Проект "ИТ-Защита"

В последнее время количество мобильных приложения под Андроид множится "ударными темпами". И поэтому привередливому пользователю уже трудно угодить. Но мы постараемся выделить несколько мобильных приложений "из последнего улова" и посоветовать пользователям устройств под управлением Андроид.

Далее обзор приложений

Полный текст статьи доступен в формате .pdf:

Начало статьи в части 1, части 2, части 3, части 4.

В. А. Артамонов

ПРОБЛЕМЫ БЕЗОПАСНОСТИ МОБИЛЬНЫХ УСТРОЙСТВ, СИСТЕМ И ПРИЛОЖЕНИЙ

Часть 5

Угрозы и уязвимости мобильных приложений

 

В современном мире организации и физические лица все больше полагаются на мобильные программные приложения для поддержки своих критически важных деловых инициатив. Это означает, что защищенность мобильных приложений должна быть главным приоритетом стратегии безопасности бизнес – процессов организаций и частных лиц, использующих технологию мобильных транзакций, включая банковскую.

С ростом популярности разработки мобильных приложений, повышается их капиталоёмкость, а вместе с этим и желание злоумышленников перевести эти капиталы на свои счета. Многие современные мобильные программы предполагают внутренние покупки, а также отправку SMS на платные номера, именно эти лазейки могут использовать хакеры. Одно дело, сколько стоит создание мобильного приложения, а другое  – сколько будет стоить сделать его безопасным. Механизмов взлома и вытаскивания денег из мобильных устройств чрезвычайно много, каждый год появляются новые алгоритмы, но вместе с тем растёт и сила противодействия, способная своевременно бороться с угрозами. В наименьшей степени этим тенденциям подвержены закрытые системы, в частности IOS, поскольку архитектура её выполнена так, что в ней практически невозможно появление вирусов.

Далее...

Полный текст статьи доступен в формате .pdf:

Начало статьи в части 1, части 2, части 3.

В. А. Артамонов

ПРОБЛЕМЫ БЕЗОПАСНОСТИ МОБИЛЬНЫХ УСТРОЙСТВ, СИСТЕМ И ПРИЛОЖЕНИЙ

Часть 4

Угрозы и уязвимости Wi-Fi – сетей

 

Стандарт/технология Wi-Fi для для широкополосных беспроводных сетей связи  разработан на основе телекоммуникационного стандарта IEEE 802.11 (англ. Institute of Electrical and Electronics Engineers) [5]. Изначально технология Wi-Fi была ориентирована на организацию точек быстрого доступа в Интернет (hotspot) для мобильных пользователей. Преимущества беспроводного доступа очевидны, а технология Wi-Fi изначально стала стандартом, которого придерживаются производители мобильных устройств. Постепенно сети Wi-Fi стали использовать малые и крупные офисы для организации внутренних сетей и подсетей, а операторы создавать собственную инфраструктуру предоставления беспроводного доступа в Интернет на основе технологии Wi-Fi. Таким образом, в настоящее время сети Wi-Fi распространены повсеместно и зачастую имеют зоны покрытия целых районов города.

С точки зрения безопасности, следует учитывать не только угрозы, свойственные проводным сетям, но также и среду передачи сигнала. В беспроводных сетях получить доступ к передаваемой информации намного проще, чем в проводных сетях, равно как и повлиять на канал передачи данных. Достаточно поместить соответствующее устройство в зоне действия сети [6]. Обобщённая картина угроз и уязвимостей представлена на рис. 2.

Далее...

Полный текст статьи доступен в формате .pdf:

Начало статьи в части 1, части 2.

В. А. Артамонов

ПРОБЛЕМЫ БЕЗОПАСНОСТИ МОБИЛЬНЫХ УСТРОЙСТВ, СИСТЕМ И ПРИЛОЖЕНИЙ

Часть 3

Угрозы и уязвимости мобильных телекоммуникационных систем

Сети сотовой связи стандарта GSM.

В Европе принят единый стандарт для систем мобильной связи GSM (groupe special mobile, второе поколение мобильных средств связи). GSM использует диапазоны 900 и 1800 МГц. Это довольно сложный стандарт, его описание занимает около 5000 страниц. Идеологически система имеет много общего с ISDN (например, переадресацию вызовов). GSM имеет 200 полнодуплексных каналов на ячейку, с полосой частот 200 кГц, что позволяет ей обеспечить пропускную способность 270,833 бит/с на канал. Каждый из 124 частотных каналов делится в GSM между восемью пользователями (мультиплексирование по времени). Теоретически в каждой ячейке может существовать 992 канала, на практике многие из них недоступны из-за интерференции с соседними ячейками.

Система мультиплексирования по времени имеет специфическую структуру. Отдельные временные домены объединяются в мультифреймы. Каждый временной домен (TDM) содержит 148-битовый кадр данных, начинающийся и завершающийся последовательностью из трех нулей. Кадр имеет два 57-битовых поля данных, каждое из которых имеет специальный бит, который указывает на то, что лежит в кадре: голос или данные. Между информационными полями размещается поле синхронизации (Sync). Хотя информационный кадр имеет длительность 547 мксек, передатчику позволено передавать его лишь раз в 4615 мксек, так остальное время зарезервировано для передачи другими станциями. Если исключить накладные расходы каждому соединению выделена полоса (без учета сжатия данных) 9600 кбит/с.

Восемь информационных кадров образуют TDM-кадр, а 26 TDM-кадров объединяются в 128-микросекундный мультифрейм. Как видно из рисунка 4.1.8.1.2 позиция 12 в мультифрейме занята для целей управления, а 25-я зарезервирована для будущих применений. Существует также стандарт на 51-позиционный мультифрейм, содержащий больше управляющих вставок. Управляющий канал используется для регистрации, актуализации положения и формирования соединения. Каждая стационарная станция поддерживает базу данных, где хранится информация обо всех обслуживаемых в данный момент клиентах. Общий управляющий канал делится на три субканала. Первый служит для обслуживания вызовов (paging channel), второй (random access channel) реализует произвольный доступ в рамках системы ALOHA (устанавливаются параметры вызова). Третий субканал служит для предоставления доступа (access grant channel).

Далее...

Полный текст статьи доступен в формате .pdf:

Начало статьи в части 1.

В. А. Артамонов

ПРОБЛЕМЫ БЕЗОПАСНОСТИ МОБИЛЬНЫХ УСТРОЙСТВ, СИСТЕМ И ПРИЛОЖЕНИЙ

Часть 2 

Управление мобильными устройствами

Есть два базовых подхода к управлению мобильными устройствами: использование возможностей сервера обмена сообщениями (часто от того же производителя, что и устройства) или использование стороннего продукта, который разработан для управления несколькими марками устройств. У типичного решения достаточно простая клиент-серверная архитектура. В организации установлен один или несколько серверов, обеспечивающих централизованное управление, а на все мобильные устройства устанавливаются клиенты, которые настраиваются для постоянной работы в фоновом режиме. Если устройство выдано организацией, клиентское приложение обычно управляет конфигурацией и безопасностью всего устройства (режим управления мобильными устройствами, MDM). Если устройство принадлежит сотруднику, то клиентское приложение управляет только конфигурацией и безопасностью самого приложения и корпоративных данных (режим управления мобильными приложениями, MAM). Клиентское приложение и корпоративные данные изолированы от прочих приложений и данных устройства, помогая сохранить конфиденциальность как корпоративных данных, так и личного контента пользователя. Централизованное управление мобильными устройствами может задействовать другие корпоративные службы, такие как доменные службы аутентификации и VPN.  Если в организации отсутствует централизованное решение или  некоторые мобильные устройства несовместимы с ним, тогда устройствами приходится управлять вручную. Мобильные устройства часто не предоставляют возможности строго настроить средства безопасности, как это делают клиентские приложения централизованных устройств. Например, мобильные устройства часто поддерживают только простой пароль для аутентификации и не поддерживают надежного шифрования хранилища. Это потребует приобретения, установки, настройки и поддержки целого перечня сторонних приложений, чтобы компенсировать недостающий функционал. Управление устройством, физически не находящимся в стенах организации, может оказаться невозможным. Можно установить утилиты для удаленного управления устройствами, но это потребует значительно больше сил для ручного обновления ПО и прочей технической поддержки мобильных устройств, находящихся вне офиса.

Далее...

Полный текст статьи доступен в формате .pdf:

В. А. Артамонов

ПРОБЛЕМЫ БЕЗОПАСНОСТИ МОБИЛЬНЫХ УСТРОЙСТВ, СИСТЕМ И ПРИЛОЖЕНИЙ

 

Развитие высоких технологий и тренд мобильности привели к тому, что современное мобильное устройство –  смартфон/планшет или иной «гаджет» (слово по себе неприятное – прим. Авт.) зачастую используется в качестве мобильного офиса, центра развлечений и инструмента для потребления Интернет-контента. Сам аппарат многое может рассказать  о своем владельце, ведь в его памяти хранятся: контакты коллег, друзей и близких с их персональными данными; журнал звонков; корпоративная переписка; параметры точек доступа Wi-Fi, которые расположены в пределах ареала обитания владельца; приложения социальных сетей (зачастую с сохраненными паролями); банковские реквизиты или мобильный/СМС банкинг, снимки, видеозаписи, заметки и пр.

Такая концентрация деловых и персональных данных приводит к тому, что абстрактная стоимость информации перевешивает цену самого устройства. Именно поэтому задача защиты телефона/планшета или иного мобильного устройства как от киберугроз так и от банальной утери/выхода из строя является критически важной. К сожалению, часть пользователей осознает важность этих задач лишь постфактум.

Далее...

"Глобальное исследование утечек конфиденциальной информации в 2014 году". 

"...Аналитический центр компании InfoWatch представляет отчет об исследовании
утечек конфиденциальной информации в 2014 году. Авторы исследования
попытались построить наиболее полную картину утечек информации в масштабе
всего мира, выявить факторы, формирующие эту картину, показать, какими
последствиями оборачиваются утечки данных для коммерческих компаний,
государственных органов, граждан.

2014 год можно назвать годом «мега-утечек» персональных данных. Зафиксировано
более 30 случаев, когда объем персональных данных, скомпрометированных в
результате утечки, составил свыше 1 млн записей. Половина из этих утечек поистине
гигантского масштаба – 10 млн записей и выше.

Российская картина утечек стремительно приближается к американской.
Многомиллионных утечек данных под воздействием внешних атак в России пока не
зафиксировано. А вот мошенничество с чужими персональными данными в
исполнении сотрудников банков, страховых компаний, салонов сотовой связи
происходит чуть ли не ежедневно. Такие правонарушения стали нормой для нашей
страны, хотя некоторое время назад казались экзотикой..."

  По материалам компании InfoWatch

Запросить отчет в Аналитическом Центре компании InfoWatch

Скачать отчет с сервера в формате .pdf