«Комплексная защита информации мобильных телефонов. Итоги 2012 года»
Раздел: Социальные сети
Чем запомнится уходящий год для крупнейших производителей средств мобильной связи: Samsung, Apple, Google, Nokia, Sony, Rim, Motorola, корпораций поменьше? Прежде всего, огромной проблемой связанной с уязвимостями в информационных системах мобильных телефонов. В настоящее время в мире продано уже 6 миллиардов телефонов (из них 1 миллиард смартфонов), а надежной защиты информации для них до сих пор не создано. Стремительный спрос на модные гаджеты, явно обгонял темпы их информационной защиты, ожесточенное соперничество за раздел гигантского рынка и удешевление продукции достигалось прежде всего за счет уровня безопасности. Теперь же этот бумеранг вернулся обратно… Об опасности хакерских атак, грозящих пользователями мобильной связи было заметно даже по такому примеру. В 2012 году компания «Анкорт» выставляла свою продукцию на четырех крупнейших международных выставках электронных технологий, в Лас-Вегасе (США), «World Mobile Congress» в Барселоне (Испания), CEBIT – в Ганновере (Германия) и DSA в Куала-Лумпур (Малайзия) и везде наблюдалась одинаковая картина, главным лозунгом прошедших мероприятий была – информационная безопасность мобильных телефонов. Традиционно, к нашим разработкам приковано внимание клиентов предъявляющих специфические требования и представляющих особую прослойку в среде пользователей: главы государств, крупные политические деятели, представители армии, банкиры, бизнесмены, адвокаты, знаменитые артисты, адвокаты, одним словом все те, для кого безопасность информации представляется особо важным условием. В этом году мы не могли не заметить огромный интерес и со стороны специалистов, представляющих лидеров современной IT индустрии. Наравне с высокопоставленными государственными деятелями разных государств, например, только в Малайзии наш стенд посетили девять (!) министров обороны разных стран, гостями «Анкорта» были и… руководители корпораций занимающихся выпуском мобильных телефонов. Даже один этот факт, согласитесь, наводит на определенные размышления. Запомнился уходящий год и другим неожиданным событием: появлением на рынке большого количества новых компаний представивших продукцию, связанную с защитой информации. Различные «Старт-апы» явно почувствовав «веяния времени» поспешили показать на крупнейших международных выставках свои разработки в области безопасности. Их можно было разделить на две категории. Одну составляли традиционные программные средства защиты, а другую, более продвинутые – аппаратные, в стиле «милитари». Казалось бы, вот оно свидетельство того, что ситуация меняется и разработчики по всему миру наконец-то «проснулись», начав предлагать решения мобильной защиты от хакеров. Однако при более подробном анализе выяснился неожиданный факт. Изучив сайты и рекламные проспекты новичков рынка информационной защиты, стало ясно, что содержат они в основном красивые маркетинговые реляции, без какой либо криптографической конкретики, хотя бы о том, как вырабатываются и где хранятся ключи. А ведь это — один из самых важнейших факторов. Другим модным направлением для привлечения клиентов стали многочисленные упоминания в рекламе словосочетания «армейский стандарт». Отдельные фирмы ссылались на то, что производимая ими продукция сертифицирована по военным стандартам не только стран, которые они представляют, но и всех стран НАТО вместе взятых. Правда, при более подробном изучении выяснилось, что в реальности была произведена сертификация только одного из элементов, например, блока питания, а не всего изделия в целом, но из рекламы понять это не представлялось возможным. Фактически ради прибыли производитель информационной псевдозащиты шел на осознанный обман клиентов. Понятно, что в этих случаях расчет был исключительно на неискушенного пользователя, столкнувшегося с проблемой кражи личной или финансовой информации, но еще не имеющего опыта работы с криптографическими системами. Те же, кто уже имел сей опыт, и прежде всего, пользователи программных средств, в нынешнем году пытались подобрать себе что-нибудь посерьезней, в виде средств аппаратных. Правда, даже при неожиданно большом количестве предложений из разных стран, выбора у них, как ни странно не оказалось — либо, наш аппаратный шифратор «Stealthphone», либо продукт немецкой компании «Роде Шварц». Но, об этом чуть позже… Прежде, необходимо пояснить, почему самые искушенные пользователи перестали доверять программным средствам защиты информации и полностью утратили к ним интерес. В этом году произошла даже некая переоценка ценностей. И, по всей видимости, уже навсегда закрепилась устойчивая градация, когда на звание системы профессионального уровня сможет претендовать исключительно аппаратное средство защиты информации. Почему, спросите вы? Ведь программы очень удобны и просты в пользовании, их можно легко скачать, они сравнительно дешевы и т.п. Все это на самом деле так, если не принимать во внимание, что за последнее время хакеры стали обладать настолько мощными компьютерами и программами, что сравнительно легко могут сразить наповал любую программную защиту установленную на одном или даже нескольких компьютерах. Приведем свежий пример. На последней конференции по безопасности «Password 12», исследователь Джереми Госни продемонстрировал вид стандартного устройства, которое сегодня используют хакеры, для взлома ваших паролей. В совокупности оно представляет собой 5 серверных шкафов оборудованных 25 графическими адаптерами AMD Radeon, имеющими возможность передавать до 10 гигабит в секунду. На устройстве запущена программа по взлому паролей, способная осуществлять 348 миллиардов хеширования паролей NTLM в секунду. Такая скорость свидетельствует, что зашифрованный LM Windows XP пароль будет взломан за 6 минут. Из чего участники конференции сделали логичный вывод: «пароль, на взлом которого вчера ушел бы миллион лет, сегодня может быть взломан к обеду»… Вы спросите, как поступить несчастным пользователям после того, как они лицом к лицу столкнулись с аналогичным или даже еще более изощренным и мощным противником? Совершенно верно! Применить криптографическую аппаратную защиту — единственное средство дающее возможность успешно противостоять любым, даже самым мощным хакерским программам. Но и на этом пути, как оказалось, обладателей мобильной техники, ищущих спокойствия и безопасности в бурном, буйном и очень опасном электронном мире поджидают неприятные сюрпризы. Большое число из представленных на крупнейших международных выставках аппаратных средств защиты, за исключением, как мы уже говорили, нашей компании и германской «Роде Шварц» предлагают «защиту на CD». Наши специалисты протестировали несколько образцов подобной продукции и выяснили, что основное шифрование в них идет обычным программным средством, а внешнее исполняет всего лишь роль хранилища ключей… Фактически это тот же маркетинговый ход, используемый недобросовестными производителями для введения пользователей в заблуждение и намекающий им, что они якобы имеют дело с аппаратной защитой. Говорить о серьезности подобных систем не стоит. Они не защищают от вирусов, не защищают от несанкционированного включения микрофона и самое главное — не защищают от опасных утечек информации по побочным каналам. Происходит это, потому что микрофон телефона расположен рядом с передающей антенной. И гармоники голоса человека разговаривающего через микрофон накладываются на сигнал, выходящий в эфир через антенну мобильного телефона вместе с якобы шифрованным сигналом. Другими словами, совершается наложение низкочастотного голосового сигнала регистрируемого микрофоном на высокочастотный сигнал, передаваемый антенной. И в последствие при помощи не сложной цифровой обработки сигнала из него можно выделить низкочастотный голосовой сигнал. Поэтому в реальности, так называемый «шифрованный» разговор можно спокойно слушать обычным сканером стоимостью всего в несколько сот долларов, на расстоянии до пяти километров от ближайшей базовой станции GSM. К сожалению, и в этот раз расчет делается на неподготовленность пользователей, не знающих всех нюансов. Как уже отмечалось, учитывая все эти обстоятельства, по единодушному мнению специалистов, анализировавших на выставках World Mobile Congress 2012 и CEBIT тенденции года, лишь две компании представили пользователям настоящую аппаратную защиту, отвечающую самым высоким стандартам: «Анкорт» и «Роде Шварц». На другой международной выставке, в Малайзии конкурентом «Анкорт» выступала крупная криптографическая фирма «Crypto AG», в качестве своей последней разработки представившая защищенный телефон. Интересно, что даже эта компания не удержалась от модных слов в рекламе своего телефона, причислив его к полноценному аппаратному средству защиты. Хотя на самом деле использовала лишь «SD» карточку, а сам телефон работает только с устаревшей операционной системой «Symbian». Стоит напомнить, несколько лет назад именно «Анкорт» стала первой в мире компанией представившей рынке криптосмартфон – специальное устройство с гарантированной криптографической защитой речевой информации, аутентификации абонентов и шифрованием SMS и электронной почты. И сравнивать наши разработки не имеет смысла, поскольку они относятся к разному уровню защиты информации мобильных телефонов. Каждый из них имеет свои преимущества, и в целом достойно справляется с поставленной задачей — индивидуальной защитой голосовых данных конкретного пользователя. Сегодня же мы говорим о современной, массовой защите информации в мобильных телефонах, снижающей затраты пользователей, в том числе за счет использования IP-телефонии. Делающей невозможной расшифровку и перехват хакерами не только разговоров по мобильному телефону, но и всех видов данных: голосовой связи через интернет, SMS, MMS, электронной почты, базы данных социальных сетей и т.д. И очень приятно, что в этом споре двух лидеров рынка, международные эксперты пальму первенства отдали нашей продукции. Впрочем, из приведенной ниже сравнительной таблицы технических возможностей двух аппаратных изделий читатели смогут самостоятельно сделать вывод, почему в 2012 году лидерство в области разработки и производства средств обеспечения комплексной защиты информации удерживает именно российская компания «Анкорт». Оба устройства состоят из отдельного от мобильного телефона шифратора и специального программного обеспечения, которое устанавливается на мобильный телефон. Однако, внешнее сходство рассматриваемых шифраторов обманчиво, так как их технические и криптографические характеристики различны, а спектр предоставляемых ими возможностей неравнозначен. В таблице, представленной ниже, показаны технические и криптографические характеристики аппаратных шифраторов «TopSec Mobile» и «Stealthphone Touch»: Исходя из приведенных данных, отражающих технические и криптографические характеристики аппаратных шифраторов, можно сделать следующие выводы в пользу «Stealthphone Touch». Функциональные возможности, предлагаемые «Stealthphone Touch» для обеспечения конфиденциальности информации на мобильном телефоне, очень велики. Каждый человек, используя свой мобильный телефон, при помощи «Stealthphone Touch» может: 1. Шифровать голос, SMS, MMS, E-Mail; 2. Пользоваться режимами защищенного чата «крипточат» и «криптоконференция»; 3. Защитить микрофон своего мобильного телефона от тайного снятия информации, когда телефон находится как в режиме вызова, так и в режиме ожидания; 4. Работать при низкоскоростных мобильных интернет-соединениях и передавать информацию в защищенном виде по каналам связи 3G, 3,5G, EDGE, Wi-Fi и WiMAX; 5. Гарантированно обезопасить свои данные за счет передачи зашифрованной информации по закрытой сети и использования конструкционных особенностей шифратора (речь идет о клавиатуре «Stealthphone Touch», на которой вводятся различные PIN-коды доступа); 6. Обеспечить безопасность операционной системы своего телефона (Android, IPhone, Symbian, BlackBerry); 7. Использовать шифратор совместно с любым современным мобильным телефоном, а также планшетом или персональным компьютером для передачи электронной почты; 8. Подключать по Bluetooth одновременно до 5-ти мобильных устройств; 9. Оценить высокое качество передачи голоса, удобство пользовательского интерфейса, продолжительность периода работы без подзарядки и элегантный лаконичный дизайн шифратора, разработанный с применением нано технологий. В современных условиях правительства многих стран идут по пути создания на государственном уровне комплексных систем информационной безопасности, объединяя усилия государственных органов, представителей бизнес-сообществ и общественных организаций. Причиной для этого является высокий уровень сетевой активности хакеров: за 2012 год от их действий пострадало 556 млн. человек, то есть хакерская атака осуществлялась каждые 18 секунд (2). Популярные среди пользователей высокотехнологичные мобильные устройства, используемые для выхода в сеть Интернет и работы с различными приложениями, также состоят в «группе риска». Поэтому сегодня очень важно не ошибиться и выбрать самое криптографически стойкое решение, подходящее по всем параметрам для защиты информации пользователей. Подробнее о Stealthphone Источники: 1. Данные производителя www2.rohde-schwarz.com/file_18186/TopSec-Mobile-VoIP_bro_en.pdf 2. По данным интернет-ресурса www.memoid.ru/node/Gromkie_prestupleniya_russkih_hakerov Дата публикации: 2012-12-14 |