (в числе которых, например, мобильный банкинг, платежи и мобильные идентификаторы). Соответственно, хакеры прекрасно понимают, что, организовав утечку данных аутентификации через мобильное устройство, они смогут получить неавторизованный доступ к онлайн-ресурсам, представляющим собой высокую ценность. В частности, хакеры будут пытаться получить доступ к финансовой информации, учетным данным для доступа к социальным сетям, к данным контрактов в сетях мобильной связи. Так или иначе, порой, этого может оказаться достаточно для полноценного осуществления кражи личности. Эта угроза становится особенно актуальной в настоящее время, когда мы наблюдаем рост числа новых мобильных приложений – согласно исследованию Application Resource Center (Applause), 90% компаний намерено к концу этого года увеличить объем своих инвестиций в разработку мобильных приложений.
Существует неоспоримая потребность уже сейчас защищать корпоративные ресурсы, в том числе интеллектуальную собственность компаний и персональные данные пользователей, особенно с учетом столь большого числа используемых сегодня устройств, на которых может быть запущен вредоносный код. Если мы не обратим на это должного внимания, то фактически мы оставляем конечных пользователей и, в особенности, компании в центре внимания злоумышленников, в распоряжении которых сегодня скапливается все больше ресурсов и которые все активнее прибегают в своей деятельности к новейшим технологиям. Они являются экспертами по распространению вредоносного программного обеспечения, они с умыслом используют неофициальные репозитории приложений, встраивают вредоносный код в сообщения электронной почты, рассылают вредоносные SMS и заражают браузеры, и они без малейших раздумий готовы воспользоваться любой слабостью или уязвимостью. Именно поэтому поставщикам приложений следует внимательно отнестись к подобным угрозам и предпринять все необходимое, чтобы помочь потребителям почувствовать себя в безопасности, предлагая решения, которые обеспечивают надежную защиту от этих уязвимостей.
Но как же нам понять, какая именно технология безопасности необходима в том или ином случае? Как нам понять, что более всего востребовано у конечных пользователей, и что представляет для них наибольшую угрозу? Как нам узнать, какими именно решениями безопасности будут они пользоваться? Что именно будет для них удобнее всего? Все это важные вопросы, требующие ответов, и именно поэтому мы решили провести исследование, опросив более 1300 пользователей смартфонов из числа взрослого населения на шести крупнейших рынках мира: в Бразилии, Великобритании, Южной Африке, Сингапуре, Голландии и в США.
После опроса мы подытожили и проанализировали полученные данные, собрав результаты в отчет. 66% опрошенных утверждают, что совершали бы больше транзакций, если бы знали наверняка, что в их мобильных устройствах уделяется должное внимание вопросам безопасности, до такой степени, что целых 70% конечных пользователей не против иметь цифровые удостоверения личности на своих смартфонах, но только при условии, что все приложения на их телефонах полностью защищены от хакерских атак и уязвимостей.
Другие интересные результаты опроса:
Как защититься от угроз?
Очевидно, что потенциал роста до сих пор не исчерпан. Вопрос заключается лишь в том, чтобы обеспечить безопасность для тех, кто готов расширить сферу применения своих смартфонов. Наше исследование с ответами на вопрос, каким образом можно достичь этого, и рекомендациями по достижению доверия потребителей доступно
3.1. Под использованием мобильных устройств и носителей информации в ИС Организации понимается их подключение к инфраструктуре ИС с целью обработки, приема/передачи информации между ИС и мобильными устройствами, а также носителями информации.
3.2. В ИС допускается использование только учтенных мобильных устройств и носителей информации, которые являются собственностью Организации и подвергаются регулярной ревизии и контролю.
3.3. На предоставленных Организацией мобильных устройствах допускается использование коммерческого ПО, входящего в Реестр разрешенного к использованию ПО и указанного в Паспорте ПК.
3.4. К предоставленным Организацией мобильным устройствам и носителям информации предъявляются те же требования ИБ, что и для стационарных АРМ (целесообразность дополнительных мер обеспечения ИБ определяется администраторами ИС).
3.5. Мобильные устройства и носители информации предоставляются работникам Организации по инициативе Руководителей структурных подразделений в случаях:
необходимости выполнения вновь принятым работником своих должностных обязанностей;
возникновения у работника Организации производственной необходимости.
3.6. Процесс предоставления работнику Организации мобильных устройств и носителей информации состоит из следующих этапов:
3.6.1. Подготовка заявки (Приложение 1) в утвержденной форме, осуществляется Руководителем структурного подразделения на имя Руководителя Организации.
3.6.2. Согласование подготовленной заявки (для получения заключения о возможности предоставления работнику Организации заявленного мобильного устройства и/или носителя информации) с начальником отдела ИТ.
3.6.3. Передача оригинала заявки в отдел ИТ для учета предоставленного мобильного устройства и/или носителя информации и внесения изменений в «Список работников Организации, имеющих право работы с мобильными устройствами вне территории «ВАША ОРГАНИЗАЦИЯ», а также выполнения технических настроек по регистрации мобильного устройства в ИС и/или предоставлению права использования носителей информации на АРМах Организации (в случае согласования заявки Руководителем Организации).
3.7. Внос на территорию Организации предоставленных мобильных устройств работниками Организации, а также вынос их за его пределы производится только на основании «Списка работников Организации, имеющих право работы с мобильными устройствами вне территории «ВАША ОРГАНИЗАЦИЯ» (Приложение 2), который ведется отделом ИТ на основании утвержденных заявок и передается в службу безопасности.
3.8. Внос на территорию Организации предоставленных мобильных устройств работниками подрядных и сторонних организаций, а также вынос их за его пределы производится на основании заполненной по форме заявки (Приложение 3) на внос/вынос мобильного устройства, подписанной Руководителем структурного подразделения.
3.9. При использовании предоставленных работникам Организации мобильных устройств и носителей информации необходимо:
3.9.1. Соблюдать требования настоящего Положения.
3.9.2. Использовать мобильные устройства и носители информации исключительно для выполнения своих служебных обязанностей.
3.9.3. Ставить в известность администраторов ИС о любых фактах нарушения требований настоящего Положения.
3.9.4. Бережно относится к мобильным устройствам и носителям информации.
3.9.5. Эксплуатировать и транспортировать мобильные устройства и носители информации в соответствии с требованиями производителей.
3.9.6. Обеспечивать физическую безопасность мобильных устройств и носителей информации всеми разумными способами.
3.9.7. Извещать администраторов ИС о фактах утраты (кражи) мобильных устройств и носителей информации.
3.10. При использовании предоставленных работникам Организации мобильных устройств и носителей информации запрещено:
3.10.1. Использовать мобильные устройства и носители информации в личных целях.
3.10.2. Передавать мобильные устройства и носители информации другим лицам (за исключением администраторов ИС).
3.10.3. Оставлять мобильные устройства и носители информации без присмотра, если не предприняты действия по обеспечению их физической безопасности.
3.11. Любое взаимодействие (обработка, прием/передача информации) инициированное работником Организации между ИС и неучтенными (личными) мобильными устройствами, а также носителями информации, рассматривается как несанкционированное (за исключением случаев оговоренных с администраторами ИС заранее). Организация оставляет за собой право блокировать или ограничивать использование таких устройств и носителей информации.
3.12. Информация об использовании работниками Организации мобильных устройств и носителей информации в ИС протоколируется и, при необходимости, может быть предоставлена Руководителям структурных подразделений, а также Руководству Организации.
3.13. При подозрении работника Организации в несанкционированном и/или нецелевом использовании мобильных устройств и носителей информации инициализируется служебная проверка, проводимая комиссией, состав которой определяется Руководителем Организации.
3.14. По факту выясненных обстоятельств составляется акт расследования инцидента и передается Руководителю структурного подразделения для принятия мер согласно локальным нормативным актам Организации и действующему законодательству. Акт расследования инцидента и сведения о принятых мерах подлежат передаче в отдел ИТ.
3.15. Информация, хранящаяся на предоставляемых Организацией мобильных устройствах и носителях информации, подлежит обязательной проверке на отсутствие вредоносного ПО.
3.16. В случае увольнения или перевода работника в другое структурное подразделение Организации, предоставленные ему мобильные устройства и носители информации изымаются.
Блокировка с помощью секретного кода.
Смартфоны, планшетные ПК и другие мобильные устройства содержат конфиденциальные данные. В случае потери мобильного устройства любой человек, нашедший его, получит доступ к контактам, сообщениям и учетным записям веб-служб. Один из способов предотвратить кражу конфиденциальной информации с мобильного устройства - установить блокировку с помощью секретного кода. Такая настройка блокирует устройство и переводит его в энергосберегающий режим. Можно настроить блокировку так, чтобы она включалась с задержкой, через определенное время после перехода устройства в энергосберегающий режим. Распространенный способ перевести мобильное устройство в спящий режим - быстро нажать основную кнопку включения питания. Можно также настроить переход устройства в спящий режим через определенное время.
Существует множество видов блокировки с помощью секретного кода (рис. 1), которые различаются уровнем надежности. Секретный код нужно вводить каждый раз при включении устройства или его выхода из энергосберегающего режима. Вот несколько основных видов блокировки с помощью секретного кода:
- Нет - отключает любой настроенный вид блокировки с помощью секретного кода.
- Проведение пальцем - для снятия блокировки устройства пользователю нужно провести пальцем по значку, например замка или стрелки. Это наименее надежный вариант.
- Снятие блокировки по лицу - для распознавания лиц используется камера. После распознавания сохраненного снимка лица блокировка устройства снимается.
- Узор - устройство блокируется, когда пользователь рисует пальцем на экране определенный узор. Чтобы снять блокировку устройства, нужно воспроизвести на экране тот же узор.
- PIN-код - для защиты устройства используется секретный PIN-код. Если PIN-код введен правильно, блокировка устройства снимается.
- Пароль - для защиты устройства используется пароль. Это наименее удобный вариант, особенно если в качестве пароля используется сложное или длинное слово, но он может быть самым надежным.
- Простой пароль - только на устройствах iOS. Если этот параметр включен, пароль должен быть четырехзначным числом. Если этот параметр выключен, можно использовать более сложные пароли, состоящие из букв, символов и цифр.
После настройки секретного кода его нужно вводить каждый раз при включении устройства или его выхода из энергосберегающего режима.
Чтобы настроить секретный код на устройстве Android, перейдите по следующим пунктам:
Настройки > Местоположение и безопасность > Блокировка экрана . Выберите тип секретного кода из списка и установите остальные параметры защиты экрана.
Чтобы установить секретный код на устройстве iOS, перейдите по следующим пунктам:
Настройки > Основные > Защита паролем > Включить пароль . Введите четырехзначное число (рис. 2). Для подтверждения введите снова то же самое число.
Если вы забыли пароль для устройства iOS, подключите его к компьютеру, с которым оно было синхронизировано в последний раз, и восстановите настройки через iTunes.
Для устройства Android необходимо также провести восстановление. Для этого включите устройство, удерживая нажатыми кнопки регулирования громкости, после чего появится функция восстановления. Конкретные инструкции приведены в документации изготовителя устройства Android.
Академия Cisco проводит аторизированные тренинги, практикумы Cisco, компьютерные
В этом году рынок мобильных устройств впервые обогнал рынок ПК. Это знаковое событие, а также стремительный рост вычислительной мощности и возможностей мобильных устройств ставят перед нами новые вопросы и проблемы в области обеспечения информационной безопасности.
Современные смартфоны и планшеты содержат в себе вполне взрослый функционал, аналогичный таковому у своих «старших братьев». Удаленное администрирование, поддержка VPN, браузеры с flash и java-script, синхронизация почты, заметок, обмен файлами. Все это очень удобно, однако рынок средств защиты для подобных устройств развит еще слабо. Удачным примером корпоративного стандарта является BlackBerry, смартфон с поддержкой централизованного управления через сервер, шифрованием, возможностями удаленного уничтожения данных на устройстве. Однако его доля на рынке не так велика, а на российском и вовсе практически отсутствует. Но существует масса устройств на базе Windows Mobile, Android, iOS, Symbian, которые защищены значительно слабее. Основные проблемы безопасности связаны с тем, что многообразие ОС для мобильных устройств весьма велико, также как и количество их версий в одном семействе.
Тестирование и поиск уязвимостей в них происходит не так интенсивно как для ОС на ПК, то же самое касается и мобильных приложений. Современные мобильные браузеры уже практически догнали настольные аналоги, однако расширение функционала влечет за собой большую сложность и меньшую защищенность. Далеко не все производители выпускают обновления, закрывающие критические уязвимости для своих устройств - дело в маркетинге и в сроках жизни конкретного аппарата. Предлагаю рассмотреть типичные данные, хранящиеся на смартфоне, которые могут быть полезны для злоумышленника.
1. Доступ к почте и почтовому ящику
Как правило, доступ к почтовым сервисам и синхронизация почты настраиваются на мобильном устройстве один раз, и в случае потери или хищения аппарата злоумышленники получают доступ ко всей переписке, а также ко всем сервисам, привязанным к данному почтовому ящику.
2. Интернет-пейджеры
Skype, Icq, Jabber - все это не чуждо современным мобильным устройствам, в результате чего и вся переписка данного конкретного человека, и его контакт-листы могут быть под угрозой.
3. Документы, заметки
DropBox для мобильных устройств вполне может стать источником компрометации каких-либо документов, равно как и различные заметки и события в календаре. Емкость современных устройств достаточно велика, чтобы они могли заменить usb-накопители, а документы и файлы с них вполне способны порадовать злоумышленников. Нередко в смартфонах встречается использование заметок как универсального справочника паролей, также распространены хранящие пароли приложения, защищенные мастер-ключом. Необходимо учитывать, что в таком случае стойкость всех паролей равна стойкости этого ключа и грамотности реализации приложения.
4. Адресная книга
Иногда сведения об определенных людях стоят очень дорого.
5. Сетевые средства
Использование смартфона или планшета для удаленного доступа к рабочему месту посредством VNC, TeamViewer и прочих средств удаленного администрирования уже не редкость. Так же как и доступ к корпоративной сети через VPN. Скомпрометировав свое устройство, сотрудник может скомпрометировать всю «защищенную» сеть предприятия.
6. Мобильный банкинг
Представь, что твой сотрудник использует на своем мобильном устройстве систему ДБО - современные браузеры вполне позволяют осуществлять подобный вид деятельности, и это же мобильное устройство привязано к банку для получения sms-паролей и оповещений. Несложно догадаться, что вся система ДБО может быть скомпрометирована потерей одного устройства.
Основными путями компрометации информации с мобильных устройств является их пропажа или хищение. Сообщения о громадных финансовых потерях организаций из-за пропажи ноутбуков мы получаем регулярно, однако потеря бухгалтерского планшета с актуальной финансовой информацией тоже может доставить множество хлопот. Вредоносное ПО для смартфонов и планшетов в настоящее время скорее страшный миф и средство маркетинга, однако не следует терять бдительность, ибо этот рынок развивается бешеными темпами. Рассмотрим, какие существуют и как реализованы средства защиты в современных мобильных ОС.
Средства защиты мобильных ОС
Современные ОС для мобильных устройств имеют неплохой набор встроенных средств защиты, однако зачастую те или иные функции не используются или отключаются.
WindowsMobile
Одна из старейших ОС на рынке. ПО для версий 5.0 и 6.х совместимо, из-за чего для них существует большое количество средств защиты. Начиная с версии 6.0 поддерживается шифрование карт памяти. ОС не имеет средств предотвращения установки приложений из сторонних непроверенных источников, поэтому подвержена заражению вредоносным ПО. Кроме концептов существует ряд реальных вредоносных программ под эту платформу. Корпоративные решения представлены множеством компаний (Kaspersky Endpoint Security for Smartphone, Dr.Web Enterprise Security Suite, McAfee Mobile Security for Enterprise, Symantec Mobile Security Suite for Windows Mobile, ESET NOD32 Mobile Security, GuardianEdge Smartphone Protection).
Данные решения предлагают не только антивирусную защиту, но и средства фильтрации трафика через все каналы связи мобильного устройства, средства шифрования, централизованного развертывания и управления. Решение от GuardianEdge включает в себя элементы DLP-системы. Средства ОС с помощью ActiveSync и Exchange Server разрешают удаленное уничтожение данных на устройстве. С помощью Exchange Server можно настраивать политики безопасности на устройствах, такие как использование экрана блокировки, длина пин-кода и прочее.
Выход новых прошивок, содержащих исправления уязвимостей, зависит от производителя устройств, но в целом это происходит крайне редко. Случаи повышения версии ОС также крайне редки.
Windows Phone 7 (WP7) вышла в свет совсем недавно, о корпоративных решениях для защиты этой ОС пока ничего не известно.
SymbianOS
Несмотря на недавний переход Nokia в объятия WP7, Symbian все еще превалирует на рынке мобильных ОС. Приложения для Nokia распространяются в виде sis-пакетов с цифровой подписью разработчика. Подпись самодельным сертификатом возможна, однако это накладывает ограничения на возможности ПО. Таким образом, сама система хорошо защищена от возможной малвари. Java-апплеты и sis-приложения спрашивают у пользователя подтверждение на выполнение тех или иных действий (выход в сеть, отправка смс), однако, как ты понимаешь, злоумышленника это останавливает не всегда – многие пользователи склонны соглашаться со всеми выдвинутыми ОС предложениями, не особенно вчитываясь в их суть.
Симбиан также содержит средства для шифрования карт памяти, возможно использование блокировки со стойкими паролями, поддерживаются Exchange ActiveSync (EAS) policies, позволяющие удаленное уничтожение данных на устройстве. Существует множество решений защиты информации, представленных ведущими производителями (Symantec Mobile Security for Symbian, Kaspersky Endpoint Security for Smartphone, ESET NOD32 Mobile Security), которые по функционалу близки к Windows Mobile версиям.
Несмотря на все перечисленное, существует ряд способов получения полного доступа с подменой файла «installserver», осуществляющего проверку подписей и разрешений устанавливаемого ПО. Как правило, пользователи применяют это для установки взломанного ПО, которое, естественно, теряет подпись после взлома. В таком случае неплохая в целом система защиты ОС может быть скомпрометирована. Прошивки для своих устройств Nokia выпускает регулярно, особенно для новинок. Средний срок жизни аппарата 2-2,5 года, в этот период можно ожидать исцеления детских болезней аппаратов и исправления критических уязвимостей.
iOS
Операционная система от Apple. Для устройств третьего поколения (3gs и старше) поддерживается аппаратное шифрование данных средствами системы. ОС поддерживает политики EAS, позволяет осуществлять удаленное управление и конфигурацию через Apple Push Notification Service, в том числе поддерживается и удаленное стирание данных.
Закрытость платформы и ориентированность на использование Apple Store обеспечивает высокую защиту от вредоносного ПО. Корпоративные средства защиты представлены меньшим количеством компаний (GuardianEdge Smartphone Protection, Panda Antivirus for Mac, Sophos Mobile Control). Причем решение от Panda - это антивирус для десктопа, который может сканировать и iOS-устройства, подключенные к Mac. Решение от Sophos заявлено, но находится в разработке (на момент написания статьи, март 2011 – прим. ред.). Однако, как и в случае Symbian, система может быть скомпрометирована из-за сделанного Jailbreak’a. Недавняя новость о взломе iOS Фраунгоферовским институтом технологий защиты информации - тому подтверждение. Обновление прошивок и закрытие уязвимостей происходит для устройств от Apple регулярно.
AndroidOS
Молодая на рынке мобильных устройств система, детище Google, стремительно завоевала рынок. Начиная с версии 1.6 в ней поддерживается протокол Exchange Activesync, что делает устройства с данной ОС интересными для корпоративного сегмента. Политики EAS (впрочем, далеко не все) также поддерживаются. Шифрование карт памяти средствами ОС не предусмотрено. Существует ряд корпоративных решений для защиты (McAfee WaveSecure, Trend Micro Mobile Security for Android, Dr.Web для Android, заявлены решения от Kaspersky). Приложения распространяются через Android Market, однако ничто не мешает устанавливать их и из других источников. Вредоносное ПО для Android существует, однако при установке ОС показывает все действия, которые требуются для устанавливаемой программы, поэтому в данном случае все зависит напрямую от пользователя (впрочем, указан ные при установке предупреждения все равно никто не читает, большинство вполне легальных программ из Маркета выдают кучу ворнингов на доступ ко всем мыслимым местам системы – прим. ред.).
ОС имеет защиту от модификации, но, как и для Symbian и iOS, возможно получение полного доступа к системе, здесь это называется root. После получения root возможна запись в системные области и даже подмена системных приложений. Обновление прошивок и повышение версий ОС, исправление ошибок и уязвимостей происходит регулярно на большинстве устройств.
Подводя промежуточный итог, можно сказать, что современные мобильные ОС обладают неплохими средствами защиты - как встроенными, так и представленными на рынке. Основными проблемами являются несвоевременность или невозможность получения обновлений, обход защиты самим пользователем, отсутствие корпоративной политики безопасности для мобильных устройств. Из-за различия ОС и их версий не существует единого корпоративного решения, которое можно было бы посоветовать. Но рассмотрим, какие шаги необходимо предпринять для защиты устройств и что учесть при создании политик ИБ.
1. Блокировка устройства.
Представь, что твой смартфон попал в руки к постороннему человеку. Для большинства пользователей это означает, что некто получит доступ сразу ко всему. Необходимо блокировать устройство паролем (стойким или с ограниченным количеством попыток ввода), после которых данные на устройстве затираются или устройство блокируется.
2. Использование криптографических средств.
Необходимо использовать шифрование съемных носителей, карт памяти – всего, к чему может получить доступ злоумышленник.
3. Запрет на сохранение паролей в браузере мобильного устройства.
Нельзя сохранять пароли в менеджерах паролей браузеров, даже мобильных. Желательно установить ограничение на доступ к переписке почтовой и смс, использовать шифрование.
4. Запрет использования менеджеров паролей для корпоративных учетных записей.
Существует множество приложений, созданных для хранения всех паролей на мобильном устройстве. Доступ к приложению осуществляется вводом мастер-ключа. Если он недостаточно стоек, вся парольная политика организации компрометируется.
5. Запрет на установку ПО из непроверенных источников, осуществление «взломов» ОС.
К несчастью, средства для принудительного запрета есть только для Windows Mobile устройств, в остальных случаях придется доверять пользователю на слово. Желательно использовать ПО от крупных, известных разработчиков.
6. Использование политик Exchange ActiveSync и средств антивирусной и прочей защиты.
Если это возможно, позволит избежать множества угроз (в том числе новых), а в случае потери или кражи устройства осуществить его блокировку и уничтожение данных на нем.
7. В случае предоставления доступа в доверенную зону осуществлять тщательный контроль.
Для пользователей, обладающих доступом к доверенной зоне (внутренней сети по VPN, средствами удаленного администрирования), необходимо еще более тщательно следить за выполнением вышеизложенных правил (рекомендовать им использовать IPSEC, не хранить аутентификационные данные в приложениях). В случае компрометации устройства возможна угроза для всей внутренней/ доверенной зоны, что недопустимо.
8. Ограничить список данных, которые можно передавать облачным сервисам.
Современные мобильные устройства и приложения ориентированы на использование множества облачных сервисов. Необходимо следить, чтобы конфиденциальные данные и данные, относящиеся к коммерческой тайне, не были случайно синхронизированы или отправлены в один из таких сервисов.
Заключение
В завершение можно сказать, что для корпоративного применения желательно использовать одну и ту же платформу (а лучше - одинаковые устройства) с установленным ПО корпоративного класса, которое можно конфигурировать и обновлять централизованно. Из текста статьи очевидно, что необходимо разработать и внедрить политику ИБ в отношении мобильных устройств, осуществлять проверки ее исполнения и обязательно использовать Exchange-сервер для задания политик EAS. В данной статье не была рассмотрена BlackBerry OS (ввиду практически полного отсутствия на российском рынке), однако стоит отметить, что данная платформа является корпоративным стандартом во многих странах мира.
