Мобильная безопасность

Мобильная безопасность
В настоящее время мобильные устройства набирают популярность и становятся необходимыми для широкого круга пользователей. Многие компании приветствуют свободный подход к трудовому распорядку в течение рабочего дня, отдавая приоритет эффективности своих сотрудников. Вспоминается фраза «бойтесь эффективных менеджеров».
Популярность новых мобильных устройств с операционной системой Androidстремительно набирает обороты. Основа ОС - Linuxс ядром 2.6. В настоящее время ОС Androidкупила Googleи продолжает его развивать. ОС Androidстала популярной, прежде всего благодаря удобству использования. Вообще в мире свободного ПО, особенно среди ОС Linux, вопросы удобства всегда оставались на втором, если не на третьем плане. Это связано с тем, что данное ПО использовали лишь «продвинутые» пользователи, а они уж рано или поздно точно разберутся и найдут способ настроить свой компьютер.
ОС Androidимеет много разных приложений,  как платных, так и бесплатных, доступных как для покупки, так и просто для скачивания. Имеются инструменты для разработки собственных приложений. На рынке уже присутствует достаточное количество ноутбуков, нетбуков,  коммуникаторов, планшетов, работающих под управлением ОС Android.
Что нужно мобильным пользователям?Доступ в сеть Интернет, доступ к корпоративной почте, доступ к корпоративным ресурсам, где бы они ни находились. На разных приложениях/играх/прочем я останавливаться не буду, так как это не предмет данного рассмотрения.
Что нужно корпорациям?Получение прибыли. Эффективность работы персонала. Некоторым нужна информационная безопасность.

Риски ИБ
Расширение горизонта атак. Мобильные пользователи часто имеют доступ к корпоративным ресурсам, а значит, имеют возможность хранить на них конфиденциальную информацию.
Возможное распространение конфиденциальной информации, так как эти устройства почти всегда подключены к сети Интернет, часто подключаются к другим сетям, например домашним.
Возможная утечка конфиденциальной информации, например в случае кражи устройства.
По мере становления популярности будут возрастать риски антивирусного заражения ОС и данных.
По мере становления популярности будут возрастать риски атак на саму операционную систему.

Методы ИБ
Удаленный доступ.На рынке присутствуют несколько решений для создания безопасных VPNподключения. Есть поддержка L2TP, L2TP/IPSec в следующих продуктах: 1 VPN, 5 VPN, Cisco VPN Android. По некоторым данным, российская компания Инфотекс ведет разработку клиента VipNet Client под ОС Android.
Антивирус.НарынкеужеприсутствуютбесплатныеверсииAnti-Virus Free, Dr.Web, Lookout Antivirus, Norton Mobile Security Super Security. Я считаю, что бесплатность антивирусов явление временное.
Шифрование данных. На рынке присутствуют специальные программы, позволяющие создавать защищенные области для хранения данных – криптоконтейнеры. Примерами таких программ являются: B-Folders 2, gbaSafe, KeeperPassword& DataVault. Все эти программы поддерживают американский стандарт симметричного шифрования AES.
Стандартные меры: регулярное обновление ОС и приложений, работа без административных прав (root), предотвращение несанкционированного использования устройства.

Компрометация устройства
Компрометацией, в общем случае, называется ситуация, при которой данные могли куда-нибудь утечь или данные остались без присмотра хоть на какое-то время. Самым понятным для конечного пользователя случаем компрометации является кража оборудования. Что можно сделать в данной ситуации? Варианты мне видятся следующие:
  • ничего не делать. Данные и так хранятся в зашифрованном виде в криптоконтейнере, ключ к которому защищен паролем.
  • удалить находившиеся данные. Это можно сделать при помощи специального кода, специального электронного письма, специальной SMS.
Как правило, штатный функционал по дистанционному удалению данных вряд ли найдется, для этой цели лучше всего написать скрипт, благо ОС Androidподдерживает скриптовые языки программирования.
Хочу заметить, что удалять все данные из устройства вовсе не обязательно, достаточно затереть ключ шифрования.


Alt text

Евгений Шауро

Блог специалиста по информационной безопасности