Новая дыра в Google Play: комментарии МТС и Samsung

МТС и Samsung наконец-то начали комментировать ситуацию с насильственной заменой стандартного почтового приложения в смартфонах Samsung на приложение «МТС Мобильная Почта» без возможности удаления последнего.
Представитель МТС подчеркнул, что «МТС Мобильная Почта» "не является вирусным и не представляет какой-либо угрозы для пользовательских устройств". Представитель также подчеркнул, что МТС не занимается самостоятельной разработкой ПО и заказывает подобные услуги у третьих фирм. Так что во всем виноват разработчик. Правда назвать разработчика отказался. К тому же заявление о том, что "мы не в курррсе ррребята" плохо стыкуется с заявлением, что «МТС мобильная почта» имеет все необходимые лицензии. Вероятнее всего, секрет кроется в соглашении, подписанным накануне между МТС и Samsung о создании монобрендовой розничной сети Samsung на базе торговой сети МТС. Вероятно, разработчик чуть-чуть опередил события.
Samsung на происходящее флегматично заметила, что «в ближайшее время» выпустить решение, с помощью которого можно будет удалить приложение МТС.
Таким образом, все осчастливленные должны либо ждать заветное решение, либо менять прошивку, либо учить русский (ведь повезло и не русскоговорящим) 

Проверки СУИБ Нацбанком - первые впечатления

Итак, то, что так долго боялись банковские специалисты по информационной безопасности, свершилось! Национальный банк начал проверки соблюдения постановления № 474, а именно внедрения и функционирования в банке Системы управления информационной безопасностью согласно стандарта СОУ Н НБУ 65.1 СУІБ 1.0:2010.
Основные впечатления, наблюдения и выводы прошедших проверку:

• Банковский надзор так и не обзавелся специалистами по информационной безопасности. Проверку выполняют те же инспектора с экономическим образованием , которые приходили и раньше на комплексные проверки.
• Проверка сводится к проверке наличия бумаг и, иногда(!), их содержания
• Для более-менее успешного прохождения проверки достаточно документов высокого и среднего уровня (согласно стандарта). Наличие документов низкого уровня является для инспекторов признаком того, что банк достиг высшего просветления и ушел в Нирвану полностью соответствует стандарту.  

Вышеописанное как-то не очень клеилось с тем, чему я учился для получения сертификата ведущего аудитора по ISO 27001 и в душу закралось сомнение - может инспектора где-то не дорабатывают? Ленятся посмотреть, действительно ли все работает так, как написано в бумаге? 
Ознакомившись с программой аудита банковского надзора, я с удивлением обнаружил, что все 47 вопросов (точнее их 100, но сгруппированы в 47 более высокоуровневых) делятся на три группы:

• Есть ли документ Х?
• Есть ли в документе Х раздел Y?
• Подписан ли / утвержден ли документ Х?

По большому счету, для выполнения проверки инспектору не нужно даже приходить в банк - комплект документов можно получить по почте и оформить все не сходя с места. 

Какие выводы напрашиваются из вышесказанного?

• Кто из банков в прошлом году сэкономил на консультантах и не внедрял СУИБ, а купил бумажного тигра - не прогадал.
• Для поддержания работоспособного соответствующего требованиям НБУ СУИБ достаточно двух человек - безопасника и аудитора, которые будут генерировать необходимую макулатуру документацию
• Возможно ситуация улучшится в дальнейшем, но... Достаточно вспомнить соблюдение требований  постановления № 112 (криптоключи) и № 265 (непрерывность деятельности), которые строго соблюдались только на бумаге. Добавим сюда первые годы аудитов по PCI-DSS, когда на проверку приезжали вроде бы специалисты в области ИБ, но в технической части им можно было навешать полные уши лапши и проверяющие в полной гармонии и умиротворенности писали отчет о соответствии. Исходя из вышесказанного, если улучшения и произойдут, то будет это не скоро и не в Украине. 

ЗЫ Не забудьте покормить бумажного тигра.

Новая дыра в Google Play

Не успели утихнуть страсти по критическому обновлению android, как Google "порадовал" нас очередной возможностью для зловредостроителей.
Как Вы уже наверное читали, в ночь с 26 на 27 марта на Google Play появилась новая версия приложения «МТС Мобильная Почта», которая устанавливалась на смартфоны Samsung Galaxy S и S2 автоматически и без возможности удаления (при отсутствии прав root и танцев с бубном). Отдельное удовольствие получили обладатели смартфонов, которые не пользуются услугами МТС. Особенно не русскоговорящие, которые тут же окрестили приложение "русским вирусом".
Сам Google называет это "досадным недоразумением" и объясняет произошедшее тем, что имя вышеупомянутого приложения  "случайно совпадает с идентификатором стандартной почтовой программы для смартфонов Samsung". Предположим, что разработчик действительно случайно при выборе имени угадал все 12 знаков и все случайно (даже совпадение, что обе программы являются почтовыми). Возможно, я бы приложению с названием  «МТС Мобильная Почта» тоже присвоил бы идентификатор com.seven.Z7 - это ведь логично? Если быть точным, то, используя уязвимость Google Play, подправил идентификатор на случайно совпадающий.
МТС и Самсунг руководствуются старой народной мудростью "иногда лучше жевать, чем говорить" . По этому секрет совпадения остается за кадром.
Но остается невысказанный вопрос. А если на месте злополучного приложения от МТС окажется то самое критическое обновление для андроида, которое заменит стандартное приложение для работы с СМС (случайно совпадут идентификаторы)? Да еще и без возможности его удаления штатными средствами? И в считанные секунды остаток на счете осчастливленного владельца смартфона отправится в недалекий путь на счет совсем другого владельца в виде СМС на короткие платные номера.
Что там консультанты писали про безопасные источники для установки приложений?

Легко ли договориться о терминах?

Верно определяйте слова, и вы освободите мир от половины недоразумений.

Рене Декарт

Давешний спор по терминологии управления рисками на сайте Володи Стырана, навеял написать о том, сколько проблем в проекте по информационной безопасности (да и в любом другом) может создать разночтение терминов. Упомянутый спор, кончено, не в счет - в дискуссии участвовали только специалисты в области безопасности и дискуссия по серьезности была скорее под стать 1-му апреля. О ситуациях, которые бывают в жизни я уже писал. Повторяться не буду, о терминах нужно договариваться. Но легко ли это сделать на практике?
На первый взгляд, нет ничего проще - составляем перечень терминов и определяем их. И ... сюрприз! Куча несогласных, и спор, не менее горячий, идет уже в другой плоскости. И наше благородное стремление потихоньку превращается в катание на карусели: вроде все время есть движение, все движутся в одном направлении, новых результатов нет, со временем начинает тошнить.
Откуда же берутся эти несогласные? Причин множество.
Причина первая - слова. Но при чем тут они? Ведь для определения терминов используются одни и те же слова! Дело в том, что для разных людей, в зависимости от пола, возраста, образования и т.д. одно и тоже слово может иметь разное значение. И даже толковые словари далеко не всегда предлагают схожие определения, а иногда и вообще не предлагают определений даже для давно устоявшихся терминов. Рассмотрим на примере классическое слово из четырех букв, часто описывающее состояние информационной безопасности в отдельно взятой компании. Даже в словаре Ожегова данное слово появилось в ... 13-м издании. На точность не претендую, но факт, что далеко не в первых.  В словарях Ефремовой, Ушакова, Даля, современном толковом словаре изд. «Большая Советская Энциклопедия» данный термин вообще не содержится. А словарь Макса Фасмера говорит нам о трудностях в определении происхождения данного слова. Что же говорить о терминах в столь молодом направлении как информационная безопасность или управление рисками!
Причина вторая - это "лучшие практики". Наборы стандартов, которые безбожно используют одни и те же термины для разных понятий. Например, американские (NIST) и британские (BSI) документы грешат этим очень часто. Соответственно, кто что читал и понял, то те термины и отстаивает.
Причина третья - мотивация. В любом проекте по безопасности всегда среди заинтересованных сторон есть те стороны, которые заинтересованы в неуспехе проекта. Мотивов может быть масса: нежелание усиления/появления контроля "в своей области", нежелание выполнять функции, не ведущие к достижению личных целей, конкуренция, страх изменений...
Причина четвертая - искусство коммуникации. Многие специалисты в области безопасности не обладают высоким уровнем красноречия. Если это, конечно, не профессиональные продавцы услуг и консультанты, которые оттачивают свое ораторское мастерство на специализированных тренингах и бесконечных спорах с заказчиками. К тому же, ситуация не редко усугубляется стремлением безопасников говорить на профессиональном сленге, с использованием оборотов чуждых человеческому уху. По факту получается, что то, что специалист по безопасности хотел сказать, что он сказал на самом деле и что он подумал, что он сказал - три абсолютно разные вещи. Добавляя в цепочку проблему мотивации слушающего, появляются еще две абсолютно разные (от первых трех) вещи - что слушающий хотел услышать и что он услышал на самом деле.
Резюмируя вышесказанное, хочу сказать, что для того, чтобы легко легче договариваться о терминах,  специалистам по безопасности необходимо хорошенько попотеть над совершенствованием своих навыков коммуникации. Это поможет и в улучшении оценки полезности деятельности функции, но об этом как-нибудь в другой раз.

Смартфоны: новая угроза или атака клонов?

Сегодня наткнулся на "исследование" экспертов компании Attevo, посвященное безопасности смартфонов.(Прим. автора. В данном тексте слово "исследование" сознательно написано в кавычках для того, чтобы и не путать с исследованием - процессом, направленным на получение новых знаний.) Пару цитат из этого шедевра глубокой аналитической мысли:

• "По мнению исследователей, постоянно увеличивающееся число угроз может нанести огромный ущерб пользователям смартфонов". 
• "Недостаточное внимание к потенциальным угрозам может привести к вторжению в частную жизнь, краже личных данных, а также к потере денег"

Господа эксперты, чтение исследований других компаний 4-5 и более летней давности не является исследованием!
Основной ценностью своего "исследования"  команда Капитанов Очевидность компания Attevo считает 13 советов пользователям, как минимизировать угрозы от использования смартфона. Сами по себе советы полезные. Но новыми их назвать не поворачивается язык: 

1. Всегда держать устройство при себе во избежание его несанкционированного использования, а также установки вредоносного ПО.
2. Установить защиту паролем. По данным компании, только 38% пользователей смартфонов прибегают к такой защите.
3. Устанавливать обновления операционной системы для сокращения числа уязвимостей. В компании отмечают, что в 2011 году 90% пользователей устройств на базе Android использовали устаревшие версии ОС, в которых присутствовали серьезные уязвимости системы безопасности.
4. Установить антивирусную программу для защиты устройства от вирусов и вредоносного ПО.
5. При использовании web-браузеры избегать подозрительных сайтов, которые могут быть источниками вредоносного кода.
6. Загружать приложения для смартфонов только из надежных источников, а также быть осторожным при установке бесплатных приложений, поскольку такие программы могут получать доступ к личным данным пользователей.
7. Контролировать доступ к персональным данным всех установленных приложений. Так, эксперты отмечают, что игровые приложения не могут иметь доступа к списку контактов, фотографиям, сообщениям электронной почты, истории посещения web-страниц, а также к другим функциям телефона.
8. Не сохранять в заметках пароли, PIN-коды и другую аутентификационную информацию.
9. Не использовать бесплатные Wi-Fi доступы, особенно для выполнения банковских операций, поскольку это может привести к утечке данных кредитных карт.
10. Не открывать подозрительные сообщения электронной почты, а также SMS-сообщения, особенно от неизвестных отправителей. Пользователей могут обманом принудить ввести свои конфиденциальные данные, которые будут переданы мошенникам.
11. Отключать Bluetooth когда в нем нет необходимости, а также избегать его использования в общественных местах.
12. Использовать пароль для доступа к голосовой почте.
13. Убедиться, что доступ к электронной почте осуществляется через протоколы SSL или HTTPS и что все передаваемые данные шифруются.

Безусловно, эти магические советы в количестве не менее магического числа, доселе не известные пользователям компьютера, откроют новую эру в информационной безопасности.
Вот только в ряде советов есть подводные камни, не зная о которых можно получить кардинально противоположный эффект.

Совет номер 3. Следуя ему, неискушенный пользователь должен радостно устанавливать все обновления операционной системы. Рассматривается почему-то только вариант андроида. По всей видимости "исследователи" не справились с поиском в Гугле статистики по другим операционкам. Бог с ним. Пускай будет андроид. Так вот как раз на стремлении ставить все критичные обновления  строится схема по которой под видом критичного обновления для андроида распространяется троян, быстро и эффективно ворующий деньги пользователей. Не очень полезен этот совет еще и по следующим причинам:

• У Гугла нет такого понятия как критическое обновление информационной безопасности операционной системы. Каждый производитель смартфонов  делает фирменные прошивки на базе тех версий, которые доступны на момент выхода конкретной модели. И, в большинстве случаев, сознательно не стремится их обновлять, стимулируя пользователей к покупке новых моделей каждые полгода. Уместен ли совет менять смартфон каждые полгода чтобы операционная система была свежая?
• Группы энтузиастов делают альтернативные прошивки на более свежих версиях операционки. Так что все-таки обновляться можно. Но. Установив левую сборку прошивки с высоким риском вместе с root`ом  получить в качестве бонуса rootkit. Что противоречит совету номер 6.

Совет номер 4. Антивирусная программа, безусловно, это чаще хорошо, чем плохо. Но только для андроида (раз уж мы так внимательно его рассматриваем) большая часть существующих антивирусов - скорее плацебо, нежели реальная защита. Для примера текст исследования. Как видим, картина удручающая - большинство антивирусов рассматриваемых программных продуктов используют слово антивирус абсолютно не обосновано. Они даже не в состоянии определить большинство уже известных зловредов. Про новые угрозы скромно молчим. Отдельно хотел выделить "Avast!" Все-таки самый что ни на есть антивирус от производителя самой операционной системы. В общем-то, к антивирусной части претензий вроде нет. Тесты показывают, что вроде один из лучших, кто обнаруживает. А вот брандмауэр... Для того чтобы его включить необходим root. Который на большинстве смартфонов можно получить исключительно нелегально следующими способами:

• установив левую сборку прошивки ... см. выше. Что противоречит совету номер 6.
• используя существующую уязвимость (противоречие совету номер 3 - не иметь уязвимостей)

В любом случае, получив root, мы  открываем расширенные возможности операционной системы не только для себя, но и для зловредов. Послабление одного аспекта безопасности во благо усиления другого напоминает отрезание края одеяла, чтобы пришить его с другой стороны. Вроде чем-то время заняли, а укрываться лучше не стало.
На закуску, приз зрительских симпатий значку Avast! в трее. При попытке его отключить, Avast предупреждает, что данный значок "помогает программе avast! защищать устройство". Спасибо, улыбнуло.

Совет номер 6. Сам по себе совет не плох. Только господа "эксперты" забыли дать определение безопасному источнику. В свете последних веяний вирусостроения безопасные источники оказываются далеко не безопасны. Да, Гугл внедрила ряд механизмов для автоматического выявления зловредного кода в приложениях на Маркете, пардон, на Гугл Плейе и автоматического удаления таких приложений. Вот только данная система не выявляет приложений, которые не содержат зловредного кода, пока живут на Гугл Плейе, а подгружают его потом, после установки на смартфон под видом установки обновления или плагина с совсем других источников.
Теперь о "быть осторожным при установке бесплатных приложений". Безусловно, речь идет о том, что при установке нужно стоять на резиновом коврике и держаться оголенной рукой за батарею. И согласиться на установку не с первого раза, чтобы показать подозрительной программе всю серьезность своих намерений. Если господа эксперты задействуют на секунду межушный ганглий, с высокой вероятностью на них может снизойти  прозрение, что тупому среднестатистическому  пользователю смартфона категорически трудно принять решение о степени опасности, таящейся в бесплатном приложении. Для примера достаточно просканировать любимую всем бесплатную игрушку Angry Birds каким-нибудь Addons Detector. Правда впечатляет количество всякой хрени постороннего функционала? Как же среднестатистическому  пользователю это все актуально оценить? Возможно, ответ кроется в совете номер7?

Совет номер 7. Контролировать доступ к персональным данным всех установленных приложений нужно и важно. Только не ясно как это практически реализовать. Зловредный код может содержаться в программах которым по функционалу положено иметь доступ к тем модулям, которые представляю угрозу. Например, никогда до конца не будешь уверен, что альтернативная программа для удобного управления СМС не отправит однажды без твоего ведома на короткие номера весь твой денежный остаток. А бесплатная игра "Железная дорога" дает игровое золото в обмен на просьбу оценить ее в твитере или за приглашение на фейсбуке друзей присоединиться к игре. Всего-то нужно сказать ей логин и пароль. Ей ведь только для этих целей, правда?  Если кажется, что таких программ мало - вам сюда. В принципе, существуют бесплатные (нарушение совета номер 6) программы для более тонкого управления правами программ.  Но:

• требуют root (см. проблемы выше)
• далеко не всегда можно провести четкую грань между дозволенным и полезным.

Резюме по исследованию.
Плюсы:

• Большинство советов надежно проверены временем на компьютерах  и телефонах прошлого десятилетия, в которых из "умного" был только Bluetooth.  Что дает небольшую уверенность в отсутствии вреда от их использования. 
• Советы служат хорошей иллюстрацией, что принципы безопасности, заложенные еще в начале прошлого века, действуют одинаково для всего, даже если их просто тупо скопировать и вставить в другой текст.    

Минусы:

• "Исследование" бесспорно конкурирует по ценности результатов с исследованиями британских ученых, но проигрывает по новизне знаний
• Ряд советов (например, рассмотренные) могут нанести вред вопреки благим намерениям (которыми выстлана дорога сами знаете куда)
• Вспоминая, когда именно впервые появились данные советы по безопасности, невольно нахлынула мысль "как быстро бежит время..."

Интеллектуальная собственность и звездные войны

Борьба между силами зла сторонниками защиты интеллектуальной собственности и сторонниками добра и всемирного счастья свободно распространяемой информации переходит на новый уровень маразма. The Pirate Bay, во избежание изъятий серверов, размещенных в конкретной стране, рассматривает размещение последних в ... нейтральных водах, где не действуют законы какой-либо конкретной страны. Если быть точным, то не сами сервера, а всего лишь маршрутизаторы, перенаправляющие трафик на Главную Секретную Базу Пиратских Серверов. И размещать это оборудование планируется не на острове в нейтральных водах, не на искусственной платформе, и даже не на барже. Его предполагается размещать на беспилотных летательных аппаратах, которые будут летать не высоко над поверхностью воды. Аппараты получили название Low Orbit Server Station — низкоорбитальная серверная станция или LOSS. Нужно отдать должное - аббревиатура достаточно точно отражает экономический эффект от данного подхода. Остается дело за малым - небольшой авианосец с обслуживающим персоналом в нейтральных водах для обслуживания и дозаправки  LOSSов. Хотя для этих целей лучше подойдет подводная лодка - можно, в случае чего, лечь на дно.
Безусловно, следующим шагом со стороны защитников интеллектуальной собственности должно стать создание международных авиационных корпусов, ориентированных на поиск и уничтожение LOSSов. Или аренды военных спутников систем ПРО из программы звездных войн, которые будут сбивать LOSSы боевыми лазерами.
Нельзя также забывать и о безопасности  Главной Секретной Базы Пиратских Серверов. Безусловно, ее лучше всего разместить за пределами Земли. Идеальное размещение - лунная база.
Как мы видим, стратегическая инициатива Рейгана была действительно стратегической и дальновидной. Завоевание господства в космосе (основная цель инициативы) сможет наконец обуздать распоясавшихся пиратов или, по крайней мере, заставить их в очередной раз раскошелиться на вынесение серверов куда-нибудь за астероидное кольцо. Главное, чтобы производители попсы получали сполна отчисления за свои продукты жизнедеятельности творчества.  
Во истину, человеческая глупость дает исчерпывающее представление о бесконечности. Направь малую толику дурной энергии и средств, затрачиваемых на борьбу пиратством, и мы бы уже давно победили многие реальные мировые проблемы.