2. Мобильное устройство –
ценный ресурс
2
• Простые сценарии
– Телефон (контакты, СМС, история звонков)
– Хранимые данные – документы, фотосканы, фото с
корпоратива
– Учетные данные – корпоративная сеть, интернет-
сервисы
– Деньги. Банк-клиент, смс-канал подтверждений,
деньги на счету оператора
• Комплексные сценарии
– Съем аудио-видео информации, складирование,
извлечение
– Получение доступа в локальные сети
– Определение местоположения, трэкинг
перемещения
– Доступ к изолированным стационарным ПК
3. Кому можно верить?
• Доверенная технология
• Доверенная платформа
• Доверенное ПО
• Доверенные источники ПО
• Доверенное хранение данных
• Доверенные каналы передачи
• Доверенные СЗИ/СКЗИ
• Доверенный пользователь
3
А: Никому
Б: Никому
В: Никому
Г: Никому
5. Доверяем платформе
iOS: 150 Мб утекло за одну ночь
IP-адрес Компания Протокол
17.164.0.48 Apple TLSv1
17.171.27.65 Apple TLSv1
17.167.139.47 Apple TLSv1 и TLSv1.2
2.16.66.224 Akamai TLSv1.2
95.100.2.217 Akamai TLSv1.2
95.100.3.205 Akamai TLSv1.2
66.235.135.144 Adobe Systems TLSv1.2
17.172.100.58 Apple TLSv1.2
95.101.94.238 Akamai TLSv1.2
17.173.255.52 Apple TLSv1
6. Безопасность платформы - отсутствие уязвимости
Google Android
7 уязвимостей за 2013 год
1 высококритичная (CVSS > 9)
Apple iOS
90 уязвимостей за 2013 год
13 высококритичных (CVSS > 9)
По данным http://cvedetails.com
7. Источники проблем ИБ ПО для МУ
7
• ПО для мобильных устройств – «быстрый» рынок
– Контроль качества низкий (time to market!)
– Ошибки разработки, лучшие практики не выполняются
– Update-атаки – вредоносный функционал в обновлении
– Обновление User agreement & misuse – предлог для превышения
полномочий доступа к данным
• Источник приложений
– Статический и динамический анализ (?)
– Контроль качества низкий (android play – по жалобам)
– Sideload-загрузка, неконтролируемые неофициальные магазины (Cydia)
– Отзывы и жалобы влияют на разработчика?
• Угрозы существенны – есть интерес
– Repackaging ПО – публикация известного ПО с вирусом
– Навязанное ПО (bloatware) – содержит уязвимости, не может быть
удалено
– Закладки
– Поддельные магазины приложений
8. МУ нельзя изолировать
• Платформа
– MITM WiFi
– MITM Cellular / MITM Roaming
• Сети
– Интерфейсы ближнего радиуса BT, NFC
– Соседняя Wi-Fi сеть
– Мобильная СПД
– Публичные сети (Кафе/Аэропорт)
• Приложения
– «Стандартные» веб-угрозы
• Drive by downloads,
• атаки на браузер
– Атаки Телефон+сеть
• SMS Payload/Malicious URL
– Вирусы
9. Типовые проблемы ИБ МУ: Человек
• Поведенческая модель
– Синдром Click-ok
– Отключение защиты МУ
– Передача МУ третьим лицам
– Поиск недоступных приложений в
неофициальных Магазинах
– Потеря МУ
• Выбирает Человек
– Отзывы, звезды, тесты – $1 за 1000 штук
– Топовое приложение
• 80000 скачиваний для USA, 10000 для EU рынка
9
10. Ограничение методов защиты: click-ok
• Аксиома ЗИ: принцип
минимальных привилегии
• Регламентируется магазином
• Привилегии заявляются автором ПО
• Проверяются магазином
• Соотношение привилегий и
функционала определяет
пользователь
Функция ПО:
1. Включить светодиод
Запрашиваемы разрешения:
• Полный доступ к Интернет
• Полный доступ к памяти устройства
• Доступ к гео-позиционированию
• Полный доступ к истории звонков и СМС
Установок: более 1 000 000
11. Доверие магазину приложений?
11
• Огромное количество
приложений
– Выбор по внешнему виду
– SEO на ключевые слова
– Отсутствие фильтров
• Многообещающе
– Отзывы, звезды, тесты
– Реальная безопасность?
14. СЗИ необходимы. Достаточны?
• Защита устройства
– passcode
Инсайд
Вредоносное ПО на устройстве
Съемные носители
• Штатное шифрование
– Шифрование памяти/SD-карты
Редко поддерживается прошивкой
Вредоносное ПО на устройстве
Инсайд
• Дополнительное ПО для шифрования
– Шифрование файлов/контактов
– Защищенная переписка
14
15. Типовые проблемы СКЗИ
– Использование фиксированных
ключей
– Слабые алгоритмы шифрования
– Слабые режимы шифрования
– Хранение паролей в открытом
виде
– Псевдокриптография
– Хранение данных в открытом
виде
15
ЗАО «ПМ»
СКЗИ для МУ
16. Поддельные СЗИ
• Virus Shield
– 10 000 установок
– Рейтинг 4.5 из 5, 800 оценок
– Выплатили возмещение – ПО было пустышкой
• Не единичный случай
16
18. Обновление. Во имя добра?
Инциденты
• Модификация устройства
– Удаление контента
– Исключение приложения из магазина с
автоматическим удалением
– «Случайное» изменение настроек (включение
синхронизации)
• Обновление
– Всегда ли обновление сопровождается
запросом разрешения пользователя?
– Обновление для отдельных стран – обычная
практика
• Удаление данных не гарантируется
• Изменение любых правил в одностороннем
порядке
Правила vs. Доверие Вендору vs. Санкции
19. Выводы Вопросы
• Типовые технические угрозы
– Не выявляются на 100% с достаточной
оперативностью
– Имеют тенденцию к возобновлению
– Ключевые шаги атаки возможно вне среды МУ
• Могут ли быть устранены угрозы в рамках
существующей парадигмы?
– Кто устанавливает и изменяет правила?
19
20. • Поставщик платформы
– Статический анализ?
– Оперативность работы по отзывам и жалобам?
– Контроль источника APK?
• Автор приложения
– Безопасная разработка?
– Безопасность аккаунта и инфраструктуры
разработки?
– Воровство/взлом приложения?
• Внешний арбитр
– Необходимость верификации ПО
– Актуализация угроз
– Реагирование и анализ инцидентов
Кому же верить?
20
21. худшая из угроз - Неведение
Инструментальный анализ и аналитика ИБ ИС
Расследование инцидентов ИБ
Разработка инструментов сбора и анализа
данных в ИС
Центр компетенций ИБ
Исследования и аналитика технологий ИБ
Тренинги по практике ИБ
info@advancedmonitoring.ru
Editor's Notes
Документы (в МУ, в облаке, карта памятимобильный офис
Заметки, контакты, сообщения
Фотографии, аудио-заметки, сканы документы
Учётные записи, ключи
http://pocketnow.com/2014/01/24/android-pc-malware
http://www.gmanetwork.com/news/story/293377/scitech/technology/new-android-malware-spreading-to-pcs
Взаимодействие с сервером iTunes (2.16.216.186)
Взаимодействие с сервером регистрации Apple (2.16.216.192)
Взаимодействие с сервером обновлений Apple (195.59.150.137)
Взаимодействие с сервером геолокации (предположительно) Apple (2.16.216.200 – метаданные о телефонных масках, 217.212.246.59 – определение региона)
Взаимодействие с различным серверами Apple, Akamai и Adobe по зашифрованному каналу (TLS v1 и 1.2)
Все привыкли к патчам ОС персональных компьютеров – для мобильных это редкость, выходят только обновления самой ОС ,но совершается это редко и закрывают сразу группы уязвимостей – так например апдейт iOS до версии 5.1.1 закрывал три критичные уязвимости. Причина – нагрузка на пользователя, ущерб репутации, нагрузка на канал передачи данных.
Примеры уязвимостей:
Учёные из Университета Северной Каролины обнаружили уязвимость, которая позволяет приложениям обойти защитный механизм системы, срабатывающий при попытке установки приложений. А именно, уязвимость позволяет не выводить запрос на разрешение пользователем устанавливать программы, которые при своей работе получают доступ к личной информации и функциям отправки SMS-сообщений
Множественные уязвимости, открывающие доступ к содержимому флеш-карт microSD
Существует недостаток в коде Android, которая позволяет любому приложению получать доступ к фотографиям пользователя и загружать их на удалённый сервер. При этом снова никаких дополнительных разрешений для этого не требуется.
Физический доступ к устройству
jailbreak/root
Отсутствия блокировки устройства
Отчуждаемые накопители
Специализированные решения (программно-аппаратные)
Backdoor и Co
Установка, обновление, удаление программ
Прошивка, бэкапы , А что ещё ?
Спрашивает устройство об установке новой версии или нет
Кто
Пользователь
Вендор
Злоумышленник
Как
Удалённо
Напрямую
Программно
Установка и удаление программ
Стирание информации, блокирование устройства
Поиск устройства