Мобильные угрозы. Доклад в Кишиневе

1. Мобильные
угрозы
Безмалый В.Ф.
MVP Consumer Security
Microsoft Security Trusted Advisor
cybercop@outlook.com
http://bezmaly.wordpress.com

2. Исследование, проведѐнное «Лабораторией Касперского»
совместно с B2B International в ноябре 2012 года
• 34% компаний не используют
систему для управления мобильными
устройствами (MDM)
• 29% лишь частично внедрили
специализированные инструменты
менеджмента и защиты.

3. Проблемы BYOD

4. Формирование защиты данных при использовании
сотрудниками собственных устройств
• В компании должно быть точное понимание:
• какие данные действительно необходимы для эффективной работы;
• какие допустимые точки, протоколы и каналы доступа к этим
данным;
• допустимые методы аутентификации и идентификации
пользователей;
• политики аудита использования данных;
• требования к устройствам и приложениям, с которых будет
осуществляться доступ к корпоративным данным.

5. Необходимо
• использование шифрованных каналов связи
• обязательное шифрование устройств сотрудника
• аутентификация на базе персональных
сертификатов.
Очень важно помнить, что шифрования одного только устройства недостаточно, и крайне
желательно использовать дополнительную контейнеризацию приложений с поддержкой
шифрования данных приложения на лету.

6. Каковы объективные плюсы и минусы
BYOD для бизнеса?
• Достоинства:
• Сотрудники могут работать за пределами офиса и
выполнять свои служебные обязанности, не будучи
привязанным к конкретному рабочему месту, эффективнее
управлять своим временем.
• Недостатки:
• Резко возрастает угроза утечки корпоративных данных.
• Ценная информация в любой момент может стать
доступна третьим лицам.

7. Риски BYOD
• Мобильное устройство легче похитить или потерять, вместе с устройством
теряются данные, в том числе, корпоративные.
• Защитные решения для мобильных устройств должны, в первую очередь,
защищать не сами гаджеты, а хранящиеся на них данные, утечка которых может
сильно ударить по бизнесу.
• Защитное решение должно позволять настроить устройство в соответствии с
политиками безопасности предприятия, проверить, что устройство не
скомпрометировано, и на устройстве не установлены «серые» приложения или
приложения из ненадежных источников.

8. Риски BYOD
• Для ИТ-подразделений важно иметь
возможность удаленного контроля над
данными, например, удаленно заблокировать
устройство в случае его утери или удалить с
украденного устройства рабочие документы и
почту.
• Не менее важно наличие единообразного
способа управления политиками безопасности и
настройками для всех активов предприятий.

9. Реалии рынка СНГ
• Предоставление неконтролируемого удаленного доступа к
корпоративным данным.
• ИТ не всегда знает, какие приложения установлены на устройствах
работников, шифруются ли они, используется ли защита паролем,
VPN при работе с корпоративными ресурсами.
• Таким образом, рынок СНГ в настоящий момент сильно отстает от
западного по внедрению решений для управления мобильными
устройствами и их защиты.

10. Bring your own device (BYOD), Choose your own device
(CYOD) и Bring your own application (BYOA)
• При реализации BYOD устройством владеет сотрудник, а при
CYOD компания предоставляет возможность сотруднику
выбрать устройство, которое затем покупает для него.
• У компании есть все права на управление устройством, потому что
оно ей принадлежит. Это обеспечивает максимальную безопасность
для компании, которая, например, может стереть все данные и
вернуть устройство к заводским настройкам без необходимости
получать согласие со стороны сотрудника. В случае применения
BYOD подобное вмешательство в некоторых странах может быть
законодательно ограничено.
Bring your own application (BYOA) –пользователь также выбирает приложения, с которыми он
предпочитает работать. Для решения есть механизмы по контролю приложений, через которые можно этот
тренд - BYOA – контролировать и эффективно управлять его применением.

11. BYOD на рынке
• В развитых странах Европы, а также в США и Японии
это очень актуальная тема - из компаний списка
Fortune-500 подобные решения в той или иной
степени реализуют более 95% компаний.
• В России внедрение этой концепции запаздывает: в
процентном соотношении ее применяют не больше
20% компаний в России.

12. Как обезопасить компанию от утечки
данных с мобильных устройств?
• В любом случае, для безопасности важны как
идеи/технологии/системы, так и человеческий фактор: понимание
целей специалистами, которые систему выстраивают, и понимание
ответственности сотрудниками, которые пользуются устройствами.
• Для обеспечения защиты от утечки данных можно применять
шифрование всего устройства, вместе с подключенными flash-картами
(информация на них тоже должна шифроваться).

13. Как обезопасить компанию от утечки
данных с мобильных устройств?
• В целом в разрезе угроз для мобильных платформ происходит
изменение характера современных атак – злоумышленники
опираются больше не на технические средства, а на слабости
людей, используют методы социальной инженерии, которые
помогают выудить практически любую информацию.
• Уделять внимание не только технической стороне защиты, но и работе
с персоналом: начиная с повышения квалификации IT-персонала и
заканчивая разъяснениями основных правил безопасности в Сети.

14. Организационная поддержка
• Концепции BYOD, CYOD и BYOA не ограничиваются
подключением мобильного телефона или планшета
сотрудника к электронной почте компании.
• Сами концепции подразумевают главным образом выработку
корпоративных политик работы с устройствами и их
активное применение, установку дополнительных систем (в
том числе защитных).

15. Специальные приложения
• Не только телефон сам по себе увеличивает
эффективность сотрудников – на нем должны быть
установлены специальные приложения и средства
совместной работы с информацией.
• Основной сценарий сегодня – установить e-
mail, сконфигурировать WiFi профили – и обычно
на этом все и заканчивается.

16. Популярность вредоносного ПО для
мобильных устройств
• 30 июня количество зарегистрированных вредоносных модификаций
для Android перешагнуло 100 000-й рубеж (629 семейств вредоносных
программ).
• Киберпреступники действуют по стандартной схеме: загружают
легитимное приложение, добавляют к нему вредоносный код и дальше
используют получившуюся комбинацию в качестве «транспортного
средства» для распространения зловреда.

17. Популярность вредоносного ПО для
мобильных устройств
• Второй квартал 2013 года: 29 695 против 22 749 за первые три месяца
2013 года.
• В целом в 2013 году произошло резкое увеличение количества
вредоносного ПО для мобильных устройств.

18. Рост числа вредоносов под
Android

19. Соотношение образцов по типам

20. Мобильный фишинг

21. Зависимость типа фишинговой
атаки от цели
• Если целью фишинга является получение доступа к учетной записи в
социальной сети, то злоумышленник попытается, используя поддельный веб-
сайт, принудить жертву оставить адрес своей электронной почты и пароль к
сети.
• Если цель киберпреступника - завладеть деньгами жертвы, то поддельный веб-
сайт может содержать поля для ввода учетных данных пользователей,
связанные с финансами и информацией о кредитной карте.
• Хотя задачи фишинговых атак и меняются, цель у злоумышленников
всегда одна - незаконно делать деньги

22. Пути распространения фишинговых ссылок
• На сегодня широко
распространены два - с
помощью браузера и
электронной почты.
• Используя эти каналы как
механизмы распространения,
фишеры атаковали 37,3 млн.
человек во всем мире в 2012-
2013 гг. против 19,9 млн. в 2011
году.
• Рост составил 87,44%.

23. Географическое распределение
жертв
• Большинство жертв в 2012-2013 гг. проживало в России,
США, Индии, Германии, Вьетнаме, Великобритании,
Франции, Италии, Китае и Украине. Эти 10 стран
являются родиной 64,05% всех жертв фишинговых
атак в исследованный период.
• В России число атакованных пользователей за
прошлый год выросло на 56,1% - с 4,47 до 6,98 млн.

24. Mobile Threats and the Underground Marketplace с
сайта APWG Mobile Fraud web site
• К 2015 г. ожидается более 2 млрд. мобильных устройств.
• В Китае сегодня 564 млн. интернет-пользователей, из них 75% -
мобильные.
• На сегодня на Virustotal насчитывается свыше 5,6 млн. образцов
вредоносного ПО для Android, из них более 1,3 млн образцов
подтверждено двумя и более антивирусными вендорами.

25. Mobile Threats and the Underground Marketplace с
сайта APWG Mobile Fraud web site
• Типы вредоносных программ и методов нападения включают:
программы-шпионы, фишинг-атаки, троянские программы, смешанные
атаки, многие из которых предназначены для кражи денег
пользователей.
• Отслеживание перемещения техники используются для извлечения
сведений о привычках владельца.

26. Причины распространения вредоносного
ПО под ОС Android
• Многие телефоны, особенно младших версий, не
обновляются никогда.
• Мобильные пользователи не устанавливают
обновления сразу же по многим причинам (процедура
обновления занимает длительное время, телефон
разряжается и т. д.). Это может привести к задержке
применения обновления на несколько дней или даже
недель.

27. Цены на злонамеренное ПО
Образцы инструментов и сервисов Цена в долларах
США (март 2013 г.)
Описание
Мобильные кейлоггеры
Mobile Intrusion (surveillance)
Мобильные шпионы
Open Source
400
500-5000
Java & Python Keyloggers
Mobile malware for banking theft 10 000-30 000 Eurograbber, ZitMo, Tinba Trojan
Mobile botnet 50-400

28. Цены на злонамеренное ПО
Образцы инструментов и сервисов Цена в долларах
США (март 2013 г.)
Описание
Mobile botnets (операционный &
адаптированный исходный код)
4000-30 000 Mobile ISO service, SMS
Mobile traffic by targeted country 10-30 за 1000 hosts
Mobile SMS spam service 2-8 центов за 1 SMS Mobile spamming
Mobile SMS spamming tool 30-50 SMS spammer by klychev v0.3
Mobile flooder (Skype or SIP) 30-80 Skype Flooder

29. По итогам 2012 г.
• Найдено 4000 фишинговых сайтов, разработанных
специально для атак на мобильных пользователей.
• 75% всех мобильных фишинговых сайтов были
мошенническими версиями известных банковских или
финансовых сайтов
• Часть фишинговых сайтов разработана для имитации сайтов
социальных сетей (2%) и сайтов онлайн-магазинов (4%).

30. Советы корпоративным пользователям
• Сотрудник, который знает, что такое фишинг, имеет меньшую вероятность
пропустить фишинговую атаку, подвергнув опасности данные компании.
• Фишинг может использоваться как один из этапов в атаке, направленной на
вашу компанию.
• Именно поэтому крайне важно использовать комплексные решения по
обеспечению безопасности. При этом опять-таки лучшим вариантом решения
будет антивирусный продукт, имеющий репутационные технологии проверки
веб-страниц.

31. Советы пользователям Android

32. Советы
• Если уж решили покупать смартфон (планшет) под управлением Android,
покупайте устройство от Google. Они еще более-менее обновляются.
• Покупая устройство, берите то, которое только что вышло у вендора. Есть
шанс, что на нем установлена новейшая версия ОС. Естественно, проверяйте,
так ли это.
• Устройство, еще лежащее на прилавке, уже может работать под устаревшей
версией ОС, причем есть вероятность, что оно не обновится никогда.

33. Советы
• Не покупайте дешевые смартфоны и планшеты. Вероятность их обновления
близка к 0. Производителю выгоднее выпустить новое устройство, чем
возиться с вами.
• Время жизни вашего устройства – максимум год, потом продавайте, чтобы
купить новое. Да, вы потеряете в цене вдвое, но ведь вы же хотите
использовать Android и быть в безопасности, не так ли?
• Еще одна причина покупки нового устройства – необходимость установки
антивируса. А так как антивирусные компании ориентируются на
быстродействие новых топовых устройств, то чем дешевле ваше
устройство, тем больше вероятность того, что ваш антивирус будет тормозить.

34. Заключение.
Прежде чем покупать устройство,
особенно дешевое устройство на
базе Android, хорошенько подумайте,
а хватит ли у вас денег оплачивать
услуги злоумышленников.

35. Зачем нам шпионы? или Мы сами
все отдадим

36. Почему использование шпионских
технологий уже не столь актуально
• Известная антивирусная компания
BitDefender провела исследование,
проанализировав 130 000 (!)
популярных приложений для Android
на предмет нарушений
пользовательской приватности.
• Около 13% (или около 17 000) из
рассмотренных приложений собирают
и передают на сторону номера
мобильных телефонов пользователей
без явного уведомления.

37. Почему использование
шпионских технологий уже не
столь актуально
• Приблизительно столько же передают данные о
местонахождении владельца, в то время как почти 8%
собирают адреса электронной почты.
• Почти 6% получают доступ к журналу браузера, а некоторые
даже к личным фотографиям
(http://www.cnews.ru/top/2013/04/04/tysyachi_androidprilozh
eniy_sobirayut )

38. Отчет компании Bit9
• Более 100 000 приложений Android, размещенных в
Google Play считаются «сомнительными».
• 72% приложений используют права с повышенным
риском;
• 42% приложений получают GPS-данные о
местоположении пользователя (даже обои, игры и
утилиты);

39. Отчет компании Bit9
• 31% получают сведения о номере телефона или звонках;
• 26% имеют доступ к личным данным, таким как контакты и
электронная почта
• 9% используют функции, которые могут стоить
пользователю денег.
• http://www.imena.ua/blog/%D1%87%D0%B5%D1%82%D0%B2%D0%B5%D1%80%D1%82%D1%8C-
android-%D0%BF%D1%80%D0%B8%D0%BB%D0%BE%D0%B6%D0%B5%D0%BD%D0%B8%D0%B9-
%D1%81%D0%BE%D0%B1%D0%B8%D1%80%D0%B0%D1%8E%D1%82-
%D0%B2%D0%B0%D1%88%D0%B8-%D0%B4 .

40. Какую информацию собирает
Google
• Информация от пользователей Чтобы использовать многие наши
службы, необходимо иметь аккаунт Google. При его создании
запрашивают персональные данные, например имя, адрес электронной
почты, номер телефона или реквизиты кредитной карты.
• Из служб, с которыми вы работаете. Данные о том, как и какие
службы вы используете. Это происходит в момент, когда вы, например,
посещаете веб-сайты, рекламируемые в AdWords или AdMob, или
просматриваете и взаимодействуете с нашими объявлениями либо
контентом

41. Сведения об устройстве
• Модель, версия операционной системы, уникальные
идентификаторы устройства, а также данные о
мобильной сети и номер телефона.
• Кроме того, идентификатор устройства или номер
телефона могут быть привязаны к вашему аккаунту
Google.

42. Сведения журналов
• подробные сведения об использовании служб, включая поисковые запросы;
• данные о телефонных вызовах, включая номера телефонов для входящих, исходящих
и переадресованных звонков, дата, время, тип и продолжительность вызовов, а также
информация о маршруте SMS;
• IP-адреса;
• данные об аппаратных событиях, в том числе о сбоях и действиях в системе, а также о
настройках, типе и языке браузера, дате и времени запроса и URL перехода;
• файлы cookie, которые служат уникальным идентификатором вашего браузера или
аккаунта Google.

43. Сведения о местоположении
• В службах Google с географическими функциями собирают и
обрабатывают данные о вашем фактическом местоположении, включая
данные GPS, отправленные мобильным устройством.
• Используют различные технологии определения координат, например,
опрашивают датчики устройств на предмет информации о ближайших
точках доступа Wi-Fi и вышках сотовой связи.

44. Уникальные номера приложений
• В некоторых службах используются уникальные
идентификаторы программ. Они вместе с
информацией о приложении (например, о номере
версии или типе операционной системы) могут
отправляться в Google при установке или удалении
службы, а также во время автоматических сеансов
связи с серверами (при загрузке обновлений и т. п.).

45. Локальное хранилище
• Собирают и хранят данные (в том числе и персональные) на ваших пользовательских
устройствах с помощью таких средств, как веб-хранилище браузера (включая HTML5)
и кэш данных, используемых приложениями.
• Файлы cookie и анонимные идентификаторы
• Чтобы получать и записывать данные о том, как используются службы Google,
применяют различные технологии. Некоторые из них отправляют данные на
пользовательское устройство: один или несколько файлов cookie или анонимных
идентификаторов. Эти данные также необходимы в тех случаях, когда пользователь
взаимодействует со службамиртнеров. Это могут быть AdWords, AdMob или функции
Google, размещаемые на сторонних веб-сайтах.

46. Заключение
• Надеюсь всего этого достаточно, чтобы понимать, чем вы делитесь в
Интернет. У вас есть основания доверять Google? У меня нет.
• Я никого не призываю к чему-то. Использовать ли вам смартфоны или
планшеты от Google – дело исключительно ваше. Главное, чтобы вы
понимали что в это время происходит с вашей информацией.

47. Спасибо за
внимание!
Безмалый В.Ф.
MVP Consumer Security
Microsoft Security Trusted Advisor
cybercop@outlook.com
http://bezmaly.wordpress.com