Беспроводные сети, КПК, мобильные телефоны и прочие портативные устройства являются теми лазейками, через которые к вам может проникнуть следующее поколение вирусов, червей и «троянских коней», более сложных и изощренных. Ваши инструменты, разработанные для обычных сетей, в которых вы имеете полный контроль над клиентскими ПК, не срабатывают. Обычные методы обеспечения безопасности для КПК неприменимы
![]() |
При распространенной среди бизнесменов процедуре «обмена» электронными визитками через инфракрасный порт, интерфейс Bluetooth или одноранговую беспроводную сеть вы можете получить данные, содержащие в себе ?троянских коней?. Затем при синхронизации данных ваших КПК и настольного ПК вы собственноручно запустите ?троянца? в корпоративную сеть |
Калеб Сима похож на всех остальных программистов, приезжающих на Comdex или другие аналогичные выставки. Молодой, стройный, спокойный и немножко суховатый в общении. Сразу и не скажешь, что он — специалист по обнаружению новых угроз в области информационной безопасности, а по совместительству — вице-президент по технологиям и один из основателей компании Spi Dynamics, которая обосновалась в Атланте и специализируется в области создания ПО для обнаружения уязвимостей в Web-приложениях. «Вопросами безопасности устройств сотовой связи я занимаюсь из простого интереса», — заявляет он.
В своем выступлении на недавней выставке Comdex Las Vegas 2003 Сима говорил о растущей угрозе безопасности ИТ-систем, исходящей со стороны портативных устройств. Его выступление стало одним из наиболее ярких моментов дискуссии, развернувшейся на фоне демонстрации десятков продуктов для работы в мобильных сетях связи.
Сима отметил, что за то время, которое он занимается информационной безопасностью сотовых сетей связи, он пришел к выводу: ни разработчики ПО, ни операторы сотовой связи, ни ИТ-менеджеры, отвечающие за работу корпоративных сетей, не относятся серьезно к этому вопросу. Конечно, и от пользователей ждать этого не приходится. Это факт, и его нужно принимать во внимание, зная, что в руках миллионов работников различных компаний находятся миллионы сотовых телефонов.
Недавно Сима, по его собственным словам, решил «поиграть» с SMS, пытаясь сымитировать атаку на отказ в обслуживании (DoS) против пользователей мобильных телефонов при помощи собственного телефона и аппаратов своих коллег. Выяснилось, что это не очень сложно. «В мгновение ока я могу послать тысячу SMS-сообщений на ваш мобильник, и при этом их источник останется для вас неизвестным», — говорит он. Решив устроить эксперимент, Сима сгенерировал поток SMS-сообщений (так называемый «флуд»), что привело телефон в состояние ступора, при котором аппарат не мог ни принимать входящие, ни инициировать исходящие звонки.
Организовав этот поток, Сима позвонил своему оператору сотовой связи, T-Mobile, и попросил остановить или блокировать поток SMS. Ответ, по его словам, был отрицательным.
Хуже того: компания еще и выставила вице-президенту Spi Dynamics счет за получение каждого SMS-сообщения сверх некоторого лимита. В итоге Сима заплатил более 30 долл. за то, что подвергся атаке.
Профессионалы обескуражены
После выступления Симы нам удалось побеседовать с двумя ИТ-профессионалами одной из ведущих компаний аэрокосмической индустрии. Они выглядели немного обескураженными. Очевидно, до них дошел смысл фразы докладчика о том, что «кто угодно может с легкостью осуществить атаку на ваши телефоны и КПК».
«Это тревожит», — заявил один из наших собеседников, Фред Брукс, возглавляющий ИТ-команду, обеспечивающую работу руководства компании, название которой он просил не раскрывать.
Опекаемые им пользователи пользуются устройствами Blackberries от компании Research In Motion, в которых присутствует целый набор встроенных возможностей по обеспечению безопасности и защиты данных. Однако сотовые телефоны и смартфоны — это совсем другой вопрос.
«Мы запретили им использовать сотовые телефоны с камерами, — заявил Брукс. Но как обеспечить выполнение этого требования? У нас недостаточно ресурсов и прав для того, чтобы останавливать и обыскивать людей».
Однако он заметил, что это может стать следующим шагом, как только руководство осознает всю серьезность и масштабы потенциальных проблем с информационной безопасностью.
«Один из наших корпоративных клиентов обозначил эту проблему предельно четко, — отметил Дэйв Нейджел, председатель совета директоров и генеральный директор компании PalmSource. — Этот клиент задал простой вопрос: ?Вот у меня есть устройство ценой в 250 долл., на котором находятся корпоративные данные ценой в 250 млн. долл. И как вы собираетесь их защищать??»
Нейджел заметил, что множество проблем уже решено как на уровне сетевых решений, так и в самих устройcтвах. По его словам, в следующей версии Palm OS появится возможность защиты памяти и включена поддержка приложений, сертифицированных цифровой подписью. «Защищенная память может помочь предотвратить ущерб от вредоносных приложений, которые пытаются получить доступ к данным или ядру операционной системы», — сказал Нейджел. В то же время использование цифровых подписей облегчит блокирование вредоносных или небезопасных приложений. (Во многом этот подход напоминает технологию La Grande для настольных ПК, которую разрабатывают в Intel. — Прим. ред.)
Однако экспертов по информационной безопасности, а также некоторых пользователей подобные заявления, равно как и нынешние действия разработчиков и сервис-провайдеров по решению проблем с обеспечением безопасности мобильных устройств, не успокаивают. Основные объемы работ пока все равно ложатся на плечи профессионалов в области информационной безопасности, системных администраторов и ИТ-менеджеров.
Стратегия против беспечности
Джоди Патилла, менеджер по информационной безопасности Научного фонда имени Дж. Крейга Вентера в Рокленде, говорит о том, что она потратила более полугода, выстраивая политику информационной безопасности в своей организации.
Она все еще борется за то, чтобы эта политика строго соблюдалась и распространялась на работу с беспроводными сетями и клиентскими устройствами мобильной связи. Одним из источников проблем являются пользователи, считающие, что требования информационной безопасности на них не распространяются. Патилла рекомендует заручиться поддержкой кадровиков и высшего руководства компании при реализации проектов, связанных с обеспечением безопасности беспроводной и мобильной связи.
Масштабы потенциальных проблем устрашают. Том Гудвин, вице-президент по операциям из компании Bluefire Security, принявший участие в обсуждении темы безопасности портативных устройств, привел краткий перечень возможных угроз. Это воровство и возможность искажения корпоративных данных; несанкционированный доступ; прерывание транзакций при передаче данных к или от КПК; потеря данных; попадание вредоносного кода с портативного устройства в корпоративную сеть. Если устройство будет украдено, потеряется или окажется незащищенным, то становятся доступными корпоративная переписка по электронной почте и другие данные. Кроме того, не нужно забывать, что вместе с ростом объемов памяти подобных устройств растет и объем данных, теряемых вместе с ними.
Еще хуже то, что, по словам Гудвина, ваши инструменты, разработанные для обычных сетей, в которых вы имеете полный контроль над клиентскими ПК с жестко закрепленным местоположением, не срабатывают. «Обычные методы обеспечения безопасности для КПК неприменимы», — заявил он.
Распространенную среди бизнесменов практику «обмена» электронными визитками через инфракрасный порт, интерфейс Bluetooth или одноранговую беспроводную сеть Гудвин подверг довольно резкой критике. «Эти визитки могут содержать и так называемых ?троянских коней?, — сказал он. — Затем при синхронизации данных ваших КПК и настольного ПК вы собственноручно запустите ?троянца? в корпоративную сеть».
Гудвин назвал шаги, которые, по его мнению, необходимы для обеспечения всесторонней защиты. Во-первых, это разработка политики, в которой четко определяются угрозы пользователям и их ответственность. Во-вторых, нужен анализ того, какие данные находятся на портативных устройствах или доступны с их помощью, насколько важны эти данные для бизнеса и каковы способы доступа к ним. Необходимо применять персональные межсетевые экраны, создать жесткую архитектуру антивирусной защиты и регулярно сканировать программы, установленные на КПК, и заплаты для них. Рекомендуется также использовать VPN и шифровать файлы на портативных устройствах.
Перед выходом в джунгли
Компания Global Hauri, являющаяся разработчиком антивирусного ПО, представила в ходе выставки Comdex Las Vegas 2003 версии для Palm OS и Pocket PC своего антивирусного сканера ViRobot.
Ряд специалистов высоко оценивают другой вариант этого продукта, предназначенный для ноутбуков. По их мнению, ViRobot обладает удобным интерфейсом и имеет очень высокую скорость сканирования, к тому же он обеспечивает возможность полного восстановления зараженных файлов (т. е. возврат к исходному состоянию). Цена этого пакета — 20 долл. Кроме того, Global Hauri выпускает и версии своего антивирусного ПО для корпоративных пользователей.
«Беспроводные сети, КПК, мобильные телефоны и прочие портативные устройства являются теми лазейками, через которые к вам может проникнуть следующее поколение вирусов, червей и ?троянских коней?, более сложных и изощренных», — сказал Ларри Бридвелл, менеджер по программам обеспечения безопасности информационного наполнения из компании TruSecure, являющейся поставщиком продуктов и услуг в области интеллектуального управления рисками.
«Этот мир опасен, но если вы собираетесь жить в этих джунглях, вы должны быть готовы ко всему», — добавил он.