Блокировка с помощью секретного кода.

Смартфоны, планшетные ПК и другие мобильные устройства содержат конфиденциальные данные. В случае потери мобильного устройства любой человек, нашедший его, получит доступ к контактам, сообщениям и учетным записям веб-служб. Один из способов предотвратить кражу конфиденциальной информации с мобильного устройства - установить блокировку с помощью секретного кода. Такая настройка блокирует устройство и переводит его в энергосберегающий режим. Можно настроить блокировку так, чтобы она включалась с задержкой, через определенное время после перехода устройства в энергосберегающий режим. Распространенный способ перевести мобильное устройство в спящий режим - быстро нажать основную кнопку включения питания. Можно также настроить переход устройства в спящий режим через определенное время.

Существует множество видов блокировки с помощью секретного кода (рис. 1), которые различаются уровнем надежности. Секретный код нужно вводить каждый раз при включении устройства или его выхода из энергосберегающего режима. Вот несколько основных видов блокировки с помощью секретного кода:

• Нет - отключает любой настроенный вид блокировки с помощью секретного кода.

• Проведение пальцем - для снятия блокировки устройства пользователю нужно провести пальцем по значку, например замка или стрелки. Это наименее надежный вариант.

• Снятие блокировки по лицу - для распознавания лиц используется камера. После распознавания сохраненного снимка лица блокировка устройства снимается.

• Узор - устройство блокируется, когда пользователь рисует пальцем на экране определенный узор. Чтобы снять блокировку устройства, нужно воспроизвести на экране тот же узор.

• PIN-код - для защиты устройства используется секретный PIN-код. Если PIN-код введен правильно, блокировка устройства снимается.

• Пароль - для защиты устройства используется пароль. Это наименее удобный вариант, особенно если в качестве пароля используется сложное или длинное слово, но он может быть самым надежным.

• Простой пароль - только на устройствах iOS. Если этот параметр включен, пароль должен быть четырехзначным числом. Если этот параметр выключен, можно использовать более сложные пароли, состоящие из букв, символов и цифр.

После настройки секретного кода его нужно вводить каждый раз при включении устройства или его выхода из энергосберегающего режима.

Чтобы настроить секретный код на устройстве Android, перейдите по следующим пунктам:

Настройки > Местоположение и безопасность > Блокировка экрана . Выберите тип секретного кода из списка и установите остальные параметры защиты экрана.

Чтобы установить секретный код на устройстве iOS, перейдите по следующим пунктам:

Настройки > Основные > Защита паролем > Включить пароль . Введите четырехзначное число (рис. 2). Для подтверждения введите снова то же самое число.

Если вы забыли пароль для устройства iOS, подключите его к компьютеру, с которым оно было синхронизировано в последний раз, и восстановите настройки через iTunes.

Для устройства Android необходимо также провести восстановление. Для этого включите устройство, удерживая нажатыми кнопки регулирования громкости, после чего появится функция восстановления. Конкретные инструкции приведены в документации изготовителя устройства Android.

Академия Cisco проводит аторизированные тренинги, практикумы Cisco, компьютерные

Поскольку смартфоны и планшеты становятся неотъемлемой частью нашей повседневной жизни, количество персональных данных, которые обычно хранятся на них, постоянно растет. В отличие от традиционных компьютеров, телефоны и планшеты легко могут быть украдены. Или их можно просто потерять. Если это произойдет, ваши персональные данные - пароли, номера кредитных карт и адреса - будут полностью доступны тому, в чьи руки попадет ваше устройство.

Риски использования мобильных устройств

Прежде чем обсуждать способы блокирования смартфона под Android или iOS, полезно вспомнить, какие же угрозы безопасности существуют для современного смартфона.

1.Утечка данных, следующая из потери или кражи устройства (высокий риск)

Беспрепятственный доступ к вашему смартфону может оказаться золотой жилой для любого злоумышленника, получившего доступ к частной информации. Если вы потеряете свое устройство, не заблокировав его с помощью PIN-кода или пароля, то у нового владельца вашего телефона будет доступ ко всем данным в том числе:

2.Неумышленное раскрытие данных (высокий риск)

Разработчики часто предоставляют больше функций, чем может отследить пользователь. Например, вы можете даже не знать о том, что ваше устройство передает сведения о вашем расположении всякий раз, когда вы отправляете фотографию, используя приложение средств социального общения. Вот некоторые способы, которыми вы можете неумышленно сообщать миру о том, где находитесь в данный момент:

• если вы отправили фотографию с включенными данными расположения;
• если кто-то тегирует вас в фотографии без вашего ведома;
• если вы «зарегистрировались» в определенном ресторане или кафе, используя приложение расположения.

3.Атаки на использованное или отказавшее устройство (высокий риск)

Если вы не стерли информацию со своего старого мобильного устройства должным образом, следующий владелец может легко получить доступ к огромному количеству ваших персональных данных. Согласно исследованиям European Union Agency for Network and Information Security (ENISA), ненадлежащим образом списанные мобильные устройства могут привести к утечке такой информации, как:

• история вызовов;
• контакты;
• электронные письма.

4.Фишинговые атаки (средний риск)

Фишинг (Phishing) - мошенническая форма сбора данных, при котором атакующий пытается обмануть пользователей с целью хищения персональных данных, таких как пароли и информация о кредитной карте, отправляя им поддельные сообщения, которые кажутся подлинными. Phishing может являться во множестве обликов:

• поддельные приложения, подражающие законным приложениям, таким как Angry Birds (http://www.technewsdaily.com/17070-angry-birds-botnet.html);
• электронные письма, которые имитируют законных отправителей, таких как банки и другие финансовые учреждения;
• SMS-сообщения, имитирующие законных отправителей.

5.Атаки шпионских программ(средний риск)

Если ваше мобильное устройство заражено шпионским программным обеспечением - с помощью вредоносного приложения или путем заражения через веб-сайт, - вредоносный код может отправить ваши персональные данные удаленному серверу без вашего ведома. Информация, пересылаемая шпионским программным обеспечением, может включать:

• все нажатия клавиш, начиная с момента заражения;
• имена, номера телефонов и адреса электронной почты ваших контактов;
• информацию о вашей кредитной карте.

6.Использование спуфинга сети (средний риск)

Хакеры иногда охотятся на тех, кто использует общедоступные сети Wi-Fi. Если вы не применяете VPN (или заходите на сайты, требующие пароль, но не использующие SSL), ваши данные могут быть просто украдены. Вот некоторые примеры информации, которую вы могли случайно раскрыть:

• пароли к незашифрованным веб-сайтам;
• пароли к почте, передаваемые через незашифрованное соединение на веб-сайт (авторизация на очень многих почтовых серверах – по plaintext-паролю).

Что касается рисков вообще, то необходимо помнить об атаках man-in-the-middle. Такие атаки являются технически сложными, и соответственно их вероятность очень низка – только если охотятся за вами персонально. Но зато от нее не спасет никакой SSL.

Общие подсказки по мобильной безопасности

Хотя и Android, и iOS предоставляют собственные средства защиты вашего устройства, есть определенные меры, которые каждый пользователь должен предпринять, чтобы противостоять рискам, рассмотренным выше.

Утечка данных из-за потери или кражи устройства

Всегда устанавливайте PIN-код, пароль или графический пароль для блокировки своего устройства. Они, возможно, не остановят профессионального хакера, но средней руки злоумышленник уже не получит доступа к важной информации, такой как ваш номер кредитной карточки и сохраненные пароли для онлайновых учетных записей. Настройте свой экран таким образом, чтобы заблокировать телефон после нескольких минут неактивности. Эта функция часто включается по умолчанию в более новых телефонах. Используйте различные пароли для каждой из служб на своем устройстве, таких как электронная почта, учетные записи социальных сетей и т.д. Это поможет смягчить последствия кражи персональных данных. Не храните информацию о кредитной карте на своем устройстве. Хотя это может принести вам определенные неудобства, но вор будет не в состоянии использовать ваш телефон или планшет для хищения ваших данных.

Что нужно сделать перед продажей iPhone, iPad или iPod touch

Прежде чем продавать или дарить свое устройство iOS, убедитесь, что вы удалили с него все личные данные. Чтобы защитить данные и вернуть устройство к заводскому состоянию перед передачей новому владельцу, выполните следующие действия:

• Создайте резервную копию данных устройства.

Выберите «Настройки», «Основные», «Сброс», а затем «Стереть контент и настройки». Таким образом, с устройства будут удалены все данные, а службы iCloud, iMessage, FaceTime, Game Center и другие будут отключены.

• Если на устройстве установлена ОС iOS 7 и включена функция «Найти iPhone», потребуется ввести идентификатор Apple ID и пароль. Указав свой пароль, вы сможете стереть все данные с устройства и удалить его из своей учетной записи. Это позволит новому владельцу активировать устройство.
• Свяжитесь с оператором мобильной связи для получения инструкций по переключению услуг на нового владельца. При первом включении устройства новым владельцем «Ассистент настройки» поможет завершить процесс настройки устройства.

Важно! Не удаляйте вручную контакты, календари, напоминания, документы, фотопотоки и другие данные iCloud, когда вы подключены к учетной записи iCloud, поскольку в этом случае содержимое также будет удалено с серверов iCloud и всех ваших устройств с поддержкой iCloud.

Если приведенные выше инструкции не выполнены перед продажей или передачей устройства iOS, сделайте следующее:

• Попросите нового владельца стереть весь контент и настройки, как описано выше.
• Если вы используете iCloud и функция «Найти iPhone» включена, можно стереть данные удаленно и удалить устройство из своей учетной записи. Для этого зайдите на сайт icloud.com/find, выберите свое устройство и нажмите кнопку «Стереть». Удалив данные с устройства, нажмите кнопку «Удалить из учетной записи».
• Если не удается выполнить предложенные действия, измените пароль к своей учетной записи Apple ID. Изменение пароля не удаляет какие-либо личные данные, хранящиеся на устройстве, но делает невозможным удаление информации из iCloud новым владельцем.

Удаленно сотрите данные на своем телефоне или планшете, если вы его потеряли. Устройства Apple iOS могут использовать свободно распространяемую утилиту Find My iPhone (http://www.bizrate.com/iphone/index__af_assettype_id--4__af_creative_id--3__af_id--%5bAFF-ID%5d__af_placement_id--%5bAFF-PLACEMENT-ID%5d.html); пользователи Android должны включить диспетчер устройств Android в приложении Google Settings.

Зашифруйте данные на телефоне или планшете. Устройства под управлением iOS будут зашифрованы автоматически, как только вы включите PIN-код или пароль. Пользователи Android должны зашифровать телефон самостоятельно. Шифрование затрудняет злоумышленнику считывание данных с телефона при присоединении к компьютеру через USB.

Неумышленное раскрытие данных

Отключите geotagging на своем приложении камеры и любых других приложениях, которые могут получить доступ к камере. Это защитит приложения от автоматического тегирования вашего расположения.

Защита списанных мобильных устройств

Всегда возвращайте устройство к заводским настройкам, прежде чем продать или отнести в мастерскую свой телефон. Это гораздо более эффективно, чем попытка очистить данные каждого приложения.

Покупая новое устройство, сбросьте настройки вашего старого устройства до заводских, даже если вы хотите его оставить у себя. Кража вашего старого телефона или планшета, все еще содержащего персональные данные - даже если он больше не используется - может быть столь же опасна, как утрата текущего устройства.

Защита от фишинговых атак

Обращайте внимание на опечатки в SMS-сообщениях и электронных письмах. Нередко это является одним из признаков фишинга.

Устанавливайте приложения только из доверенных источников.

Никогда не пересылайте пароль, номер своей кредитной карточки или другие персональные данные с помощью электронной почты или в текстовых сообщениях. Если вы получаете сообщение, в котором вас просят предоставить такого рода информацию, то, скорее всего, перед вами фишинг.

Защита от атак шпионского программного обеспечения

• Анализируйте полномочия приложения для устройств Android, прежде чем устанавливать их. Если приложение требует доступа к персональным данным или хочет выполнить определенные функции по отношению к вашему телефону или планшету, удостоверьтесь, что эти полномочия соответствуют формулируемой цели выполняемого приложения.
• Не изменяйте настройки безопасности своего телефона. Процессы разблокировки (Rooting или jailbreaking) вашего устройства могут сделать его более восприимчивым к атаке.
• Используйте наиболее актуальные версии программного обеспечения на своем устройстве. Производители часто узнают об ошибках в программном обеспечении уже после запуска, и загрузка обновлений программного обеспечения позволяет повысить уровень безопасности вашего телефона или планшета.
• Не забудьте о необходимости установки межсетевого экрана и антивируса.

Защита от спуфинга сети

Если это возможно, используйте защищенное соединение с сетью Wi-Fi. Если же вам приходится задействовать общедоступное соединение Wi-Fi, то регистрируйтесь только на тех сайтах, которые используют шифрование SSL. При этом префикс такого сайта будет https.

Как защитить iPhone и iPad

Пароль - первая строка защиты для любого устройства iOS. Вы можете включить простой четырехразрядный пароль - фактически только PIN-код («Настройка», «Общий», Passcode).

Чтобы уменьшить эффективность «лобовых» атак на пароль, iOS делает все более длинные паузы после каждой новой неудачной попытки.

Пользователи могут установить настройки iOS, чтобы полностью стирать данные на своем устройстве после 10 неудачных попыток ввода пароля. Чтобы включить эту функцию, используйте переключатель «Стирание данных» на экране Passcode.

Если вы считаете, что использовать только четырехразрядный passcode небезопасно, то iOS позволяет вам вводить более длинный, алфавитно-цифровой пароль для большей безопасности. Включите данный режим через пункты «Настройка», «Общий», Passcode, «Сложный Passcode».

Эта возможность особенно удобна для корпоративного применения, поскольку администраторы могут заранее указать требуемую сложность passcode, устанавливая минимальную длину passcode, минимальное число сложных символов и максимальное количество неудачных попыток.

Впрочем, на мой взгляд, для iPhone данная функция смысла не имеет. Для моделей до поколения 4 включительно с телефона можно вытащить почти всю информацию, вне зависимости от сложности пароля (его даже ломать не надо). Для iPhone начиная с 4S невозможно сломать даже простой пароль из четырех символов.

В iPhone 5s разработчики Apple добавили дополнительное удобство аутентификации - сенсорный считыватель отпечатков пальцев. Apple превозносит безопасность данной уникальной функции, но на самом деле это всего лишь удобство, безопасности она не добавляет вообще. Отпечаток можно добавить только в том случае, если уже используется пароль. При этом можно войти и с паролем; по отпечатку пальца просто быстрее и удобнее. Скорее, безопасность даже снижается, поскольку отпечаток можно подделать (это уже демонстрировали). Правда, это нужно сделать в течение 48 часов (если телефон в течение двух суток не разблокировали, дальше можно войти только по паролю).

Используя математические методы fuzzy hatching и secure sketch, программное обеспечение преобразовывает цифровой отпечаток в двоичную строку, эквивалентную по сложности паролю из пяти или шести алфавитно-цифровых символов.

Это менее безопасно, чем длинный, полностью случайный алфавитно-цифровой passcode, но более безопасно, чем четырехразрядный PIN-код или основанный на словаре алфавитно-цифровой пароль. Сенсорный ID требует, чтобы вы ввели четырехразрядный PIN-код как резервный вариант.

Чтобы установить сенсорный ID на iPhone 5s, откройте меню «Настройка», Passcode & Fingerprints, «Цифровые отпечатки». Затем выберите пункт «Добавьте цифровой отпечаток».

Поместите палец на кнопку возврата несколько раз, не надавливая на кнопку. Поскольку вы продолжаете касаться кнопки возврата, серые строки постепенно краснеют. Когда все строки покраснеют, телефон успешно получит ваш цифровой отпечаток.

Затем держите телефон, как вы обычно делаете, разблокировав его, и проведите краем пальца по кнопке возврата. Это гарантирует, что iPhone разблокируется, даже если вы не нажимаете кнопку возврата одним и тем же способом каждый раз.

Нажмите кнопку возврата, чтобы включить экран iPhone, а затем положите палец на кнопку возврата, чтобы разблокировать устройство.

Если вы теряете свой iPhone или iPad, вы можете удаленно очистить устройство, используя встроенное программное обеспечение.

Чтобы включить функцию «Найти мой iPhone», перейдите в «Настройки», iCloud. Введите свой ID Apple и пароль, а затем переключите ползунок Find My iPhone в положение On.

После этого вы можете очистить свой телефон с помощью любого веб-браузера. Войдите в icloud.com/#find и введите свой ID Apple. Щелкните по iPhone Find My, «Все устройства», а затем выберите устройство, которое хотите очистить. Наконец, в появившемся окне нажмите Erase и введите свой пароль ID Apple.

Если устройство работает под управлением iOS7, то вам будет предложено ввести номер телефона и сообщение, которое появится на экране устройства.

Конечно, если вам когда-либо придется очистить свое устройство под управлением iOS, вы захотите оставить свои данные, чтобы потом их восстановить. К счастью, iCloud облегчает поддержку и восстановление контента.

Чтобы включить резервное копирование iCloud, откройте «Настройка», iCloud, «Резервное копирование & Хранение» и затем переключите iCloud Backup в On. Служба автоматически поддержит ваши данные, пока устройство соединено с Wi-Fi, а вы включите зарядное устройство и заблокируйте экран.

Чтобы восстановить старый контент на новом устройстве iOS, выберите «Восстановление из резервного копирования iCloud».

Если устройство было уже настроено перед восстановлением, вы можете очистить его, выбрав «Настройка», «Общий», «Сброс», «Стирание всего контента» и «Настройки», а затем выбрать «Восстановление из резервного копирования iCloud» во время установки.

Apple также помогает избежать неумышленных ситуаций раскрытия данных. Выключить функцию geotagging в фотографиях можно, например, в «Настройка», «Конфиденциальность», «Службы расположения», «Камера», «Прочее».

Браузер Safari на iOS обеспечивает встроенную защиту от фишинга, которая включена по умолчанию. Данная функция выведет на экран предупреждение, когда вы посетите сайт, подозреваемый в фишинге.

Вместе с тем необходимо включить функцию Activation Lock:

http://support.apple.com/kb/HT5818?viewlocale=ru_RU

Однако стоит помнить, что эта защита скорее является «защитой от дурака». Опытные взломщики все равно могут все сбросить. Еще один важный момент: нельзя устанавливать jailbreak, это ОЧЕНЬ сильно снизит уровень безопасности.

Как защитить телефон или планшет под управлением Android

Операционная система Android обеспечивает четыре различных метода блокировки телефона или планшета, который может быть включен в «Настройки», «Безопасность», «Экран блокировки» (меню зависит от телефона).

Защита информации на Android-устройствах встроенными средствами

Рассмотрим, что и от кого вы должны защищать.

Что защищаем?

1. Данные об учетных записях. В случае если вы настроили синхронизацию с Facebook, Dropbox, Twitter, учетные записи и пароли для этих систем хранятся в открытом виде в папке профиля телефона /data/system/accounts.db.
2. История SMS-переписки и телефонная книга.
3. Данные веб-браузера. В браузере могут храниться ваши данные для авторизации на сторонних веб-серверах. В случае если вы синхронизируете мобильный браузер (Google Chrome, Firefox, Maxton и т.д.) с настольной версией браузера, следует учесть, что с вашего смартфона (планшета) можно получить доступ ко всем вашим паролям.
4. Карта памяти. Как правило, на карте хранят фото и видеофайлы.

Что угрожает вашему смартфону

1. Кража (утеря). Сомневаюсь, что ваши данные будут нужны нашедшему. Разве что это будет целенаправленная атака на ваше предприятие. Хотя, безусловно, исключать такой вариант я не стану. Скорее всего, ваш телефон будет переформатирован, может быть, перепрошит.
2. Защита от любопытных. К вашему смартфону могут захотеть получить доступ ваши дети (близкие), либо сослуживцы. Ведь вам случалось оставлять свой смартфон без присмотра?
3. Целенаправленная кража вашего смартфона. В данном случае вас спасет только полное шифрование.
4. Атака вредоносного программного обеспечения.
5. Фишинговая атака.

Для решения этих и других проблем применяются как встроенные средства безопасности, так и программы сторонних разработчиков. Обсудим некоторые способы защиты.

Встроенные средства защиты

Встроенные средства защиты мы рассмотрим на примере планшета Samsung Note 10.1.

Блокировка экрана смартфона (планшета). Разблокирование экрана может производиться:

1. Прикосновением к экрану (проведите по нему пальцем) - фактически, защита отсутствует;
2. Распознавание лица (низкий уровень безопасности);
3. Лицо и голос (низкий уровень безопасности);
4. Подпись (низкий уровень безопасности);
5. Рисунок (средний уровень безопасности);
6. PIN (средний или высокий уровень безопасности);
7. Пароль (высокий уровень безопасности).

Рассмотрим подробнее каждый из вариантов.

Выберите в меню «Распознавание лица». Внимательно прочтите текст и продолжите настройку, см. рисунок 1.

Настройка данного пункта меню ничем не отличается от предыдущего пункта, поэтому не будем рассматривать его подробно.

В данном случае вам необходимо написать ваше ключевое слово (предлагается написать ваше имя) трижды, см. рисунок 2. Именно с помощью данного слова и будет разблокировано ваше устройство.

Рисунок имеет среднюю степень безопасности. Для этого необходимо соединить в любом порядке не менее четырех точек на рисунке (см. рисунок 3).

Внимание! Если вы забыли рисунок:

1. Количество попыток рисования ограничено - 5 раз (в некоторых моделях телефонов количество попыток может доходить до 10).
2. После того как вы исчерпали все попытки, но так и не нарисовали рисунок правильно, телефон блокируется на 30 секунд.
3. Телефон запрашивает логин и пароль вашего Gmail-аккаунта.
4. Этот метод сработает только в том случае, если телефон или планшет подключен к Интернету. В противном случае производится перезагрузка и возврат к настройкам производителя.

PIN – последовательность цифр, не менее четырех символов. Естественно, чем длиннее строка цифр, тем выше уровень безопасности.

Пароль – наиболее высокий уровень безопасности. Содержит сочетание букв и цифр. Если вы используете пароль для доступа, можете использовать опцию «Шифрование телефона».

Шифрование памяти телефона

Данная функция доступна для смартфонов и планшетов, использующих Android версии 4.0 и выше. В бюджетных моделях смартфонов она может отсутствовать. Вы сможете использовать шифрование только в том случае, если у вас установлена блокировка экрана с помощью пароля. С помощью шифрования вы можете сохранить данные пользователя, находящиеся в памяти смартфона (планшета). Необходимо учесть, что программа при этом не шифрует SD-карту. Шифрование может занять до 1 часа в зависимости от объема памяти устройства, см. рисунок 4.

Рисунок 4. Зашифровать устройство

Если вы забыли пароль, то единственным выходом является сброс до заводских настроек. Естественно, все пользовательские данные будут утеряны.

Недостатки шифрования:

• Доступно в операционной системе Android 4.0 и выше.
• Доступно не на всех моделях смартфонов (планшетов). Чаще всего встречается в телефонах от Samsung, HTC, Philips. Некоторые китайские модели также имеют функцию шифрования. У телефонов от HTC эта функция расположена в разделе «Память».
• Пользователю необходимо постоянно вводить довольно сложный (6-10 символов) пароль, даже если надо просто позвонить.
• Если вы хотите снять защиту, то сделать это можно только путем полной перезагрузки телефона, сбросив настройки до заводских.

Шифрование внешней SD-карты

Данная функция входит в стандартный пакет Android 4.1.1 для планшетов. Отсутствует во многих бюджетных сборках. Функция обеспечивает надежную защиту данных на внешней SD-карте (см. рисунок 5). Здесь могут храниться личные фотографии и текстовые файлы с информацией коммерческого и личного характера.

Рисунок 5. Настройка шифрования внешней SD-карты

Данная функция позволяет зашифровать файлы на SD-карте, не изменяя их названий, файловой структуры, с сохранением предварительного просмотра графических файлов. Она требует установки блокировочного пароля на дисплей длиной не менее 6 символов (из них не менее одной цифры). При смене пароля происходит автоматическое перешифрование.

В августе 2013 года Google наконец предоставила возможность удаленно отслеживать и очищать устройства Android, избавив пользователей от необходимости использовать для этого сторонние приложения. К сожалению, Chrome для Android не имеет собственного антифишингового фильтра. Чтобы получать предупреждения при посещении подозрительных сайтов, вы должны будете установить антивирусное приложение. В настоящее время доступны бесплатные и платные приложения от Bitdefender, «Доктор Веб», McAfee, Sophos, «Лаборатории Касперского» и т.д.

Android также более восприимчив к вредоносному программному обеспечению, чем iOS. Компания Google проверяет приложения куда менее строго, чем Apple, и в результате мошеннические приложения, тайно устанавливающие вредоносные программы, часто появляются на Google Play. Кроме того, в отличие от iOS, Android дает пользователям возможность загружать приложения из сторонних источников

Android и iOS – какие устройства более безопасны?

Компания Apple создала, возможно, самую безопасную операционную систему, доступную на рабочих столах и мобильных устройствах. За шесть лет было продано 300 миллионов модулей iPhone, однако не было зафиксировано ни одного случая заражения вредоносным программным обеспечением неразблокированных устройств под управлением iOS.

Это не говорит о том, что iOS неприступна. Просто на сегодня она значительно более безопасна, чем операционная система Android. Несмотря на то, что Android значительно повысила безопасность за прошедшие годы, еще многое требует улучшения. Прежде всего, это разработка и установка обновлений Android на устройства.

Конечно, хотелось бы видеть собственные антифишинговые инструменты для Chrome на Android. Так же было бы желательно иметь более строгий контроль приложений на Google Play. В конечном счете, однако, Android остается менее безопасной, чем iOS, в силу базовых принципов проектирования. Стоит отметить, что сегодня большинство вредоносных приложений разрабатывается именно для устройств под управлением Android.

12 января 2017 в 10:00

Информационная безопасность на мобильных устройствах – взгляд потребителей

Мобильные устройства стремительно становятся основным способом нашего взаимодействия с окружающим миром – возможность постоянно оставаться на связи является неотъемлемой частью нашей сегодняшней жизни, наши телефоны и всевозможные носимые устройства расширяют наши возможности при покупке продуктов, получении банковских услуг, развлечениях, видеозаписи и фотографирования важных моментов нашей жизни и, разумеется, возможности общения.

Одновременно, благодаря мобильным устройствам и приложениям бренды получили принципиально новый способ заявить о себе, и это, в свою очередь привело к феноменальным уровням роста мобильных технологий за последнее десятилетие. К сожалению, быстрый рост проникновения мобильных технологий приводит и к расширению возможностей для киберпреступников.

Сегодня через мобильные устройства пользователям доступно все больше весьма ценных сервисов, требующих внимательного отношения к безопасности (в числе которых, например, мобильный банкинг, платежи и мобильные идентификаторы). Соответственно, хакеры прекрасно понимают, что, организовав утечку данных аутентификации через мобильное устройство, они смогут получить неавторизованный доступ к онлайн-ресурсам, представляющим собой высокую ценность. В частности, хакеры будут пытаться получить доступ к финансовой информации, учетным данным для доступа к социальным сетям, к данным контрактов в сетях мобильной связи. Так или иначе, порой, этого может оказаться достаточно для полноценного осуществления кражи личности. Эта угроза становится особенно актуальной в настоящее время, когда мы наблюдаем рост числа новых мобильных приложений – согласно исследованию Application Resource Center (Applause), 90% компаний намерено к концу этого года увеличить объем своих инвестиций в разработку мобильных приложений.

Существует неоспоримая потребность уже сейчас защищать корпоративные ресурсы, в том числе интеллектуальную собственность компаний и персональные данные пользователей, особенно с учетом столь большого числа используемых сегодня устройств, на которых может быть запущен вредоносный код. Если мы не обратим на это должного внимания, то фактически мы оставляем конечных пользователей и, в особенности, компании в центре внимания злоумышленников, в распоряжении которых сегодня скапливается все больше ресурсов и которые все активнее прибегают в своей деятельности к новейшим технологиям. Они являются экспертами по распространению вредоносного программного обеспечения, они с умыслом используют неофициальные репозитории приложений, встраивают вредоносный код в сообщения электронной почты, рассылают вредоносные SMS и заражают браузеры, и они без малейших раздумий готовы воспользоваться любой слабостью или уязвимостью. Именно поэтому поставщикам приложений следует внимательно отнестись к подобным угрозам и предпринять все необходимое, чтобы помочь потребителям почувствовать себя в безопасности, предлагая решения, которые обеспечивают надежную защиту от этих уязвимостей.

Но как же нам понять, какая именно технология безопасности необходима в том или ином случае? Как нам понять, что более всего востребовано у конечных пользователей, и что представляет для них наибольшую угрозу? Как нам узнать, какими именно решениями безопасности будут они пользоваться? Что именно будет для них удобнее всего? Все это важные вопросы, требующие ответов, и именно поэтому мы решили провести исследование, опросив более 1300 пользователей смартфонов из числа взрослого населения на шести крупнейших рынках мира: в Бразилии, Великобритании, Южной Африке, Сингапуре, Голландии и в США.

После опроса мы подытожили и проанализировали полученные данные, собрав результаты в отчет. 66% опрошенных утверждают, что совершали бы больше транзакций, если бы знали наверняка, что в их мобильных устройствах уделяется должное внимание вопросам безопасности, до такой степени, что целых 70% конечных пользователей не против иметь цифровые удостоверения личности на своих смартфонах, но только при условии, что все приложения на их телефонах полностью защищены от хакерских атак и уязвимостей.

Другие интересные результаты опроса:

Как защититься от угроз?

Очевидно, что потенциал роста до сих пор не исчерпан. Вопрос заключается лишь в том, чтобы обеспечить безопасность для тех, кто готов расширить сферу применения своих смартфонов. Наше исследование с ответами на вопрос, каким образом можно достичь этого, и рекомендациями по достижению доверия потребителей доступно

В этом году рынок мобильных устройств впервые обогнал рынок ПК. Это знаковое событие, а также стремительный рост вычислительной мощности и возможностей мобильных устройств ставят перед нами новые вопросы и проблемы в области обеспечения информационной безопасности.

Современные смартфоны и планшеты содержат в себе вполне взрослый функционал, аналогичный таковому у своих «старших братьев». Удаленное администрирование, поддержка VPN, браузеры с flash и java-script, синхронизация почты, заметок, обмен файлами. Все это очень удобно, однако рынок средств защиты для подобных устройств развит еще слабо. Удачным примером корпоративного стандарта является BlackBerry, смартфон с поддержкой централизованного управления через сервер, шифрованием, возможностями удаленного уничтожения данных на устройстве. Однако его доля на рынке не так велика, а на российском и вовсе практически отсутствует. Но существует масса устройств на базе Windows Mobile, Android, iOS, Symbian, которые защищены значительно слабее. Основные проблемы безопасности связаны с тем, что многообразие ОС для мобильных устройств весьма велико, также как и количество их версий в одном семействе.

Тестирование и поиск уязвимостей в них происходит не так интенсивно как для ОС на ПК, то же самое касается и мобильных приложений. Современные мобильные браузеры уже практически догнали настольные аналоги, однако расширение функционала влечет за собой большую сложность и меньшую защищенность. Далеко не все производители выпускают обновления, закрывающие критические уязвимости для своих устройств - дело в маркетинге и в сроках жизни конкретного аппарата. Предлагаю рассмотреть типичные данные, хранящиеся на смартфоне, которые могут быть полезны для злоумышленника.

1. Доступ к почте и почтовому ящику

Как правило, доступ к почтовым сервисам и синхронизация почты настраиваются на мобильном устройстве один раз, и в случае потери или хищения аппарата злоумышленники получают доступ ко всей переписке, а также ко всем сервисам, привязанным к данному почтовому ящику.

2. Интернет-пейджеры

Skype, Icq, Jabber - все это не чуждо современным мобильным устройствам, в результате чего и вся переписка данного конкретного человека, и его контакт-листы могут быть под угрозой.

3. Документы, заметки

DropBox для мобильных устройств вполне может стать источником компрометации каких-либо документов, равно как и различные заметки и события в календаре. Емкость современных устройств достаточно велика, чтобы они могли заменить usb-накопители, а документы и файлы с них вполне способны порадовать злоумышленников. Нередко в смартфонах встречается использование заметок как универсального справочника паролей, также распространены хранящие пароли приложения, защищенные мастер-ключом. Необходимо учитывать, что в таком случае стойкость всех паролей равна стойкости этого ключа и грамотности реализации приложения.

4. Адресная книга

Иногда сведения об определенных людях стоят очень дорого.

5. Сетевые средства

Использование смартфона или планшета для удаленного доступа к рабочему месту посредством VNC, TeamViewer и прочих средств удаленного администрирования уже не редкость. Так же как и доступ к корпоративной сети через VPN. Скомпрометировав свое устройство, сотрудник может скомпрометировать всю «защищенную» сеть предприятия.

6. Мобильный банкинг

Представь, что твой сотрудник использует на своем мобильном устройстве систему ДБО - современные браузеры вполне позволяют осуществлять подобный вид деятельности, и это же мобильное устройство привязано к банку для получения sms-паролей и оповещений. Несложно догадаться, что вся система ДБО может быть скомпрометирована потерей одного устройства.

Основными путями компрометации информации с мобильных устройств является их пропажа или хищение. Сообщения о громадных финансовых потерях организаций из-за пропажи ноутбуков мы получаем регулярно, однако потеря бухгалтерского планшета с актуальной финансовой информацией тоже может доставить множество хлопот. Вредоносное ПО для смартфонов и планшетов в настоящее время скорее страшный миф и средство маркетинга, однако не следует терять бдительность, ибо этот рынок развивается бешеными темпами. Рассмотрим, какие существуют и как реализованы средства защиты в современных мобильных ОС.

Средства защиты мобильных ОС

Современные ОС для мобильных устройств имеют неплохой набор встроенных средств защиты, однако зачастую те или иные функции не используются или отключаются.

WindowsMobile

Одна из старейших ОС на рынке. ПО для версий 5.0 и 6.х совместимо, из-за чего для них существует большое количество средств защиты. Начиная с версии 6.0 поддерживается шифрование карт памяти. ОС не имеет средств предотвращения установки приложений из сторонних непроверенных источников, поэтому подвержена заражению вредоносным ПО. Кроме концептов существует ряд реальных вредоносных программ под эту платформу. Корпоративные решения представлены множеством компаний (Kaspersky Endpoint Security for Smartphone, Dr.Web Enterprise Security Suite, McAfee Mobile Security for Enterprise, Symantec Mobile Security Suite for Windows Mobile, ESET NOD32 Mobile Security, GuardianEdge Smartphone Protection).

Данные решения предлагают не только антивирусную защиту, но и средства фильтрации трафика через все каналы связи мобильного устройства, средства шифрования, централизованного развертывания и управления. Решение от GuardianEdge включает в себя элементы DLP-системы. Средства ОС с помощью ActiveSync и Exchange Server разрешают удаленное уничтожение данных на устройстве. С помощью Exchange Server можно настраивать политики безопасности на устройствах, такие как использование экрана блокировки, длина пин-кода и прочее.

Выход новых прошивок, содержащих исправления уязвимостей, зависит от производителя устройств, но в целом это происходит крайне редко. Случаи повышения версии ОС также крайне редки.

Windows Phone 7 (WP7) вышла в свет совсем недавно, о корпоративных решениях для защиты этой ОС пока ничего не известно.

SymbianOS

Несмотря на недавний переход Nokia в объятия WP7, Symbian все еще превалирует на рынке мобильных ОС. Приложения для Nokia распространяются в виде sis-пакетов с цифровой подписью разработчика. Подпись самодельным сертификатом возможна, однако это накладывает ограничения на возможности ПО. Таким образом, сама система хорошо защищена от возможной малвари. Java-апплеты и sis-приложения спрашивают у пользователя подтверждение на выполнение тех или иных действий (выход в сеть, отправка смс), однако, как ты понимаешь, злоумышленника это останавливает не всегда – многие пользователи склонны соглашаться со всеми выдвинутыми ОС предложениями, не особенно вчитываясь в их суть.

Симбиан также содержит средства для шифрования карт памяти, возможно использование блокировки со стойкими паролями, поддерживаются Exchange ActiveSync (EAS) policies, позволяющие удаленное уничтожение данных на устройстве. Существует множество решений защиты информации, представленных ведущими производителями (Symantec Mobile Security for Symbian, Kaspersky Endpoint Security for Smartphone, ESET NOD32 Mobile Security), которые по функционалу близки к Windows Mobile версиям.

Несмотря на все перечисленное, существует ряд способов получения полного доступа с подменой файла «installserver», осуществляющего проверку подписей и разрешений устанавливаемого ПО. Как правило, пользователи применяют это для установки взломанного ПО, которое, естественно, теряет подпись после взлома. В таком случае неплохая в целом система защиты ОС может быть скомпрометирована. Прошивки для своих устройств Nokia выпускает регулярно, особенно для новинок. Средний срок жизни аппарата 2-2,5 года, в этот период можно ожидать исцеления детских болезней аппаратов и исправления критических уязвимостей.

iOS

Операционная система от Apple. Для устройств третьего поколения (3gs и старше) поддерживается аппаратное шифрование данных средствами системы. ОС поддерживает политики EAS, позволяет осуществлять удаленное управление и конфигурацию через Apple Push Notification Service, в том числе поддерживается и удаленное стирание данных.

Закрытость платформы и ориентированность на использование Apple Store обеспечивает высокую защиту от вредоносного ПО. Корпоративные средства защиты представлены меньшим количеством компаний (GuardianEdge Smartphone Protection, Panda Antivirus for Mac, Sophos Mobile Control). Причем решение от Panda - это антивирус для десктопа, который может сканировать и iOS-устройства, подключенные к Mac. Решение от Sophos заявлено, но находится в разработке (на момент написания статьи, март 2011 – прим. ред.). Однако, как и в случае Symbian, система может быть скомпрометирована из-за сделанного Jailbreak’a. Недавняя новость о взломе iOS Фраунгоферовским институтом технологий защиты информации - тому подтверждение. Обновление прошивок и закрытие уязвимостей происходит для устройств от Apple регулярно.

AndroidOS

Молодая на рынке мобильных устройств система, детище Google, стремительно завоевала рынок. Начиная с версии 1.6 в ней поддерживается протокол Exchange Activesync, что делает устройства с данной ОС интересными для корпоративного сегмента. Политики EAS (впрочем, далеко не все) также поддерживаются. Шифрование карт памяти средствами ОС не предусмотрено. Существует ряд корпоративных решений для защиты (McAfee WaveSecure, Trend Micro Mobile Security for Android, Dr.Web для Android, заявлены решения от Kaspersky). Приложения распространяются через Android Market, однако ничто не мешает устанавливать их и из других источников. Вредоносное ПО для Android существует, однако при установке ОС показывает все действия, которые требуются для устанавливаемой программы, поэтому в данном случае все зависит напрямую от пользователя (впрочем, указан ные при установке предупреждения все равно никто не читает, большинство вполне легальных программ из Маркета выдают кучу ворнингов на доступ ко всем мыслимым местам системы – прим. ред.).

ОС имеет защиту от модификации, но, как и для Symbian и iOS, возможно получение полного доступа к системе, здесь это называется root. После получения root возможна запись в системные области и даже подмена системных приложений. Обновление прошивок и повышение версий ОС, исправление ошибок и уязвимостей происходит регулярно на большинстве устройств.

Подводя промежуточный итог, можно сказать, что современные мобильные ОС обладают неплохими средствами защиты - как встроенными, так и представленными на рынке. Основными проблемами являются несвоевременность или невозможность получения обновлений, обход защиты самим пользователем, отсутствие корпоративной политики безопасности для мобильных устройств. Из-за различия ОС и их версий не существует единого корпоративного решения, которое можно было бы посоветовать. Но рассмотрим, какие шаги необходимо предпринять для защиты устройств и что учесть при создании политик ИБ.

1. Блокировка устройства.

Представь, что твой смартфон попал в руки к постороннему человеку. Для большинства пользователей это означает, что некто получит доступ сразу ко всему. Необходимо блокировать устройство паролем (стойким или с ограниченным количеством попыток ввода), после которых данные на устройстве затираются или устройство блокируется.

2. Использование криптографических средств.

Необходимо использовать шифрование съемных носителей, карт памяти – всего, к чему может получить доступ злоумышленник.

3. Запрет на сохранение паролей в браузере мобильного устройства.

Нельзя сохранять пароли в менеджерах паролей браузеров, даже мобильных. Желательно установить ограничение на доступ к переписке почтовой и смс, использовать шифрование.

4. Запрет использования менеджеров паролей для корпоративных учетных записей.

Существует множество приложений, созданных для хранения всех паролей на мобильном устройстве. Доступ к приложению осуществляется вводом мастер-ключа. Если он недостаточно стоек, вся парольная политика организации компрометируется.

5. Запрет на установку ПО из непроверенных источников, осуществление «взломов» ОС.

К несчастью, средства для принудительного запрета есть только для Windows Mobile устройств, в остальных случаях придется доверять пользователю на слово. Желательно использовать ПО от крупных, известных разработчиков.

6. Использование политик Exchange ActiveSync и средств антивирусной и прочей защиты.

Если это возможно, позволит избежать множества угроз (в том числе новых), а в случае потери или кражи устройства осуществить его блокировку и уничтожение данных на нем.

7. В случае предоставления доступа в доверенную зону осуществлять тщательный контроль.

Для пользователей, обладающих доступом к доверенной зоне (внутренней сети по VPN, средствами удаленного администрирования), необходимо еще более тщательно следить за выполнением вышеизложенных правил (рекомендовать им использовать IPSEC, не хранить аутентификационные данные в приложениях). В случае компрометации устройства возможна угроза для всей внутренней/ доверенной зоны, что недопустимо.

8. Ограничить список данных, которые можно передавать облачным сервисам.

Современные мобильные устройства и приложения ориентированы на использование множества облачных сервисов. Необходимо следить, чтобы конфиденциальные данные и данные, относящиеся к коммерческой тайне, не были случайно синхронизированы или отправлены в один из таких сервисов.

Заключение

В завершение можно сказать, что для корпоративного применения желательно использовать одну и ту же платформу (а лучше - одинаковые устройства) с установленным ПО корпоративного класса, которое можно конфигурировать и обновлять централизованно. Из текста статьи очевидно, что необходимо разработать и внедрить политику ИБ в отношении мобильных устройств, осуществлять проверки ее исполнения и обязательно использовать Exchange-сервер для задания политик EAS. В данной статье не была рассмотрена BlackBerry OS (ввиду практически полного отсутствия на российском рынке), однако стоит отметить, что данная платформа является корпоративным стандартом во многих странах мира.

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Подобные документы

Предпосылки создания системы безопасности персональных данных. Угрозы информационной безопасности. Источники несанкционированного доступа в ИСПДн. Устройство информационных систем персональных данных. Средства защиты информации. Политика безопасности.

курсовая работа , добавлен 07.10.2016


Обзор существующих приложений в сфере оказания автомобильной помощи. Рассмотрение алгоритмического конструирования комплекса мобильных приложений по оказанию автомобильной помощи на дорогах. Оценка тестирования авторизации в приложении для водителя.

дипломная работа , добавлен 12.02.2018


Понятие, состав информационной системы. Управление целостностью БД. Обеспечение системы безопасности. Блокировка неверных действий приложений-клиентов. Тенденции в мире систем управления базами данных. Основные функции, классификация и механизмы доступа.

курсовая работа , добавлен 11.12.2014


Система управления базами данных задач и составляющих их процессов предприятия. Требования к информационной системе. Состав запросов к базе данных. Связи и отношения между информационными объектами. Алгоритмы работы и архитектура информационной системы.

курсовая работа , добавлен 02.02.2014


Законодательные основы защиты персональных данных. Классификация угроз информационной безопасности. База персональных данных. Устройство и угрозы ЛВС предприятия. Основные программные и аппаратные средства защиты ПЭВМ. Базовая политика безопасности.

дипломная работа , добавлен 10.06.2011


Особенности информационной безопасности банков. Человеческий фактор в обеспечении информационной безопасности. Утечка информации, основные причины нарушений. Комбинация различных программно-аппаратных средств. Механизмы обеспечения целостности данных.

контрольная работа , добавлен 16.10.2013


Необходимость перевода мер в исторические и национальные единицы. Конверторы на персональных компьютерах и мобильных устройствах, а также сети интернет, их функциональные особенности. Методика разработки визуального приложения и требования к нему.

курсовая работа , добавлен 11.01.2017