Мой смартфон – не моя крепость

«Когда Брейвик в Норвегии расстрелял под сотню человек (июль 2012. – Ред.), к нам местная полиция обратилась в тот же день. У многих погибших были айфоны, и по ним можно было бы быстро установить личность, если бы не passcode (пользовательский код доступа к телефону. – Ред.). Полицейские купили бы, но это процесс небыстрый, так что мы предоставили им несколько лицензий бесплатно», – рассказывает гендиректор софтверной компании Elcomsoft Владимир Каталов.

«Купили бы» относится к программному продукту, средству восстановления кода доступа к iPhone. Хорошая иллюстрация ненадежности защиты данных в мобильном устройстве: наивно думать, что пароль на входе в трубку помешает кому-то завладеть вашими данными. Для вскрытия passcode существует хотя и недешевый, но общедоступный софт.

На устройствах поздних версий (после iPhone 4) passcode вскрыть сложнее, и даже не всегда возможно. Однако люди, которым по долгу службы следовало бы заботиться о сохранности своих данных, пренебрегают даже такой защитой. Каждый четвертый госслужащий в США, если верить исследованию Cisco, не использует пароли для защиты мобильного устройства. При этом 90% госслужащих работают с помощью собственных мобильных устройств, а 6% теряли смартфоны, ноутбуки и планшеты со служебными данными. Главный вывод исследования: беспечность чиновников при использовании собственных мобильных устройств на работе поразительна. Те же люди, которые блокируют доступ к своему десктопу, выходя из кабинета на несколько минут, ничего не делают, чтобы защитить данные в своем смартфоне – при том, что смартфон гораздо более уязвим.

«Это так»

В России подобных исследований не проводилось, что означает лишь отсутствие точной оценки масштаба бедствия. Однако о том, что каждый смартфон в руках госслужащего пробивает большую или маленькую, реальную или потенциальную, но несомненную дыру в системе национальной безопасности, специалисты знают и так. Компании, столкнувшиеся с труднопреодолимыми проблема проблемами защиты данных на мобильных устройствах сотрудников, поневоле учатся их решать, но на госслужбе практика, известная как BYOD (bring your own device – «принеси [на работу] собственное устройство»), во-первых, фактически безальтернативна, во-вторых, не рассматривается как источник опасности.

Опасность, однако, реальна. Иностранные технические разведки и промышленные шпионы получают довольно простую возможность контролировать контакты госслужащих, их обмен сообщениями, очень часто – почту, перемещения, а иногда и получать доступ к данным на компьютере, с которым синхронизируется мобильное устройство.

«Да, это так. Поэтому на некоторых режимных объектах запрещено использование сотовой связи, а Wi-Fi не используется вообще», – сообщил d-russia.ru пожелавший остаться неназванным эксперт по информационной безопасности, консультирующий ФСБ.

Чем опасен смартфон

Дело не сводится к потере данных, хранящихся в самом смартфоне или планшете – такая перспектива, при всей ее нежелательности, не самая страшная. Хуже то, что в «умелых» руках смартфон может стать отмычкой к служебному компьютеру, даже если тот не подключен к Интернету.

«Нам известен такой случай. Не последний руководитель крупной госкомпании синхронизировал смартфон с настольной машиной, для безопасности отключенной даже от локальной сети. Мобильное устройство было заражено вредоносным кодом, который активизировался при синхронизации, добирался до данных на десктопе, а потом отправлял их вовне уже со смартфона», – рассказывает генеральный директор компании IntelCrawler, эксперт в области информационной безопасности Андрей Комаров.

По его словам, сегодня «угроз мобильным устройствам больше, чем десктопам». Пишут вредоносный код для смартфонов люди с фантазией. Вирус-шпион активизируется не только при синхронизации, но и в ответ на включение Bluetooth или начало зарядки батареи. В последнем случае вирусописатель исходит из предположения, что устройство могли подключить не к сети питания, а к USB-порту компьютера, и если эта надежда оправдывается, начинается выгрузка в смартфон данных из папки, например, «Документы». Дальнейший путь украденной информации проследить практически невозможно. Смартфон незаметно переправит их заказчику по сотовой сети (правда, эксперты, опрошенные d-russia.ru, отвергают возможность такого сценария для устройств на платформе iOS и смартфонов Blackberry – софт, работающий на таких устройствах, не имеет доступа к хост-компьютеру, только наоборот).

Подцепить шпионский код легче всего в репозитории программ, все приложения, попадающие в AppStore или Play Market, проверить на наличие недокументированных функций невозможно, говорит Андрей Комаров. Примеры мобильных троянцев можно увидеть, например, здесь.

Есть и экзотические способы. Так, заразить iPhone можно, воспользовавшись предоставленным злоумышленниками зарядным устройством (в обычный бытовой «зарядник», показанный в статье, шпионское приспособление не спрячешь, но, например, в аэропорту зарядный кабель может быть незаметно подсоединен к электронной отмычке). Операционная система iOS 7, правда, «поумнела» и спрашивает пользователя, доверяет ли он компьютеру, к которому присоединился. Зато ответ «доверяю» приводит к созданию на компьютере private-ключа, используемого для установления связи с устройством. Имея этот ключ (например, украв его с компьютера), злоумышленник может получить почти полный доступ к iPhone, причем не только по кабелю, но и по Wi-Fi, и даже, если верить циркулирующим в среде специалистов непроверенным слухам, через 3G. «Почти полный доступ» означает возможность незаметно скачать почти всю информацию и установить на устройство свой софт.

Проверенные временем методы физического воздействия на смартфоны также эффективны. Охотники за коммерческой или государственной тайной могут вскрыть их и копировать содержимое памяти, не прибегая к совсем уж высокотехнологичным ухищрениям, минут за 20-40. Происходит такое хотя и нечасто, но, по словам Андрея Комарова, регулярно.

Если же каким-то образом – социальной инженерией, или старым добрым традиционным шпионажем – завладеть учетной записью пользователя смартфона или планшета, и если бэкап устройства сохранен в облаке, то сам смартфон для хищения содержащихся в нем данных и не потребуется. Получить историю звонков, переписку (в том числе в соцсетях), фотографии (с геотэгами) и многое другое можно будет в спокойной обстановке с любого компьютера. Более того, можно отследить перемещения устройства в реальном времени, если включена функция поиска телефона. Корреспондент d-russia.ru тестировал предназначенный для этого софт, предоставленный Elcomsoft (на примере копии своего телефона в iCloud), и убедился в его работоспособности. (Интересно, что физически iCloud, как попутно выяснилось, находится в дата-центрах Microsoft и Amazon, т.е. у конкурентов Apple.)

Основной контингент покупателей софта для извлечения данных из мобильных устройств – «ревнивые супруги и спецслужбы», – говорит Владимир Каталов. Но спецслужбы, главным образом, зарубежные. Наши предпочитают использовать не софт для анализа «облачного» бэкапа, а специальное оборудование, «допрашивающее» само устройство. Особенно популярна продукция израильской компании Cellebrite, а именно программно-аппаратный комплекс Cellebrite UFED. Стоит недешево, от полумиллиона рублей.

Смартфон или телефон может использоваться и как инструмент нападения на чужую информацию (именно поэтому, например, вас не пустят с планшетом в американское посольство). Службам безопасности приходится отслеживать появление внутри периметра смартфонов, ищущих корпоративную беспроводную сеть или Bluetooth-соединения – такое устройство мог принести злоумышленник, и его надо обнаружить. Чем поставщики защищающих периметр DLP-систем и занимаются.

Мобильное устройство, используемое как точка доступа к Интернету, может создать неучтенный канал внешней связи внутри периметра, и это тоже потенциальная угроза информационной безопасности.

Мер технического противодействия шпиону (инсайдеру) нет в том случае, если он ворует данные, фотографируя экран рабочего компьютера. Как ни странно, но в этом случае проще довести дело до суда – есть возможность представить неопровержимые доказательства. Свежий пример: Нижний Тагил, «Уралхимпласт» – 27-летняя сотрудница предприятия в январе 2014 года пошла под суд за то, что «с июня по декабрь 2012-го года неоднократно по просьбе знакомых фотографировала монитор компьютера с открытыми файлами, содержащими коммерческую информацию», и пересылала украденные данные заказчику. Отвечать придется по ч. 2 ст. 183 УК РФ (незаконное разглашение сведений, составляющих коммерческую тайну, без согласия их владельца лицом, которому она стала известна по работе), санкция – до трех лет лишения свободы. Об историях такого рода в госструктурах источники d-russia.ru не сообщают, но считают их вероятными.

Если же данные воровали или пытались украсть проникновением в чужую сеть или компьютер, опытный адвокат в России легко развалит дело, представив злоумышленника жертвой хакеров, заразивших его смартфон шпионским кодом, или оспорив результаты экспертизы.

И о главном

«Если ты используешь ресурс и не платишь за него деньги, ты не клиент, ты – товар. Если информация передается с помощью третьей стороны, ни о какой тайне и речи быть не может», – говорит гендиректор SearchInform (известный игрок на рынке DLP-решений) Лев Матвеев.

В случае мобильных устройств третью сторону представляют владельцы операционной системы и предоставляемых вместе с ней сервисов, облачных, прежде всего. Власть третьей стороны велика. Хозяин не то что операционной системы, но даже популярного почтового сервиса и социальной сети может использовать чужие данные в своих интересах, чему есть примеры.

Об актуальности и серьезности возникающих из-за «третьей стороны» проблем свидетельствует, в частности, свежее (январь 2014) событие: частная компания AirWatch, специализирующаяся на средствах контроля беспроводного трафика мобильных устройств, будет куплена VMWare более чем за полтора миллиарда долларов.

Что и кому следует предпринять

Для безопасного использования мобильных устройств могут применяться (и применяются) традиционные меры обеспечения режима гостайны: сертификация устройств, доверенная операционная система, шифрование данных и средства подавления сигнала, который может «снят» техническими средствами за пределами периметра. Однако универсальный рецепт безопасности мобильных устройств из этого не сделаешь, по многим причинам.

Альтернативы, впрочем, разнообразием не отличаются: запретить использование мобильных устройств на рабочем месте; контролировать информацию, передаваемую с мобильных устройств (при условии, что владельцы дали на это согласие); запретить подключение мобильных устройств к корпоративным компьютерам; выдать сотрудникам корпоративные мобильные устройства, чтобы получить юридическое право контролировать (с помощью предустановленных средств защиты) передаваемую информацию.

«Выполнение последнего пункта по силам не каждой компании, однако для госструктур он подходит, достаточно вспомнить новости о закупках планшетов для депутатов. Тем самым мы избавляемся от юридических нестыковок и получаем право управлять мобильными устройствами так, как считаем нужным – от задания правил на сложность паролей до контроля передаваемой информации», – говорит Лев Матвеев. Производители необходимых для этого программных продуктов в России есть.

И все же одни только технические меры обеспечения информационной безопасности недостаточны. «Безопасность мобильных устройств – не проблема сисадмина, это проблема пользователя», – полагает Андрей Комаров. По его словам, неумение защищать свои устройства у нас граничит с невежеством: пользователи понятия не имеют об источниках угроз, которые достаточно было бы просто избегать. Даже простейшее, с помощью комиксов, обучение сотрудников способно дать заметный результат. Пример с комиксами не умозрительный, именно так некоторые компании уже обучают персонал.

Иначе едва ли возможно. Мобильные устройства и предоставляемые ими сервисы настолько удобны, что многие относятся к ним, без преувеличения, с любовью. Люди, и госслужащие не исключение, не готовы ни отказываться от своего смартфона, ни ставить передаваемые со смартфона данные под контроль работодателя.

Единственное, что можно сделать – просвещать, ликвидировать даже не столько техническую безграмотность, сколько обычную наивность, объяснять: да, неосторожное обращение с iPhone способно испортить вам жизнь, и не так уж важно, кто станет вашей проблемой – рассерженный работодатель, ревнивый муж или сотрудник полиции.

Формализовать эту сентенцию, сделать ее конкретной должна, конечно, правоприменительная практика. IT-инженеры в одиночку не справятся.