Group-IB – ведущая международная компания по предотвращению и расследованию киберпреступлений и мошенничеств с использованием высоких технологий. Клиентами компании Group-IB являются более 60 банков и финансово-кредитных организаций, представители легкой и тяжелой промышленности, предприятия энергетической и нефтеперерабатывающей отрасли, производители программного обеспечения, телекоммуникационные операторы связи РФ и зарубежных государств.
Мы побеседовали с заместителем руководителя лаборатории компьютерной криминалистики и исследования вредоносного кода в Group-IB, Сергеем Никитиным о мобильной безопасности и всем, что с ней связано.
Какова причина возникновения кибератак?
Если говорить про российский сегмент, то это, в основном, деньги. Хакерам малоинтересна информация на устройствах, интимные фото и переписка. В основном, все трояны направлены на хищение денежных средств тем или иным способом.
Большинство мобильных вирусов имеет свою специфику, или больше похожи на свой компьютерный аналог?
Мобильные вирусы, конечно, имеют свою специфику. Это объясняется, во-первых, их ограниченными правами и возможностями в мобильных ОС, а во-вторых — направленностью атак на получение денежных средств. Встречаются буткиты (вирусы, меняющие порядок загрузки ОС, из-за чего их крайне сложно удалить). Встречаются даже модифицированные зараженные прошивки. Но, в основном, это различные трояны.
Какой самый распространенный вид атаки?
Это, как правило, отправка СМС на короткие номера. Но не только на короткие номера контент провайдеров, а на короткие номера мобильного банка и оператора сотовой связи. Как известно, с помощью них можно перевести ограниченное количество денежных средств (в среднем 15 000 на счет оператора сотовой связи и 30 000 со счета банковской карты).
Могут ли вирусы распространяться через рекламные баннеры, встроенные в приложение?
Не только могут, но и часто так делают. Речь, конечно, про Android. К сожалению, в Play встречаются такие приложения, реклама в которых ведет на вредоносные файлы или фишинговые сайты. К сожалению, Google не так жестко проверяет и отбирает приложения, хотя дополнительная проверка на устройстве, появившаяся в версии 4.3, конечно, добавляет безопасности. В любом случае, подобные приложения человек скачивает и устанавливает сам.
Где лежит граница между свободой гражданина и правом государства на самооборону?
Ну, это сложный этический и правовой вопрос. Наверное, стоит отметить такой факт, что производители мобильных устройств встраивают в свои продукты множество сервисов, которые можно использовать со злым умыслом, так сказать — двойного назначения.
Банальный пример CarrierIQ — программа, встроенная во многие прошивки, предназначенная для отслеживания работы телефонов в разных регионах, с целью оптимизации под местных операторов сотовой связи. Захват паролей, перехват вводимых клавиш, снимки экрана – весьма впечатляюще. Есть программа — Carrier IQ Detector – позволяющая проверить -имеется ли Carrier IQ на вашем смартфоне.
Относительно iOS можно вспомнить скандалы, когда выяснилось, что смартфон отправляет треки передвижения пользователей на серверы Apple, и множество других примеров. Ну и наконец надо понимать, что аккаунты Google и Apple ID относятся не только к мобильным устройствам, но и ко многим другим сервисам сразу. И как мы знаем из откровений Сноудена, доступ к этим аккаунтам могут иметь не только их владельцы. Достаточно вспомнить технологии, которые позволяют найти украденный смартфон, встроенные в ОС, для активации которых достаточно иметь доступ к аккаунту устройства.
| В 2011 году группа энтузиастов выяснила, что iPhone и iPad с 3G-модемом без лишних слов фиксируют и хранят координаты местоположения устройства. GPS-модуль при этом не используется, а вся информация добывается благодаря триангуляции по сотовым вышкам и точкам Wi-Fi. Данные записываются в скрытый файл, сохраняющийся на компьютере владельца при каждой синхронизации телефона или планшета с iTunes. Удалось подтвердить, что все сохранённые данные не передаются на удалённые сервера Apple или каких-либо других компаний. |
Какие технологии могут использоваться для обеспечения анонимности пользователей мобильных устройств?
Наверное, про анонимность можно сказать следующее: Использование любых проприетарных систем, это добровольный отказ от анонимности. Это не только iOS, Windows Phone, но и Android от производителей смартфонов. Наверное, пример более-менее чистой прошивки и ОС это CyanogenMod, без установленных сервисов Google. Но надо понимать, что пользоваться такой системой неудобно, ведь теряется большая часть преимуществ от синхронизации, интеграции, и того, без чего немыслим современный смартфон. Если говорить об шифровании передаваемых данных, то современные мобильные ОС обладают поддержкой VPN позволяющей шифровать весь трафик.
Перекочуют ли на мобильные устройства различные анонимные, самоорганизующиеся распределённый сети по типу i2p?
Они уже здесь: Android, iOS и еще один подобный проект. Развитие быстрого мобильного интернета и производительности устройств уже достаточно для обеспечения доступа к таким сетям на лету, с шифрованием.
Может ли вредоносное ПО для Android распространяться посредством сети Tor? Уже выпущено мобильное приложение.
Ну пока что, слава Богу, как и в случае с обычным интернетом, только в случае, если пользователь сам его скачает и установит. Но заражение с помощи Tor будет осложнено тем, что закрыть такой сайт, распространяющий вредоносное ПО, практически невозможно.
Стоит ли использовать VNP на мобильных устройствах и кому это подходит? Большинство пользователей мирится с огромными неудобствами или получает удобство использования, но в ущерб безопасности?
Обязательно стоит в случае, если вы используете открытые точки доступа. Я приведу пример двух программ, которые позволяют прямо с мобильного устройства перехватывать сессии, пароли, куки файлы, прямо игра Watch Dog: Intercepter и DroidSheep.
Почему, хотя VPN — часть операционной системы на основных мобильных платформах, выходят мобильные приложения, предоставляющие подобные услуги?
Ну, например, потому, что в ранних версиях поддержка VPN была ужасающей. Отсутствие шифрования PPTP и многое другое вынуждало использовать сторонние приложения. Если говорить про iOS, то до сих пор есть проблемы с Connect On Demand, если проще, то при выходе устройства из режима сна, может получиться так, что трафик пойдет не через VPN, а в открытом виде. Приложения, как правило, рассчитаны либо на то, чтобы использовать файлы настройки общего с ПК формата (OpenVPN), либо предлагают дополнительно еще собственные услуги VPN, а не только работают как клиенты.
Какие подводные камни у этих приложений?
Наверное, вопрос доверия, если это проприетарное приложение и, само собой, если это целый сервис. Очевидно, что никто не может быть уверен, что его трафик не журналируется на VPN сервере. Если уж заморачиваться с VPN, то рекомендую арендовать и правильно настроить свой собственный сервер.
Представляет ли опасность для пользователя то, что большое количество приложений запрашивают при установке доступ к имеющимся личным данным? Что можно сказать о применении современных QR-кодов?
Для пользователя представляет опасность скорее то, что люди соглашаются со всем требованиями к правам доступа, не задумываясь — зачем, например, игре или программе для рисования возможность отправки СМС или права администратора устройства. Нормальные разработчики часто в описании программы пишут, зачем ей те или иные права. Относительно QR-кодов – уже встречается фишинг с их использованием. Человек считывает код, и получает ссылку на скачивание apk файла, а не на маркет. По ссылке может быть вредоносный файл. Или ссылка на сайт, например, оплаты интернета в аэропорту. Такой сайт собирает финансовые данные банковской карты пользователя, которые он сам вводит, желая оплатить интернет. А проблема заключается в том, что пользователь подсознательно доверяет QR-кодам. И не задумывается, что кто-то может переклеить их в публичном месте.
Какие общие советы и рекомендации можно дать при использовании мобильных устройств и приложений?
Никогда не ставить никакие приложения из сторонних источников. Не делать джейлбрейк, не получать рут права – использовать встроенные в мобильные ОС средства защиты по максимуму. Всегда тщательно следить за тем, какие права требует устанавливаемое вами приложение, а не бездумно соглашаться со всем. Не переходить по подозрительным ссылкам, где вам предлагается что-то скачать, ввести пароли, данные банковских карт. Относительно Android устройств необходимо заметить, что с каждой новой версией добавляется все больше функций безопасности, так что желательно иметь устройство с последней версий ОС. Из-за несвоевременных обновлений, для большей безопасности пользователям приходится чаще менять сами устройства.
На многие мобильные устройства выпущены менеджеры паролей. Насколько безопасно их использование, с учетом того, что некоторые из них являются Open-source проектами?
Почему бы и нет? Могу порекомендовать Keepass, если его базу выложить в облако, то можно держать синхронизированными пароли на ПК и на мобильном устройстве.
Безопаснее устанавливать приложение с компьютера (через iTunes), или лучше сразу закачивать его из магазина на мобильное устройство?
Атаки на подмену приложений мы пока еще не встречали. Но очевидно, что чем меньше узлов в цепочке, тем меньше источников отказа или целей для атаки. Если на iOS сделан джейлбрейк, и на Android нет галочки, разрешающей установку из неизвестных источников, установка программ в большинстве случаев безопасна.
Опасность чаще исходит от установленных платных или бесплатных приложений?
Как правило, вредоносный код исходит от бесплатных или взломанных приложений.
Насколько безопасна система единого входа через социальные сети? Или пользователю лучше авторизироваться и придумывать новый пароль для каждого сервиса?
Конечно, отдельные пароли на каждый сервис надежнее. Главное, чтобы они были разные, случайные и непохожие. Но запомнить их сложно. Поэтому люди пользуются менеджерами паролей. Там, конечно, тоже можно получить доступ, зная мастер пароль. Но шанс того, что кто-то получит доступ к вашей базе паролей, куда меньше, чем то, что будет взломан какой-либо популярный сервис.
Как часто следует делать резервные копии и в каких случаях они полезны?
Чем чаще, тем лучше. Желательно настроить синхронизацию с резервным копированием, такое есть во всех современных мобильных ОС. В том числе, синхронизацию видео и фотографий на сервер. Рядовому пользователю, я думаю, все равно, что его фото могут рассматривать в АНБ, а вот потерять фото с отпуска из-за упавшего в раковину смартфона — это трагедия. Кроме того, если вы пользуетесь полным шифрованием устройства, то надо быть готовым потерять все данные при малейшем сбое. Но обычно те, кто шифрует все, не заинтересованы в каких-либо резервных копиях.
С какими уязвимостями сталкивались дистанционные системы банковского обслуживания?
Сегодняшняя схема — это, как правило, атака на мобильный банкинг. Приведу пример – на базе Сбербанка, как крупного и распространённого банка. Устройство заражено. Вирус перехватывает все СМС с коротких номеров. Человек не узнает, что с номера 900 ему приходит извещение о снятие денег. Вирус отправляет на номер 900 сумму и реквизиты мошеннической карты, куда перевести деньги. С привязанной к номеру оператора сотовой связи банковской карты таким образом можно перевести деньги другому человеку. Потом вирус посылает на номер 900 сумму, и пополняет счет оператора сотовой связи скомпрометированного смартфона, а далее выводит деньги на другие счета этого оператора, тоже отправкой СМС. Благо, все операторы поддерживают подобные услуги. Ну и кроме того, вирус может перехватывать одноразовые пароли, приходящие по СМС, для атаки на клиент банк, если заражен еще и персональный компьютер. Нам встречался вирус, который выводит в строку уведомлений информацию об акции одного банка. Человек отвечает на вопросы, в которых он раскрывает данные своей карты, достаточные для совершения онлайн покупок.
Пользователю безопаснее привязать собственную карту для встроенных покупок в приложении или проводить операции через Apple?
Безопаснее выпустить для таких расчетов виртуальную карту, и при необходимости пополнять ее счет. Как правило, суммы покупок не очень большие, а привязывать настоящую карту с значительными средствами – только повышать риски.
Может ли пользователь самостоятельно отследить, что происходит что-то неладное?
Иногда да. Во-первых, следует поставить бесплатный антивирус под Android и периодически проверять свою систему. Далее необходимо следить, не появились ли подозрительные приложения, которые вы не ставили. Доходят ли вам все СМС, нет ли потери денег из-за необычно большого трафика мобильного интернета, или превышений суточного лимита.
В каких случаях стоит придерживаться шифрования данных на устройствах?
Стоит рассмотреть минусы использования шифрования. Для мобильных устройств шифрование отбирает вычислительные мощности при работе с зашифрованными данными, что негативно сказывается на общей производительности и на времени автономной работы устройства. Таким образом, шифровать нужно только критические данные. Пример: база паролей — это то, что стоит зашифровать, а вот ресурсы 3D игры не надо.
Следует ли устанавливать CAPTCHA на мобильных приложениях?
Это зависит от разработчика и его сервиса. Использование CAPTCHA необходимо для борьбы с ботами, спамом и перебором паролей. Как только сервис или приложение станет достаточно популярным, то встанет и вопрос, как бороться с подобными угрозами.
Какой тип разработки мобильных приложений более безопасен: нативная, веб-приложение или гибридная?
Разделять таким образом приложения с точки зрения безопасности не совсем правильно. Если разрабатывать программу, сразу задумываясь о безопасности, то подойдет любой тип разработки. А вот если прикручивать безопасность после разработки, то тут, как правило, что-то ускользнёт из виду.
Правомерно ли то, что приложения предоставляют некоторые данные пользователей рекламным и аналитическим компаниям?
Если об этом сказано в пользовательском соглашении, то пользователь должен сам решить, хочет он пользоваться таким софтом или нет. Достаточно вспомнить, что Google индексирует почту для рекламной аналитики, и большинство пользователей Gmail не видят в этом ничего страшного.
Мобильные приложения чаще взламывают ради данных пользователей или идеи сделать их бесплатными?
Смотря что считать взломом. Как правило, нейтрализуют защиту у сторонних приложений для того, чтобы сделать их бесплатными. Для кражи данных пользователей пишут отдельные вредоносные программы.
Разработка проектов стоит не так много по сравнению с исками по различным поводам. У молодых компаний не всегда есть средства на грамотное обеспечение информационной безопасности. Что можно посоветовать инди-разработчику?
Сделать хорошее приложение, сразу задумываясь о его архитектуре с точки зрения информационной безопасности, провести его тестирование. А вот до публикации приложения на маркете необходимо обратиться к юридическим основам, уточнить нет ли плагиата, есть ли пользовательское соглашение, и т.д.
Каковы тенденции в области безопасности ICS, мобильных устройств и интернета?
Тут можно отметить общую интеграцию мобильных ОС в остальные информационные сервисы, в том числе технологические, так что угрозы для них становятся все реальнее. Чем больше возможности мобильных устройств, чем больше в них финансовой информации (клиент банк, электронные деньги, удаленное управление, доступ в корпоративную сеть), тем более они привлекательны для атак, и тем более экономически целесообразно искать уязвимости, писать вредоносный код.
Чем грозит пользователю использование на одном устройстве «личных» и «корпоративных» приложений?
Повышением рисков. Как всегда, принцип «разделяй и властвуй» никто не отменял. Очевидно, что домашние приложение (игры, развлекательные приложения) несут в себе дополнительные возможности по компрометации устройства, а с ним и корпоративных данных.
Компаниям предпочтительнее использовать универсальный клиент или специализированное собственное приложение?
Вопрос несколько общий. Клиент чего? Если речь идет о, например, доступе к форуму, то можно использовать Tapatalk, как пример универсального клиента. А если речь идет о клиенте для системы ДБО, то логично использовать свой.
Стоит ли компаниям прибегать к аутсорсу серверов?
Зависит от того, какие данные будут обрабатываться на этих серверах. В любом случае, самостоятельно администрировать свои сервера куда безопаснее. Но если это какой-либо некритичный сервис, то аутсорс — это нормальное решение.
Следует выдавать сотрудникам собственные устройства или можно позволить им использовать собственные планшеты и смартфоны (BYOD)?
Зависит от того, с какими данными эти сотрудники работают. Современные корпоративные средства защиты информации, кроме шифрования данных на устройстве, позволяют удаленно полностью очистить память такого устройства в случае хищения или потери. Использование смартфона в личных целях (игры, мультимедиа) добавляет различные вектора атаки, поэтому, если есть возможность предоставить сотрудникам служебные смартфоны и планшеты (преднастроенные с точки зрения безопасности), то лучше это сделать.
Какие действия следует предпринять в случае увольнения сотрудника?
Вопрос очень общий. Как вы понимаете, увольнение начальника службы безопасности и уборщицы — это несколько разные вещи. Обычно существует определенный регламент, обходной лист, какие действия необходимо сделать при увольнении. Наверное, стоит отметить следующие пункты: Смена всех известных сотруднику паролей; Проверка на наличие удаленного доступа у сотрудника к компьютерам и сервисам компании и его закрытие.
Безопаснее обеспечить хранение корпоративных данных на устройствах или предоставить доступ к защищенному облачному сервису, как альтернативному?
Мне кажется, что оба подхода имеют право на жизнь. Особенно, если облачный сервис не общедоступный, а реализованный на серверах и силами компании.
Какие действия сотрудников способны сильно навредить компании?
При ответе на данный вопрос можно написать целый детектив. Но остановимся на основных вещах. Если у сотрудника имеется доступ к сервисам и разработкам компании, то возможны любые негативные действия как из корыстных, так и из личных причин. Тут надо вспомнить азбуку информационной безопасности, и настраивать все в соответствии с ней, например, не забывать про журналирование всех действий, разделение прав доступа и многое другое.