http://www.risc.today/

1. Человек и
смартфон
Друзья или
враги!?
БЕЗМАЛЫЙ ВЛАДИМИР
MVP CONSUMER SECURITY
MICROSOFT SECURITY TRUSTED ADVISOR
KASPERSKY LAB CERTIFIED TRAINER
CYBERCOP@OUTLOOK.COM
HTTP://BEZMALY.WORDPRESS.COM

2. Угрозы и риски использования
мобильных устройств
2

3. Утеря, кража 3

4. Что же хранят наши смартфоны?
 Компания ESET провела опрос посетителей и
участников выставки IT EXPO 2014 в Лондоне.
 Утеря мобильного устройства с корпоративной
информацией у 46% пользователей подвергнет риску
их компании.
 22% опрошенных не используют средства
дистанционного удаления данных на мобильных
устройствах, несмотря на то что многие из них хранят в
памяти смартфонов компромат на себя.
4

5. Продажа б/у смартфона
 В ходе эксперимента на торговой
площадке eBay было куплено 20
смартфонов на базе Android.
 В ходе восстановления было найдено
более:
 40 000 фотографий;
 1500 семейных фотографий детей;
 750 фотографий женщин в
различной степени раздетости;
 1000 результатов поиска в системе
Google;
 750 e-mail и текстовых сообщений;
 250 имен контактов и электронных
адресов.
 Вы хотите сказать, что ваши старые
фотографии и сообщения никому не
нужны?
5

6. Как не подвергать риску данные на
мобильном устройстве при его
передаче в чужие руки  Создайте резервную копию
 Выберите «Настройки»,
«Основные», «Сброс», а
затем «Стереть контент и
настройки».
 Если на устройстве
установлена iOS 7 и
включена функция «Найти
iPhone», потребуется ввести
идентификатор Apple ID и
пароль.
 Это позволит новому
владельцу активировать
устройство.
6

7. Как не подвергать риску данные на мобильном
устройстве при его передаче в чужие руки
 При первом включении устройства новым
владельцем «Ассистент настройки» поможет
завершить процесс настройки устройства.
Важно! Не удаляйте вручную контакты, календари, напоминания,
документы, фотопотоки и другие данные iCloud, когда вы
подключены к учетной записи iCloud, поскольку в этом случае
содержимое также будет удалено с серверов iCloud и всех ваших
устройств с поддержкой iCloud
7

8. Если вы по какой-то причине
этого не сделали, вам придется
 Попросить нового владельца стереть весь контент и
настройки, как указано выше.
 Если вы используете iCloud и функция «Найти iPhone»
включена, можно стереть данные удаленно и удалить
устройство из своей учетной записи.
 Для этого зайдите на сайт icloud.com/find, выберите
свое устройство и нажмите кнопку «Стереть». Удалив
данные с устройства, нажмите кнопку «Удалить из
учетной записи».
8

9. Если вы по какой-то причине
этого не сделали, вам придется
 Если не удается выполнить предложенные действия,
измените пароль своей учетной записи Apple ID. Изменение
пароля не удаляет какие-либо личные данные, хранящиеся
на устройстве, но делает невозможным удаление
информации из iCloud новым владельцем.
 Если вы все же решите удалить данные на вашем устройстве
в случае его утери удаленно, то учтите, что пользователи
Apple iOS могут использовать бесплатную утилиту Find My
iPhone.
 Аналогичная функция существует для Android в приложении
Google Settings.
9

10. Шифрование устройства
 Кроме того, вы можете
зашифровать свои
данные на смартфоне
или планшете.
Устройства под
управлением iOS будут
зашифрованы
автоматически при
включении PIN-кода.
 Пользователи Android
выполняют шифрование
вручную.
10

11. Угрозы вредоносного ПО и
фишинг
 Рассылка платных SMS.
 Звонки на платные номера.
 Рассылка спама.
 Возможность прослушки (а то и подглядывания) за
вами.
 Превращение вашего телефона в подслушивающее
устройство.
 Рассылка вредоносного ПО.
11

12. Угрозы вредоносного ПО и
фишинг
 Организация DDos-атак.
 Фишинг.
 О вредоносном ПО, особенно под Android, сегодня написаны уже тысячи
статей. И что? Пользователи как не пользовались антивирусами, так и не
пользуются. Более того, не так давно прошедшая на Украине эпидемия
мобильных зловредов показала, насколько люди беспечны. Вредоносное ПО
проходило по СМС и для его запуска требовалось, чтобы пользователь сам (!)
перешел по вредоносной ссылке. Результат? Более 60 000 заражений.
 Довольно широко используемым способом заражений на сегодня является
заражение с помощью QR-кодов. Людям свойственно больше доверять
печатной рекламе, чем электронной, а заразиться с помощью QR-кодов?
Большинство об этом даже не подозревает.
12

13. Думайте! 13

14. Фишинг. Что делать?
 Android
Антивирусные средства с облачной
составляющей для проверки веб-страниц
 iPhone, Windows Phone 8.1
Применение специализированного
антифишингового браузера. Например,
Kaspersky Safe Browser (бесплатно)
14

15. Думайте! 15

16. Думайте! 16

17. Фальшивые QR-коды как инструмент
мобильного фишинга
 QR-код (Quick Response — «быстрый отклик») может содержать любую
текстовую информацию, в том числе ссылки на интернет-источники. QR-код
можно повсеместно встретить на рекламных щитах и листовках, в магазинах,
на веб-сайтах, билетах и т. д.
 Пользователь смартфона, фотографируя QR-код, должен понимать, что
ссылка может привести его на страницу вредоносного приложения. Сегодня
все более популярны мошеннические схемы, связанные с QR-кодами.
Например, не редкость, когда злоумышленники аккуратно наклеивают свой
вредоносный QR-код поверх оригинального. Это явление получило название
QRishing по аналогии с фишингом.
 Несложно представить, насколько опасен QR-код, наклеенный
в общественном месте и содержащий вредоносную ссылку.
17

18. Фальшивые QR-коды как инструмент
мобильного фишинга
 Проблема осложняется тем, что, когда вы используете смартфон или даже
планшет, вы далеко не всегда можете увидеть полную адресную строку, что
существенно затрудняет понимание того, действительно ли это правильная
страница или это фишинговый сайт.
 Специфика смартфонов в том, что мобильные браузеры выводят на экран
только одно окно браузера за один раз. Браузеры Android и iOS выводят
на экран URL текущего окна в верхней строке экрана. Однако веб-сайты могут
скрыть панель URL, как только страница загрузилась.
 Если целевой веб-сайт скрывает свою панель URL, то мобильное приложение
может загрузить фишинговый веб-сайт в браузере. На сегодня многие
защищённые паролем веб-сайты, например Amazon, Facebook, скрывают
свои URL.
18

19. Заражение QR-кода
http://bezmaly.wordpress.c
om
http://bezma1y.wordpress.c
om
Вы различите? Я – нет!
19

20. Что делать?
 Использовать защищенный QR-Scanner
 В частности, сканер от Лаборатории
Касперского
 Android
 https://play.google.com/store/apps/details?id=com.kaspers
ky.qrscanner
 iPhone
 https://itunes.apple.com/us/app/kaspersky-qr-
scanner/id948297363?mt=8
20

21. Что делать, чтобы избежать
проблем?
 Пользователям:
 Перед сканированием убедитесь, что
QR-код не наклеен поверх другого.
 После того, как в браузере вы откроете
страницу по QR-коду, убедитесь, что
это действительно тот сайт и та
страница, куда вы хотели попасть.
 Установите на ваш смартфон
приложения, которые могут проверять
сайты на вредоносное содержимое.
Особенно это важно для смартфонов
на базе Android, ведь для них
существуют десятки тысяч вредоносных
приложений.
 Пользователям iOS и Windows Phone 8.1
не стоит обольщаться. Проблема
фишинга актуальна для пользователей
любых мобильных ОС.
21

22. Что делать, чтобы избежать
проблем?
 Предприятиям:
 Сотрудник, который знает, что такое фишинг,
имеет меньшую вероятность пропустить
фишинговую атаку, подвергнув опасности
данные компании.
 Фишинг может использоваться как один из этапов
в атаке, направленной на вашу компанию.
Нередко цель такой атаки — воровство денег
вашей компании, корпоративный шпионаж или
хищение персональных данных сотрудников.
Именно поэтому крайне важно использовать
комплексные решения по обеспечению
безопасности. Лучшим вариантом решения
будет антивирусный продукт, имеющий
репутационные технологии проверки веб-
страниц.
22

23. QR Scaner 23

24. Что делать?
 Установите ПИН-код для доступа к вашему смартфону
(планшету)
 Будьте внимательнее, набирая ПИН-код. Скрывайте это от
окружающих
 Защитите ваши приложения
 Не все приложения одинаково влияют на вашу безопасность.
 Банковские приложения, кошелек, в котором вы храните ПИН-
коды и номера ваших платежных карт, без сомнения,
заслуживают дополнительной защиты отдельным ПИН-кодом.
 Не забывайте об этом, пожалуйста. Естественно, пароль к
телефону и пароль к кошельку должны быть разными.
24

25. Что делать?
 Запретите установку ПО из неизвестных
источников
 Не забудьте предварительно установить
антивирусное ПО
 Запретите режим отладки USB
 Не забудьте об установке обновлений
25

26. О рисках использования
кастомизированных прошивок и ПО из
неизвестных источников
 Ко мне обратился знакомый. У него один раз в неделю уходила со счета небольшая сумма. Однако
регулярно. После обследования мобильного телефона выяснилось, что родным языком прошивки был...
арабский. Телефон был куплен с рук. Предварительно смартфон был перепрошит на рынке. И сразу же
в прошивку был добавлен троян, который один раз в неделю отсылал СМС на платный номер. Всего-то
полдоллара. А сколько таких телефонов?
 В ноябре 2014 г. в ходе проведения оперативно-розыскных мероприятий сотрудники управления «К» МВД
задержали преступную группу, в которую входили три молодых человека. Организатор противоправного
бизнеса, уроженец Казахстана, принимал заказы, встречался с клиентами, а также проводил мастер-
класс по установке программы. Уроженец Йошкар-Олы дорабатывал вредоносную программу для
мобильников, занимался продвижением специально созданного для противоправных целей интернет-
ресурса и рекламой, а третий участник группы, уроженец Москвы, являлся курьером.
 Группа действовала на территории Московского региона более четырех лет. Злоумышленники продавали
вредоносную программу клиентам за 550 евро и за указанный период реализовали более 1000
мобильных телефонных аппаратов с установленным вредоносным ПО. Доход, полученный преступным
путем, составил свыше 25 млн. руб.
26

27. Как избежать прослушивания или
фальсификации звонков
 Когда говорят о рисках применения смартфонов — прежде всего упоминают о
вредоносном ПО и утрате (хищении) смартфона. Но ведь существует угроза
прослушивания вашего смартфона и даже несанкционированного съема
информации с микрофона вашего смартфона во время совещания. И мало кто
задумывается, что в наше время очень опасной угрозой является формирование
компромата, произносимого вашим голосом.
 Современные технические средства обеспечивают дистанционное включение
микрофона и камеры телефона, что приводит к несанкционированному
прослушиванию разговоров и несанкционированной фото- и видеосъёмке.
 Можно выделять гармоники сигнала микрофона с антенны мобильного телефона и
перехватывать их до того, как сигнал будет принят ближайшей GSM-станцией.
Кроме того, риски несет бесконтактная связь и хакерство в непосредственной
близости от мобильных телефонов, оборудованных модулями NFC (Near Field
Communication).
27

28. Ложные базовые станции
 Специальное устройство,
называющееся «ловушка
IMSI» (International Mobile
Subscriber Identity —
уникальный идентификатор,
прописанный в SIM-карте),
притворяется для
находящихся поблизости
мобильных телефонов
настоящей базовой
станцией сотовой сети.
По сведениям The Wall Street Journal, департамент юстиции США собирает данные с тысяч мобильных
телефонов американских граждан посредством устройств, имитирующих сотовые вышки. Эти приборы,
известные как dirtbox, размещены на борту самолетов Cessna и предназначены для поимки лиц,
подозреваемых в совершении преступлений. Согласно утверждениям знакомых с проектом источников,
эта программа находится на вооружении службы маршалов США (U.S. Marshals Service) с 2007г. и
охватывает большую часть населения страны.
28

29. Ложные базовые станции
 60-сантиметровые dirtbox имитируют
сотовые вышки крупных
телекоммуникационных компаний и
«выманивают» уникальные
регистрационные данные мобильных
телефонов. Технология, которой
оснащено устройство, позволяет
оператору собирать идентификационные
данные и информацию о геолокации с
десятков тысяч мобильников всего за один
полет Cessna. При этом даже наличие
функции шифрования в телефоне не
предотвратит этот процесс.
Более того, с помощью ловушек IMSI на телефон могут посылаться ложные звонки или SMS,
например, с информацией о новой услуге ложного оператора, в которых может содержаться
код активации микрофона мобильного телефона. Определить, что у находящегося в режиме
ожидания мобильного телефона включён микрофон, очень сложно, и злоумышленник
спокойно может слышать и записывать не только разговоры по телефону, но и разговоры в
помещении, где находится мобильный телефон.
29

30. Прослушивание
 Шифрование в сетях GSM не помогает защитить переговоры от
перехвата. Потому нужно заранее продумать вопросы защиты
отправляемых текстовых (SMS, различные IM-месенджеры) и
почтовых сообщений.
 Записывать разговоры можно разными способами. Так,
сегодня есть трояны, записывающие переговоры с микрофона
вашего ПК и изображение с его видеокамеры. А завтра?
Завтра, думаю, появятся соответствующие трояны и для
смартфонов. Фантастика? Ничуть.
 Защищаться программными средствами от подслушивающих
устройств очень сложно. И если на ПК вы еще можете
надеяться, что у вас нет трояна, то на смартфоне... А тем более
в помещении... Я бы не стал.
30

31. Прослушивание
 Бегать на улицу и говорить там? А где гарантия что на вас не
идет охота с помощью направленного микрофона?
 Сегодня у многих руководителей любимым смартфоном
является iPhone. Но не стоит забывать, что весьма популярным
способом прослушки является подаренный «жертве» смартфон
с предварительно настроенным шпионским ПО.
 Современные смартфоны предлагают множество средств для
записи разговоров и текстовых сообщений, а спрятать
программу-шпион в системе весьма просто. Особенно если
вы приобрели так называемый перепрошитый смартфон.
iPhone вообще позволяет записывать все происходящее и
выгружать полученный архив через встроенные сервисы.
Согласитесь, находка для шпиона.
31

32. Проблема шифрования в сетях
GSM
 В свое время Джеймс Моpан, директор подразделения,
отвечающего в консорциуме GSM за безопасность и защиту
системы от мошенничества заявлял: «Никто в мире не
продемонстрировал возможность перехвата звонков в сети GSM.
Это факт... Насколько нам известно, нет никакой аппаратуры,
способной осуществлять такой перехват». Но действительно ли это
так?
 Основа системы безопасности GSM — три секретных алгоритма,
которые сообщаются лишь поставщикам оборудования,
операторам связи и т. д.
 A3 — алгоритм авторизации, защищающий телефон от клонирования;
 A8 — служебный алгоритм, который генерирует криптоключ на основе
выходных данных алгоритма A3;
 A5 — алгоритм шифрования оцифрованной речи для обеспечения
конфиденциальности переговоров.
32

33. Проблема шифрования в сетях
GSM
 На сегодня в GSM-сетях используются две версии алгоритма А5:
A5/1 и А5/2. В странах Западной Европы и США используется
алгоритм А5/1, а в других странах, в том числе России — А5/2.
Несмотря на то что алгоритмы А5 были засекречены, уже к 1994 г.
стали известны их детали. На сегодня об алгоритмах шифрования
GSM известно практически все.
 В A5 реализован поточный шифр на основе трех линейных
регистров сдвига с неравномерным движением. Такой шифр
зарекомендовал себя как весьма стойкий при большой величине
регистров и некоторое время использовался в военной связи.
 В A5 используют регистры в 19, 22 и 23 разряда, в совокупности
дающие 64-разрядный ключ. Притом, что длина шифра небольшая,
вскрыть его «на лету» (а этого требует сама задача прослушки) не
под силу даже довольно мощным компьютерам, т. е. при должной
реализации протокол связи GSM может иметь неплохую
практическую защиту.
33

34. Проблема шифрования в сетях
GSM
 Еще в 1992 г. приказом Минсвязи № 226 «Об использовании
средств связи для обеспечения оперативно-розыскных
мероприятий Министерства безопасности Российской
Федерации» было установлено требование обеспечить полный
контроль за абонентами любых средств связи (в том числе
мобильной).
 Видимо, поэтому в 64-разрядном ключе 10 разрядов просто
заменены нулями. Кроме того, из-за многочисленных
конструктивных дефектов стойкость шифра находится на
уровне 40-разрядного, который легко может быть вскрыт любым
современным компьютером за пару секунд.
34

35. Проблема шифрования в сетях
GSM
 Таким образом видим, что возможность прослушивания любого
абонента в сетях GSM — это не только реальность, но и норма,
закон (кроме прослушивания, выписана индульгенция на
определение местоположения, фиксацию номера и многие
другие «сервисы»).
 И ответ на вопрос, можно ли прослушать абонента сети GSM,
найден. На сегодняшний день в Интернете выложено множество
программ для взлома защиты протоколов связи GSM,
использующих разные методы.
 Однако стоит учесть, что для расшифровки вы вначале должны
перехватить соответствующий сигнал. На в мире уже
существует около 20 популярных видов оборудования для
прослушки трафика в сетях GSM.
35

36. Фальсификация речи абонентов
с целью их компрометации
 Мало того, что вас могут прослушать. Ваш голос можно просто подделать,
сформировав предложения, которые вы никогда не произносили. Доказать
же потом, что это не вы, чрезвычайно сложно. Так, американские ученые из
лаборатории компании AT&T разработали совершенно новую технологию
синтезирования человеческих голосов. Программа может разговаривать
любым голосом, опираясь на его предварительную запись. Кроме того, она
копирует интонации и характерные особенности произношения,
свойственные образцу.
 Что делать? Опять же на помощь придут системы шифрования.
 Программное шифрование. На самом деле шифрование телефонных
переговоров чаще всего сводится к передаче голосового трафика через
Интернет в виде шифрованного трафика. Чаще всего при этом
шифрование осуществляется программным путем с использованием
ресурсов вашего смартфона.
 Несмотря на то что программный метод имеет ряд достоинств, ему же
присущ и ряд недостатков, которые, на мой взгляд, значительно превышают
его достоинства.
36

37. Кража личных данных 37

38. Учетная запись родителей –
пропуск в мир взрослых
38

39. Достоинства программного
шифрования
 легкость установки;
 использование одного смартфона.
39

40. Недостатки программного
шифрования
 Необходим достаточно мощный смартфон, чтобы
справляться с шифрованием-расшифровыванием
голосового потока;
 Дополнительная нагрузка на процессор будет
способствовать более быстрой разрядке
аккумулятора, а так как сегодня редкие смартфоны
способны отработать более суток в режиме
разговора, это приведет к тому что вам придется
постоянно заряжать ваш смартфон;
 Риски применения вредоносного ПО;
40

41. Недостатки программного
шифрования
 Необходимость полного невосстановимого стирания
данных на смартфоне перед его заменой. В
некоторых случаях это возможно лишь в условиях
сервисного центра;
 Более медленное по сравнению с аппаратной
реализацией шифрование потока;
 Нуждается в соединении 3G и более
высокоскоростном, иначе значительно падает
качество расшифрованного голосового сигнала.
41

42. Аппаратное шифрование
В настоящее время уже существуют
аппаратные шифраторы, подключаемые
по каналу Bluetooth к вашему телефону
(в данном случае может использоваться
не только смартфон, а любой мобильный
телефон даже без наличия
операционной системы, главное, чтобы
он обеспечивал устойчивую связь по
Bluetooth).
42
При этом речь шифруется и дешифруется в соответствующем аппаратном модуле.
Зашифрованные данные передаются по Bluetooth в мобильный телефон абонента и затем через
сеть GSM сотового оператора другому абоненту. Шифрование непосредственно в аппаратном
модуле исключает перехват незашифрованной речи и возможность утечки информации по вине
сотового оператора. Аппаратные шифраторы неуязвимы для вредоносного ПО, поскольку они
работают под управлением своей уникальной ОС.

43. Аппаратное шифрование
 Зашифрованная речь передаётся через сеть
GSM сотового оператора на мобильный
телефон второго абонента и затем по каналу
Bluetooth на его шифратор, где происходит
дешифрование. Дешифровать речь может
только абонент, с которым ведется разговор,
поскольку для связи с каждым абонентом
предусмотрен свой ключ шифрования.
 Естественно, это затрудняет перехват речи.
Причем даже если микрофон вашего
смартфона будет включен
несанкционированно внешним
злоумышленником, то аппаратный шифратор
кроме всего обладает функцией подавления
микрофонов, и злоумышленник услышит
просто белый шум вместо разговора.
43

44. Crypto Voice Over GSM 44
Видео предоставлено
компанией
Mobile Trust Communications
http://www.mttgroup.ch/

45. Достоинства аппаратного
шифрования
 Быстродействие;
 Неподверженность атакам вредоносного ПО;
 Невозможно снять сигналы речи с микрофона
смартфона, так как в процессе работы
микрофон перехватывает только белый шум,
генерируемый аппаратным шифратором;
 Не требует ресурсов смартфона, а
следовательно, не влияет на его разряд.
45

46. Недостатки аппаратного
шифрования
 Вам придется носить в кармане два
устройства (собственно смартфон и
шифратор);
 Более высокая цена аппаратного
шифрования по сравнению с
программным.
46

47. Почему мобильные приложения суют свой
нос куда не надо, и как с этим бороться
 Устанавливая то или иное приложение, пользователи
весьма редко обращают внимание на то, какое
приложение и куда требует доступ. Вспомним
нашумевшую в свое время игру Angry Birds. А знаете ли вы,
что данная игра весьма активно использовала данные
о вашем местонахождении? А теперь вопрос: зачем?
Более того, установить эту игру без предоставления доступа
к данным геолокации было просто невозможно.
 Как показало исследование, проведенное Carnegie Mellon
University, у огромного количества людей нет понимания
того, какие конфиденциальные данные владельцев
собирают и отдают третьим лицам их смартфоны. Целью
исследователей было получить ответ на вопрос, а можно ли
что-то сделать, чтобы заставить пользователей сильнее
заботиться о своей конфиденциальности?
В ходе исследования использовалось ПО, передававшее пользователю сведения о том, к какой
информации установленные на его смартфоне приложения получали доступ. Как заявил один
участник исследования, его персональные данные были прослежены 4182 раза только
на протяжении двух недель. В результате пользователь заявил, что очень страшно осознавать, что
вы сопровождаетесь своим собственным телефоном.
Страшно осознавать, что вы сами носите с собой мобильного шпиона.
47

48. Почему мобильные приложения суют свой
нос куда не надо, и как с этим бороться
 В исследуемой группе две дюжины пользователей Android,
видевших какие приложения как часто получали доступ
к данным, могли изменить соответствующие настройки для
обеспечения конфиденциальности.
 В частности, за 14 дней десять приложений совместно
использовали данные геолокации 5398 раз. Такие данные
используются для того, чтобы соответствующие приложения
могли «угадать» желания пользователя, например, показать
целевую рекламу или ответить на вопрос, какой будет погода
на следующий день.
48

49. Почему мобильные приложения суют свой
нос куда не надо, и как с этим бороться
 Конечное решение проблемы, скорее всего, будет
за программным обеспечением, изучающим предпочтения
пользователя в области конфиденциальности и выборочно
участвующим в диалогах с пользователем, чтобы помочь
полуавтоматически сконфигурировать многие из таких
настроек.
 Как указывают исследователи, сегодня возможно предсказать
мобильное предпочтение конфиденциальности приложения для
пользователя с более чем 90%-ной точностью, основанной
на ответах только на несколько связанных
с конфиденциальностью вопросов.
49

50. Почему так сложно улучшить
безопасность мобильных приложений
 Согласно результатам опроса 640 специалистов, проведенного Ponemon
Institute по заказу IBM, только 29% респондентов сообщили, что их компании
имеют необходимые ресурсы для решения проблем безопасности,
и только 14% высоко оценили возможности своих компаний в решении этой
проблемы.
 82% респондентов считают, что рост использования мобильных приложений
является серьезным фактором роста угроз безопасности;
 77% респондентов считают основным фактором, приводящим к появлению
уязвимостей в мобильном коде, необходимость срочно выпустить
мобильные приложения на рынок;
 65% сообщили, что вопросы безопасности мобильного приложения иногда
игнорируются в силу необходимости выпуска приложения, отвечающего
требованиям пользователей;
50

51. Почему так сложно улучшить
безопасность мобильных приложений
 77% респондентов считают обеспечение безопасности мобильных приложений
весьма сложной задачей и только 7% — сравнительно простой;
 33% признали, что их организации не тестируют свои приложения на наличие
уязвимостей;
 почти 39% опрошенных сообщили, что сотрудники их компаний могут использовать
сторонние мобильные приложения на корпоративных устройствах;
 55% опрошенных указали, что сотрудники их компаний могут использовать
сторонние приложения на собственных устройствах;
 более половины респондентов (55%) сообщили, что в их организациях нет политики
использования мобильных приложений.
 Руководство организаций не осознаёт необходимость обеспечения безопасности
мобильных приложений.
51

52. Большинство мобильных приложений ставят
под угрозу вашу безопасность и
конфиденциальность
 У среднего пользователя на смартфоне установлено 26 приложений. Если судить
по данным недавнего исследования HP, то все они имеют проблемы
с конфиденциальностью и безопасностью.
 В исследовании HP 97% приложений содержали проблемы конфиденциальности, 86%
испытывали недостаток в обеспечении основных функций безопасности и 75%
не в состоянии должным образом зашифровать данные.
 Facebook
 Не использует шифрование для обмена данными (отправляет данные в открытом виде).
 Имеет доступ к книге контактов пользователя и данным о его расположении (геоданным).
 Отправляет координаты расположения в незашифрованном виде.
 Включает пути к файлам исходного кода в отладочной информации. Эти пути содержат имя
пользователя и информацию, связанную с разработчиком приложения.
 Внимание! Приложение сегодня лучше обрабатывает пользовательскую
аутентификацию при использовании учетной записи Facebook для регистрации
на сторонних сайтах или службах. Аутентификационные маркеры истекают через час.
52

53. Большинство мобильных приложений ставят
под угрозу вашу безопасность и
конфиденциальность
 QR Pal
 Это бесплатный сканер QR-кодов и штрих-кодов, приложение для iPhone.
Позволяет сканировать штрих-код и сравнивать цены на продукт
со значением, закодированным в штрих-коде.
 Риски
 Отправляет данные пользователей в открытом виде.
 Получает доступ к расположению пользователя, календарю и книге
контактов.
 Включает пути к файлам исходного кода в отладочной информации. Эти
пути содержат имя пользователя и информацию, связанную
с разработчиком приложения.
53

54. Большинство мобильных приложений ставят
под угрозу вашу безопасность и
конфиденциальность
 iTorcia - популярное приложение фонарика.
 Включает уникальный идентификатор устройства как строковый
параметр запроса в URL, который отправляется
незашифрованным через HTTP.
 Получает доступ к геоданным, календарю и книге контактов.
 Включает пути к файлам исходного кода в отладочной
информации. Эти пути содержат имя пользователя
и информацию, связанную с разработчиком приложения.
 Собирает данные и аналитику для платформы сети рекламных
объявлений.
54

55. Большинство мобильных приложений ставят
под угрозу вашу безопасность и
конфиденциальность
 Angry Birds Star Wars
 Будьте внимательнее при использовании бесплатных или условно-бесплатных
игровых приложений. Ведь на самом деле нет ничего бесплатного.
 Получает доступ к геоданным, календарю и книге контактов.
 Включает платформу сбора данных Flurry Analytics.
 Включает пути к файлам исходного кода в отладочной информации. Эти пути
содержат имя пользователя и информацию, связанную с разработчиком
приложения.
 Собирает данные и аналитику для нескольких сетей рекламных объявлений
InMobi, AdMob, iAd, Google’s Double Click и Millennial Media.
55

56. Большинство мобильных приложений ставят
под угрозу вашу безопасность и
конфиденциальность
 WhatsApp Messenger
 Популярное приложение обмена сообщениями, которое позволяет
пользователям отправлять бесплатные мгновенные сообщения другим
смартфонам, исчезло из App Store. Но одно является бесспорным: Это было
опасное приложение.
 Отправляет уязвимые данные в открытом виде (шифрование не применяется).
 Получает доступ к расположению пользователя и книге контактов.
 Имеет возможность считать SMS.
 Имеет доступ к данным расположения от FourSquare и Google Maps.
56

57. Большинство мобильных приложений ставят
под угрозу вашу безопасность и
конфиденциальность
 Не стоит думать, что все приложения, содержащие проблемы с безопасностью,
разработаны злоумышленниками. Отнюдь нет. В основном это ошибки
программистов, связанные с ленью, желанием поскорее выставить продукт на рынок
и т. д. В случае бесплатных приложений — это, безусловно, желание заработать деньги
на рекламе.
 Разработчики пишут приложения, которые получают доступ ко всему, потому что это
легче, чем написание более безопасного кода, и потом гораздо легче писать какие-то
необходимые улучшения. Так просто проще для разработчика, но сложнее для
пользователя. Но кто думает о пользователе?
 Мобильные ОС в части приложений требуют от пользователя внимательности
и понимания основ информационной безопасности. Безусловно, лучшим решением
для разработчиков было бы задумываться о безопасности и конфиденциальности еще
на этапе постановки задачи. Разработчики должны понимать, как их приложение будет
взаимодействовать с системой и другими приложениями.
 Но боюсь, это случится не сегодня и даже не завтра.
57

58. Риски BYOD
 Jailbreaking и использование взломанных устройств
 Фактически Jailbreaking удаляет ограничения, наложенные производителем
оборудования. При этом очень часто устраняются ограничения, разработанные для
улучшения безопасности устройств. Владелец же получает полномочия на уровне
администратора устройства. Он может установить и выполнить приложения, которые
являются потенциально злонамеренными.
 Обход настроенных ограничений
 Организации, которые ограничивают сетевой доступ для определенных устройств, могут
обнаружить, что сотрудники, в свою очередь, используют обходные решения.
Определенные мобильные приложения могут позволить сотрудникам обмануть сетевые
проверки управления доступом или по крайней мере позволить владельцу устройства
получить доступ к корпоративной электронной почте, календарю и контактам.
58

59. Риски BYOD
 Уязвимое программное обеспечение
 Сотрудники могут использовать корпоративные данные, но вместе с тем
не в состоянии применить обновление системы защиты программного
обеспечения на своих устройствах. Кроме того, процесс обновления ПО также
является проблемой для пользователей мобильных устройств. Apple сама
предоставляет обновления системного ПО пользователям iOS, в то время как
обновление устройств под управлением Android от Google гораздо больше
зависит от поставщика услуг и производителя оборудования, в результате иногда
возникают уязвимости, доступные атакующим в течение длительного периода
времени.
 Точки доступа
 Некоторые устройства сотрудников (например, под управлением Windows
Phone 8.1) сконфигурированы таким образом, чтобы идентифицировать
и попытаться соединиться с любой открытой точкой доступа для получения данных
через Интернет. Чтобы снизить уровень таких угроз, организации могут
использовать технологию VPN при получении доступа к корпоративным
ресурсам.
59

60. Риски BYOD
 Корпоративная электронная почта
 Многие владельцы устройств не устанавливают PIN, чтобы
заблокировать свой смартфон или планшет, который может
попасть чужие руки и таким образом предоставить
несанкционированный доступ к корпоративной электронной
почте, пока содержимое устройства не будет удалено.
 Бесплатное рекламное и шпионское ПО
 Бесплатные мобильные приложения собирают много данных
о владельце устройства, чтобы продать их рекламным сетям.
Мобильное приложение считается бесплатным ПО
с размещенной в нем рекламой или шпионским ПО, если
оно собирает данные, не запрашивая разрешение
владельца.
60

61. Риски BYOD
 Слишком обширные полномочия
 Хорошие новости: у Apple, Google и Microsoft есть ограничения, которые
вынуждают мобильные приложения запрашивать разрешения на доступ
к ресурсам устройства, таким как камера и контакты. Дурные вести:
большинство пользователей обычно не в состоянии читать мелкий шрифт и почти
всегда предоставляют разрешения во время процесса установки мобильных
приложений.
 Облачные хранилища
 Dropbox, iCloud, OneDrive и другие облачные хранилища, предлагаемые
пользователям мобильных платформ, могут использоваться для утечки данных.
Сотрудники могут использовать эти облачные хранилища, чтобы копировать туда
данные компании, если организации не в состоянии запретить копирование
уязвимых данных или не используют механизм, ограничивающий использование
мобильных облачных хранилищ.
61

62. Риски BYOD
 Вредоносное программное обеспечение Android
 В последнее время наблюдается взрывоопасный рост
вредоносного программного обеспечения для мобильных
устройств под управлением Android. Это обусловлено не только
тем, что таких устройств используется больше всего,
но и внушающим опасения ростом числа уязвимостей
в устройствах под управлением данной ОС.
 Потерянные или украденные устройства
 Потерянные или украденные устройства — самый большой риск для
организаций, которые позволяют сотрудникам соединять
находящееся в собственности сотрудника устройство
с корпоративной сетью.
62

63. Чем опасен jailbrake iOS-
устройств в среде BYOD?
 Что такое jailbreak? Это получение прав на запись и
модификацию файлов в системных папках iPhone.
 Зачем это нужно? При помощи данной процедуры
пользователь получает возможность устанавливать на
iPhone приложения, установка которых через
официальный сервис App Store и iTunes невозможна.
 Кроме того, jailbreak — единственный путь для
дальнейшей разлочки (unlock) телефона.
63

64. Чем опасен jailbrake iOS-
устройств в среде BYOD?
 На самом деле основная проблема jailbreak в том, что приложения
iOS работают устойчиво до тех пор, пока загружаются с
официального App Store или внутренних хранилищ для
корпоративного ПО. Мне могут возразить, мол, вот у нас все
хорошо несмотря ни на что, и мы загружаем приложения из
сторонних хранилищ, не одобренных Apple. Однако каждый раз,
когда вы загружаете не одобренное Apple приложение, вам стоит
ответить на один и тот же вопрос. Вы знаете, как работает это
приложение? У вас есть основания доверять его авторам? Вы
уверены в их квалификации? Я — нет! Потому что с моей точки
зрения jailbreak нарушает меры безопасности.
 Таким образом, совсем не сложно понять, что при подготовке
политики BYOD на предприятии нужно учесть, что использование
смартфонов с jailbreak должно быть запрещено.
64

65. Политика BYOD как равновесие между
потребностями пользователя и
мобильной безопасностью
 Какая информация чувствительна к утечкам и как мы
собираемся ее защищать.
 Кому предоставляется доступ к такой информации и на основе
чего.
 При каких обстоятельствах мы можем предоставить такой
доступ.
 Что делать при нарушении.
 Стоит отметить, что политика безопасности предприятия часто
независима от стратегии BYOD. Но как только вы начинаете
разрабатывать мобильную политику безопасности, вы сразу же
должны задуматься о том, будете ли вы использовать BYOD и как
именно.
65

66. BYOD нуждается в письменном
соглашении
 Политика BYOD должна определять, кто именно может
использовать свои собственные устройства на рабочем
месте. Хорошей идеей, на мой взгляд, будет ввод
ограничений на применяемое устройство и его
операционную систему, определение возможных
механизмов аутентификации и процедур управления.
Более того, в данной политике можно указать, какие
продукты управления мобильными устройствами могут
применяться на предприятии.
66

67. BYOD нуждается в письменном
соглашении
 Как и в случае любых других услуг письменное соглашение
гарантирует, что обе стороны знают о положениях и условиях
использования мобильных устройств.
 Некоторые компании, особенно в жестко регулируемых отраслях
экономики (финансы, здравоохранение, госсектор) могут позволить
себе применение только тех устройств, которые уже используются на
предприятии. Помните, что бесконтрольное применение BYOD
приводит к распространению мобильного «зоопарка», которым
весьма сложно управлять!
67

68. Определите границы
приемлемого использования
 Независимо от того, принадлежит ли конечное
устройство пользователю или организации, политика
допустимого использования определяет, какие действия
могут быть законно проведены на ноутбуке, смартфоне
или планшете, а также в корпоративной сети или ИТ-
инфраструктуре, с которой соединяется это устройство.
 Регулярное напоминание положений этой политики
помогает штатным сотрудникам правильно использовать
свои устройства.
68

69. Стратегическое управление
мобильностью
 В то время как большинство специалистов предполагает, что MDM
(управление мобильными устройствами) является основой
управления мобильностью, фактически это только одна из
технологий, один из компонентов гораздо большей структуры,
известной как управление мобильностью предприятия (enterprise
mobility management, или EMM).
 Гораздо важнее, чем MDM, управление мобильными
приложениями (MAM) и особенно мобильным контентом (MCM).
При этом MAM определяет, какие приложения можно
использовать, а какие нет.
69

70. Стратегическое управление
мобильностью
 Стоит понимать, что абсолютной
безопасности не существует. Важно
минимизировать риски BYOD,
устанавливая организационную
политику и контролируя фактическое
использование устройств и доступ к
данным.
70

71. Как защитить себя от jailbreak-
tweaks
71

72. Включите двухфакторную
аутентификацию
 Из всех элементов безопасности это,
несомненно, самый важный. К счастью,
Россия входит в число стран, в которых
работает данная технология. Украина,
например, не входит в этот список.
 2FA дополняет ваш строгий устойчивый
пароль вторым фактором аутентификации
для доступа к вашей учетной записи.
72

73. Включите двухфакторную
аутентификацию
 Ваш iPhone может работать как 2FA-агент — это
означает, что когда кто-то пытается войти в систему с
помощью вашей учетной записи, ему будет нужен
ваш телефон, чтобы завершить процесс
аутентификации.
 Строго говоря, ему нужен не сам телефон, а ваша
SIM-карта, чтобы получит SMS с кодом для завершения
аутентификации. Таким образом для входа
используется два фактора аутентификации —
пароль, который вы помните, и ключ, который
присылается вам на телефон.
73

74. Не устанавливайте
неофициальный репозиторий
 Уменьшите риск jailbreak. Не используйте неофициальные
репозитории программного обеспечения. Если уж вам не
хватает официального App Store от Apple, используйте
такие репозитории, как Cydia, ModMyi и BigBoss.
 Когда говорят о неофициальных репозиториях, первое что
приходит в голову — три злонамеренные атаки,
проведенные с их помощью: Unflod, KeyRaider и AppBuyer.
74

75. Не устанавливайте теневые тонкие
настройки
 Необязательно установить злонамеренное ПО с теневого
репозитория, чтобы заразить ваше устройство. Достаточно просто
установить пакеты тонкой настройки через iFile или командную
строку.
 В Cydia также есть возможность переместиться непосредственно к
странице пакетов, даже если вы не настроили предварительно на
вашем iPhone данный репозиторий.
 Если вы не уверены в какой-то тонкой настройке или приложении,
не устанавливайте их.
75

76. Избегайте пиратского ПО
Это неправильно.
Вы берете на себя риск того, что вы делаете.
Как вы думаете, создатели пиратских
репозиториев и взломанных приложений
работают ради искусства? Или пытаются
зарабатывать деньги? Зарабатывать на ком?
Правильно, на вас. И вы готовы платить?
76

77. Избегайте пиратского ПО
 Заработать на вас — значит заставить вас:
 Заплатить за трафик, который генерируют их приложения.
 Отдать свои учетные данные.
 Заразиться троянами.
 Все вышеперечисленное.
 Нельзя обвинять в распространении пиратского ПО все
неофициальные репозитории, но поверьте, такое ПО в них
встречается гораздо чаще, чем вам кажется.
77

78. Будьте скептичны и недоверчивы
 В разное время в репозиториях встречались разные
образцы вредоносного ПО, например LockSaver, троян
на ModMyi. Не избежал вредоносного ПО и App Store.
Так что будьте внимательнее, когда вы устанавливаете
ПО. Нужно понимать, что вы устанавливаете и зачем.
 Если вы можете обойтись без jailbreak — не взламывайте
свой аппарат. Но если вам это необходимо — помните
о коротких советах. Будьте внимательнее!
78

79. BYOD и проблемы обновления мобильных
ОС
Android
Версия % Версия % Версия %
2.2 (Froyo) 0,2 4.1.x (Jelly
Bean)
12,1 4.4 (KitKat) 39,2
2.3.3–2.3.7
(Gingerbre
ad)
4,1 4.2.x 15,2 5.0 (Lollipop) 15,9
4.0.3–4.0.4
(Ice Cream
Sandwich)
3,7 4.3 4,5 5.1 5,1
Процент устройств, работающих под устаревшими версиями Android, составляет 79% и
только 21% работает под относительно новыми версиями ОС.
Отсюда следует сделать вывод, что огромное количество Android-устройств просто не
обновляется, а, следовательно, содержит ужасающее число уязвимостей, которыми
успешно пользуются злоумышленники.
79

80. Обновление iPhone
 Согласно исследованию компании Labs Duo, проведенному в 150 странах
мира, приблизительно половина пользователей iPhone сегодня используют
устаревшие версии iOS на своих устройствах.
 Так, версия iOS 8.3, выпущенная в апреле 2015-го, и более младшие версии
оставляют неисправленными несколько сотен уязвимостей, включая Ins0mnia,
которую атакующие могут использовать для тайного хищения данных со
смартфонов, на которых установлены скрытые приложения.
 Несмотря на то, что выпуск iOS 8.4.1 закрыл более 70 задокументированных
критических уязвимостей, включая Ins0mnia и Quicksand, только 9% устройств были
обновлены до этой версии. 31% iPhone все еще используют iOS 8.2 или еще
более старые версии iOS. Это означает, что на них до сих пор не установлены
обновления, которые закрыли бы более 160 известных критических уязвимостей.
 Согласно исследованию Labs Duo, из более чем 700 млн. iPhone, выпущенных
Apple с 2008 г., около 20 млн. еще могут использоваться, но не могут быть
обновлены до текущих версий iOS. А ведь это тысячи уязвимостей различной
степени серьезности.
80

81. Несколько советов по обеспечению
конфиденциальности информации на
смартфоне
 Заблокируйте свой телефон
 Используйте «Find My iPhone» или
подобные службы
 Не оставляйте свой смартфон без
присмотра
 Не давайте свой телефон незнакомым
81

82. Несколько советов по обеспечению
конфиденциальности информации на
смартфоне
 Не забудьте обновить программное обеспечение своего
смартфона
 Управляйте настройками геолокации
 Настройка прав приложений
 Не загружайте приложения из недоверенных источников
 Будьте внимательны, получая письма с вложениями
 Зашифруйте данные смартфона
82

83. БЕЗМАЛЫЙ ВЛАДИМИР
MVP CONSUMER SECURITY, MICROSOFT SECURITY TRUSTED ADVISOR, KASPERSKY LAB CERTIFIED TRAINER
CYBERCOP@OUTLOOK.COM
HTTP://BEZMALY.WORDPRESS.COM