Проблематика защиты мобильных устройств часть 4 - перехват данных

Проблематика защиты мобильных устройств часть 4 - перехват данных
И снова я решил затронуть вопрос безопасности мобильных устройств  и сегодня я бы хотел коснуться рисков перехвата информации.

По моему мнению синергия мобильных и облачных технологий это длительный тренд, который будет определять технологическое развитие на ближайшие годы. А это означает, что наличие устойчивого доступа в сеть Интернет с мобильного устройства это практически обязательное условие их эффективного использования. Представьте себе ваше мобильное устройство без доступа к сети хотя бы на сутки. Насколько оно будет для вас функционально?   Это в свою очередь означает, что риск перехвата информации, передаваемой между мобильным устройством и корпоративными/облачными сервисами, становится довольно существенным.

Практически все современные устройства оснащены большим количеством различных коммуникационных возможностей: WiFi, Bluetooth, 2G-3G. Давайте разберем их по отдельности:

1. WiFi - очень массовая технология. Сейчас точки доступа можно встретить повсюду: рестораны, гостиницы, конференции. В московском метрополитене и в общественном транспорте (автобусы, троллейбусы) также в ближайшее время планируется развернуть Wi-Fi-сеть. Основное отличие таких точек заключается в том, что доступ предоставляется бесплатно (в большинстве случаев), рассчитаны они на массового потребителя (читай не слишком технически грамотного) и основным фактором является максимальное удобство и простота подключения.  Все приводит к тому, что такие сети не используют WPA-шифрование, канал полностью открыт.  Таким образом перехват информации (паролей, писем, файлов и проч.) является абсолютно плевым делом, доступным даже рядовому школьнику. Некоторое время назад, например, бурно обсуждался плагин Firesheep для браузера Firefox, который позволял, используя перехваченные по WiFi кукисы от различных сайтов (Facebook, например), получать к этим сайтам несанкционированный доступ от имени незадачливого пользователя.

2. Bluetooth. Данный канал редко используется именно для доступа к сети Интернет. Чаще всего он используется либо для обмена файлами между двумя устройствами либо для подключения гарнитуры. Способов и инструментов для взлома защиты Bluetooth существует не мало, вот в этой статье коротко описаны основные виды. 

3. 2G-3G. Не многие оценивают как высокую возможность перехвата 3G-трафика,  т.к. для этого потребуется довольно дорогостоящее оборудование. Это правда лишь отчасти. Хочу познакомить вас с проектом OpenBTS . Основная его цель - разработка программного обеспечения с открытым кодом для точек базового доступа мобильной связи. Ребята говорят, что точки, созданные с помощью их программного обеспечения, довольно дешевы и могут помочь бедным странам развернуть у себя сети мобильной связи. Вот как выглядит эта точка доступа:


Компактная, правда ? Я пока еще не слышал о возможности перехвата с помощью такой точки доступа трафика данных, но думаю, что в опытных руках все возможно. Хотя, конечно же, это уже не так доступно и просто как в случае с WiFi.

Все что описано был выше говорит только об одном. Защита канала связи, является крайне важным элементом. Защитить канал можно двумя способами:
  • Установка агента на мобильное устройство (VPN-клиент)
  • Защита канала за счет удаленного сервера (так называемый SSL VPN)
Если говорить о VPN-клиентах, то с ними (если мы говорим про западную криптографию) все более менее нормально. Есть встроенные VPN-клиенты в iOS и Android. Есть дополнительные клиенты вроде AnyConnect  от Cisco. Хотя в случае с Android есть определенная специфика работы VPN-клиентов, связанная с многообразием аппаратных платформ, на которых работает эта операционная система. 

Если мы говорим об отечественной криптографии, то пока о разработках VPN-клиентов объявили компании Код Безопасности и Инфотекс . Но к сожалению по предварительной информации их работа возможна только на jailbrake/rooted - устройствах. 

Если мы говорим о защите канала связи за счет сервера, то в таком случае речь идет о технологии SSL и работает это в основном для почтовых клиентов и браузеров.  В качестве примеров решений, обеспечивающих публикацию ресурсов и защиту с помощью SSL VPN можно назвать Stonegate SSL VPN , Checkpoint ConnectraForefront Unified Access Gateway 2010 .
Alt text

Если вам нравится играть в опасную игру, присоединитесь к нам - мы научим вас правилам!

Подписаться

Александр Бондаренко

Блог Александра Бондаренко