О мобильной связи
- Вся информация, передаваемая при разговоре по мобильному телефону записывается и хранится.
- Все перемещения мобильного телефона записываются и хранятся.
- Использование сим карты, оформленной на чужое имя, не является серьёзным препятствием для определения личности пользователя телефона.
- Вы «демаскируете» свою личность и своё местоположение, осуществляя платежи через мобильный банк, заходя в почтовые сервисы, соцсети и сайты.
- Контакты, переписка, файлы вашего телефона синхронизируются с облачными хранилищами. Утеря телефона или компрометация пароля делает эту информацию публичной.
- СМС не защищены от доступа третьих лиц.
- СМС легко подделать.
- Не давайте приложениям доступ к функциям телефона необдуманно.
- Не используйте телефон в корпоративных целях. И корпоративная информация может быть перехвачена и собственная служба безопасности (при входе в аккаунт рабочей почты) получит доступ к вашей личной информации.
ПОПОДРОБНЕЙ:
За последние годы роль мобильного телефона в корпоративной среде постепенно менялась от прибора для голосового общения к “умному телефону" (smartphone), тесно интегрированному в инфраструктуру компании. Такое расширение возможностей устройства ставит новые вопросы как перед службами IT, так и перед подразделениями, отвечающими за безопасность.
Для специалистов, имеющих навыки администрирования традиционной корпоративной сети, менеджмент и защита мобильных устройств являются принципиально новыми задачами. У смартфонов иные платформы, свои приложения и интерфейсы, специфика которых знакома далеко не всем IT-специалистам и специалистам по защите информации.
Современные мобильные средства связи (смартфоны, планшеты) имеют особенности, не позволяющие при оценке рисков информационной безопасности ставить их в один ряд с ноутбуками мобильных сотрудников. Во время передвижения сотрудника ноутбук выключен и используется вне офиса зачастую без подключения к сети. Если пользователь ноутбука входит в сеть, он сознательно оценивает степень безопасности соединения. Мобильное же устройство активно практически всегда и находится всегда при пользователе. Оно настолько индивидуально и привязано к конкретному человеку, что может служить его уникальным идентификатором. В то же время потеря или кража телефона более вероятна, чем кража ноутбука.
С мобильными устройствами связан целый ряд активов и возможностей, критичных с точки зрения их защиты. В первую очередь это голосовые переговоры. В памяти аппарата хранятся контакты абонентов с адресами и телефонами, история звонков и SMS, рабочие файлы и документы. С мобильного устройства владелец получает доступ к корпоративной электронной почте, личному кабинету корпоративного портала и системе дистанционного банковского обслуживания. Смартфон является средством фиксации информации – он используется в качестве диктофона, с его помощью можно получить фото- и видеозаписи, передать данные о географическом положении абонента.
Риски не ограничиваются лишь возможностью утечки информации. Смартфон, пожалуй, наиболее личное, персональное устройство наряду с кардиостимулятором и зубной щеткой. Это обстоятельство приводит к практически безусловному доверию со стороны собеседника или получателя SMS-сообщения. А значит, SMS и звонки, совершенные злоумышленником от имени владельца мобильного средства, могут привести к самым серьезным последствиям.
На каких же этапах наиболее уязвимы данные, циркулирующие в системе корпоративной сотовой связи? Для ответа на этот вопрос рассмотрим основной спектр возможных атак.
Инфраструктура оператора
В инфраструктуре оператора сотовой связи аккумулируется достаточно полная информация об абонентах. Благодаря возможности получить консолидированные данные сразу по целой группе абонентов, ценность этого источника возрастает. Несмотря на старания операторов, утечки время от времени происходят, но в целом получить несанкционированный доступ к данным об абонентах чрезвычайно сложно. Есть практика предоставления информации по запросу силовых структур. Согласно ст. 64 "Закона о связи" №126-ФЗ, операторы обязаны предоставлять информацию органам, осуществляющим оперативно-разыскную деятельность или обеспечение безопасности Российской Федерации. Аналогичные законы есть в большинстве стран, а наличие целого ряда специализированных решений для автоматического выявления по ключевым характеристикам потенциально полезной информации из огромного числа звуковых потоков, из фото-, видеоматериалов и текстовых файлов позволяет предположить, что такие системы анализа больших объемов трафика GSM-операторов востребованы и находят в мире применение.
Канал сотовой связи
Объектом пассивного или активного перехвата может стать канал сотовой связи. В первом случае атакующая сторона лишь сканирует радиочастотный диапазон, анализирует сеансы связи и дешифрует данные. Специалисты по криптографическому анализу неоднократно демонстрировали слабость потоковых алгоритмов A5/1 и A5/2, используемых в сетях GSM. Подбор ключа, с помощью которого шифруются переговоры, на современном компьютере занимает всего несколько минут.
Под активной атакой канала может подразумеваться развертывание ложной базовой станции, захват идентификационной информации абонента и отключение его от сети оператора. Реализовав данную атаку, можно осуществлять от имени абонента звонки или передачу SMS-сообщений, и владелец телефона при этом не будет ничего подозревать. Однако такая атака является достаточно сложной операцией, требующей высокой квалификации и специального дорогостоящего и весьма громоздкого оборудования. Кроме того, работа станции активного перехвата может быть обнаружена. Поэтому в основном перехват используется силовыми органами и разведкой, а злоумышленники обычно стараются найти более доступные методы атак.
Физический доступ к МСС
Потеря или кража смартфона чревата не только неудобствами, связанными с блокированием SIM-карты и затратами на новое устройство. Информация, хранящаяся на смартфоне, может попасть в нежелательные руки. Помимо анализа данных через интерфейс телефона, заинтересованная сторона может применять специально созданные продукты, использующие низкоуровневые протоколы доступа к памяти телефона. Таким образом иногда удается восстановить даже удаленные сообщения SMS.
Скрытая установка агентского ПО
С точки зрения соотношения усилий и результата наиболее эффективной атакой является скрытая установка на смартфон агентского программного обеспечения. Такое ПО позволяет незаметно для пользователя осуществлять мониторинг звонков, SMS, географического положения. Мало того, такие агенты могут записывать переговоры, в любой момент включать микрофон или фотокамеру и транслировать данные, активируя, например, каналы Wi-Fi или Bluetooth. Есть варианты вредоносных программ, способных предпринимать активные действия от вашего имени, например отправлять с телефона SMS- и MMS-сообщения.
Cui bono, или Кому это выгодно
Древнеримские юристы рекомендовали в первую очередь искать, кому это выгодно. Круг лиц, заинтересованных в получении чужой корпоративной информации, очень широк. Опасаться приходится как скоординированных целевых действий профессиональных хакеров, так и неквалифицированных атак лиц, использующих вполне доступное в Интернете программное обеспечение для мобильного шпионажа. Отдельно стоит упомянуть силовые органы, которые могут претендовать на получение информации как тайно (если это, например, разведывательные службы), так и легитимно (в рамках системы оперативно-разыскных мероприятий). Ряд громких скандалов, связанных с утечками данных из силовых структур, подтверждает, что пренебрегать данными каналами при оценке рисков нецелесообразно.
Для установки такого клиента можно использовать физический доступ к телефону и взлом по Bluetooth или Wi-Fi. Возможна также установка шпионской программы и с помощью SMS с настройками конфигураций. Например, поменяв настройки начальной страницы браузера, можно принудить устройство скачивать и устанавливать ПО с хакерского сайта, к которому будет обращаться браузер при каждом открытии. Эффективность такого метода заражения чрезвычайно высока, поскольку он не требует ни специального оборудования, ни наличия злоумышленника в непосредственной близости от телефона. Злоумышленник и жертва могут находиться даже на разных континентах.
Серьезность ситуации иллюстрирует такой факт: в антивирусных компаниях для анализа работы вредоносного кода, разработанного для заражения персональных компьютеров, используются обычные неподключенные к сети компьютеры. А чтобы работать с вирусами для мобильных устройств, оборудуются специальные экранированные комнаты.
В последнее время на рынке и в специализированной прессе активно обсуждается тема корпоративной мобильности. Соответственно безопасность корпоративной сотовой связи рассматривается в контексте доступа к корпоративным ресурсам со смартфона и защиты беспроводных каналов. Однако нужно понимать, что, если даже использование смартфонов ограничивается лишь голосовыми звонками и SMS-сообщениями, задача защиты корпоративной сотовой связи остается не менее актуальной.
http://itsec.ru/articles2/Oborandteh/bezopasnost-korporativnoi-sotovoi-svyazi-novie-ygrozi-i-arsenal-zashiti-1