Число пользователей мобильных телефонов стандарта GSM в мире превысило 1 млрд. Получается, что почти каждый шестой житель планеты является подписчиком услуг мобильной связи.
Сотовые сети стали самым распространенным видом беспроводных коммуникаций, что не может не привлекать к ним внимания мошенников. Основную угрозу для легальных пользователей представляют действия фрикеров, спамеров и создателей вирусов.
Нас пугают
Специалисты предупреждают, что в ближайшее время «мобильные» преступники значительно активизируются, и указывают несколько причин. «В народе» растет популярность смартфонов и других мобильных устройств с расширенным функционалом. По прогнозам IDC, мировой объем поставок таких устройств в 2006 году достигнет 100 млн единиц. Наличие в них встроенного жесткого диска, большого объема памяти, мультимедийных опций, операционной системы позволяет решать множество коммуникативных задач. Но солидный функционал современных смартфонов предоставляет и множество «лазеек» злоумышленникам. По мнению Михаила Кондрашина, руководителя Центра компетенции Trend Micro в России, массовые вирусные эпидемии в области сотовой связи могут возникнуть, когда доля пользователей смартфонов достигнет 30–50% общего числа абонентов.
Дополнительным стимулом к росту мобильных угроз станет унификация абонентских терминалов. Большая часть стремительно распространяющихся смартфонов и КПК функционирует на базе четырех программных платформ — Symbian, Microsoft Windows Mobile, Palm Source и Linux.
А нам не страшно?
Несмотря на опасность перехвата конфиденциальной информации, хищения личных данных и нарушения нормального функционирования мобильных устройств, только единицы пользователей обеспокоены проблемой защиты. Подавляющее большинство абонентов не уделяет вопросам безопасности должного внимания, не считая эти угрозы критичными.
Между тем от действий злоумышленников могут пострадать и абоненты сетей сотовой связи, и операторы, и производители. Пользователям такие инциденты грозят финансовыми потерями, исчезновением значимой информации, подрывом деловой и личной репутации. В компаниях, к тому же, возможны негативное влияние на рабочий процесс, снижение производительности труда мобильных сотрудников и даже масштабная эпидемия во внутренней сети. Операторы рискуют потерять лояльность клиентов, столкнуться со сбоями в работе сервисов из-за перегрузки отдельных элементов сети, со снижением стоимости своих брендов и котировок акций, наконец, с привлечением к ответственности за несоблюдение правил защиты и SLA. Ну а производители могут понести прямые финансовые потери в связи с массовым возвратом инфицированных устройств, а косвенные — из-за негативных отзывов об их продукции.
С уверенностью можно утверждать: в ближайшее время проблема обеспечения информационной безопасности в сетях сотовой связи только обострится. Чтобы свести к минимуму возможные потери от инцидентов и противостоять новым угрозам, игрокам рынка и абонентам необходимо уже сейчас принимать упреждающие меры.
Трафик под подозрением
Алексей Лукацкий, консультант по безопасности компании Cisco Systems, перечислил наиболее серьезные угрозы для пользователей сотовой связи. По его словам, опасность заражения вредоносным контентом становится актуальнее с каждым днем. Первые мобильные вирусы для платформы Palm под названием Phage и Liberty появились в 2000 году, но о массовом распространении такого malware специалисты заговорили лишь летом 2004 года, когда обнаружился вирус Cabir для устройств на базе Symbian. Большинство смартфонов используют именно эту ОС: по оценке Gartner-Dataquest, в 2005 году доля таких терминалов достигла 80,5%.
За два последних года для платформ Symbian и Microsoft Windows Mobile for Smartphones создано несколько модификаций вредоносного кода, среди которых аналитики Trend Micro называют Qdial, Skulls, Velasco, Locknut, Dampig, Flexspy и Onejump. Полгода назад зафиксировано появление троянца Redbrow, который устанавливается самостоятельно как Java-апплет на любой мобильный телефон с поддержкой J2ME, после чего начинает рассылку платных сообщений.
С вирусами тесно связана группа угроз, которые представляют собой текстовые и мультимедийные сообщения для подписчиков услуг сотовой связи. Лукацкий выделяет четыре типа опасных рассылок.
Spamming — это «обычный» рекламный или социальный спам. У большинства пользователей он вызывает лишь раздражение, но в тех странах, где за входящие сообщения приходится платить (Египет и США), с клиентских счетов иногда списываются значительные суммы за непрошенный контент.
Flooding отличается от Spamming значительно большим объемом автоматических рассылок из разных источников. Сообщения типа faking отправляются с подставных адресов SMS-центров, что делает невозможным предъявление претензий мошенникам и обуславливает значительные убытки операторов. Spoofing-спам рассылается с подставных ресурсов контент-провайдера и влечет за собой денежные потери для компаний сотовой связи и абонентов, чьи данные использовались для рассылок. Опасные сообщения нередко содержат вредоносные элементы кода или фишинговые «уловки».
Третья группа угроз ИБ в сетях сотовой связи направлена на перехват голосового трафика. В одном из обзоров, опубликованных в нашем журнале (см. «Сети», 2006, №12, статья «В бесконечном противостоянии»), этой теме было уделено достаточно внимания, поэтому мы не будем на ней подробно останавливаться. Добавим лишь, что реализация атак типа «человек посередине» (то есть незаконное прослушивание трафика при помощи специальных устройств) может нанести серьезный ущерб бизнесменам, политикам, общественным деятелям и другим лицам, осуществляющим мобильную передачу конфиденциальной информации.
Косвенные убытки абонентам может принести и реализация атак на инфраструктуру компании, предоставляющей услуги связи. Но эта группа угроз относится скорее к проблематике обеспечения корпоративной ИБ.
Что могут операторы
Безусловно, главная роль в защите абонентов сетей сотовой связи отводится операторам. Они обязаны обеспечивать высокое качество услуг в соответствии с параметрами SLA, а поддержка ИБ может предлагаться как дополнительный сервис. Кондрашин полагает, что у абонентов услуг сотовой связи уже сегодня могут пользоваться достаточным спросом такие опции, как защита трафика от вредоносного ПО, обеспечение конфиденциальности информации, проверка устройств на наличие уязвимостей и вирусов, управление средствами ИБ.
Российские участники рынка не спешат предлагать сервисы данного класса. По их мнению, для защиты трафика GSM достаточно стандартных алгоритмов А3, А5 и А8. Кирилл Алявдин, пресс-секретарь МТС, сообщил, что серьезного спроса на сервисы мобильной ИБ не ощущается. Тем не менее корпоративным подписчикам, желающим обезопасить контент, оператор совместно с компанией Research In Motion в ближайшее время начнет предоставлять услуги на базе платформы BlackBerry. Использование устройств BlackBerry позволит абонентам работать в защищенном режиме с электронной почтой, Internet-браузером, текстовыми сообщениями и гарантировать конфиденциальность переговоров.
По мнению Лукацкого, в сферу компетенции оператора мобильной связи должен входить контроль над передаваемым по сети контентом, предполагающий проверку протоколов HTTP, WAP, SMS, MMS, EMS на наличие вредоносных элементов. Особое внимание необходимо уделять инспекции и предотвращению атак с использованием протоколов GTP и Mobile IP, IEEE 802.11 и 802.16, ОКС7. Для этого подойдет высокопроизводительный межсетевой экран, учитывающий особенности перечисленных протоколов. Комплексная система ИБ оператора должна также включать в себя списки контроля над доступом, механизмы ограничения полосы пропускания, защиты протоколов маршрутизации и блокирования атак.
Сейчас в фокус внимания служб безопасности сотовых операторов попали подозрительные сообщения. Для борьбы с ними операторы могут вести «черные списки» SMS-центров, фильтровать содержимое текстов по ключевым словам, ограничивать количество передаваемых посланий, использовать оборудование SAS (SMS Antispam Screening — экран для фильтрации SMS в режиме реального времени). В японской компании NTT DoCoMo, например, число допустимых сообщений с одного адреса не превышает 100 в день. Блокировать мобильный спам при роуминге значительно сложнее: может потребоваться интеграция основного МСЭ (например, Cisco ITP) с внешними экранами фирм LogicaCMG, Openmind Networks, eServ Global Ferma SAS.
Есть мнение, что для эффективной защиты абонентов необходимо полностью контролировать содержимое входящих и исходящих сообщений. Часть британских операторов еще в 2003 году подписала соглашение, предусматривающее социальную ответственность за безопасность клиентов. А T-Mobile планирует контролировать содержание переписки всех своих pre-paid абонентов. Однако, например, в Голландии закон запрещает операторам просматривать сообщения, считая это вмешательством в частную жизнь. В ряде других европейских стран законодательство также препятствует контролю над контентом, но в России таких ограничений пока нет, так что игрокам рынка пора задуматься над этим вопросом.
Для предотвращения попадания вредоносного кода в информационную систему Лукацкий рекомендует установить на входе в корпоративную сеть антивирус, который может контролировать разные протоколы мобильных коммуникаций, включая HTTP, SMTP, Instant Messaging, SMS, MMS и WAP. Для защиты корпоративной почты служат средства SSL.
Защитимся сами
Пользователи мобильных устройств в силах самостоятельно уменьшить риск заражения своих устройств вредоносным контентом. Для этого необходимо просто отключать модуль Bluetooth и инфракрасный порт, особенно в местах массового скопления людей. Следует принимать и открывать файлы, присланные только из достоверных источников. Получив подозрительное сообщение, не стоит сразу на него откликаться.
Для обеспечения безопасности терминалов мобильной связи специалисты советуют устанавливать специальное ПО. Сейчас предлагается несколько видов таких решений — в основном предназначенных для блокирования вредоносного контента. Отдельные компоненты анти-malware реализованы в мало известных на отечественном рынке разработках avast! Smartphone Edition, MobiAntiVirus, Simworks Anti-Virus, Zeon Anti-Virus. Более широкий функционал, ориентированный на смартфоны на базе Java, Symbian и Windows Smartphone 2003, предлагает российская компания StarForce. В состав продукта StarForce Mobile входят два модуля — проверки лицензий (DRM Agent) и утилиты обфускации (Obfuscator). Последний усложняет анализ и прочтение кода приложения.
Оптимальные наборы механизмов для блокировки вредоносного контента имеют лишь несколько решений. Среди них стоит выделить новое средство Trend Micro Mobile Security 3.0, поддерживающее ОС Windows Mobile 5.0 (Smartphone & PocketPC) и Symbian. В его состав входят МСЭ, компоненты для обнаружения вторжений и антиспам-модуль. Решение характеризуется гибкими настройками, предусматривающими установку пользователем разных уровней безопасности. Консоль управления Trend Micro Mobile Security 3.0, устанавливаемая у оператора, позволяет отслеживать степень защищенности устройств и при необходимости отправлять SMS-уведомления.
Подобным арсеналом располагает и антивирус «Лаборатории Касперского» для Microsoft Windows Smartphone 2003, предусматривающий удаление из памяти устройств зараженных объектов. «Лаборатория» совместно с контент-провайдером «Связной Загрузка» предлагают услугу установки антивирусного ПО для смартфонов на базе Symbian.
Хорошие возможности обеспечивает решение Symantec Mobile Security, располагающее помимо функций защиты от вредоносного кода персональным МСЭ. Главным отличием продукта F-Secure Mobile Antivirus от разработок конкурентов является возможность рассылки обновлений продукта по каналам SMS. Остальные используют для этого Internet-GPRS.
Решение с высокой степенью защищенности для мобильных устройств, поддерживающих ОС Windows Mobile Smartphone, предлагает австралийская компания SecureGSM. Клиенты, которые установили на смартфоны либо коммуникаторы инструментарий SecureGSM Pro или SecureGSM SP, получают возможность проводить закрытые для прослушивания сеансы связи и передавать сообщения, защищенные тройным 256-битным шифрованием.
Серьезные меры
Производители мобильных устройств, обеспокоенные ростом киберпреступности, решили объединить усилия по защите клиентов. Более года разрабатывались стандарты Mobile Security Specification (MSS), в чем-то аналогичные спецификациям Trusted Network Connect (TNC), которые созданы альянсом Trusted Computing Group для защиты ПК, серверов и локальных сетей.
Официальная презентация MSS состоялась на выставке CTIA Wireless I.T. & Entertainment, прошедшей нынешней осенью. Основным требованием новой спецификации к аппаратному обеспечению является поддержка возможности хранения секретной информации в защищенной области телефона Mobile Terminal Module (MTM). Как и Trusted Platform Module, используемый в ПК, MTM позволит защитить системы от постороннего вмешательства со стороны ОС и приложений. Благодаря этому сетевые операторы смогут гарантировать, что украденные телефоны не станут работать в их сети. Стандарт уже приняли на вооружение компании Nokia, Samsung Electronics и France Telecom, которые намерены в ближайшее время предложить готовые решения на базе спецификации MSS.
Кроме того, в сетях сотовой связи можно использовать технологию NAC (этот аналог TNC предложен Cisco Systems). По мнению Лукацкого, принцип действия NAC в инфраструктуре мобильного оператора будет аналогичным функционированию в обычной сети на базе ПК и серверов. При попытке осуществить соединение любой абонент должен пройти аутентификацию и проверку уровня защищенности (наличие антивируса, актуальность антивирусной базы, настройки подсистемы и т.д.). Положительный результат позволит получить полный доступ к сети в рамках отведенных привилегий. В случае отрицательного результата работа терминала будет заблокирована полностью или частично, а устройство перенаправят на карантин.
Итак, приходится констатировать, что рынок средств мобильной безопасности пребывает в зачаточной стадии. Однако специалисты предрекают ему стремительный рост: если в 2003 году его объем, по данным IDC, составлял 70 млн долл., то к 2008 году эта цифра должна вырасти до 993 млн долл. Поскольку российские показатели, как обычно, отстают от западных, активизации деятельности производителей ПО и операторов связи в этом направлении стоит ждать года через полтора. Зато к тому времени мобильные пользователи осознают, что им необходима защита, а операторы начнут предлагать адекватные сервисы.
График появления мобильных вирусов
