УДК 681.3

В. А. Артамонов, Е.В. Артамонова, Г.Г. Маньшин

ПРОБЛЕМЫ ОЦЕНКИ БЕЗОПАСНОСТИ МОБИЛЬНЫХ УСТРОЙСТВ И ПРИЛОЖЕНИЙ НА ОСНОВЕ "ОБЩИХ КРИТЕРИЕВ"

Возрастающее применение мобильных информационных технологий вывело вопрос безопасности данных в мобильных устройствах на новый уровень. А так как приложения в смартфонах и других подобных им гаджетах используются не только на потребительском уровне, но и на корпоративном, то безопасность мобильных приложений обращает к себе все более пристальные взгляды и новые решения. Проблемы реализации хранилищ данных и их передачи можно считать самыми важными  среди проблем безопасности приложений на смартфонах, потому что две эти проблемы представляют максимальный риск как для индивидуальных пользователей, так и для корпоративных. Несмотря на то, что есть множество атак инъекционного типа, которые проводятся с прицелом на API (Application Programming Interface (англ.) – интерфейс для программирования приложений) и недостатки при организации памяти, глубина такой атаки опирается на скомпрометированный сервер или на не безопасный обмен данными, дающий злоумышленнику возможность манипулирования обменом данными со смартфоном. Средства безопасности, предустановленные в операционной системе создают все больше и больше препятствий, необходимых для преодоления того чтобы атака завершилась успехом, и нарушитель политики безопасности получил доступ к использованию недостатков в организации памяти в устройстве. На практике эти недостатки в сторонних приложениях не несут в себе огромного риска для платформы в целом, до тех пор, пока они не будут скомбинированы с уязвимостями самой ОС.

Множество компонентов информационных систем, взаимодействующих с критичными ресурсами, включает программные решения для мобильных платформ. Актуальность таких решений определяется значительным развитием мобильных систем и, в совокупности с востребованностью аудита информационной безопасности как этапа разработки защищенных систем обработки данных, обуславливает насущность исследования мобильных приложений в контексте информационной безопасности.

В работе [1] приведена систематизация типовых уязвимостей мобильных приложений, работающих под управлением наиболее распространённых мобильных ОС Android, iOS и Windows Phone:

• Использование незащищенных протоколов передачи информации.
• Небезопасная конфигурация защищенного соединения.
• Небезопасная аутентификация веб-сервера.
• Использование небезопасных криптографических методов.
• Небезопасное хранение конфиденциальных данных.
• Непреднамеренная компрометация данных.
• Вывод конфиденциальной информации в системный журнал событий.
• Небезопасное использование возможностей межпроцессного взаимодействия.
• Небезопасная обработка входных данных.
• Небезопасное использование возможностей сети GSM.
• Отсутствие проверок наличия несанкционированного привилегированного доступа к мобильному устройству.
• Недостаточная защита пакета приложения и его компонентов.
• Небезопасная конфигурация и использование потенциально уязвимых методов в контексте обработки управляемых ресурсов.

В контексте разработки информационных систем, к которым предъявляются повышенные требования безопасности, такие уязвимости следует рассматривать как уязвимости критичной степени важности. В связи с этим актуальным становится вопрос оценки безопасности мобильных устройств и их приложений, в том числе соответствия их определённым, заранее установленным нормативным требованиям (сертификация). Для этого обратимся к международному опыту, в частности к стандарту ИСО/МЭК 15408 "Критерии оценки безопасности информационных технологий" более известному под брэндом – Общие критерии (ОК) [2,3]. ОК в применении к оценке безопасности изделий информационных технологий (ИТ) являются по сути метасредствами, задающими систему понятий, в терминах которых должна производиться оценка, и содержащими относительно полный каталог требований безопасности (функциональных и доверия), но не предоставляющих конкретных наборов требований и критериев для тех или иных типов продуктов и систем ИТ, выполнение которых необходимо проверять. Эти требования и критерии фигурируют в профилях защиты (ПЗ) и заданиях по безопасности (ЗБ) [4]. Предполагается, что профили защиты, в отличие от заданий по безопасности, носят относительно универсальный характер: они характеризуют определенный класс изделий ИТ вне зависимости от специфики условий применения.

Общие положения политик безопасности, относящиеся к защитным сервисам мобильных приложений могут состоять в следующем:

• Описания правил идентификации и аутентификации всех субъектов доступа (порядок аутентификации, разделение функций пользователя и администратора, условия, накладываемые на порядок аутентификации в зависимости от статуса и условий работы пользователя в информационной системе).
• Описания управления доступом к информационным ресурсам сервиса безопасности (модель доступа, критерии предоставления доступа, наборы привилегий субъектов доступа, порядок изменения правил доступа).
• Описание подотчетности пользователей, реализуемой посредством сервиса безопасности (какие действия пользователей при работе с какими сервисами могут быть подотчетны при применении объекта оценки, описанного в профиле).
• Описания правил протоколирования и аудита для анализа функционирования сервиса безопасности.
• Обеспечение доступности коммуникационных каналов.
• Описания правил обеспечения конфиденциальности и целостности управляющей информации (в частности, при удаленном администрировании).
• Описания порядка обеспечения целостности аппаратно-программной и информационной частей сервиса безопасности (список контролируемых компонент, порядок контроля и т.д.).
• Обеспечение невозможности обхода защитных средств (набор управленческих решений, обеспечивающих соответствующие предположения безопасности).

Продолжение в части 2.

Отправить статью в социальные сети, на печать, e-mail и в другие сервисы: