Даже если в вашей компании действуют многочисленные правила информационной безопасности, это совершенно не значит, что она полностью защищена от финансовых потерь конфиденциальной и дорогостоящей информации. Особенно это актуально для тех организаций, где сотрудники используют в своей работе смартфоны и коммуникаторы, — ведь именно “умные” терминалы часто являются основным инструментом управления бизнесом на расстоянии. При этом подобные устройства изначально, в отличие от мобильных ПК, поддерживают принцип “постоянного подключения к Интернетe”. В результате при всей их пользе они подвержены значительному риску заражения вредоносными программами. Кроме того, одним из ключевых моментов является безопасность представленных в них данных (от расписания встреч и заметок по деловым контактам до SMS-посланий). Таким образом, всё большую значимость приобретает обеспечение безопасности мобильной инфраструктуры компаний разного уровня с целью защиты передаваемых и обрабатываемых данных.
Типовые “мобильные” проблемы
Телефон “только для звонков” — сегодня крайне ограниченный инструмент ведения бизнеса, подобные модели у корпоративных пользователей уже не популярны. Для оперативного решения вопросов и извлечения информации используются смартфоны и коммуникаторы — устройства, способные полноценно решать задачи среднего “мобильного” пользователя. Имея всего один “навороченный” гаджет, можно не только звонить и посылать SMS-сообщения, но и подключаться к беспроводным сетям, работать с электронной почтой, редактировать документы и электронные таблицы, выходить в Интернет, обмениваться информацией с помощью интернет-пейджеров или VoIP, делать фотографии и записывать видео, управлять контактами, синхронизировать данные с “большим” компьютером и т. д.
“В настоящий момент, — уверен Константин Архипов, — количество угроз для “умных” мобильных телефонов постоянно растет, но пока еще не превратилось в целую лавину, как в случае с компьютерными вирусами”. В целом типология таких вредоносных программ аналогична угрозам для ПК, просто пока они не столь разнообразны, в силу чего их можно разделить на несколько основных типов, ранжировав по степени распространенности.
Первое место — это, как ни банально, риск потери устройства со всеми данными, которые там находятся. При этом, комментирует Константин Каманин, объектом интереса злоумышленников становится, как правило, не само устройство, стоимость которого колеблется от нескольких сотен до нескольких тысяч долларов, а хранящаяся на нем информация (примеров утери персональных данных в США, Великобритании и странах континентальной Европы за последние пару лет набралось предостаточно). При этом цена информации, безвозвратно ушедшей вместе с гаджетом, может в десятки, сотни, а порой и в тысячи раз превосходить стоимость аппарата.
Поскольку современные карты памяти для мобильных терминалов могут вмещать несколько гигабайт данных, на небольшом устройстве может скопиться масса всего интересного, не исключая частную и рабочую SMS-переписку (многие ОС хранят такие сообщения в виде диалогов), а также фотографии со встроенной камеры.
В целом, как отмечает Алексей Смирнов, “карманное устройство — это не маленький ноутбук, а скорее большая флэшка”. Их очень часто теряют вместе со всеми данными, и очень ошибается тот, кто эти данные не шифрует. Хотя к настоящему моменту полное (или “почти” полное, по крайней мере прозрачное для операционной системы) шифрование информации на мобильных устройствах под управлением Symbian и Windows Mobile обеспечивают всего два продукта, ориентированные на корпоративного пользователя: SafeBoot Encryption и PointSec Mobile. При этом в данном сегменте рынка за последние пять-семь лет ситуация заметно ухудшилась: для ныне “устаревших” платформ ассортимент таких программ был значительно шире. Складывается такое впечатление, что почти никто не принимает потребность шифрования всерьез, а программы для “персонального” использования практически отсутствуют, и единственное решение в этом случае — шифровать отдельные файлы приложений.
На второе место попадает риск использования устройства для исполнения различных вредоносных действий. В эту категорию угроз попадают все ситуации, не связанные с “классическими” компьютерными вирусами. К примеру, исполняемый файл с какой-либо полезной программой, загружаемый из стороннего и непроверенного источника, может содержать в себе “троянца”, основной задачей которого будет поиск интересного контента в устройстве и в синхронизированных с ним ПК и отправка этих файлов и контактов на определенный анонимный интернет-сервер. Причем отправка такой корреспонденции чаще всего будет происходить во время очередного выхода в Интернет в фоновом режиме, чтобы не возбуждать у пользователя лишней подозрительности. По информации аналитиков Panda Software, такие программы занимают 54,48% рынка, преобладая над остальными компьютерными инфекциями.
Кроме того, отмечает Алексей Смирнов, установить такую программу на чей-то “умный” терминал злоумышленник может и через Bluetooth, особенно если пользователь включил режим “видимости” своего устройства и склонен бездумно давать подтверждения на запрос потенциально опасных действий — установление доверительных отношений с посторонними устройствами, установку программного обеспечения (включая j2me-приложения) и т. д. Достаточно одного неверного ответа, и злоумышленник незамедлительно получит полный доступ ко всему содержимому смартфона. Кроме того, использование незащищенного Wi-Fi-соединения (отсутствие шифрования и защиты — характерная черта любого публичного хотспота) без дополнительных мер безопасности (к примеру, VPN или применение только веб-приложений, использующих протокол SSL) для входа в корпоративную сеть может опосредованно привести к утечке информации: злоумышленник получит доступ, аналогичный тому, который имеет владелец устройства, и загрузит всю информацию, зайдя в сеть под его учетной записью.
Есть и другие варианты — за счет использования “дырок” в программном обеспечении терминалов, выпускаемых в расчете на конкретных операторов связи в Европе и США. В таких случаях ПО терминалов временами модифицируется: кроме пакета прикладных программ и преднастроенного веб-браузера программисты оператора связи могут оставлять на терминале работающую программу-отладчик с открытыми портами. Дело техники — поместить туда мидлет (небольшую программу), который будет выполнять инструкции злоумышленника, к примеру такие, как отправка по электронной почте всех контактов, записанных в памяти телефона.
Не очень распространенный вариант в настоящее время, но имеющий глобальный потенциал в связи с ростом решений для мгновенной доставки почты (push e-mail), — это сама электронная почта. Более 80% сообщений, получаемых компаниями, сегодня составляет спам, который во многих случаях может содержать вредоносные коды, “троянцев” и другую электронную “заразу”, предупреждает Константин Архипов. Потенциально получение вредоносного кода мобильным пользователем представляет значительный риск для компании и для работы всего персонала.
“Безусловно, набор возможностей, которыми располагает злоумышленник, с ростом “мобилизации” значительно увеличился, — отмечает Константин Каманин. — Помимо обычного “фишинга” и подмены URL-адресов существует риск того, что пользователь, нажав на ссылку “Tel” в сообщении электронной почты, заставит устройство набрать некий платный номер”. Кроме того, “мобильные” операционные системы поддерживают работу с защищенными соединениями (SSL, HTTPS и т. д.) и могут иметь ошибки в реализации упомянутых протоколов, которые неизбежно приведут к снижению безопасности”.
Третий риск — это сами вирусные программы. Причем в отличие от аналогов для персональных компьютеров такие программы действуют иначе. В настоящий момент у них нет глобальной тяги к разрушению (уничтожению информации, форматированию внутренней памяти устройства, удалению контактов и т. д.), их основная задача — финансовый ущерб. “Сегодняшние вирусы способны сохранять и отсылать номера из телефонной книги, предоставлять злоумышленнику удаленный доступ к устройству, расходовать средства с мобильного счета пользователя, отправляя SMS-сообщения на короткие номера контент-провайдеров, полностью блокировать аппарат и т. д.”, — говорит Сергей Невструев. “То есть, — соглашается с коллегой Кирилл Керценбаум, — можно говорить о целенаправленных действиях по хищению важной информации или списанию денежных средств со счета пользователя. Данные угрозы будут и дальше совершенствоваться по мере распространения смартфонов и других подобных устройств, которые все больше вовлекаются в бизнес-процессы”.
Хотя в целом число мобильных вирусов растет не так лавинообразно, как для настольных и мобильных ПК. В августе 2006 г., по словам Александра Гостева, каталог вредоносных программ для мобильных телефонов насчитывал 31 семейство, состоящее из 170 вариантов. В настоящий момент, на конец III квартала 2008-го, к числу платформ, атакованных мобильными вирусами, добавилась одна новая — это терминалы Siemens на открытой платформе S/EGOLD, позволяющей пользователям устанавливать в телефон собственные приложения. Так что сегодня уже шесть основных платформ подвержены заражению, а каталог расширился до 71 семейства и 295 вариантов вирусных программ. На фоне буйного распространения компьютерных вирусов, счет которых уже пошел на сотни тысяч, это немного. “Первое место, — отмечает г-н Гостев, — по активности вирусописателей занимает ОС Symbian, на ее долю приходится 74% всех вредоносных программ (49 семейств, 219 вариантов), причем на продукцию Nokia, которая выпускается под управлением этой ОС, приходится 49—51%. На втором месте кроссплатформенная J2ME (12 семейств, 48 вариантов), на базе которой строятся популярные игры и приложения для обычных терминалов, на третьем (4 семейства, 6 вариантов) оказалась Windows Mobile”.
Что касается iPhone (4% мирового рынка и 20% американского) и Android (по прогнозу — 1% американского рынка к концу 2008-го), то обе платформы значительно отличаются в плане потенциальной вирулентности, полагает Александр Гостев. Если для iPhone заражение наиболее вероятно только в том случае, если пользователь “взломает” свое устройство и установит на него приложения из неофициальных источников, то Android, вероятно, не будет иметь столь жесткой привязки и пользователи “легальных” телефонов смогут ставить всё что угодно. Для этих двух платформ основную опасность будут представлять уязвимости в используемом софте и возможность доступа злоумышленников в мобильную ОС через эти уязвимости.
Прогнозирует начало вирусной эпидемии для мобильных устройств и Алексей Смирнов: “Появление первого же настоящего мобильного вируса — это угроза пандемии, и скорее всего антивирусы, которые сейчас продаются, окажутся бесполезны. Вектором распространения будущей угрозы является протокол TCP/IP, причем наиболее проблемными механизмами здесь окажутся незащищенные соединения по Wi-Fi, текущие “дырки” в протоколе Bluetooth, а также активное транспортное средство — MMS. Не исключена и вероятность мутации — когда вирусы для мобильных ПК и настольных рабочих станций будут создаваться с прицелом на мобильные устройства, которые синхронизируются с этими ПК”.
Безопасность рабочего места
“Действующие правила по ИТ-безопасности нуждаются в модификации и изменениях”, — сокрушаются на многих интернет-форумах специалисты по безопасности компьютерных систем. И, конечно, они правы: многие подобные документы, которые созданы для защиты систем, состоящих из мобильных ПК, рабочих станций и серверов, только в некоторых своих разделах, осторожно и в самых общих чертах добираются до безопасности мобильных устройств. Конечно, в некоторых компаниях и государственных органах власти сотрудники сдают свои мобильные терминалы при входе, используют только защищенные каналы связи, а в отдельных случаях секретное делопроизводство ведется с помощью… не удивляйтесь — старых пишущих машинок. Но эти правила совершенно не подходят для большинства коммерческих организаций, где скорость ввода, анализа и передачи информации порой имеет первостепенное значение.
Поэтому достаточно внедрить и разъяснить сотрудникам всего несколько правил, которые в нынешних условиях снимут как минимум 90% “мобильных” проблем. Ведь помимо технических причин и ошибок реализации, из-за которых и возникают различные уязвимости в программном обеспечении, значительным подспорьем для злоумышленников является неосведомленность пользователей о различных видах угроз, которым подвержены их мобильные аппараты, уверен Константин Каманин. “Этот фактор, на мой взгляд, — добавляет он, — будет оставаться ключевым в вопросе уязвимости мобильных устройств”.
Основным моментом в таких правилах должна быть их простота: всё, что ИТ-отдел может сделать самостоятельно, должно быть сделано без привлечения конечного пользователя. К примеру, отсутствие стандартизации в ИТ-парке любой компании, в том числе применительно к мобильным устройствам, — это уже угроза безопасности. “В первую очередь мы сталкиваемся с тем, — говорит Кирилл Керценбаум, — что разнообразные мобильные устройства могут подключаться к стационарным ПК и становиться источником заражения вирусами, шпионским ПО и т. д. Поэтому компаниям необходимы как возможность контроля функций, так и инструменты для ограничения спектра устройств, которые могут быть подключены к ПК, тогда их проще настраивать и контролировать”.
В дополнение силами ИТ-отдела или аутсорсинговых компаний следует постоянно проводить преднастройку “умных мобильных”, устанавливать четкие наборы ПО, защитные программы и системы шифрования. Немаловажное значение имеет и выбор оператора связи для передачи данных. Кроме того, ИТ-отдел (а не владельцы “умных мобильных”) должен в дистанционном режиме своевременно устанавливать на мобильные терминалы критические обновления, выпускаемые производителями операционной системы и прикладных программ. Это значительно снизит риски проникновения вредоносного ПО, которое может похитить конфиденциальную информацию.
Важно, чтобы ИТ-отдел выпустил короткую, максимально “сжатую” по размеру памятку безопасности и разместил ее в текстовых файлах на десктопах пользователей и в интранете (разовая рассылка обычно бывает неэффективна). Несмотря на то что эти положения, казалось бы, давно известны, судя по результатам недавнего исследования компании Cisco, многие ИТ-отделы их игнорируют. А если сотрудники считают правила безопасности помехой для повседневной работы и не понимают, чем грозит их нарушение (к примеру, отключение Bluetooth, когда он не нужен, отключение пароля для соединения с устройством по беспроводному протоколу передачи данных и т. д.), то очень скоро они перестанут исполнять корпоративный регламент. Не секрет, что многие правила являются типовыми — образно говоря, к таковым можно отнести с десяток пунктов “нельзя…” и различные инструкции по настройке того или иного оборудования. Постарайтесь отойти от этой “замечательной” традиции и учесть такие аспекты информационной безопасности, как управление мобильными и портативными устройствами (смартфонами, флэшками, iPod’ами и т. п.), удаленный доступ (в том числе и к сегментам АСУ ТП), защищенная дистанционная поддержка и аутсорсинг, а также подключения с помощью мобильных модемов, осуществляемые через беспроводную сеть. Кроме того, совсем нелишним будет разъяснить сотрудникам ситуацию с источниками загрузки и установки прикладного ПО на их мобильные устройства: единых электронных магазинов для Symbian и Windows Mobile, где контент проверялся бы на вирусы и ошибки, в отличие от смартфонов Apple и Google, пока нет.
А вот относительно антивирусных пакетов для мобильных устройств общее мнение пока не сложилось. “Ресурсов смартфона или коммуникатора никогда не хватит на полноценную фильтрацию входящего трафика, детектирование и блокирование вредоносного кода, в частности, встроенного в MMS-сообщения. Не стоит тешить себя надеждой по поводу производительности таких устройств и их способности на лету “вырезать” любой нежелательный контент, будь то спам или вирус, — считает Константин Каманин. — Гораздо более логичным и адекватным методом противодействия любым Web-угрозам является функционирование мощного решения по обеспечению безопасной работы с Web-ресурсами в сети провайдера, предоставляющего корпоративным пользователям доступ в Интернет. Именно на стороне провайдера должна быть установлена многоуровневая система очистки почтового и Web-трафика от вредоносного ПО и нежелательной корреспонденции, а никак не на конечном устройстве, которым в данном случае является смартфон или коммуникатор”.
С другой стороны, антивирусное ПО для мобильного терминала должно, конечно, отличаться от версий для “обычных” компьютеров. Тенденция предустановки именно такого, модифицированного ПО в “умных” мобильных сейчас развивается не очень активно, но в ближайшие два-три года ситуация должна измениться, так как данный вид угроз уже станет очевиден для многих. “Подобные продукты будут комплексными, — уверен Кирилл Керценбаум. — Это и сетевой экран, и система предотвращения вторжений, и контроль функций устройства, и антиспам применительно к сервису SMS, и т. д. Объясняется это тем, что “мобильные” угрозы со временем становятся все изощреннее и используют все новые и новые механизмы проникновения с помощью беспроводных сетей и заражения, и справиться с ними стандартными методами очень сложно”. А Сергей Невструев добавляет: “Такой продукт должен работать очень быстро, чтобы не вредить другим функциям телефона (звонкам, например), потреблять минимум памяти, а главное, минимум энергии батарей”. По мнению некоторых аналитиков, антивирусное решение для смартфона может быть в большей степени ориентировано на cab-файлы (файловая библиотека, упакованная архиватором, — стандартная поставка ПО для “умных” мобильных терминалов), а что касается технологий, то на “умных мобильных” возможно использование как сигнатурных, так и эвристических методов: такое решение позволяет снизить трафик обновления, а это является актуальным вопросом для абонентов.
Решения по обеспечению безопасности современных “умных мобильных” в обязательном порядке должны быть комплексными. Мысль о том, что одного антивируса мало, уже на сто процентов подходит и к средствам защиты мобильных устройств.
“Один из важнейших моментов “пассивной” безопасности, — говорит Константин Каманин, — защита данных стойкими паролями. Пользователи очень часто используют примитивные символьные комбинации, которые можно либо интуитивно угадать, либо просто подобрать путем прямого перебора: в качестве пароля, как правило, выступает либо название компании, либо имя (фамилия) владельца устройства, либо кличка домашнего животного. Это очень серьезно бьет по безопасности самих устройств и хранящейся на них информации. Единственный вариант, когда пользователю нечего беспокоиться, это если его кота зовут X>q3%XU4 или, например, Oey№m!CY”. В любом другом случае пароль должен выдаваться системой — благо решений для генерации умеренно сложных символьных комбинаций предостаточно.
Необходимо подобрать и решения, позволяющие шифровать как содержимое карт памяти целиком, так и отдельные папки и файлы на мобильном устройстве. Для защиты данных на смартфонах можно создавать файлы-контейнеры, представляющие собой зашифрованные архивы, куда помещается конфиденциальная информация. Кроме того, для защиты переписки можно использовать электронную цифровую подпись, которая поддерживается большинством современных почтовых клиентов. Интересным может быть и решение по дистанционному уничтожению данных на мобильном устройстве — но не само по себе (поскольку в этом случае оно приносит ложное чувство безопасности), а как дополнение к системе шифрования.
В целом современное решение для безопасности смартфонов и коммуникаторов должно обладать высокой стабильностью и не содержать в себе критических уязвимостей. Разумеется, в реальных условиях такое вряд ли достижимо — скорее всего в этом отношении “повезет” операционным системам и платформам с открытым кодом: это может в значительной мере способствовать повышению их качества.