Безопасность мобильных ECM-клиентов в России
С каждым новым поколением устройств понимание того, как они работают, остается у меньшего круга людей - большая часть принимает их на веру. Но каждая вера таит в себе опасность...
Максим Попов, эксперт компании "АйДесайд"
На конец 2014 года в мире насчитывалось более 7 миллиардов зарегистрированных мобильных устройств и их рост в 5 раз превышает рост населения. При этом, угроза информационной безопасности актуальна как никогда ранее: напряженная геополитическая ситуация, вредоносное ПО даже на прошивках жестких дисков, люди всё меньше видят смешного в российских микропроцессорах “Эльбрус” и операционных системах типа Astra-Linux. Виктор Пелевин писал в книге “Любовь к трём Цукербринам”, что кремнийорганическая цивилизация уже давно захватывает нас, и процесс не повернуть вспять.
Может, никакого вторжения и нет, но никто не будет отказываться от передовых ИТ-решений в сторону надёжно защищенных счёт и перфокарт – передовые инструменты повышают конкурентноспособность, автоматизируют рабочие места, позволяют тратить меньше времени на рутину, а через десять лет заменят и помощников руководителей, рассматривая за них документы и готовя проекты резолюций. Занимаясь в нашей компании разработкой мобильных приложений для работы с корпоративным контентом, мы часто сталкиваемся с вопросами пользователей о безопасности информации, и я хочу поделиться видением текущей ситуации в этой сфере.
Области защиты
Злоумышленники часто на шаг впереди от специалистов информационной безопасности – после успешной атаки брешь в системе закрывают скорым обновлением, и атакующая сторона вынуждена находить новые лазейки на различных уровнях системы. Это может быть аппаратная часть мобильных устройств, операционная система, программное обеспечение от сторонних разработчиков, так и отдельные модули программ. Данные могут быть похищены или модифицированы как при хранении на устройстве, так и при передаче.
Сбор данных со стороны мобильных платформ не скрывается – например, каждый пользователь iOS при любых системных обновлениях соглашается с лицензионным соглашением, в котором явно указано, что разработчикам (включая сторонних) могут передаваться любые неперсонализированные данные. Похожая ситуация и с другими мобильными платформами: пользователю дают выбрать – принять лицензионное соглашение или не использовать устройство. Так же производители мобильных платформ вынуждены подчиняться законам тех стран, в которых они работают: если местное законодательство обязывает компанию предоставить определенные данные на определенных условиях, то им необходимо выполнить предписание.
Российское законодательство подразумевает необходимость хранить персональные данные в течение полугода и, при необходимости, предоставлять их ФСБ. И Apple, Google, и Microsoft играют по правилам. Но периодические утечки персональных данных (например, утечка фотографий ряда пользователей из облака iCloud) доказывают, что данная информация может попасть и в руки злоумышленников.
Сложность используемых компонент мобильных устройств позволяет выполнять вредоносный код не только на уровне операционной системы, но и на уровне отдельных компонент. Не так давно была шумиха вокруг вредоносного ПО на контроллерах жестких дисков, на SIM-картах, на различных платежных картах и токенах – все они проводят локальные операции вычисления и, как следствие, могут быть объектом атаки.
Мобильное устройство чаще других покидает доверенную зону, и даже если устройство не будет целенаправленно украдено, оно может быть потеряно и попасть в руки злоумышленникам. При физическом доступе к мобильному устройству, важно, чтобы конфиденциальные данные на нем были надежно зашифрованы, и злоумышленник не смог получить доступ к информации при хищении устройства не только средствами ОС, но и при непосредственном считывании памяти устройства.
В случае с мобильными устройствами, самый удобный для злоумышленника способ – это перехват передаваемых данных – в таком случае не требуется физический доступ к устройству – достаточно “слушать” канал. Отдельное ПО может использовать собственные механизмы защиты транспортного уровня TLS/SSL, но при столь большом разнообразии маршрутов данных, самым надежным вариантом будет взять под контроль всё, что уходит с мобильного устройства, в виртуальную частную сеть и отсекать лишнее. Как будет сказано ниже, с этим успешно справляются VPN-туннели, представленные такими компаниями как VipNet, Код безопасности, и другими игроками рынка отечественной криптографии . При использовании такой защиты, все данные проходят через специальный сервер, который продолжает коммуникации только с доверенным получателям. Главное, чтобы этот сервер сам был надежно защищен от атак, так как он пропускает через себя информацию от всех корпоративных устройств.
Помимо шифрования при хранении, и фильтрации при передачи данных, важнауверенность в соблюдении целостности (данные достоверны и полны, не были модифицированы до получения) и конфиденциальности (доступ имеет указанный круг лиц, автор точно известен) информации. Эти требования достигаются использованием электронной подписи (ЭП). Для мобильных устройств носителем ЭП может быть как само устройство, смарт-карта или токен, так и SIM-карта. Наибольшую популярность сегодня представляют умные беспроводные токены, совмещающие в себе как беспроводной токен для мобильных устройств, USB-токен для работы с настольным компьютером, так и RFID-метку для доступа к помещениям. Примером подобного устройства является Рутокен ЭЦП Bluetooth, поддержку которого компания iDecide сделала в мобильном приложении для работы с ECM-системами для руководителей.
ГОСТы на защиту информации
В России имеются стандарты на все необходимые операции: шифрование, хэширование, электронную подпись. Укажу особенности этих стандартов и ссылки на полный текст стандарта для углубленного изучения.
1. Электронная подпись и хэширование. Обеспечения юридической значимости электронных документов посредством использования электронной подписи (ЭП):
ГОСТ Р 34.10-2012: Процессы формирования и проверки электронной цифровой подписи
ГОСТ Р 34.11-2012: Функция хэширования
Криптостойкость алгоритма шифрования основывается на проблеме дискретного логарифмирования в группе точек эллиптической кривой. На данный момент нет метода решения данной проблемы хотя бы с субэкспоненциальной сложностью. Для нас важно, что государство признает его достаточно криптостойким. Подробнее об алгоритме можно прочитать в блоге КриптоПро – экспертов по защите информации.
2. Шифрование. Обеспечение конфиденциальности и контроля целостности информации посредством ее шифрования
ГОСТ 28147-89: Алгоритм криптографического преобразования
Это блочный шифр с простой структурой Файстеля, с размером блока 64 бита, 256-битным ключом и 32 раундами, разработанный ещё в Советском Союзе. Алгоритм был широко исследован ведущими экспертами в области криптографии, и все исследователи высказывались, что всё выглядит так, что он может быть или должен быть безопасным. Есть ряд замечаний к его работоспособности, Николя Куртуа даже сообщал об успешных атаках на этот алгоритм, но эксперты из КриптоПро реабилитировали его в глазах общественности.
3. Защита каналов передачи данных в сети Интернет. Для этой задачи используется TLS – протокол безопасности транспортного уровня, в котором могут применяться описанные выше ГОСТовые алгоритмы шифрования ГОСТ 28147-89, и хеширование по ГОСТ 34.11-2012. Такая комбинация позволяетсертифицировать его в ФСБ и ФСТЕК, что было сделано компаниями КриптоПро, Криптоком, и VipNet в своих СКЗИ.
Реализация в СКЗИ
Реализация описанных выше алгоритмов защиты информации есть в как ряде продуктов от гигантов российской ИБ, так и в открытых библиотеках.
КриптоПро – лидер по распространению средств криптографической защиты информации и электронной подписи в России. Основные продукты компании – средства криптографической защиты информации (СКЗИ) КриптоПро CSP и удостоверяющий центр КриптоПро УЦ. За счет поддержки большинства мобильных платформ и носителей ЭП, СКЗИ встроен большинство мобильных решений на базе iOS, Android, и Windows8, использующих криптографию.
ИнфоТеКС – производитель программных и программно-аппаратных VPN-решений и средств криптографической защиты информации. Ключевой разработкой компании является технология ViPNet. Особенностью компании является комплексный подход к обеспечению информации, включающий построение виртуальной сети, что позволяет контролировать весь передаваемый с мобильного устройства трафик, что актуально в последнее время.
КриптоКом – одна из старейших компаний на рынке российской криптографии. Интересной особенностью компании является сертификация открытых продуктов (OpenSSL, OpenVPN и пр) в ФСБ и ФСТЭК России. Выпускаются продукты под маркой МагПро, содержат комплексный пакет по защите информации.
OpenSSL – популярный пакет программ и библиотек для реализации криптографических алгоритмов и протоколов, построен вокруг протоколов TSL/SSL и сертификатов X.509, но также содержит реализацию российских алгоритмов, разработанную специалистами фирмы КриптоКом.
Сертификация в ФСБ и ФСТЭК
Насколько вы уверены, что при наличии в описании продукта "Данные шифруются по AES" (AES – Advanced Encryption Standard) данные, вообще реально будут зашифрованы? Мало кто залезет в память устройства и проверит это, либо проанализирует передаваемые данные. Именно для этого и вводятся сертификации ФСБ и ФСТЭК. Полученный сертификат явно сообщает, что решение проверено экспертами и им можно с уверенностью пользоваться. Список сертифицированных решений и срок их действия в открытом доступе размещен на сайтах ФСТЭК и ФСБ. Проблема в том, что подход к сертификации давно устарел и пользователям нужно выбирать – использовать устаревшее и проверенное, либо современное, но свой страх и риск. Сертификация решения занимает несколько месяцев, а современные продукты обновляются каждую неделю-две – развитие технологий идет куда быстрее, чем планировали в ФСТЭК.
В своем приложении для работы с ECM-системами мы используем для работы с электронной подписью модуль СКЗИ от КриптоПро 4.0, выпущенный в 2014 году, но сертифицирован он будет, по заявлению разработчика, только ближе к концу 2015 года. При этом предыдущие версии СКЗИ не поддерживают версию iOS8, на которую уже обновились 80% пользователей. Особо печалит то, что когда решение будет сертифицировано, уже выйдет iOS9, с которой, скорее всего, сертифицированное СКЗИ не будет работать. Найти устройства со старой ОС, с которой сертифицировали решение, бывает крайне сложно – Apple не позволяет откатываться на предыдущие версии, что оправдано экономически – поддержка старых версий тормозит выпуск новых и мешает прогрессу. С мобильными устройствами рост куда более стремителен, чем с настольными: если Windows XP SP3 (к слову, сертифицированная в ФСТЭК) не сильно функционально отличается от Windows8, и многие пользователи готовы потерпеть, то мало кто готов пользоваться сейчас iOS5 на iPad1 – устройство и ОС безвозвратно устарели и не интересны пользователям.
Эпилог
С каждым новым поколением устройств понимание того, как они работают, остается у меньшего круга людей – большая часть принимает их на веру. Но каждая вера таит в себе опасность, поэтому уже сегодня в планетарных масштабах выделяются гранты на защиту от искусственного интеллекта, а крупные организации держат целые департаменты по обеспечению информационной безопасности. Каждый, кто использует мобильные устройства в рабочих целях, как минимум, должен знать основы информационной безопасности и выделить время на настройку своего персонального “центра управления”, каким бы удобным и приятным на ощупь он ни был.
Комментарии 0