Безопасность в эпоху мобильных устройств

Несколько лет назад я написал для этого сайта статью под названием «Защита вашего карманного компьютера». С тех пор мобильная безопасность прошла долгий путь, и текущая операционная система Windows Mobile 6.1, новые версии серверных продуктов Windows и стороннее программное обеспечение упрощают, как никогда прежде, предоставление пользователям возможности пользоваться удобством современных вычислений на смартфонах и подключаться к сети компании через свои мобильные устройства, не ставя под угрозу локальную сеть. Но все еще остается много проблем с безопасностью в эпоху, когда мобильные устройства быстро распространяются. В этой статье мы сосредоточимся на том, как защитить устройства Windows Mobile 6.1, а также коснемся проблем, возникающих при включении в сеть Windows мобильных продуктов, отличных от Windows (таких как iPhone).

Оценка мобильной угрозы

Смартфоны, КПК и другие портативные мобильные устройства могут облегчить нашу жизнь, позволяя нам поддерживать связь с офисом, семьей и коллегами, где бы мы ни находились. Благодаря быстрым сетям 3G и возможностям Wi-Fi мы можем оставаться на связи и проверять электронную почту, выходить в Интернет и т. д. без необходимости носить с собой портативные компьютеры. На самом деле, современные карманные компьютеры так же мощны, как и настольные компьютеры несколько лет назад. Мой телефон Samsung i760 Windows Mobile — это полноценный компьютер с Windows. Он имеет процессор 400 МГц, 64 МБ ОЗУ и 128 МБ ПЗУ, а также 4 ГБ памяти на карте mini SDHC. Эти характеристики превосходят настольный компьютер за 3000 долларов, который я купил в 1995 году.

Имея всю эту вычислительную мощность буквально на ладони, многие из нас проводят много времени, особенно в поездках, работая со своих телефонов. Мы можем использовать их для создания, редактирования и хранения документов и электронных таблиц Word, чтения PDF-файлов и доступа к другим файлам компании. Но это представляет большую угрозу безопасности, чем когда-либо прежде. Мы можем не только обмениваться сообщениями электронной почты, содержащими конфиденциальную информацию, но и иметь конфиденциальные документы на устройствах, а также пароли для входа в сеть компании или на веб-сайты.

Некоторые из конкретных угроз безопасности, связанных с мобильными устройствами, включают:

• Потеря или кража мобильного устройства, повлекшая раскрытие данных
  
• Перехват данных, которые проходят по сети wi-fi или 3G
  
• Захват данных через соединения Bluetooth
  
• Мобильные вирусы (включая почтовые вирусы)

Как и в случае с ноутбуками, мобильные устройства могут представлять уникальные угрозы безопасности, особенно когда сотрудникам разрешено подключать свое личное оборудование к сети компании. Опрос, проведенный в июле 2008 г., показал, что 89 % респондентов заявили, что используют либо личные, либо корпоративные смартфоны для доступа к корпоративной электронной почте и другой корпоративной информации, а более половины опрошенных заявили, что компании, не выпускающие смартфоны, должны разрешать сотрудникам хранить и получить доступ к информации о компании, используя свои личные смартфоны. (Смартфоны открывают корпоративные риски)

Это может обернуться кошмаром для ИТ-отдела, если вам необходимо реализовать меры безопасности для множества различных типов аппаратного и программного обеспечения. Если ограничений нет, вы можете попытаться обеспечить безопасный доступ к различным версиям Windows Mobile, RIM Blackberries, Apple iPhone, устройствам Symbian, устройствам Palm и устройствам на базе Linux, таким как телефоны Google Android, которые, как ожидается, будут доступны. в ближайшем будущем (релиз HTC Dream ожидается этой осенью).

Проблемы мобильной безопасности и решения

Таким образом, первым шагом является разработка разумных политик безопасности для управления использованием мобильных устройств в вашей сети. В вашей организации должны быть политики, относящиеся к мобильным устройствам; не пытайтесь просто применять общие политики безопасности. Также важно информировать пользователей мобильных устройств о вопросах безопасности, включая физическую безопасность. Некоторые политики безопасности могут быть реализованы технологически, но другие зависят от соблюдения требований пользователем.

Политика использования мобильных устройств должна учитывать:

• Защита паролем: мобильные устройства, на которых хранится информация компании или которые используются для подключения к сети компании, должны быть защищены паролем с надежными PIN-кодами/парольными фразами. Это не позволяет вору загрузиться в устройство и получить доступ к хранящейся на нем информации.
  
• Защита карты памяти: многие мобильные устройства поддерживают использование карт памяти SD, mini SD или других флэш-памяти, что позволяет увеличить объем памяти до нескольких гигабайт. Это очень удобно, но если карта не защищена, ее можно извлечь из устройства и получить доступ к информации на ней на другом устройстве или компьютере с устройством чтения карт памяти, даже если вор не может получить доступ к самому устройству. Вы должны требовать, чтобы информация о компании на картах памяти была зашифрована.
  
• Шифрование файлов: файлы данных должны быть зашифрованы для дополнительной защиты их содержимого. PGP Mobile и Aiko SecuBox являются примерами сторонних программ шифрования данных для мобильных устройств.
  
• Резервное копирование: чтобы защитить ценные данные компании от потери, файлы данных на мобильном устройстве должны быть скопированы в безопасное место за пределами устройства.
  
• Ограничения программного обеспечения: политики должны определять, какое программное обеспечение пользователям будет разрешено устанавливать на свои мобильные устройства, подключенные к сети компании.
  
• Допустимое использование: разрешите ли вы мобильным устройствам подключаться к сети через VPN? Будете ли вы разрешать пользователям подключать свои мобильные устройства к своим корпоративным ПК через службы терминалов/удаленный рабочий стол? Разрешено ли пользователям подключать свои устройства к своим корпоративным ПК через подставку, USB-кабель или Bluetooth для синхронизации файлов? Все эти проблемы должны быть решены вашей политикой использования мобильных устройств.

Нужны ли мобильным устройствам брандмауэры и антивирусное/антивредоносное программное обеспечение? Стив Райли из Microsoft говорит «нет» первому и «вероятно, нет» второму. Он утверждает, что целью брандмауэра является блокирование прослушивающих сокетов, а поскольку в устройствах Windows Mobile их нет — единственный трафик, который может прийти, — это ответ на отправленные запросы, брандмауэр был бы бесполезен. В настоящее время угроза вредоносного ПО для мобильных устройств невелика, но он допускает, что в будущем ситуация может измениться. Посмотрите его подробный доклад о безопасности Windows Mobile 6. Для просмотра видео необходимо войти в систему с учетной записью Windows Live.

Примечание:
В той же презентации Стив также утверждает, что надежные ПИН-коды опасны из-за возможности отвлечения пользователей на попытки разблокировать устройство во время вождения. Я вижу это по-другому, так как вы можете ответить на звонок, не разблокируя устройство, и если вы собираетесь инициировать вызов, вам действительно следует съехать с дороги или использовать систему громкой связи.

Механизмы безопасности Windows Mobile 6.x

Если мобильные устройства в вашей сети работают под управлением Windows Mobile 6.x, они могут воспользоваться встроенными механизмами безопасности, в том числе следующими:

• Защита паролем: устройства Windows Mobile позволяют использовать простой 4-значный цифровой PIN-код или буквенно-цифровой пароль длиной до 20 символов, который может состоять из прописных и строчных букв, цифр и символов. Устройство должно быть настроено на блокировку по истечении разумного периода времени после выключения питания (вы можете настроить устройство Windows Mobile на запрос пароля через период от 0 минут до 24 часов). Вы даже можете настроить локальную очистку устройства, чтобы сделать полную перезагрузку и удалить все пользовательские данные, если неверный PIN-код или пароль введены более заданного количества раз.
  
• Поддержка цифровых сертификатов: Windows Mobile может использовать цифровые сертификаты для управления тем, какие приложения разрешено запускать на основе цифровой подписи.
  
• Проверка подлинности на основе сертификата. Для повышения безопасности Windows Mobile поддерживает проверку подлинности с использованием безопасности транспортного уровня (TLS) с ключом шифрования длиной до 2048 бит. Регистрация на рабочем столе выполняется путем подключения устройства Windows Mobile к ПК в домене, где находится сервер сертификатов. Сертификат устанавливается на мобильное устройство через ПК
  
• Локальное шифрование данных:
  
• У вас есть еще больший контроль над безопасностью мобильных устройств, если в вашей сети работает Exchange Server 2007. Вот как эта комбинация может решить проблемы, поднятые выше:
  
• Защита паролем: в Windows Mobile 6 можно использовать подключаемые модули локальной аутентификации, позволяющие Exchange Server применять политики паролей, такие как длина, надежность и история. Например, если вы разрешаете четырехзначные PIN-коды, вы можете включить распознавание образов, которое не позволит пользователям использовать простые PIN-коды, такие как «1234». Или вы можете запретить использование PIN-кодов и потребовать пароли определенной длины и надежности. Вы можете установить срок действия паролей и запретить повторное использование предыдущих паролей.
  
• Цифровые сертификаты: Windows Mobile может использовать цифровые сертификаты для проверки подлинности в сети, при этом сервер Exchange проверяет корневой сертификат мобильного устройства, чтобы создать SSL-соединение, обеспечивающее шифрование связи между сервером и устройством.
  
• Удаленная очистка. Вы можете выполнить удаленную очистку устройства Windows Mobile с помощью синхронизации Exchange или Outlook Web Access (OWA). Все пользовательские данные, ключи и пароли, а также настройки конфигурации перезаписываются.
  
• Защита карты памяти: Windows Mobile 6 позволяет шифровать данные на карте памяти. Когда вы это сделаете, его можно будет прочитать только на устройстве, которое его зашифровало. Это можно сделать с помощью политик Exchange Server 2007, чтобы этим мог управлять администратор, а не пользователь. Exchange Server 2007 также может выполнять удаленную очистку карты памяти.
  
• Распространение политик: корпоративные политики могут быть доставлены на устройства Windows Mobile при их синхронизации с сервером Exchange. Устройства, не соответствующие политикам, не смогут синхронизироваться с Exchange.

Microsoft System Center Mobile Device Manager может значительно упростить управление большим количеством устройств Windows Mobile 6.1. Он интегрирован для работы с Active Directory/групповой политикой и может обеспечить безопасный постоянный доступ к VPN с мобильных устройств. Администраторы контролируют устройства и могут отключать Bluetooth, инфракрасный порт, WLAN, электронную почту POP/IMAP и встроенные камеры для повышения безопасности. Вы также можете включить полное шифрование файлов, отслеживать данные инвентаризации для всех устройств и выполнять немедленную удаленную очистку в случае потери или кражи устройства (не дожидаясь синхронизации устройства с сервером).

Мобильные устройства сторонних производителей в сети Windows

Устройства Windows Mobile созданы с нуля для интеграции в сетевую инфраструктуру Microsoft и безопасной работы с Exchange, Office Communications Server, SharePoint и т. д. Однако неизбежно некоторые пользователи захотят подключить свои любимые мобильные устройства, такие как Apple iPhone, а вскоре и телефоны Google на базе Android, к корпоративной сети. В компаниях, где сотрудники должны покупать свои собственные телефоны (и компания может возмещать или не возмещать расходы), многие обратятся к «крутому» фактору iPhone или низкой стоимости телефонов под управлением ОС с открытым исходным кодом. Есть также модели Symbian, Palm Treos с Palm OS и Blackberry. Поддержка такого количества различных мобильных платформ может стать кошмаром для безопасности.

В августе была продемонстрирована серьезная уязвимость в защите паролем iPhone, благодаря которой вы могли легко получить доступ к личной информации в Почте, SMS и Контактах на предположительно заблокированном телефоне. Запрет Apple на загрузку стороннего программного обеспечения, полученного не из их магазина приложений, может снизить вероятность появления вредоносного ПО, но возможность подключения к Интернету обеспечивает поверхность для атаки хакеров, а сама популярность устройства может сделать его привлекательной мишенью. Очень важно постоянно обновлять программное обеспечение телефона. В сентябрьском обновлении микропрограммы (v2.1) были устранены многочисленные уязвимости системы безопасности, в том числе отравление кэша DNS, спуфинг TCP и удаленное выполнение произвольного кода.

Телефоны Android работают немного по-другому и могут быть развернуты таким образом, что на самом телефоне хранится мало конфиденциальной информации или вообще не хранится; вместо этого он получает доступ к корпоративным приложениям через браузер. Это означает, что безопасность браузера будет иметь первостепенное значение.

Резюме

Распространение мобильных устройств в современной корпоративной среде делает жизнь более удобной для пользователей и более сложной для ИТ-администраторов, которые пытаются защитить свои сети от угроз, которые могут возникнуть при подключении к ним неуправляемых устройств, принадлежащих пользователям. Устанавливая и применяя политики использования мобильных устройств и тщательно продумывая, какие типы устройств будут разрешены, а также используя технологии безопасности, встроенные в устройства Windows Mobile 6.x, и функции, включенные в Microsoft Exchange Server 2007 и System Center Mobile Device Manager, вы может обеспечить доступ без ущерба для безопасности.