Обеспечение безопасности мобильных устройств. Некоторые аспекты

Дмитрий Костров, заместитель директора Центра систем кибербезопасности, ООО «Энвижн Специальные проекты», NVision Group

Мобильные устройства завоевывают все большее место в качестве главного устройства, с которым человек практически никогда не расстается. При этом уже общеизвестно, что смартфоны подвержены не простым заражениям «мини-вирусами», мягко крадущими персональные данные пользователя и/или отсылающими «дорогие» СМС на короткий номер контент-провайдера третьего уровня, а стали частью системы нападения. Компания Prolexic опубликовала отчет, согласно которому для осуществления DDoS-атак сегодня используются мобильные приложения. По представленным данным за IV квартал 2013 г., количество DDoS-атак увеличилось на 26% (по сравнению с предыдущим кварталом того же года). По мнению президента Prolexic Стюарта Шолли, популярность мобильных устройств и широкий выбор загружаемых приложений сегодня меняют правила игры, поскольку мобильные сети используют супер-прокси – заблокировать исходящие IP обычным способом невозможно, поскольку это заблокирует и естественный трафик.

С популяризацией высокоскоростного мобильного Интернета и «умных» мобильных терминалов мы стали свидетелями взрывного роста вредоносного программного обеспечения.

Для абонентов: воровство информации, прослушивание разговоров, отслеживание местонахождения и т. п.; потери активов (уничтожение данных); мошенничество; атаки на другие абонентские терминалы; распространение спама; шантаж, обман и т. д.

Для операторов мобильной связи: атаки на сетевые объекты, сами услуги мобильной связи и другие терминалы; «захват» значительных ресурсов сетей или услуг мобильной связи, что приводит к снижению качества и доступности связи; «захват» сетевых элементов и контроль над ними.

Внедрение вредоносного программного обеспечения приводит к худшим последствиям при использовании мобильного Интернета в сравнении с традиционным проводным доступом в Cеть, так как:

  • мобильный Интернет – это растущий рынок с отстающим внедрением соответствующих механизмов безопасности;
  • мобильные терминалы содержат информацию частного характера, возможно, и коммерческую тайну, которая очень привлекательна для злоумышленников;
  • в сравнении с фиксированным (проводным) доступом в Интернет мобильные сети имеют меньшие ресурсы (например, атака типа flood быстрее выведет из строя ресурс сети);
  • существует отличие бизнес-модели проводного доступа в Интернет от услуги сотовой связи, что приводит к иным юридическим последствиям («безлимитный доступ» и «пакет услуг передачи данных»);
  • слабая защищенность операционных систем мобильных терминалов и загрузка программ из недоверенных хранилищ (магазинов) повышают уровень угроз;
  • с учетом того, что мобильные терминалы часто имеют множество интерфейсов обмена данными (USB, SD-карты, Bluetooth и т. д.), они становятся дополнительным каналом утечки.

В управлении инфицированными терминалами можно выделить три типа ролей: оператор, абоненты и другие организации. Оператор мобильной связи играет ключевую роль, в рамках которой работа может быть разделена на три процесса: обнаружение, управление и обмен. Также в рамках данной области мы рассмотрим вредоносное программное обеспечение и сами базы данных.

Предлагается проанализировать отношения выделенных ролей: операторы должны обнаруживать и профилировать выявленные аномалии абонентских терминалов на стороне сети и, конечно, информировать абонентов об данных угрозах. Кроме того, операторы могут делиться информацией о выявленных вредоносах с другими организациями. Например, сейчас идет разработка фундамента обмена в рамках Ассоциации по противодействию мошенничеству при использовании высоких технологий. Цель – формирование подходов и стандартов по обмену информацией об инцидентах кибербезопасности, в том числе мошенничества (фрода) на сетях связи между различными отраслями.

Ассоциация – неформальная организация, в которую входят признанные в своих компаниях эксперты по информационной (кибер-) безопасности. Каждая организация может выделять для работы неограниченное количество экспертов, при этом один эксперт назначается «точкой входа» для работы между участниками. Направления работ: обмен опытом в области легального противодействия кибератакам как на саму компанию, так и на ее клиентов (абонентов); создание неофициальной системы быстрого информирования и реагирования на инциденты кибербезопасности; обмен опытом при реализации требований государственных органов в рамках их полномочий.

Вернемся к нашим процессам. В процессе поиска анализируются заголовки протоколов и другие необходимые данные (PH&CP – Protocol Header and Control Packet). Цель – собрать, проанализировать и выявить аномалии.

В процессе управления выявленные аномалии проверяются и срабатывают механизмы защиты, направленные на обеспечение безопасности самих операторов мобильной связи и их абонентов. Применяются специальные языки высокого уровня для описания объекта и информирования всех участвующих сторон. Здесь уже предлагаются меры по восстановлению абонентского терминала и информированию других организаций для обеспечения безопасности отрасли в целом.

Объектом в нашей модели являются само вредоносное программное обеспечение и база данных «знаний». Данная база должна быть максимально актуализирована, что дает возможность снижать общий уровень риска, как для самого оператора, так и для его абонентов.

В процессе обнаружения в рамках определенной мобильной сети сбор данных для анализа аномалий, показанный на рис. 2, может осуществляться из разных источников.

Обычно изучаются два источника данных: терминалы (какие услуги легально включены в АСР, CDR, IPDR, LOG) и PH&CP. Информация о PH&CP может быть получена через Gi-интерфейс GGSN или Gn-интерфейс SGSN).

Вредоносные коды и исполняемые файлы включают (но не ограничиваются этим):

  • вредоносные коды веб-страниц;
  • вредоносные исполняемые файлы, загруженные с помощью мобильных браузеров;
  • вредоносные исполняемые файлы, загруженные с помощью вредоносного программного обеспечения.

Известны три способа отслеживания зараженного терминала: веб-серфинг и анализ сетевых ресурсов, применение honeypot/honeynet и изучение самого сетевого трафика.

Нас интересуют бот-сети. Ботнет – это компьютерная сеть, состоящая из некоторого количества хостов с запущенными ботами (автономным программным обеспечением). Чаще всего бот в составе ботнета является программой, скрыто устанавливаемой на устройство жертвы и позволяющей злоумышленнику выполнять некие действия с использованием ресурсов зараженного компьютера. Для нелегальной или неодобряемой деятельности обычно используются рассылки спама, перебор паролей на удаленной системе, атака на отказ в обслуживании. Сам бот должен сообщать о своем существовании в C&C (Command and Control) сервер, чтобы присоединиться к бот-сети. При этом он получает «инструкции» по работе (догружает обновления и/или недостающие части программы. Центром может быть и мобильный терминал, а «инструкции» могут направляться посредством Интернета, SMS- и MMS-сервисов.

Существуют разные политики обнаружения зараженных терминалов: попытки доступа к известному вредоносному центру; отправка терминалом бинарных SMS-сообщений большому количеству мобильных терминалов; рассылка спама с учетом произвольного географического распределения; резкое увеличение premium rate-вызовов или международных звонков и отправка большого количества сообщений. В общем, резкое изменение профиля поведения абонента.

Наиболее популярный и эффективный подход к анализу PH&CP – сигнатурное обнаружение.

Конечно же, применяется и статический анализ: данный подход используется для того, чтобы понять проблему на синтаксическом уровне (например, разбор подозрительных мобильных приложений путем «обратной инженерии»).

Часто динамический анализ используется для отслеживания подозрительных программ, в том числе в защищенных «песочницах».

После процесса отслеживания идет процесс управления: выходы процесса обнаружения анализируются и проверяются (автоматически или полуавтоматически), осуществляется процесс «исправления».

На рис. 3 отображен процесс интерактивных отношений между процессом обнаружения и другими структурами.

В зависимости от тяжести обнаруженной аномалии применяются следующие меры: дальнейший мониторинг, предупреждение и ограничение. Дальнейший мониторинг проводится в том случае, если выявленная аномалия не относится к низкому уровню и на ее изучение требуется больше времени. При аномалиях среднего уровня, при которых не надо прекращать доступ абонента к услугам, применяется предупреждение. Ограничение используется, когда необходимо срочно пресечь дальнейшее действие зараженного терминала, ограничить или полностью приостановить услугу.

Есть много инструментов для ограничения (предупреждения): «черный список», квот-ограничения, «пороги» и т. п. Механизмы, используемые для частичного ограничения, могут с помощью АСР отключать часть услуг (ММS или Интернет).

Способами уведомления абонентов об угрозе заражения терминала (или его заражении) являются:

  • звонки и сообщения голосовой почты из центра обслуживания;
  • посылка СМС\MMS;
  • предупреждающие заставки.

Сокращения:

BOSSBusiness and Operation Support System (система поддержки операционной и бизнес деятельности операторов связи)

C&C Command and Control (центр контроля)

CDR Call Detailed Records (подробная запись о вызове)

DDoS Distributed Denial of Service (атака на отказ в обслуживании)

GGSN Gateway GPRS Support Node (узел, входящий в состав GPRS Core Network и обеспечивающий маршрутизацию данных между GPRS Core network (GTP) и внешними IP-сетями)

GPRSGeneral Packet Radio Service («пакетная радиосвязь общего пользования» надстройка над технологией мобильной связи GSM, осуществляющая пакетную передачу данных)

MMS Multimedia Message Service (служба мультимедийных сообщений)

MMSC Multimedia Message Service Centre (центр службы мультимедийных сообщений)

PH&CP Protocol Header and Control Packet (контроль пакетов и заголовков)

SGSN Serving GPRS Support Node (узел поддержки GPRS

SMS Short Message Service (служба коротких сообщений)

SMSC Short Message Service Centre (центры службы коротких сообщений)

VAS Value-Added Service (услуги с добавленной стоимостью)

WAP Wireless Application Protocol (беспроводной протокол передачи данных)

Поделиться:
Спецпроект

Напряженный трафик или Современные требования к инфраструктуре ЦОД

Подробнее
Спецпроект

Специальный проект "Групповой спутниковый канал для территориально-распределенной сети связи"

Подробнее

Подпишитесь
на нашу рассылку