Дорогу смартфонам!

2 август, 2011 - 09:35Игорь Дериев

Дискуссия вокруг безопасности смартфонов ведется с самого момента их появления как отдельного класса мобильных устройств. Производители средств безопасности, заинтересованные в новых рынках сбыта, периодически попугивали пользователей, а те, в свою очередь, апеллировали к отсутствию действительно громких инцидентов, наивно веря в имманентную защищенность своих карманных любимцев.

Такое вялотекущее развитие событий в значительной степени объяснялось диспропорцией между вниманием к смартфонам со стороны экспертов и профильной прессы и реальным интересом (выраженным в звонкой монете) со стороны потребителей. Действительно, до определенного времени смартфоны оставались слишком сложными для массового рынка и не особо вписывались в имеющуюся модель мобильной работы в силу различных аппаратных и программных ограничений. Перелом, как известно, наступил с появлением Apple iPhone, и сегодня смартфоны и родственные им (в силу использования тех же платформ) планшеты являются локомотивами рынка, независимо от того, имеем ли мы в виду сегмент компьютерный или потребительской электроники.

Можно смело утверждать, что сегодня рынок смартфонов переживает второе рождение, хотя, понятное дело, статистика в различных регионах выглядит по-разному. Наиболее показателен североамериканский рынок, тенденции которого в сфере ИТ и телекоммуникаций, с небольшими вариациями, рано или поздно проявляются в других развитых странах, а в конце концов достигают и большинства прочих. Так вот, согласно опросу, проведенному нынешней весной Pew Institute, из 83% американцев, владеющих мобильными телефонами, 42% пользуются именно смартфонами – т.е. порядка 35% от всего населения. Далее, 25% владельцев смартфонов используют их как первоочередное средство доступа к Интернету, и сегодня доля мобильного веб-трафика уже составляет 8.2% в США и 5% во всем мире (данные Net Applications). Конечно, в последних оценках учитывается весь телефонный трафик, но Java ME и пр. практически незаметны на фоне iPhone, Android и iPad (соответственно 2.9, 2.6 и 2.1% от мирового трафика), даже на недавнего лидера BlackBerry приходится всего 0.57%. А показатели Symbian (0.03%) и Windows Mobile (0.02%) демонстрируют, что с появлением новых мобильных платформ произошло качественное переосмысление модели использования смартфонов: если раньше они выполняли почти исключительно коммуникационные функции (включая работу с электронной почтой), то сегодня все больше используются для потребления контента, данных.

Не приходится сомневаться, что описанное выше представляет собой устойчивую тенденцию. Аналитики компании IMS Research прогнозируют, что только в 2011 г. во всем мире будет продано порядка 420 млн смартфонов на всевозможных платформах, а к 2016 г. этот показатель достигнет 1 млрд шт. Как видите, цифры уже вполне соизмеримы с объемом парка обычных ПК, продажи которых в последнее время начали снижаться. Хотя отдаленные прогнозы – дело неблагодарное. В свое время вряд ли возможно было предсказать столь бурный всплеск популярности смартфонов, какой вызвало появление всего-навсего одной модели – iPhone. Стоит также иметь в виду, что не менее динамично развивается переосмысленный, опять же, благодаря Apple, рынок планшетов, и процессы на нем очевидно ускорятся с выходом новых специализированных платформ, в число которых входит и Windows 8. Впрочем, в силу своего промежуточного положения между ноутбуками и смартфонами, планшеты вполне могут остаться нишевыми продуктами, тяготеющими к узкой специализации (мультимедиа, развлечения, ситуативный веб-серфинг). Однако и в этом случае они наверняка окажут заметное влияние на индустрию, к примеру, подтолкнув к созданию таких комбинированных устройств как Fujitsu F-07C, способных работать и как телефон (Symbian), и как планшет/ноутбук (Windows 7 Home).

Кроме технологических налицо и еще одна тенденция – социальная: информационные работники все больше хотят пользоваться своим личным оборудованием для доступа к корпоративной информации, сохраняя при этом полный контроль над ним. Согласно IDC в 2011 г. более чем в 40% случаев работа с корпоративными приложениями и документами осуществляется именно с личных устройств, и это на треть больше, чем в прошлом году. Причем роль настольных ПК неуклонно снижается, а ноутбуков, смартфонов и планшетов – неизменно растет. Естественно, и здесь тон задают развитые страны, к примеру, 71% опрошенных в США и Великобритании ради возможности использовать для работы полюбившиеся им гаджеты согласны отказаться от каких-то вполне ощутимых бонусов, вроде бесплатных напитков и обедов в офисе, или даже паркинга (Kelton Research). И, естественно, сегодня их выбор падает на iPhone и Android-терминалы, а вовсе не на BlackBerry, более привычные в корпоративной среде.

Конечно, аналитикам еще предстоит оценить реальный эффект от «консьюмеризации» в терминах производительности труда и пр., пока же они опираются на мнения самих работников либо очевидные наблюдения, что личные устройства могут применяться в нерабочее время, во время отпуска и т.д. А вот соображения безопасности являются одним из наиглавнейших факторов, сдерживающих внедрение мобильных устройств (и не только личных) в бизнес-процессы компаний. Ведь даже банальная утеря смартфона, на котором сегодня вполне можно «невзначай» вынести за пределы офиса многогигабайтную базу данных с конфиденциальной информацией, может превратиться в катастрофу. Некоторые производители средств безопасности прогнозируют в ближайшее время всплеск атак на мобильные устройства, впрочем, за последние годы они это делают не первый раз. Понятно, что распространение смартфонов, совершенствование их аппаратной части, функциональное развитие программных платформ, постоянное подключение как к телефонным, так и к интернет-сервисам, несомненно должно привлечь внимание киберпреступников. Однако насколько смартфоны уязвимы в действительности?

Инженеры из Symantec тщательно изучили две наиболее популярные на сегодняшний день мобильные платформы – iOS и Android – и пришли к заключению, что они изначально гораздо лучше защищены, чем традиционные десктопные ОС, хотя и остаются в той или иной мере подвержены различным угрозам.

Устойчивость  мобильных платформ к различным типам атак
Устойчивость  к: Apple iOS Google Android
сетевым атакам Полная Полная
malware Полная Слабая
атакам на основе социальной инженерии Отсутствует Отсутствует
несанкционированному  использованию ресурсов Хорошая Средняя
утечкам данных (случайных или преднамеренных) Средняя Слабая
нарушению целостности данных Средняя Слабая
Источник: Symantec

Две мобильные платформы имеют достаточно родственные корни (из мира Unix), но их модели безопасности отличаются в важных деталях, причем, казалось бы потребительский подход Apple оказывается даже более подходящим для деловой среды. Важнейшим фактором защиты iOS является жесткие, волюнтаристские требования сертификации разработчиков и ПО. Цифровые сертификаты выпускаются исключительно самой Apple, а приложения распространяются только через App Store. Правда, крупным компаниям позволено самостоятельно распространять собственные приложения среди своих сотрудников, но для этого им необходимо выполнить даже более жесткие условия, в том числе пройти дополнительную стороннюю сертификацию. Благодаря таким «драконовским» мерам любой разработчик легко идентифицируется, приложения не могут быть изменены постфактум, а при любых сомнениях и противоречиях принятой политике они просто не попадут в магазин. В результате – до сих пор ни одного инцидента с malware на неразблокированных терминалах.

Google, в свою очередь, придерживается гораздо более либерального подхода, который, в значительной степени и обусловил успех Android. Разработчики могут сами генерировать сертификаты, что позволяет всем желающим фактически сохранять анонимность, а хакерам – модифицировать и переподписывать чужие приложения. Правда, для распространения приложений через официальный Android Marketplace необходимо оплатить кредитной картой сбор в $25. Теоретически это позволяет связать ее владельца с конкретным цифровым сертификатом, однако реальные злоумышленники наверняка предпочтут воспользоваться ворованной картой. Еще хуже, что распространять приложения для Android можно практически с любого сайта, что исключает даже такой поверхностный контроль. В результате Android оказывается вполне уязвимым для malware, что подтверждают и несколько довольно громких инцидентов последнего времени. К примеру, Android.Rootcager (он же Android.DroidDream) распространялся вместе с 58 вполне легитимными приложениями через магазин Google и таким образом сумел проникнуть, по оценкам специалистов, на несколько сотен тысяч терминалов. После установки в системе он пытался воспользоваться одной из двух известных уязвимостей, чтобы получить права администратора и затем втайне установить дополнительные программы для выполнения различных несанкционированных действий. Обе уязвимости были устранены Google в Android 2.3, но здесь на первый план выходит еще одна проблема – фрагментация платформы: далеко не все производители терминалов выпускают обновления, не говоря уже о том, чтобы делать это своевременно и оперативно. Нэйл Дазвэни, CTO компании Dasient, вместе со своими коллегами исследовали 10 тыс. приложений для Android и выявили среди них около 8% таких, что могут быть отнесены к категории malware. Чаще всего они собирают и пересылают вовне персональные данные (что не обязательно связано с мошенничеством, пользователь может и предупреждаться об этом), но некоторые, к примеру, отправляют СМС на премиум-номера, что уже явно попахивает криминалом.

Отличаются iOS и Android и еще по нескольким важным пунктам. Так, в обоих платформах реализована достаточно эффективная система изоляции приложений друг от друга и от ядра ОС, что практически исключает возможность создания для них традиционных вирусов и червей. Однако управление полномочиями для доступа к системным функциям осуществляется по-разному. iOS пытается максимум решений принимать самостоятельно, т.е. в определенных условиях одни потенциально опасные действия приложений будут просто блокироваться, а другие – разрешаться. Участие пользователя всегда требуется для осуществления телефонных звонков, отправки СМС, получения GPS-информации. Android, напротив, целиком перекладывает ответственность на пользователя: необходимые полномочия должны быть предоставлены по запросу приложения в момент его инсталляции. Определенная проблема заключается в том, способен ли пользователь без технической подготовки адекватно оценить возможные риски. Также в iOS 4.x встроена гибридная система шифрования, в надежности реализации которой имеются определенные сомнения, тогда как в телефонных версиях Android шифрования нет вовсе.

Таким образом, ни одна из двух самых популярных платформ (но этот вывод, очевидно, можно распространить и на все остальные) не имеет иммунитета против различных угроз, тем более, ввиду специфической природы последних в мобильном мире. iOS и Android не страшны классические вирусы, что делает бесполезными и классические антивирусы (а для iOS их создание невозможно). Эффективность же последних в борьбе с различными классами malware, угроза которых на смартфонах вполне реальна, вызывает все больше сомнений. Здесь перспективней выглядят облачные сервисы, оценивающие репутацию приложений и предупреждающие пользователя не только об уже известных вредоносных модулях, но и о малоизвестных образцах. Тем более, что такие сервисы хорошо вписываются в современную модель использования смартфонов. Наибольший же риск, по мнению экспертов, связан с утечками данных, когда смартфоны свободно синхронизируются как с рабочим, так и с домашним ПК. И вот решение этой проблемы требует крайне взвешенного подхода, чтобы, с одной стороны, сохранить достаточную свободу для пользователя, а, с другой, защитить корпоративные данные и инфраструктуру как от взлома или утери смартфона, так и от просто непродуманных действий.

Потому-то ИТ-службы во многих компаниях пытаются вести себя подобно страусу, отмахиваясь от современных тенденций. И это, пожалуй, наихудшая политика, создающая препятствия как бизнесу, так и самим работникам. А правильный выход из ситуации, видимо, состоит в том, чтобы обеспечить поддержку наиболее популярных смартфонных платформ и, соответственно, предоставить персоналу возможность выбора наиболее подходящих и удобных терминалов (возможно, из ограниченного числа марок или даже моделей), которые в дальнейшем будут обслуживаться все-таки централизованно. Для этого, кстати, уже имеются все возможности. Так, благодаря тому, что большинство платформ (за исключением BlackBerry, которая у нас не распространена) поддерживают протокол Exchange ActiveSync, базовое управление безопасностью смартфонов может осуществляться через Active Directory и Exchange, а более широкую функциональность стоит поискать среди специализированных сторонних решений. Понять возможности и ограничения различных мобильных платформ поможет следующая таблица, хотя следует иметь в виду, что сегодня они развиваются достаточно бурно и очередное обновление может существенно изменить картину. Так, к примеру, Windows Phone 7.5 Mango, устройства на которой должны появиться уже в сентябре, восполнит многие пробелы оригинальной версии Windows Phone 7.

Поддержка функций безопасности в управляемых  решениях
Возможности Apple iOS 4.x Google Android 3.0 Google Android 2.2, 2.3 HP WebOS 3.0 HP WebOS 2.x Microsoft Windows Mobile 6.x Microsoft Windows Phone 7 Nokia Symbian 2.x, 3.x RIM Black Berry 5.x,6.x
Шифрование  на терминале Да Да Нет Да Нет Да Нет Да Да
Шифрование  радиоканала Да Да Да Да Да Да Да Да Да
Сложные пароли Да Да Да Да Да Да Нет Да Да
Требование  сложного пароля Да Через EAS Через EAS EAS EAS EAS, 3PS EAS EAS, 3PS BES
VPN Да Да Да Да Да Нет Нет Да Да
Запрет  камеры Да Нет Нет Нет Нет EAS, 3PS Нет Нет BES
Запрет  установки ПО Да Нет Нет Нет Нет EAS, 3PS Нет Нет BES
Запрет  беспроводных сетей Да Нет Нет Нет Нет EAS, 3PS Нет Нет BES
Удаленная блокировка Да EAS, 3PS EAS, 3PS EAS EAS EAS, 3PS EAS Нет BES
Удаленная очистка Да EAS, 3PS EAS, 3PS EAS EAS EAS, 3PS EAS EAS, 3PS BES
Избирательная очистка 3PS Нет Нет Нет Нет Нет Нет Нет BES
Политики EAS, 3PS EAS, 3PS EAS, 3PS EAS EAS EAS, 3PS EAS EAS, 3PS BES
Число политик EAS 14 13 9 7 5 29 7 n/a 500 (BES)
Управление  по радиоканалу EAS, 3PS EAS, 3PS EAS, 3PS EAS EAS EAS, 3PS EAS EAS, 3PS BES
Двухфакторная аутентификация Нет Нет Нет Нет Нет Да Нет Нет Да
EAS = через Microsoft Exchange ActiveSync

BES = через BlackBerry Enterprise Server

3PS = через сторонние решения

Источник: Гален Груман, Infoworld