Смартфоны в кольце врагов
Жить без мобильного телефона, кажется, невозможно, но пользоваться им становится страшнее день ото дня. Спам, вирусы, кража паролей и прочие издержки цифровой революции становятся повседневной реальностью для пользователей мобильных устройств. А с учетом того, что трубки все чаще заменяют не только компьютеры и записные книжки, но и кошельки, потеря смартфона оборачивается настоящим бедствием.
Чудо-оружие
В середине ноября компания Juniper Networks (один из крупнейших поставщиков профессионального телекоммуникационного оборудования) провела презентацию своего нового пакета программных решений Junos Pulse Mobile Security Suite, предназначенных для защиты мобильных устройств (в первую очередь смартфонов) от существующих и гипотетических рисков. Эту систему Juniper позиционирует как чудо-оружие, защищающее абонентов от большинства мобильных угроз.
Система обеспечивает три уровня защиты. Первый позволяет интегрировать в "умный" телефон такие приложения, как антивирус, антиспамерскую программу, брандмауэр и т. п. Второй рубеж обороны строится, по словам представителей Juniper, на уровне сотового оператора: зашитые в систему функции позволяют копировать хранящиеся в смартфоне данные (почту, контакты, пароли и т. п.) на удаленном операторском сервере и при утрате трубки загрузить их в новый аппарат. Любопытна также функция удаленного стирания данных: по интернет-команде владельца пропавшего телефона из памяти аппарата стираются телефонная книжка, сообщения и фотографии. Третий уровень защиты нужен, когда личный мобильный используется как корпоративное средство связи. Он позволяет администратору компании удаленно устанавливать (и удалять) со смартфона сотрудника приложения, отслеживать входящие-исходящие SMS и MMS (для предотвращения утечек инсайдерской информации), контролировать настройки VPN-сети (если пользователь подключается к корпоративным ресурсам с мобильного) и т. п.
Juniper планирует продавать Pulse через российских операторов сотовой связи и системных интеграторов. Цена годовой подписки на группу от 50 пользователей — $67,5, а стоимость самой дешевой подписки (от 25 тыс. абонентов, что актуально в первую очередь для сотовых компаний) составляет $18,75 в год для одного пользователя. Впрочем, это возможные тарифы для США — в России они могут оказаться иными.
Сервис Juniper, строго говоря, не революционная новинка. Например, удаленно стирать со смартфона информацию, дистанционно блокировать доступ к ней, определять местоположение потерянного устройства предлагает Apple с помощью сервиса MobileMe —распоряжаться своим смартфоном можно с компьютера, подключившись к интернету. Говорят, что Уилл Ай Эм из группы The Black Eyed Peas с помощью MobileMe смог летом этого года найти свой iPad, украденный вместе с другими вещами из его машины. Сервис от Apple стоит около €60 в год, но, как говорят представители "яблочной" компании, в будущем MobileMe, возможно, будет бесплатным. Аналогичные сервисы предлагают служба Microsoft Exchange, компания F-Secure (сервис "Антивор") и другие. Juniper отмечает, однако, что она впервые собрала в "одном флаконе" все функции защиты для смартфонов.
По мнению экспертов по информационной безопасности, системы, позволяющие если не вернуть, то по крайней мере заблокировать потерянный смартфон, обладают серьезным недостатком: если злоумышленник сразу вынет из аппарата SIM-карту, большинство функций удаленного управления (например, стирание данных) окажутся недоступными. Защитить данные от взлома могут только шифрование и заблаговременная установка на аппарате пароля. Однако большинство абонентов, несмотря на все предупреждения, этой опцией не пользуются.
Мобилизованная личность
"Потеря смартфона в наши дни фактически означает потерю личности",— провозгласил в середине ноября глава офиса Juniper Networks в России и СНГ Виктор Солодков. Ложного пафоса в этом заявлении нет. Смартфоны превращаются в платежные терминалы, хранилища электронной почты, паролей для доступа в Facebook, "Одноклассники" и т. п. "Представьте себе, что кто-то без вашего ведома начинает пользоваться со смартфона вашим банковским счетом, писать посты в социальную сеть, отправлять e-mail вашим контрагентам. Настоящая катастрофа",— говорит Солодков.
Довольно известный пример подобной "потери личности": в 2005 году хакер получил доступ к мобильному архиву наследницы гостиничной империи Hilton Пэрис Хилтон на сервере сотового оператора T-Mobile. Смартфон Хилтон имел функцию резервирования: данные, в нем содержавшиеся, дублировались в стационарном хранилище информации (допустим, вы теряете свой сотовый телефон, но данные уже сохранены и могут быть загружены в новый аппарат). Ирония была в том, что в открытом доступе в интернете оказалась как раз заботливо продублированная информация, в частности приватные фотографии Пэрис, а также ее контакт-лист — все желающие узнали мобильные номера Анны Курниковой, Кристины Агилеры и других известных фигур.
Подсчитать прямые убытки, связанные с несанкционированным доступом к информации, хранящейся в смартфонах и планшетных компьютерах вроде iPad, пока не берется никто из участников рынка. Но кое-какие цифры, по которым можно судить о масштабе бедствия, все-таки обнародуются. "По приблизительным оценкам, только в России потери от действий киберзлоумышленников всех мастей достигают $1 млрд в год",— говорит руководитель направления по работе с клиентами финансового сектора компании "Аладдин Р.Д." Денис Калимберг.
"Мы можем сказать, что на данный момент кибермошенничество через смартфоны у нас не носит массового характера, однако, чтобы предотвратить подобные угрозы в будущем, мы сейчас разрабатываем специальные антивирусные программы в сотрудничестве с мировыми производителями,— рассказывает пресс-секретарь "Вымпелкома" Анна Айбашева.— Наша компания использует инструменты мониторинга активности SMS-трафика абонентов и в случаях спам-рассылок применяет методы ограничительного характера к инициаторам таких рассылок. Эффект — ежемесячно блокируется более 8 млн спам-сообщений".
Но спам не самая большая проблема пользователей мобильных устройств. Угроза серьезнее — прямое воровство денег со счетов абонентов. "Некоторые операторы связывают мобильный счет с карточным счетом,— говорит Илья Сачков, гендиректор компании Group-IB (специализируется на расследованиях киберпреступлений).— Расхожая схема мобильного мошенничества такова: с краденого телефона злоумышленник отправляет платную SMS на заранее подготовленный номер. На счету 300 руб., и счет связан с банковской картой. Соответственно, после первой отправки на счету ничего не остается. Злоумышленник на свой счет получит около 40-50% от 300 руб., то есть 150 руб.".
Жизнь без пароля
Кузнецами своих проблем чаще всего становятся сами пользователи мобильных устройств — об этом свидетельствуют данные, обнародованные Juniper в середине ноября. При этом россияне создают проблемы не только себе, но и своим работодателям. "65% россиян, принявших участие в исследовании, признали, что подключаются со своих мобильных устройств к корпоративным ресурсам. 63% из них поступают так ежедневно, при этом не ставят в известность саму компанию и не обращаются за официальным разрешением,— говорится в отчете Juniper.— Учитывая, что в России мобильные устройства используются для доступа к информации, представляющей корпоративную тайну, гораздо чаще, чем в других странах (41% в России против 18% в среднем по странам), это повышает риски для IT-инфраструктуры самих компаний".
По данным проведенного Juniper опроса, 25% россиян не используют или не задумываются об использовании пароля для защиты смартфонов и планшетных компьютеров, а из тех, кто все же защищает информацию паролем, только 22% регулярно его меняют. При этом в России владельцы мобильных устройств чаще, чем в других европейских странах, участвовавших в исследовании, используют их для доступа к банковским счетам (52%) и данным о здравоохранении (30%), оплаты коммунальных услуг (43%), а также пересылают с их помощью информацию о финансах по электронной почте и в текстовых сообщениях (46%).
"Основная угроза — невнимательность или неосторожность владельцев телефонов. Чаще всего используются легкие пароли, корпоративные данные хранятся в открытом месте,— констатирует пресс-секретарь МТС Ирина Осадчая.— Могут быть проблемы, когда владелец приложения некачественно осуществил защиту смартфона. Также могут быть вирусы".
"Многие мобильные операторы, по сути, предоставляют пользователям возможность анонимного доступа в интернет,— отмечает Илья Сачков из Group-IB.— Снова рядом со станциями московского метро появились лотки с SIM-картами, которые можно купить без контракта за 150 руб. Если посмотреть статистику краж денег со счетов юридических и физических лиц через системы интернет-банкинга, не менее 85% преступных трансакций проходит с IP-адресов мобильных операторов. Расследовать такие дела очень сложно".
Ситуация усугубится в связи с тем, что телефоны постепенно станут еще и платежным средством каждодневного пользования. Так, в конце ноября МТС начала тестовую эксплуатацию сервиса, позволяющего оплачивать с мобильной трубки проход в московское метро. Практически одновременно в петербургском метрополитене такой же сервис начал обкатывать "МегаФон". "Вымпелком", в свою очередь, договорился о создании тестовой зоны с "Аэроэкспрессом", развозящим электричками пассажиров по московским аэропортам. Во всех трех проектах телефоны, поддерживающие беспроводную связь стандарта NFS (в аппарат вставляются специальная SIM-карта и небольшая дополнительная антенна), должны быть привязаны к банковским счетам пассажиров.
Впрочем, Ирина Осадчая из МТС не склонна драматизировать ситуацию: "Доступ к платежным приложениям, загружаемым на мобильный телефон и предназначенным для платежей как с лицевого счета, так и с банковской карты, защищен специальным кодом, который знает только пользователь услуги, поскольку он сам его и устанавливает. Это позволяет предотвратить доступ посторонних к платежному приложению". По ее словам, по уровню безопасности мобильные платежи с банковских счетов аналогичны любым другим видам платежей с использованием банковских карт. "Безопасность прохождения платежей обеспечивают банки-партнеры. При платеже банк проверяет, в частности, адресата и назначение платежа. Эта мера позволяет, например, исключить схемы мошенничества, основанные на подмене получателя платежа",— говорит Ирина Осадчая.
Смарт-шпионы
Геотегинг — относительно новая функция современных смартфонов, оснащенных спутниковой навигацией. Она позволяет привязывать фотографию к месту, где была сделана. Провели отпуск на Бали? Отлично! Размещенные в вашем блоге фото будут сопровождаться ссылкой на географическую карту с указанием соответствующих координат. На этом, кстати, недавно погорел ведущий популярной телепрограммы "Разрушители легенд" (одна из самых рейтинговых на Discovery Channel) Адам Сэвидж. Он снял на iPhone свой новый внедорожник Toyota Land Cruiser и выложил фото в Twitter — и данные о том, где живет популярный ведущий, сразу же появились в сервисе микроблогов. По словам Сэвиджа, особых проблем у него не возникло. Он отключил на смартфоне функцию геотегинга — ну и еще ему пришлось продать дом (тесное общение с армией фанатов не входит в его планы).
"Мобильные устройства с геоинформационными приложениями — это инструмент, который может принести как пользу, так и вред. Подавляющее большинство современных коммуникаторов и планшетных устройств оборудовано чипом GPS (в перспективе — ГЛОНАСС/GPS),— отмечает гендиректор компании Data+ Алексей Ушаков.— Это означает, что появляется возможность отслеживать местоположение (географические координаты) мобильного устройства и его владельца". Эти возможности, по словам Ушакова, могут представлять серьезную угрозу как для компании, так и для частного лица: "Привязка контента (фото, видео, сайтов, сообщений SMS, RSS) к географическому месту с помощью специальных пространственных меток (тэгов) — перспективная технология. Но уже известны случаи угонов дорогостоящих автомобилей благодаря этой самой пространственной информации, впечатанной в снимок. Точно так же уходили интересные предложения о недвижимости из базы данных риэлторов". Кроме того, по словам главы Data+, при подобном фотографировании режимных или особо охраняемых объектов может возникнуть реальная угроза национальной безопасности.