Последние годы стали тревожным периодом не только на политической арене. Во всем мире продолжают расти риски, связанные с угрозами кибератак и социальной инженерии. Репертуар преступных технологий постоянно расширяется, развиваются уже опробованные методы. Особое беспокойство вызывают инциденты с участием государственных структур и монополизация цифрового пространства крупнейшими игроками рынка. Эти факторы могут влиять на работу промышленных компаний и объектов критической инфраструктуры отдельных стран.
Об основных источниках угроз и технологиях, которые используют злоумышленники, рассказывает генеральный директор Mobile Inform Group .
Источники киберугроз
На данный момент возможность кибератаки присутствует на всех уровнях реализации и использования информационных технологий. Ниже приведены основные из них:
WEB – угрозы:
уязвимости мобильного кода (может быть загружен посредством HTML5, JavaScript, Adobe Flash);
посещение зараженного web-сайта;
угрозы со стороны браузера.
Уязвимости оператора связи:
перехват данных в беспроводных протоколах;
утечка данных через точки доступа Wi-Fi;
электронное прослушивание;
искажение голоса и данных при передаче;
декодирование электромагнитных излучений и наводок;
постановка помех. Затор/Jamming;
переполнение канала данными. Затопление/Flooding;
раскрытие местоположения устройства через службы геолокации.
Физические угрозы:
потеря устройства;
ущерб от доступа посторонних лиц;
сбор информации через камеру, микрофон или акселерометр;
вмешательство в комплектацию устройства на пути его доставки;
стороннее оборудование: периферия, док-станции.
Некоторые из киберугроз можно купировать личными мерами безопасности. Большое число уязвимостей выявляют разработчики операционных систем и приложений, чтобы исправить их в обновленной версии. Но для глубокого понимания проблемы стоит рассмотреть риски, заложенные в архитектуру мобильных устройств и ПО изначально, на этапе разработки.
Каналы утечки данных на устройствах Apple
Apple полностью контролирует разработку своей продукции: от проектирования микропроцессоров до проверки приложений. Такой подход делает систему безопаснее и быстрее. Уязвимость устройств на iOS больше связана с аппаратной частью и теми преимуществами, которые Apple предоставляет рядовому пользователю.
Как известно, даже выключенный iphone можно найти с помощью функции find my phone. Беспроводные чипы смартфона продолжают работать в режиме низкого энергопотребления (Low Power Mode, LPM). В отличие от стандартного режима энергосбережения, в LPM устройство не реагирует на прикосновения. Режим активен, когда iphone выключен, либо разряжен аккумулятор. Продолжают работу bluetooth, коммуникация NFC и протокол сверхширокополосной связи UWB. Это решение обеспечивает владельцу ряд преимуществ. Например, определение геолокации потерянного устройства или быстрый доступ к электронным банковским картам. Однако, эта опция предоставляет удобный путь к данным и для злоумышленников. Поскольку LPM предусмотрен в iphone на аппаратном уровне, нет возможности исключить указанные риски.
Уязвимости операционной системы Android
Google, в отличие от Apple никогда не фокусировался на полном цикле разработке устройств. Android – только один из проектов корпорации. Вместо инвестирования колоссальных средств, компания отдает производство каждого уровня архитектуры контрагентам. Процессоры производят Qualcomm, Mediatek, Unisoc и др. Android Open Source project (AOSP), в сущности, ядро операционной системы, также могут собирать сторонние разработчики. Оболочкой ОС в рамках отдельных версий Android занимаются Xiaomi, Samsung, Huawei и т.д. На разных уровнях в итоговый продукт могут быть внедрены скрытые функции, «закладки», алгоритмы сбора данных для рекламных компаний или иных шпионских задач. Скрытые как от пользователя, так и от самого Android. Причем каждый уровень не знает, какую информацию отправляет нижестоящий. Сама по себе, возможность сбора данных не является секретом. Пользователь подписывает соответствующее соглашение при первом включении нового гаджета. В результате Android передает Google в 16-20 раз больше телеметрии, чем iOS - Apple. Это требует высоких вычислительных мощностей и большого объема оперативной памяти. Вы можете убедиться в этом, заглянув в характеристики устройств.
ОС Android позиционирует себя, как система с открытым исходным кодом. Это значит, что вносить изменения в настройки системы могут как разработчики приложений, так и отдельные пользователи. Такая доступность, с одной стороны, позволяет всем заинтересованным лицам участвовать в совершенствовании программных продуктов. С другой – создает постоянное окно возможностей для внедрения вредоносного ПО. Владельцу устройства на ОС Android нужно все время следить за обновлениями Системы и антивирусов, чтобы защитить информацию на своем планшете или смартфоне.
Статистика глобальной телеметрии ESET утверждает, что в 2021 году объем угроз для Android увеличился в пять раз по сравнению с 2020 годом. При этом в четвертом квартале 2021 года Россия вошла в пятерку стран по количеству угроз со стороны операционной системы Android.
Хакеры и участие отдельных государств в кибератаках
Государственные организации могут финансировать создание ПО для перехвата сигналов и оперативного сбора данных с цифровых устройств. Либо воспользоваться готовыми решениями ведущих разработчиков. Один из них – израильская компания NSO group и её Pegasus. Это ПО считается лучшим приложением для информационной разведки из всех существующих. Pegasus может быть установлен даже на выключенный смартфон. В комплекте с приложением компания готова предоставить все необходимое оборудование. Защититься от проникновения не поможет ни VPN, ни смена SIM-карты, ни сброс настроек. Единственный вариант – уничтожить устройство и SIM-карту. Как заявляет NSO group, компания предоставляет свой продукт только для законных целей: поисково-спасательных работ, анализа данных в рамках расследований и борьбы с беспилотниками. При этом все клиенты компании – представители спецслужб, правоохранительных органов и военные. В ходе ряда журналистских расследований было выявлено около 50 000 эпизодов прослушивания персональных устройств журналистов и политических активистов в разных странах с помощью Pegasus. В ответ на предъявленные факты NSO заявляет, что не управляет системами, которые предоставляет «проверенным заказчикам».
Существуют и другие разработчики шпионского ПО:
– DarkMatter – компания из ОАЭ. Берет начало от американского разработчика CyberPoint, который привлекался для защиты Эмиратов от кибератак. Затем офицерам местной разведки удалось переманить часть сотрудников для проведения собственных операций. Новая компания не подчинялась законодательству США.
– Enfer – занимается анализом эксплойтов и делится ими с экспертным сообществом. Однако зафиксировано как минимум два случая передачи информации от Enfer в спецслужбы отдельных стран.
– Hacking Team – итальянская компания. Ее программа Remote Control System способна подключаться к камере и микрофону, перехватывать письма, пароли и скачивать файлы.
– Finfisher – продукт немецкой компании Lench IT Solutions. Так же, как и NSO group, компания заявляет, что ее ПО не может использоваться для незаконных методов. Однако исследователи считают, что ее могли недобросовестно использовать спецслужбы более, чем 25 стран на разных континентах.
Эти программы для осуществления атак используют так называемую уязвимость «нулевого дня», то есть те слабые места в коде, которые еще не успели выявить и исправить разработчики.
Мобильные экосистемы и монополизация рынка
В нулевых на рынке мобильных операционных систем доминировали совсем другие игроки, чем те, к которым мы привыкли сегодня. Palm OS, Symbian, Blackberry, Windows – уверенно делили пользователей тогда еще кнопочных телефонов. Прошло 20 лет и мы видим, что весь мир мобильных устройств перешел под управление совершенно других компаний. Apple и Google постепенно вытеснили конкурентов, хотя далеко не всегда их успех подкреплялся изобретением новых технологий. Дело в том, что эти компании, каждая по своему, начали создавать системы, в которых потребители и разработчики инноваций вынуждены были задерживаться в цикле производства и внедрения обновлений. Они начали создавать мобильные экосистемы.
Экосистема Apple на ранних этапах включила в себя специальный сервис музыки (itunes), магазин приложений (appstore) и другие решения, которые удерживали пользователей и разработчиков в маркетинговом контуре компании. Важнейшее событие – реализация облачного хранилища iCloud в 2011 году, которое позволило синхронизировать информацию со всех устройств пользователя и сделать ее доступной с любого девайса. Со временем стала меняться совместимость некоторых комплектующих, появились профильные разработчики под операционную систему iOS. Все это постепенно вынуждало пользователей отказываться от мысли когда-либо выбрать другую модель планшета или смартфона.
Google использовал другой подход. Хотя компания часто заимствовала решения у своего главного конкурента, основную выручку IT – гигант всегда получал от рекламы. Вероятно, поэтому Google открыл код операционной системы для разработчиков, предоставив им возможность самим адаптировать драйверы для конкретных устройств. Чтобы не тратить на это свое время. Так появился AOSP (Android Open Source Project) – открытый код Андроида. Впрочем, назвать его действительно открытым не получится. Во-первых, помимо AOSP есть еще закрытые «облачные» сервисы GMS (Google Mobile Services), которые постепенно прирастали и теперь составляют значительную часть всей ОС. К ним относятся, например, поисковик, почта, рабочий стол, камера, многие API для доступа к позиционированию, распознаванию голоса, внешности и т.д. Во-вторых, в Android заложены инструменты, которые позволяют сделать его закрытой ОС в любой момент.
Кроме того, разработчики мобильных устройств под Android связаны двумя лицензионными (ACC, MADA) и одним коммерческим соглашением (RSA). Первые два запрещают несогласованное создание «форков», то есть сторонних версий ОС на базе Android, а также обязуют устанавливать на новую модель стандартный набор приложений и API. Соглашение RSA фиксирует обязательство передавать часть доходов Google производителю устройств, на которых предустановлена поисковая система и соответствующие сервисы. Фактически, Google запрещает создание любых независимых операционных систем на базе «открытого кода». Производителям, пытающимся обойти эти ограничения предстоят долгие судебные разбирательства с крупнейшей IT-компанией. Некоторые из таких процессов продолжаются до сих пор. Google, в худшем случае, получает незначительные для себя штрафы и продолжает удерживать технологическую монополию.
От 80 до 90% интернет-трафика в России приходится на мобильные устройства. Отключение от «облачных» сервисов Google и Apple приводит к удалению большого количества приложений, блокировке покупок и монетизации, выборочному отключению push-уведомлений. Сокращаются выплаты разработчикам. По оценке исследователей из МГИМО при отключении от магазинов приложений по «иранскому» сценарию потери могут составить до 2,35 трлн. рублей в год. При полном отключении от всех сервисов – до 3,45 трлн.
Заключение
Например, модули беспроводной связи в режиме Low Power Mode открывают постоянный доступ к данным для злоумышленников. И та и другая компания развивают свои облачные сервисы, которые имеют постоянный доступ ко всем личным данным пользователя.
Если у организации есть реальная потребность в информационной безопасности, ей придется отказаться от бытовых мобильных устройств и распространенных операционных систем. Для полного исключения всех рисков нужно специальное оборудование, спроектированное для конкретных задач. Помимо iOS и Android стоит исключить и те продукты, которые разработаны на базе AOSP и GMS.
Альтернативой могут стать как различные дистрибутивы Linux, так и вовсе другие семейства ОС. Сама по себе такая вариативность затрудняет внедрение вредоносного кода. Данные, хранящиеся на устройстве не попадут в «экосистему», а у хакеров и мошенников мало опыта в работе с редким ПО.
Важно понимать, что успехи в монополизации IT-рынка крупнейшими игроками – это не результат естественного отбора технологий по безопасности. В основном, это история грамотного маркетинга и стратегии по созданию барьеров для пользователей и разработчиков. В итоге, организация-заказчик может получить продукт с 80% ненужного функционала за кратно большую сумму. При этом часть данных будет передаваться в неизвестном направлении. Такие риски простительны небольшой компании, но крупный бизнес или государственная организация рано или поздно заметят ущерб от выбора популярных решений.
Монополию крайне сложно устранить рыночными методами. Но распространение объективной информации об угрозах, которые она несет может повлиять на решения ответственных лиц. Только личная инициатива руководителей компаний или проектов позволит найти адекватное решение в каждом отдельном случае.
