Чем шире используется какая-либо технология из области компьютеров и связи, тем больше вероятности, что она станет предметом интереса хакеров. Именно это произошло с мобильными технологиями, в частности со смартфонами, чья популярность в последние годы лавинообразно выросла: по данным компании ABI Research, в прошлом году во всем мире использовалось 370 млн смартфонов.

Сейчас мобильные приложения часто загружают, не думая об их безопасности, поэтому у хакеров есть практически карт-бланш на совершение атак. «Смартфоны сегодня часто используются для интернет-банкинга, мобильных платежей и передачи конфиденциальных бизнес-данных, в связи с чем эти устройства привлекают к себе все больше злоумышленников», — отмечает исполнительный директор подразделения AT&T по исследованиям в сфере безопасности Густаво де Лос Рейес. «Атакующие могут получить очень ценную добычу — финансовую и личную информацию», — добавляет профессор информатики Университета Пердью Ричард Мислан. Смартфоны могут подключаться к Интернету и отдельным компьютерам для обновления программного обеспечения или синхронизации файлов. И тот и другой вид соединения уязвимы для атак. Вместе с тем производители устройств и операторы беспроводных сетей по традиции развивают только коммуникационные возможности и другие сервисы, а безопасности уделяется лишь второстепенное внимание. «Развитие мобильной безопасности не успевает за ростом популярности платформ Android и iPhone, из-за чего обе они трудны в администрировании для организаций», — полагает Эд Мойл, старший аналитик Security Curve.

Итак, после многих лет предупреждений о неминуемом возникновении потребности в мобильной безопасности наконец действительно появились основания для беспокойства. Согласно статистике, в последние месяцы значительно выросло количество мобильных угроз: вирусов, шпионских программ, вредоносных загружаемых приложений, фишинга и спама. В частности, согласно отчету McAfee Labs об угрозах информационной безопасности за четвертый квартал 2010 года, численность вредоносных программ для мобильных телефонов увеличилась на 46% по сравнению с тем же периодом предыдущего года. «По нашей информации, ежедневно появляется более 55 тыс. новых экземпляров мобильных вредоносных программ», — отмечает Дэйв Маркус, директор McAfee Labs по связи и исследованиям в области безопасности.

Мобильные угрозы

Как видно из рисунка, для мобильных устройств появляется все больше различных угроз безопасности.

Ботнеты

Атакующие создают ботнет, заражая множество систем вредоносным кодом, который жертвы обычно получают в виде прикрепленных файлов либо от зараженных приложений или сайтов. Вредоносы позволяют хакерам удаленно управлять системами, превращенными в «зомби», которым можно отдавать любые команды на совершение коллективных атак. «По каналам управления ботнетами можно также обновлять вредоносный код, чтобы менять его поведение», — уточняет научный сотрудник Juniper Networks Трой Веннон. Простейший пример использования мобильной зомби-сети атакующими — автоматическая отправка с зараженного телефона дорогостоящих SMS или MMS на платные короткие номера. Мошенники при этом аффилируются с владельцами коротких номеров и получают процент от доходов, приносимых атаками, поясняет Брэдли Антсис, вице-президент по технической стратегии компании M86, поставляющей средства безопасности.

 

 

Количество мобильных угроз, особенно рассчитанных на кражу денег, в последние несколько лет стабильно росло

 

Безопасный Android

Всемирная паутина представляет серьезную опасность для пользователей; относительно безопасной остается пока телефонная сеть, однако ее развитие приводит к тому, что и здесь могут появиться те же угрозы, что и в Интернете.

Валерий Коржов

Впервые атаки такого рода стало устраивать семейство вредоносов Yxe, эпидемия которых в 2010 году поразила Китай. В том же году в Голландии появилась вредоносная программа, которая создавала ботнет с использованием уязвимости в «разлоченных» смартфонах (модифицированных их владельцами для снятия ограничений производителей и получения привилегий доступа root к операционной системе). Эта зомби-сеть тоже отправляла платные SMS-сообщения на короткие номера. Еще один мобильный ботнет в 2010 году атаковал европейских клиентов одного голландского онлайн-банка — вредоносная программа содержала командный модуль, который предоставлял атакующему возможность удаленного управления смартфонами жертв.

Компьютеры, участвующие в зомби-сетях, часто используются хакерами для организации атак на отказ в обслуживании, однако крупных случаев организации мобильных DoS-атак на сегодня пока не зарегистрировано.

Вредоносные приложения

Хакеры нередко загружают вредоносные программы или игры в неофициальные супермаркеты приложений для iPhone и смартфонов на платформе Google Android либо каким-то другим способом публикуют их в Интернете. «Вредоносные приложения обычно бесплатны и, как правило, попадают в телефон, поскольку пользователи сами добровольно их устанавливают», — отмечает Пьерлуиджи Стелла, директор по технологиям Network Box, компании, специализирующейся на разработке систем безопасности для Интернета. Попав в телефон, вредоносы крадут личную информацию, например верительные данные, и отправляют их атакующему. Вирусы могут открывать «черные ходы» в системе, устанавливать дополнительные вредоносные программы и создавать другие проблемы владельцу мобильного устройства.

Большинство супермаркетов приложений не требует обязательного наличия у предлагаемых программ электронной подписи разработчика, отмечает Курт Штаммбергер, вице-президент по развитию рынка компании Mocana, поставщика систем безопасности. «До тех пор пока электронная подпись не станет общепринятой практикой, вредоносные программы будут стремительно распространяться на мобильных платформах», — полагает он.

Социальные сети

Барьеры на пути утечек данных

Хищения данных превращаются в одну из наиболее серьезных угроз для информационной безопасности — предотвращение краж данных и несанкционированного доступа к ним рассматривается уже в числе задач национального масштаба.

Леонид Черняк

С ростом использования смартфонов растет и популярность социальных сетей и существует опасность распространения вредоносных программ через вредоносные ссылки. Участники социальных сетей обычно доверяют этим сервисам и, как правило, готовы переходить по ссылкам, публикуемым «друзьями» по сети, невзирая на то что такие ссылки могут быть размещены злоумышленниками. В результате щелчка по такой ссылке на компьютер жертвы может загрузиться вредоносное приложение, с помощью которого хакер сможет размещать в системе троянцы, шпионские программы, открывать черные ходы, а также красть идентификационные сведения и другую информацию. Чтобы спровоцировать жертву на щелчок по ссылке, используется сенсационный заголовок или обещание информации об активно обсуждаемой теме.

Шпионские программы

С помощью доступных в Интернете шпионских программ хакеры могут после «захвата» телефона подслушивать разговоры, просматривать SMS, письма электронной почты и следить за местонахождением пользователя по показаниям GPS.

Большинство шпионских мобильных приложений отправляют перехваченные сообщения или данные о своем местонахождении на специальный сайт, куда хакер может время от времени заходить для просмотра сведений. В некоторых случаях смартфон жертвы может с помощью SMS уведомлять о передаче в систему новых данных.

Вредоносная программа способна создать в телефоне скрытый «командный пункт», с помощью которого хакер дистанционно может незаметно для владельца управлять аппаратом, в результате чего он фактически превращается в подслушивающее устройство.

Авторы вредоносов могут подпольно продавать или бесплатно распространять мобильные шпионы, однако есть компании (ClubMZ, FlexiSPY и Retina-X Studios), которые официально предлагают подобные программы на коммерческой основе. Все они подчеркивают, что их разработки предназначены только для легитимных применений, например для поиска похищенных мобильных устройств, а также для слежения за детьми или для контроля над тем, как выданными аппаратами пользуются служащие компании.

Распространение мобильных шпионских программ запрещено законом в США, однако они продаются на сайтах, хостинг которых осуществляется в других странах, отмечает Саймон Херон, глава британского отделения Network Box.

Bluetooth

Если пользователь неверно настроил Bluetooth, то устройство может сообщать о своем присутствии путем широковещательной передачи, позволять устанавливать с собой несанкционированные соединения и принимать исполняемые файлы. В редких случаях мобильные вредоносные программы, например червь Cabir, пользовались Bluetooth для распространения.

Wi-Fi

Хакеры могут перехватывать связь между смартфонами и в зонах доступа к Wi-Fi, в архитектуре которых имеется фундаментальная уязвимость — нет механизмов шифрования для защиты передаваемых данных. «Когда пользователь впервые подключается к зоне доступа, двухточечное соединение между его устройством и зоной доступа не защищается, поэтому хакер может перехватывать и контролировать трафик», — поясняет Патрик Таг, профессор Университета Карнеги-Меллона. В данном сценарии хакер организует посредническую атаку, перехватывая сеанс связи между устройством и зоной доступа.

Хакер также может создать одноранговую сеть под видом зоны доступа к Wi-Fi, обладающей высоким качеством связи. Поверив, пользователи подключаются к ней, и хакер затем без их ведома может перехватывать все передачи.

Фишинг

Данные под прикрытием

Скорость изменения технологий оказывает самое непосредственное влияние на их суть – для ИТ это информация, фокус обеспечения безопасности которой сегодня неумолимо смещается с традиционной защиты корпоративного сетевого периметра к защите собственно данных.

Наталья Дубова

Риск фишинга на смартфонах такой же, как и на настольных компьютерах, однако многие пользователи доверяют своим мобильным устройствам больше, чем компьютерам, и поэтому более уязвимы для фишинга. Кроме того, привлекательность смартфонов для фишеров увеличивается ввиду отсутствия развитых антифишинговых фильтров и репутационных сервисов для мобильных браузеров. К тому же мобильные устройства особенно заманчивы для фишеров, поскольку позволяют «ловить» жертв не только на письма электронной почты, как в случае с ПК, но также на SMS и MMS.

Все более серьезной проблемой становится фишинг через социальные СМИ, содержащие массу личной информации, которую фишеры могут использовать для повышения эффективности своих атак, полагает Пол Генри, аналитик по безопасности и криминалистике компании Lumension Security.

Традиционные средства безопасности

Для мобильных коммуникаций можно применять те же виды систем безопасности, что и для фиксированных, например антивирусы и межсетевые экраны. В числе поставщиков таких инструментов — компании Fortinet, F-Secure, Juniper Networks, «Лаборатория Касперского», Lookout, Mocana, NetQin, Trend Micro и Trusteer. Большинство предлагаемых программных продуктов действуют во многом подобно аналогам для ПК, например мобильные антивирусы сканируют файлы и сравнивают их с базой сигнатур известных вредоносных программ. Однако, как поясняет Штаммбергер, посколько антивирусам требуется большая вычислительная мощность, они способны «за милую душу съесть весь заряд батареи». Поэтому часто мобильные системы безопасности пользуются облаками для частичной разгрузки процессора проверяемого устройства, указывает Крис Перрет, глава компании Nukona — поставщика систем безопасности.

Сегодня существует всего несколько программ шифрования данных для мобильных устройств, например SecurStar Phonecrypt и Mobile Guardian for Handhelds компании Credant Technologies. Скудость ассортимента таких программ обусловлена сложностью и высокой стоимостью их разработки. «Поскольку доступ к ядру мобильных операционных систем ограничен, криптографические процессы нельзя исполнять на низком уровне, — объясняет Штаммбергер. — Из-за ограниченной мощности процессора, недостатка памяти и быстрой ‘подсадки’ батареи эти приложения нередко медлительны как черепахи».

Другие меры безопасности

Компания MobileIron недавно предложила платформу, на основе которой провайдеры могут создавать закрытые супермаркеты приложений, предназначенные строго для доступа определенным посетителям. Платформа поддерживает возможность назначения политик безопасности, позволяющих ограничивать доступ пользователей и устройств к различным корпоративным приложениям из супермаркета.

Компания AT&T тестирует собственную платформу Smart Mobile Computing, которая реализует функции безопасности, управления мобильными устройствами, виртуального частного шлюза, шифрования, назначения политик и контроля доступа, а также создания виртуальных рабочих столов и облаков. Пользователи платформы смогут создавать для нее произвольные наборы политик безопасности. Недавно в Нью-Йорке открылся Центр исследований безопасности AT&T, в котором работают специалисты в различных областях, таких как информационная безопасность, системы сотовой связи, сети и анализ данных.

По договору о дистрибуции и маркетинге оператор Verizon Wireless будет предлагать своим абонентам ПО мобильной безопасности разработки компании Lookout.

Решения проблемы мобильных угрозищут также производители смартфонов и процессоров. Например, как указал Штаммбергер, инженеры Moсana совместно со специалистами Freescale Semiconductor, IBM, Intel, LG, Motorola и Nokia разрабатывают методы эффективного использования аппаратных средств ускорения шифрования, которые присутствуют в чипах и смартфонах этих производителей. Mocana также предлагает технологию Acceleration Harness, которая упрощает налаживание взаимодействия между мобильными приложениями безопасности, работающими на уровне операционной системы, и аппаратными ускорителями, встроенными в процессоры.

«Мобильная экосистема продолжает развиваться, и хакеры постоянно зондируют ее на уязвимости, — отмечает Амит Клейн, директор по технологиям компании Trusteer. — Поэтому мобильные устройства неминуемо будут все чаще подвергаться тем типам атак, которые традиционно совершаются на настольные системы. Для защиты от этих угроз необходимо уже сейчас вводить в действие системы мобильной безопасности».

«С повышением общественного резонанса от этих атак производители мобильных устройств начнут уделять больше внимания разработке функций безопасности и конфигурационных возможностей корпоративного уровня, — полагает Адриан Стоун, директор по реагированию на инциденты безопасности Research In Motion. — Безопасность необходимо будет учитывать на всех этапах разработки приложения, чтобы сопротивляемость устройств атакам обеспечивалась с самого начала».

***

Со временем люди начнут полагаться на среды постоянно работающих и подключенных к сетям мобильных устройств в самых различных ситуациях, в том числе в критических. Эти устройства должны быть в высшей степени надежны, но сейчас это нереально, и, чтобы появились подобные гарантии, требуется проделать еще много работы.

Нил Левитт (neal@leavcom.com) — президент компании Leavitt Communications.

Neal Leavitt, Mobile Security: Finally a Serious Problem? IEEE Computer, June 2011, IEEE Computer Society. All rights reserved. Reprinted with permission.