Беспроводные сети, КПК, мобильные телефоны и прочие портативные устройства являются теми лазейками, через которые к вам может проникнуть следующее поколение вирусов, червей и «троянских коней», более сложных и изощренных. Ваши инструменты, разработанные для обычных сетей, в которых вы имеете полный контроль над клиентскими ПК, не срабатывают. Обычные методы обеспечения безопасности для КПК неприменимы
При распространенной среди бизнесменов процедуре «обмена» электронными визитками через инфракрасный порт, интерфейс Bluetooth или одноранговую беспроводную сеть вы можете получить данные, содержащие в себе ?троянских коней?. Затем при синхронизации данных ваших КПК и настольного ПК вы собственноручно запустите ?троянца? в корпоративную сеть |
Калеб Сима похож на всех остальных программистов, приезжающих на Comdex или другие аналогичные выставки. Молодой, стройный, спокойный и немножко суховатый в общении. Сразу и не скажешь, что он — специалист по обнаружению новых угроз в области информационной безопасности, а по совместительству — вице-президент по технологиям и один из основателей компании Spi Dynamics, которая обосновалась в Атланте и специализируется в области создания ПО для обнаружения уязвимостей в Web-приложениях. «Вопросами безопасности устройств сотовой связи я занимаюсь из простого интереса», — заявляет он.
В своем выступлении на недавней выставке Comdex Las Vegas 2003 Сима говорил о растущей угрозе безопасности ИТ-систем, исходящей со стороны портативных устройств. Его выступление стало одним из наиболее ярких моментов дискуссии, развернувшейся на фоне демонстрации десятков продуктов для работы в мобильных сетях связи.
Сима отметил, что за то время, которое он занимается информационной безопасностью сотовых сетей связи, он пришел к выводу: ни разработчики ПО, ни операторы сотовой связи, ни ИТ-менеджеры, отвечающие за работу корпоративных сетей, не относятся серьезно к этому вопросу. Конечно, и от пользователей ждать этого не приходится. Это факт, и его нужно принимать во внимание, зная, что в руках миллионов работников различных компаний находятся миллионы сотовых телефонов.
Недавно Сима, по его собственным словам, решил «поиграть» с SMS, пытаясь сымитировать атаку на отказ в обслуживании (DoS) против пользователей мобильных телефонов при помощи собственного телефона и аппаратов своих коллег. Выяснилось, что это не очень сложно. «В мгновение ока я могу послать тысячу SMS-сообщений на ваш мобильник, и при этом их источник останется для вас неизвестным», — говорит он. Решив устроить эксперимент, Сима сгенерировал поток SMS-сообщений (так называемый «флуд»), что привело телефон в состояние ступора, при котором аппарат не мог ни принимать входящие, ни инициировать исходящие звонки.
Организовав этот поток, Сима позвонил своему оператору сотовой связи, T-Mobile, и попросил остановить или блокировать поток SMS. Ответ, по его словам, был отрицательным.
Хуже того: компания еще и выставила вице-президенту Spi Dynamics счет за получение каждого SMS-сообщения сверх некоторого лимита. В итоге Сима заплатил более 30 долл. за то, что подвергся атаке.
Профессионалы обескуражены
После выступления Симы нам удалось побеседовать с двумя ИТ-профессионалами одной из ведущих компаний аэрокосмической индустрии. Они выглядели немного обескураженными. Очевидно, до них дошел смысл фразы докладчика о том, что «кто угодно может с легкостью осуществить атаку на ваши телефоны и КПК».
«Это тревожит», — заявил один из наших собеседников, Фред Брукс, возглавляющий ИТ-команду, обеспечивающую работу руководства компании, название которой он просил не раскрывать.
Опекаемые им пользователи пользуются устройствами Blackberries от компании Research In Motion, в которых присутствует целый набор встроенных возможностей по обеспечению безопасности и защиты данных. Однако сотовые телефоны и смартфоны — это совсем другой вопрос.
«Мы запретили им использовать сотовые телефоны с камерами, — заявил Брукс. Но как обеспечить выполнение этого требования? У нас недостаточно ресурсов и прав для того, чтобы останавливать и обыскивать людей».
Однако он заметил, что это может стать следующим шагом, как только руководство осознает всю серьезность и масштабы потенциальных проблем с информационной безопасностью.
«Один из наших корпоративных клиентов обозначил эту проблему предельно четко, — отметил Дэйв Нейджел, председатель совета директоров и генеральный директор компании PalmSource. — Этот клиент задал простой вопрос: ?Вот у меня есть устройство ценой в 250 долл., на котором находятся корпоративные данные ценой в 250 млн. долл. И как вы собираетесь их защищать??»
Нейджел заметил, что множество проблем уже решено как на уровне сетевых решений, так и в самих устройcтвах. По его словам, в следующей версии Palm OS появится возможность защиты памяти и включена поддержка приложений, сертифицированных цифровой подписью. «Защищенная память может помочь предотвратить ущерб от вредоносных приложений, которые пытаются получить доступ к данным или ядру операционной системы», — сказал Нейджел. В то же время использование цифровых подписей облегчит блокирование вредоносных или небезопасных приложений. (Во многом этот подход напоминает технологию La Grande для настольных ПК, которую разрабатывают в Intel. — Прим. ред.)
Однако экспертов по информационной безопасности, а также некоторых пользователей подобные заявления, равно как и нынешние действия разработчиков и сервис-провайдеров по решению проблем с обеспечением безопасности мобильных устройств, не успокаивают. Основные объемы работ пока все равно ложатся на плечи профессионалов в области информационной безопасности, системных администраторов и ИТ-менеджеров.
Стратегия против беспечности
Джоди Патилла, менеджер по информационной безопасности Научного фонда имени Дж. Крейга Вентера в Рокленде, говорит о том, что она потратила более полугода, выстраивая политику информационной безопасности в своей организации.
Она все еще борется за то, чтобы эта политика строго соблюдалась и распространялась на работу с беспроводными сетями и клиентскими устройствами мобильной связи. Одним из источников проблем являются пользователи, считающие, что требования информационной безопасности на них не распространяются. Патилла рекомендует заручиться поддержкой кадровиков и высшего руководства компании при реализации проектов, связанных с обеспечением безопасности беспроводной и мобильной связи.
Масштабы потенциальных проблем устрашают. Том Гудвин, вице-президент по операциям из компании Bluefire Security, принявший участие в обсуждении темы безопасности портативных устройств, привел краткий перечень возможных угроз. Это воровство и возможность искажения корпоративных данных; несанкционированный доступ; прерывание транзакций при передаче данных к или от КПК; потеря данных; попадание вредоносного кода с портативного устройства в корпоративную сеть. Если устройство будет украдено, потеряется или окажется незащищенным, то становятся доступными корпоративная переписка по электронной почте и другие данные. Кроме того, не нужно забывать, что вместе с ростом объемов памяти подобных устройств растет и объем данных, теряемых вместе с ними.
Еще хуже то, что, по словам Гудвина, ваши инструменты, разработанные для обычных сетей, в которых вы имеете полный контроль над клиентскими ПК с жестко закрепленным местоположением, не срабатывают. «Обычные методы обеспечения безопасности для КПК неприменимы», — заявил он.
Распространенную среди бизнесменов практику «обмена» электронными визитками через инфракрасный порт, интерфейс Bluetooth или одноранговую беспроводную сеть Гудвин подверг довольно резкой критике. «Эти визитки могут содержать и так называемых ?троянских коней?, — сказал он. — Затем при синхронизации данных ваших КПК и настольного ПК вы собственноручно запустите ?троянца? в корпоративную сеть».
Гудвин назвал шаги, которые, по его мнению, необходимы для обеспечения всесторонней защиты. Во-первых, это разработка политики, в которой четко определяются угрозы пользователям и их ответственность. Во-вторых, нужен анализ того, какие данные находятся на портативных устройствах или доступны с их помощью, насколько важны эти данные для бизнеса и каковы способы доступа к ним. Необходимо применять персональные межсетевые экраны, создать жесткую архитектуру антивирусной защиты и регулярно сканировать программы, установленные на КПК, и заплаты для них. Рекомендуется также использовать VPN и шифровать файлы на портативных устройствах.
Перед выходом в джунгли
Компания Global Hauri, являющаяся разработчиком антивирусного ПО, представила в ходе выставки Comdex Las Vegas 2003 версии для Palm OS и Pocket PC своего антивирусного сканера ViRobot.
Ряд специалистов высоко оценивают другой вариант этого продукта, предназначенный для ноутбуков. По их мнению, ViRobot обладает удобным интерфейсом и имеет очень высокую скорость сканирования, к тому же он обеспечивает возможность полного восстановления зараженных файлов (т. е. возврат к исходному состоянию). Цена этого пакета — 20 долл. Кроме того, Global Hauri выпускает и версии своего антивирусного ПО для корпоративных пользователей.
«Беспроводные сети, КПК, мобильные телефоны и прочие портативные устройства являются теми лазейками, через которые к вам может проникнуть следующее поколение вирусов, червей и ?троянских коней?, более сложных и изощренных», — сказал Ларри Бридвелл, менеджер по программам обеспечения безопасности информационного наполнения из компании TruSecure, являющейся поставщиком продуктов и услуг в области интеллектуального управления рисками.
«Этот мир опасен, но если вы собираетесь жить в этих джунглях, вы должны быть готовы ко всему», — добавил он.