Семинар НИИ СОКБ

1. Мобильные устройства
Угрозы и доверие
Качалин Алексей
ЗАО «Перспективный мониторинг»

2. Мобильное устройство –
ценный ресурс
2
• Простые сценарии
– Телефон (контакты, СМС, история звонков)
– Хранимые данные – документы, фотосканы, фото с
корпоратива
– Учетные данные – корпоративная сеть, интернет-
сервисы
– Деньги. Банк-клиент, смс-канал подтверждений,
деньги на счету оператора
• Комплексные сценарии
– Съем аудио-видео информации, складирование,
извлечение
– Получение доступа в локальные сети
– Определение местоположения, трэкинг
перемещения
– Доступ к изолированным стационарным ПК

3. Кому можно верить?
• Доверенная технология
• Доверенная платформа
• Доверенное ПО
• Доверенные источники ПО
• Доверенное хранение данных
• Доверенные каналы передачи
• Доверенные СЗИ/СКЗИ
• Доверенный пользователь
3
А: Никому
Б: Никому
В: Никому
Г: Никому

4. Internet
?
2.16.216.186
2.16.216.192
195.59.150.137
2.16.216.200
217.212.246.59
17.164.0.48
66.235.135.144
95.100.3.205
95.100.2.217
2.16.66.224
95.101.94.238
Открытый трафик Apple
iTunes
Registration
Update
Geolocation
150 mb/сутки
TLS v.1 и v.1.2
30% Apple
10% Akamai Technologies
Основа - безопасность платформы?

5. Доверяем платформе
iOS: 150 Мб утекло за одну ночь
IP-адрес Компания Протокол
17.164.0.48 Apple TLSv1
17.171.27.65 Apple TLSv1
17.167.139.47 Apple TLSv1 и TLSv1.2
2.16.66.224 Akamai TLSv1.2
95.100.2.217 Akamai TLSv1.2
95.100.3.205 Akamai TLSv1.2
66.235.135.144 Adobe Systems TLSv1.2
17.172.100.58 Apple TLSv1.2
95.101.94.238 Akamai TLSv1.2
17.173.255.52 Apple TLSv1

6. Безопасность платформы - отсутствие уязвимости
Google Android
7 уязвимостей за 2013 год
1 высококритичная (CVSS > 9)
Apple iOS
90 уязвимостей за 2013 год
13 высококритичных (CVSS > 9)
По данным http://cvedetails.com

7. Источники проблем ИБ ПО для МУ
7
• ПО для мобильных устройств – «быстрый» рынок
– Контроль качества низкий (time to market!)
– Ошибки разработки, лучшие практики не выполняются
– Update-атаки – вредоносный функционал в обновлении
– Обновление User agreement & misuse – предлог для превышения
полномочий доступа к данным
• Источник приложений
– Статический и динамический анализ (?)
– Контроль качества низкий (android play – по жалобам)
– Sideload-загрузка, неконтролируемые неофициальные магазины (Cydia)
– Отзывы и жалобы влияют на разработчика?
• Угрозы существенны – есть интерес
– Repackaging ПО – публикация известного ПО с вирусом
– Навязанное ПО (bloatware) – содержит уязвимости, не может быть
удалено
– Закладки
– Поддельные магазины приложений

8. МУ нельзя изолировать
• Платформа
– MITM WiFi
– MITM Cellular / MITM Roaming
• Сети
– Интерфейсы ближнего радиуса BT, NFC
– Соседняя Wi-Fi сеть
– Мобильная СПД
– Публичные сети (Кафе/Аэропорт)
• Приложения
– «Стандартные» веб-угрозы
• Drive by downloads,
• атаки на браузер
– Атаки Телефон+сеть
• SMS Payload/Malicious URL
– Вирусы

9. Типовые проблемы ИБ МУ: Человек
• Поведенческая модель
– Синдром Click-ok
– Отключение защиты МУ
– Передача МУ третьим лицам
– Поиск недоступных приложений в
неофициальных Магазинах
– Потеря МУ
• Выбирает Человек
– Отзывы, звезды, тесты – $1 за 1000 штук
– Топовое приложение
• 80000 скачиваний для USA, 10000 для EU рынка
9

10. Ограничение методов защиты: click-ok
• Аксиома ЗИ: принцип
минимальных привилегии
• Регламентируется магазином
• Привилегии заявляются автором ПО
• Проверяются магазином
• Соотношение привилегий и
функционала определяет
пользователь
Функция ПО:
1. Включить светодиод
Запрашиваемы разрешения:
• Полный доступ к Интернет
• Полный доступ к памяти устройства
• Доступ к гео-позиционированию
• Полный доступ к истории звонков и СМС
Установок: более 1 000 000

11. Доверие магазину приложений?
11
• Огромное количество
приложений
– Выбор по внешнему виду
– SEO на ключевые слова
– Отсутствие фильтров
• Многообещающе
– Отзывы, звезды, тесты
– Реальная безопасность?

12. Из магазинов не только воруют
12

13. Железо/ядро
(bootloader)
ОС Android
(Passcode, encrypt)
Прикладное ПО
(API, Permissions)
С(К?)ЗИ в мобильных устройствах
13
• Hardware Security Features (железо, вендор)
• Secure Bootloader (S-ON, вендор)
• System Software Security
(обновления, вендор)
• Passcode Protection
(система, Google + вендор)
• Mobile Device Management (вендор)
• Remote Wipe (Google)
• Runtime Process Security (система, Google)
– Sandbox,
– APIs
• Application Code Signing (разработчик ПО)
• SSL, TLS, VPN (Google + вендор)
• Settings (Google)
– Permissions / Restrictions
– Configurations
• File Data Protection (разработчик ПО)

14. СЗИ необходимы. Достаточны?
• Защита устройства
– passcode
Инсайд
Вредоносное ПО на устройстве
Съемные носители
• Штатное шифрование
– Шифрование памяти/SD-карты
Редко поддерживается прошивкой
Вредоносное ПО на устройстве
Инсайд
• Дополнительное ПО для шифрования
– Шифрование файлов/контактов
– Защищенная переписка
14

15. Типовые проблемы СКЗИ
– Использование фиксированных
ключей
– Слабые алгоритмы шифрования
– Слабые режимы шифрования
– Хранение паролей в открытом
виде
– Псевдокриптография
– Хранение данных в открытом
виде
15
ЗАО «ПМ»
СКЗИ для МУ

16. Поддельные СЗИ
• Virus Shield
– 10 000 установок
– Рейтинг 4.5 из 5, 800 оценок
– Выплатили возмещение – ПО было пустышкой
• Не единичный случай
16

17. Возможности спец.средств
• Разлочка
– RIFF Jtag
• Доступ к ФС
• Внедрение ПО

18. Обновление. Во имя добра?
Инциденты
• Модификация устройства
– Удаление контента
– Исключение приложения из магазина с
автоматическим удалением
– «Случайное» изменение настроек (включение
синхронизации)
• Обновление
– Всегда ли обновление сопровождается
запросом разрешения пользователя?
– Обновление для отдельных стран – обычная
практика
• Удаление данных не гарантируется
• Изменение любых правил в одностороннем
порядке
Правила vs. Доверие Вендору vs. Санкции

19. Выводы Вопросы
• Типовые технические угрозы
– Не выявляются на 100% с достаточной
оперативностью
– Имеют тенденцию к возобновлению
– Ключевые шаги атаки возможно вне среды МУ
• Могут ли быть устранены угрозы в рамках
существующей парадигмы?
– Кто устанавливает и изменяет правила?
19

20. • Поставщик платформы
– Статический анализ?
– Оперативность работы по отзывам и жалобам?
– Контроль источника APK?
• Автор приложения
– Безопасная разработка?
– Безопасность аккаунта и инфраструктуры
разработки?
– Воровство/взлом приложения?
• Внешний арбитр
– Необходимость верификации ПО
– Актуализация угроз
– Реагирование и анализ инцидентов
Кому же верить?
20

21. худшая из угроз - Неведение
Инструментальный анализ и аналитика ИБ ИС
Расследование инцидентов ИБ
Разработка инструментов сбора и анализа
данных в ИС
Центр компетенций ИБ
Исследования и аналитика технологий ИБ
Тренинги по практике ИБ
info@advancedmonitoring.ru