Quis custodiet ipsos custodes?

Disclaimer

Disclaimer
Все мысли, изложенные на данном блоге, являются исключительно плодом воображения автора и отражают его личную точку зрения. Точка зрения автора никак не взаимосвязана с точкой зрения других физических и юридических лиц, за исключением тех случаев, когда это особо указано в тексте.

пятница, 23 марта 2012 г.

Смартфоны: новая угроза или атака клонов?

Сегодня наткнулся на "исследование" экспертов компании Attevo, посвященное безопасности смартфонов.(Прим. автора. В данном тексте слово "исследование" сознательно написано в кавычках для того, чтобы и не путать с исследованием - процессом, направленным на получение новых знаний.) Пару цитат из этого шедевра глубокой аналитической мысли:
  • "По мнению исследователей, постоянно увеличивающееся число угроз может нанести огромный ущерб пользователям смартфонов". 
  • "Недостаточное внимание к потенциальным угрозам может привести к вторжению в частную жизнь, краже личных данных, а также к потере денег"
Господа эксперты, чтение исследований других компаний 4-5 и более летней давности не является исследованием!
Основной ценностью своего "исследования"  команда Капитанов Очевидность компания Attevo считает 13 советов пользователям, как минимизировать угрозы от использования смартфона. Сами по себе советы полезные. Но новыми их назвать не поворачивается язык: 

  1. Всегда держать устройство при себе во избежание его несанкционированного использования, а также установки вредоносного ПО.
  2. Установить защиту паролем. По данным компании, только 38% пользователей смартфонов прибегают к такой защите.
  3. Устанавливать обновления операционной системы для сокращения числа уязвимостей. В компании отмечают, что в 2011 году 90% пользователей устройств на базе Android использовали устаревшие версии ОС, в которых присутствовали серьезные уязвимости системы безопасности.
  4. Установить антивирусную программу для защиты устройства от вирусов и вредоносного ПО.
  5. При использовании web-браузеры избегать подозрительных сайтов, которые могут быть источниками вредоносного кода.
  6. Загружать приложения для смартфонов только из надежных источников, а также быть осторожным при установке бесплатных приложений, поскольку такие программы могут получать доступ к личным данным пользователей.
  7. Контролировать доступ к персональным данным всех установленных приложений. Так, эксперты отмечают, что игровые приложения не могут иметь доступа к списку контактов, фотографиям, сообщениям электронной почты, истории посещения web-страниц, а также к другим функциям телефона.
  8. Не сохранять в заметках пароли, PIN-коды и другую аутентификационную информацию.
  9. Не использовать бесплатные Wi-Fi доступы, особенно для выполнения банковских операций, поскольку это может привести к утечке данных кредитных карт.
  10. Не открывать подозрительные сообщения электронной почты, а также SMS-сообщения, особенно от неизвестных отправителей. Пользователей могут обманом принудить ввести свои конфиденциальные данные, которые будут переданы мошенникам.
  11. Отключать Bluetooth когда в нем нет необходимости, а также избегать его использования в общественных местах.
  12. Использовать пароль для доступа к голосовой почте.
  13. Убедиться, что доступ к электронной почте осуществляется через протоколы SSL или HTTPS и что все передаваемые данные шифруются.
Безусловно, эти магические советы в количестве не менее магического числа, доселе не известные пользователям компьютера, откроют новую эру в информационной безопасности.
Вот только в ряде советов есть подводные камни, не зная о которых можно получить кардинально противоположный эффект.

Совет номер 3. Следуя ему, неискушенный пользователь должен радостно устанавливать все обновления операционной системы. Рассматривается почему-то только вариант андроида. По всей видимости "исследователи" не справились с поиском в Гугле статистики по другим операционкам. Бог с ним. Пускай будет андроид. Так вот как раз на стремлении ставить все критичные обновления  строится схема по которой под видом критичного обновления для андроида распространяется троян, быстро и эффективно ворующий деньги пользователей. Не очень полезен этот совет еще и по следующим причинам:
  • У Гугла нет такого понятия как критическое обновление информационной безопасности операционной системы. Каждый производитель смартфонов  делает фирменные прошивки на базе тех версий, которые доступны на момент выхода конкретной модели. И, в большинстве случаев, сознательно не стремится их обновлять, стимулируя пользователей к покупке новых моделей каждые полгода. Уместен ли совет менять смартфон каждые полгода чтобы операционная система была свежая?
  • Группы энтузиастов делают альтернативные прошивки на более свежих версиях операционки. Так что все-таки обновляться можно. Но. Установив левую сборку прошивки с высоким риском вместе с root`ом  получить в качестве бонуса rootkit. Что противоречит совету номер 6.
Совет номер 4. Антивирусная программа, безусловно, это чаще хорошо, чем плохо. Но только для андроида (раз уж мы так внимательно его рассматриваем) большая часть существующих антивирусов - скорее плацебо, нежели реальная защита. Для примера текст исследования. Как видим, картина удручающая - большинство антивирусов рассматриваемых программных продуктов используют слово антивирус абсолютно не обосновано. Они даже не в состоянии определить большинство уже известных зловредов. Про новые угрозы скромно молчим. Отдельно хотел выделить "Avast!" Все-таки самый что ни на есть антивирус от производителя самой операционной системы. В общем-то, к антивирусной части претензий вроде нет. Тесты показывают, что вроде один из лучших, кто обнаруживает. А вот брандмауэр... Для того чтобы его включить необходим root. Который на большинстве смартфонов можно получить исключительно нелегально следующими способами:
  • установив левую сборку прошивки ... см. выше. Что противоречит совету номер 6.
  • используя существующую уязвимость (противоречие совету номер 3 - не иметь уязвимостей)
В любом случае, получив root, мы  открываем расширенные возможности операционной системы не только для себя, но и для зловредов. Послабление одного аспекта безопасности во благо усиления другого напоминает отрезание края одеяла, чтобы пришить его с другой стороны. Вроде чем-то время заняли, а укрываться лучше не стало.
На закуску, приз зрительских симпатий значку Avast! в трее. При попытке его отключить, Avast предупреждает, что данный значок "помогает программе avast! защищать устройство". Спасибо, улыбнуло.

Совет номер 6. Сам по себе совет не плох. Только господа "эксперты" забыли дать определение безопасному источнику. В свете последних веяний вирусостроения безопасные источники оказываются далеко не безопасны. Да, Гугл внедрила ряд механизмов для автоматического выявления зловредного кода в приложениях на Маркете, пардон, на Гугл Плейе и автоматического удаления таких приложений. Вот только данная система не выявляет приложений, которые не содержат зловредного кода, пока живут на Гугл Плейе, а подгружают его потом, после установки на смартфон под видом установки обновления или плагина с совсем других источников.
Теперь о "быть осторожным при установке бесплатных приложений". Безусловно, речь идет о том, что при установке нужно стоять на резиновом коврике и держаться оголенной рукой за батарею. И согласиться на установку не с первого раза, чтобы показать подозрительной программе всю серьезность своих намерений. Если господа эксперты задействуют на секунду межушный ганглий, с высокой вероятностью на них может снизойти  прозрение, что тупому среднестатистическому  пользователю смартфона категорически трудно принять решение о степени опасности, таящейся в бесплатном приложении. Для примера достаточно просканировать любимую всем бесплатную игрушку Angry Birds каким-нибудь Addons Detector. Правда впечатляет количество всякой хрени постороннего функционала? Как же среднестатистическому  пользователю это все актуально оценить? Возможно, ответ кроется в совете номер7?

Совет номер 7. Контролировать доступ к персональным данным всех установленных приложений нужно и важно. Только не ясно как это практически реализовать. Зловредный код может содержаться в программах которым по функционалу положено иметь доступ к тем модулям, которые представляю угрозу. Например, никогда до конца не будешь уверен, что альтернативная программа для удобного управления СМС не отправит однажды без твоего ведома на короткие номера весь твой денежный остаток. А бесплатная игра "Железная дорога" дает игровое золото в обмен на просьбу оценить ее в твитере или за приглашение на фейсбуке друзей присоединиться к игре. Всего-то нужно сказать ей логин и пароль. Ей ведь только для этих целей, правда?  Если кажется, что таких программ мало - вам сюда. В принципе, существуют бесплатные (нарушение совета номер 6) программы для более тонкого управления правами программ.  Но:
  • требуют root (см. проблемы выше)
  • далеко не всегда можно провести четкую грань между дозволенным и полезным.
Резюме по исследованию.
Плюсы:
  • Большинство советов надежно проверены временем на компьютерах  и телефонах прошлого десятилетия, в которых из "умного" был только Bluetooth.  Что дает небольшую уверенность в отсутствии вреда от их использования. 
  • Советы служат хорошей иллюстрацией, что принципы безопасности, заложенные еще в начале прошлого века, действуют одинаково для всего, даже если их просто тупо скопировать и вставить в другой текст.    
Минусы:
  • "Исследование" бесспорно конкурирует по ценности результатов с исследованиями британских ученых, но проигрывает по новизне знаний
  • Ряд советов (например, рассмотренные) могут нанести вред вопреки благим намерениям (которыми выстлана дорога сами знаете куда)
  • Вспоминая, когда именно впервые появились данные советы по безопасности, невольно нахлынула мысль "как быстро бежит время..."

Комментариев нет:

Отправить комментарий