ANDROID VS. IOS. ВОПРОС БЕЗОПАСНОСТИ
ANDROID VS. IOS. SECURITY ISSUE
Воробьева М.А., студентка филиала ФГБОУ ВПО «МГИУ» в г. Вязьме
Vorobyov, MA, a student the branch of FS BEI of HPE «MSIU» in the town of Vyazmе
Аннотация
В статье рассматриваются такие мобильные операционные системы, как Apple iOS и Google Android, уровень их безопасности. Сделано сравнение мобильных платформ, выявлены сильные слабые стороны, сделан вывод.
Abstract
The article deals with mobile operating systems such as Apple iOS and Google Android, the level of their security. Made comparison of mobile platforms, identified strengths, weaknesses, concluded.
Ключевые слова: Apple iOS, Google Android, безопасность, система защиты, мобильные платформы
Keywords: Apple iOS, Google Android, security, security system, mobile platforms
Сейчас смартфоны под управлением Android и iOS являются одними из самых популярных среди потребителей во всем мире, хотя по количеству проданных устройств и наблюдается существенный разрыв. Так, согласно отчету NPD Group, доля Android-смартфонов на рынке США составляет 61%, в то время как доля iOS - 29%. Несмотря на все возрастающую популярность двух конкурирующих платформ, проблемы их безопасности разительно отличаются. В то время как сообщения об очередной атаке злоумышленников на пользователей Android-устройств появляются с завидной регулярностью, владельцы «яблочных» i-продуктов фактически не испытывают никаких опасений, а большинство из них могло даже не слышать об имевших место атаках. [3]
Система защиты таких мобильных платформ, как Apple iOS и Google Android в настоящее время призваны как наиболее защищёнными нежели другие мобильные операционные системами, но и все же эта проблема актуальна и для них.
Сегодня, как и для Apple iOS, так и для Google Android существует огромное количество вредоносных приложений, направленных на получение контроля над устройством, способные навредить пользователю или украсть информацию, заразить корпоративные сети, в которых данное устройства работают.
В связи с тем, что количество вредоносных программ для Android, начало стремительно увеличиваться, компании Google пришлось снять с рынка более 50-ти инфицированных приложений из Android Market. Причиной неоспоримого успеха приложений для Android, является открытый подход к программному обеспечению, что в свою очередь, ввиду быстро прогрессирующего развития программного обеспечения, позволяет уменьшить риск заражения путём проведения обновлений. [1]
Мобильная платформа Android полагается на своих пользователей и даёт возможность устанавливать различные приложения. iOS действует по иному сценарию, просто блокируя любые подозрительные приложения. В некоторых случаях, это приносит свои позитивные плоды. Может возникнуть ситуация, в результате которой, юзер пользуясь изобретением Google, по своей неопытности, может ненамеренно разрешить доступ вредоносному ПО.
iOS, возможные недостатки этой операционной системы кроются в специфике шифрования, так как большая часть данных шифруется таким методом, что дешифрация может быть произведена без ведома и непосредственного участия самого пользователя, кроме того, не требует пароля. [1]
Немецкая компания G Data сообщает, что число мобильных червей и вирусов в первом полугодии 2013 года увеличилось на 180%, а к концу года возможен рост до 600%! При этом злоумышленники предпочитают «ломать» Android, потому как уже разработано множество программ для написания вредоносного ПО, используя которые они могут делать червей и программы, крадущие деньги, даже не имея спецнавыков.
Исследования ФБР, опубликованные осенью 2013 года, говорят, что большая часть злонамеренных программ разрабатывается для Android и составляет 79% всех существующих мобильных вирусов, а iOS пока является мишенью только 0,7% угроз.
Большая часть заражений происходит при загрузке сомнительных приложений из не менее сомнительных источников. Бывает, что злонамеренные программы могут продержаться несколько дней в Google Play, пока не будут вычислены и удалены сотрудниками Google или специалистами антивирусных партнерских компаний.
Создание и распространение приложений для операционной системы iOS имеет ряд отличий. Во-первых, средства разработки доступны только для компьютеров Mac OS X. Во-вторых, разработчик должен выбрать подходящую ему модель распространения созданных приложений:
- iOS Developer Program Individual или iOS Developer Program Company - для индивидуальных разработчиков и компаний, которые создают приложения для массового рынка;
- iOS Developer Enterprise Program - для корпоративных клиентов, которым необходимы приложения для внутренних нужд;
- iOS Developer University Program - для образовательных учреждений с целью повышения квалификации студентов и ознакомления их с процессом создания приложений для мобильной системы от Apple.
Аналитики Symantec, сравнив две системы, обнаружили преимущества у обеих. Apple iOS дает лучший доступ, возможность проверить приложение и шифровать данные. Google Android лучше изолирует приложения и позволяет настраивать уровни доступа. Помимо того, iOS эффективнее противостоит атакам вредоносного ПО, потере данных и атакам против целостности информации. Хотя, как говорят эксперты, защитить от спама и фишинга ни одна ОС не может.
Мобильные платформы Google и Apple в разной степени полагаются на пять основных принципов мобильной безопасности.
Эти принципы и особенности поведения платформ представлены в таблице 1.
Исследователи из Германии провели интересный эксперимент, результат которого показал, что доступ к данным Apple на платформе iOS 4.2.1 можно получить всего за шесть минут. Информация на Android шифруется начиная с версии 3.0. Из данного эксперимента можно сказать, что платформа iOS от Apple обеспечена лучшим контролем доступа к данным, тщательнее следит за различными источниками приложений и шифровкой.
Google Android отличается более демократичной преемственностью к приложениям, обладает хорошей защитой от вредоносного ПО, надёжностью в сохранении данных.
Таблица 1 - Пять основных принципов мобильной безопасности [2]
Apple iOS
|
Google Android
|
Контроль доступа
|
Заводские приложения (приложения по умолчанию) являются отдельным процессом, работа которых происходит напрямую с процессора ARM;
Приложения не могут использовать общие объекты (напр., файлы DLL, Flash Player 9 и более поздних версий);
Большая часть данных шифруется таким методом, что дешифрация может быть произведена без ведома и непосредственного участия самого пользователя, кроме того, не требует пароля
|
Каждое приложение, основой которого является байт код, работает на отдельной виртуальной машине, в отдельном Linux процессе;
Приложения могут иметь «родные» общие объекты, основанные на ARM архитектуре (усовершенствованная RISC-машина) (напр., файлы DLL);
Обязательным условием корректной работы приложений в ОС Android является наличие у них цифровой подписи. Если ее нет, система просто не позволит выполнить установку программы
|
Шифрование
|
iOS хранит все данные в зашифрованном формате на SD карте устройства (карт памяти, разработка которой направлена на использование в портативных устройствах);
Пароли не установлены, данные с платформы автоматически расшифровываются при считывании iOS и приложениями;
iOS во вторую очередь шифрует электронную почту при помощи кодовой защиты, блокируя доступ, кроме случаев, когда устройство очевидно разблокировано;
Сторонние приложения также могут использовать шифрование при помощи кодовой защиты интерфейсов программирования приложений (API)
|
У платформы Android встроенное шифрование конфиденциальных данных (интерфейса, приложений, календаря, контактов, паролей, и т.п.) появилось начиная с версии 3.0;
Для сокрытия данных приложения могут использовать Java шифрование интерфейсов программирования приложений (API)
|
Способы приобретения приложений
|
App Store - магазин приложений, раздел онлайн-супермаркета iTunes Store, содержащий различные приложения для мобильных телефонов iPhone
|
Созданные приложения могут распространяться несколькими способами. Первый - через основную официальную площадку - каталог Google Play.
Второй способ - свободная установка приложений вне официального каталога: это может быть загрузка из различных веб-порталов, сторонних каталогов, через компьютер или обмен между устройствами.
|
Продолжение таблицы 1
Проверка происхождения приложений
|
При установке нового приложения, требуется чтобы это приложение было подписано официальным сертификатом, выпущенным Apple;
Приложения, размещенные для общего пользования, должны быть физически размещены в магазине приложений Apple;
Размещенные для общего пользования приложения (бесплатные приложения), проходят ручную/автоматизированную проверку со стороны Apple;
Компании, имеющие сертификат, имеют возможность распространять самостоятельно разработанные приложения на устройствах своих сотрудников, на которые распространяется сертификат организации
|
Каждое приложение должно быть подписано цифровым сертификатом;
Размещение приложений происходит без согласия и проверки со стороны Google;
Однако допускается самостоятельное подписание анонимными сертификатами;
По умолчанию, с Android Market с любого веб-сайта может распространяться любое приложение
|
Изоляция процессов
|
Приложения не могут переписывать/читать/записывать другие приложения/ОС/данные;
Приложения ограничены режимом пользователя и не могут устанавливать драйвера;
Правила изолирования блокируют доступ к папкам входящей электронной почте и SMS, отсылке SMS, инициировании телефонных звонков, GPS
|
Приложения могут переписывать другие приложения и исследовать их исходный код, но не конфиденциальные данные;
Однако данные, хранящиеся на SD карте памяти по умолчанию, могут быть прочитаны всеми;
Приложения ограничены режимом пользователя и не могут устанавливать драйвера;
Приложения получают доступ к большинству системных услуг только после утвердительного ответа пользователя на запрос
В Android предусмотрена возможность дистанционного удаления установленных приложений. Компания Google может задействовать эту функцию, например, в случае если то или иное приложение представляет угрозу.
|
Разграничение доступа по ролям
|
Продолжение таблицы 1
Пользователь должен дать разрешение на: доступ к GPS, включение удаленных уведомлений, начало телефонных звонков и отправку SMS;
Политика доступа / блокировки для всех остальных подсистем встроена в iOS и процедуру одобрения/проверки со стороны Apple.
|
Однако данные, хранящиеся на SD карте памяти по умолчанию, могут быть прочитаны всеми;
Приложения могут переписывать другие приложения и исследовать их исходный код, но не конфиденциальные данные;
Приложения получают доступ к большинству системных услуг только после утвердительного ответа пользователя на запрос;
Приложения ограничены режимом пользователя и не могут устанавливать драйвера;
ОС Android, а не Dalvik VM, обеспечивает изоляцию
|
Злоумышленники могут использовать поддельные или взломанные сайты для похищения конфиденциальной информации, а также для подписки пользователей на платные услуги, как это делается, например, во всевозможных «лотереях», «онлайн-пособиях» и прочих мошеннических схемах, широко применяемых киберпреступниками в сегменте настольных компьютеров.
Хоть и существуют в настоящее время довольно таки жесткие требования к уровню безопасности и защищенности, которые выдвигались еще при разработке препарированных платформ, уровня их защищенности недостаточно для защиты корпоративной информации, которая так часто на них попадает. Если правильно использовать и настроить свою платформу, то обе платформы - Android и iOS - дают пользователям возможность одновременно синхронизировать свои аппараты с множеством (частных и корпоративных) облачных сервисов не боясь утечки информации. При неправильном - дают злоумышленникам большую возможность украсть данные о местонахождении устройства, электронный адрес и контакты, номер телефона, украсть действительный код IMEI и установить его на деактивированный/поддельный телефон, получить плату за установку левых приложений, заставить телефон отсылать SMS сообщения или набирать номера для платных звонков, изменить настройки сервера доступа к интернет на прокси-сервер атакующих, шпионить и много чего еще.
Литература
Лучшие за сутки / Посты / Хабрахабр [Электронный ресурс] http://hyperione.com/blog/iOS/209.html
Лучшие за сутки / Посты / Хабрахабр [Электронный ресурс] http://habrahabr.ru/company/symantec/blog/131457/
Android & iOS: концепции распространения приложений и вопросы безопасности [Электронный ресурс] http://security-corp.org
Literature
1. Best for day / Posts / Habrahabr [electronic resource] http://hyperione.com/blog/iOS/209.html
2. Best for day / Posts / Habrahabr [electronic resource] http://habrahabr.ru/company/symantec/blog/131457/
3. Android & iOS: the concept of distributing applications and security issues [electronic resource] http://security-corp.org
УСТАНОВЛЕНИЕ ОБСТОЯТЕЛЬСТВ ВНЕДРЕНИЯ И ФУНКЦИОНИРОВАНИЯ ВРЕДОНОСНЫХ ПРОГРАММ, РАСПРОСТРАНЯЕМЫХ ЧЕРЕЗ КОМПЬЮТЕРНУЮ СЕТЬ
ESTABLISH THE CIRCUMSTANCES OF IMPLEMENTATION AND OPERATION OF MALWARE DISTRIBUTED OVER A COMPUTER NETWORK
Воронцова А.М., Юрин И.Ю., ФГБОУ ВПО «Саратовский государственный университет имени Н.Г. Чернышевского», г. Саратов, Россия
Vorontsov AM, Jurin IY, VPO «Saratov State University named after NG Chernyshevsky», Saratov, Russia
Аннотация
В статье рассматриваются практические рекомендации по экспертному исследованию компьютерного носителя информации на предмет заражения троянскими программами, внедренными на компьютер через сеть, в целях установления обстоятельств установки и дальнейшей работы этих программ.
Abstract
The article discusses best practices for expert analysis of computer storage medium for infection Trojans embedded on a computer over a network, in order to establish the circumstances of installation and operation of these programs.
Ключевые слова: вредоносное ПО, троянская программа, компьютерно-техническая экспертиза, исследование компьютерной информации.
Keywords: malware, Trojan, computer forensics, analysis of computer information.
В связи со стремительно возрастающим числом преступлений, совершаемых с использованием вредоносных программ, перед экспертами компьютерно-технической экспертизы часто ставится задача обнаружения на представленном носителе информации потенциально вредоносных программ.
Подавляющее большинство современных вредоносных программ ориентированы на работу под ОС Windows и основным способом их проникновения на компьютер (более 80% всех заражений) является локальная сеть или глобальная сеть Интернет. [1] Рассмотрим подробнее процесс извлечения информации о внедрении и функционировании подобных вредоносных программ на примере использования экспертной программы для исследования компьютерной информации «Forensic Assistant».
Тривиальным способом обнаружения широко известных вредоносных программ является сканирование исследуемого носителя информации антивирусной программой. Обнаруженные вредоносные программы необходимо исследовать более детально, чтобы исключить вероятность ложного срабатывания антивируса, определить функциональные возможности программ и их отношение к расследуемому компьютерному инциденту. Чтобы скопировать все детектированные файлы с сохранением путей их размещения на исследуемом носителе информации можно создать так называемый «срез» с использованием «Forensic Assistant» (меню «Утилиты\Создание среза по списку файлов»).
К сожалению, антивирусы детектируют лишь часть вредоносных программ, не могут реагировать на недавно разработанные или распространенные среди небольшой аудитории пользователей троянские программы, и не дают совершенно никакой информации о том, когда и каким образом троянцы попали на компьютер и какие действия осуществляли. Поэтому компьютерным экспертам предстоит самостоятельно искать недетектируемые вредоносные программы и устанавливать обстоятельства функционирования программ на компьютере. Важными этапами такого исследования являются:
1. Изучение кэша Java для поиска приложений, загружаемых на компьютер при просмотре веб-страниц. На этом шаге можно обнаружить сведения о недетектируемых вредоносных программах, установившихся на компьютер при просмотре веб-страниц, а также для всех установившихся программ определить дату, время и сетевой адрес, с которого произошло заражение компьютера с использованием Java-апплетов. [2]
«Forensic Assistant» детектирует служебные файлы кэша Java и после обработки (меню «Работа в сети\Анализ кэша Java») предоставляет в табличном виде информацию об имени файла, сетевом адресе с которого он был установлен, IP-адресе, дате и времени загрузки (Илл. 1).
Илл. 1. Результаты анализа кэша Java
Как правило, Java-апплеты имеют небольшой размер для незаметного внедрения на компьютер и в дальнейшем осуществляют скачивание и установку большего объема троянских программ (т.е. являются вредоносными программами класса «Trojan-Downloader»). Для установления сетевых адресов, с которых осуществляется скачивание, потребуется декомпиляция кода апплетов.
2. Изучение кэша браузеров в небольшие временные интервалы до и после даты и времени установки троянских программ через Java-апплеты с целью установления цепочки переходов (в том числе - безусловных, вызванных использованием iframe) пользователя по ссылкам, приведшим к заражению компьютера, а также используемых при этом эксплоитов. Таким образом, устанавливаются адреса страниц зараженных Интернет-серверов, а также хакерских серверов, предназначенных для заражения компьютеров пользователей.
При исследовании файлов кэша браузеров с помощью программы «Forensic Assistant» (различные подпункты меню «Работа в сети\Браузеры») информация сводится в таблицы, в которых для каждого посещенного пользователем адреса выводится имя файла, тип содержимого (текстовый, графический, бинарный файл и т.п.), дата последнего доступа, дата последнего изменения на сервере, количество обращений к этому адресу и некоторые другие параметры (Илл. 2). Отсортировав строки таблицы по дате последнего доступа, можно легко обнаружить адреса, обращение к которым осуществлялось незадолго до установки вредоносной программы.
Илл. 2. Результаты анализа кэша браузера Opera
Одной из задач, которые злоумышленники ставят перед собой при создании вредоносных программ, является затруднение исследования и запутывание следов. Очень часто можно столкнуться с шифрованием кода эксплоитов, что усложняет задачу исследователя и требует от него специальных знаний, необходимых для расшифровки. Вопросы расшифровки кода троянских программ, написанных на языке JavaScript, подробно освещены в статье. [3]
Также исследование кэша браузера «Internet Explorer» в файлах «index.dat» в некоторых случаях (когда автором программы использовались стандартные функции ОС Windows для работы с сетью) помогает установить адреса серверов, с которых получались обновления вредоносных программ и на которые отправлялась собранная на компьютере конфиденциальная информация.
3. Изучение файлов Prefetch для установления даты и времени последнего запуска предположительно вредоносных программ, в том числе прописанных в автозагрузку ОС Windows зараженного компьютера. Также из файлов Prefetch можно получить информацию о том, в каком каталоге зарегистрированы запускавшиеся программы, какие библиотеки они используют. Даже если искомый файл уже удален с диска, можно узнать его последнее месторасположение и функциональные возможности (в том числе - умение работать с сетью).
Использование программы «Forensic Assistant» для анализа файлов Prefetch (меню «Работа пользователей\Анализ файлов Prefetch») позволяет в автоматизированном режиме построить таблицу, в которой каждому проанализированному файлу ставится в соответствие извлеченная из него информация, а именно: имя запущенного файла, путь к нему, дата и время последнего запуска (Илл. 3).
Илл. 3. Анализ содержимого файлов Prefetch
Если файл был запущен через автозапуск (например, «Autorun» компакт-диска), то это легко отличить от запуска другим путем, потому что в этом случае информация о пути к нему будет отсутствовать.
4. Сбор экземпляров предположительно вредоносных программ для дальнейшего исследования, используя ранее полученную информацию о путях их размещения. К числу анализируемых путей необходимо добавить сведения из разделов реестра, отвечающих за автозагрузку программ при старте ОС Windows (для этого можно использовать пункт меню «Утилиты\Просмотр реестра» программы «Forensic Assistant»). Если искомые файлы отсутствуют по выявленным путям размещения, то это может свидетельствовать о том, что файлы были удалены злоумышленником на этапе «заметания следов», чтобы затруднить экспертам восстановление картины произошедшего. [2] Необходимо восстановить все удаленные файлы с использованием специализированных программ (например, «Ontrack Easy Recovery» или «R-Studio»), обратив особое внимание на те каталоги, где были зарегистрированы искомые файлы.
5. Подробное исследование файлов предположительно вредоносных программ, в том числе - исполнимого кода. Это позволит установить характеристики и настройки программ, а также тип и расположение на диске отчетов и журналов работы этих программ. Большинство вредоносных программ хранят свои настройки (адреса серверов для получения инструкций и обновлений, адреса электронной почты для отправки отчетов, пароли для дистанционного управления ими) в зашифрованном виде, в простых случаях можно определить ключ шифрования и провести декодирование при помощи «Forensic Assistant» (меню «Утилиты\Simple Decoder»). Также в ходе исследования бинарных файлов может быть обнаружена информация, персонализирующая автора вредоносной программы.
Необходимо устанавливать дату и время компиляции файла вредоносной программы. В тех случаях, когда невозможно точно установить момент внедрения вредоносной программы на компьютер (некоторые троянцы, копирующиеся в папку ОС Windows, устанавливают для файла дату и время, совпадающие с моментом установки ОС, чтобы замаскироваться под системные файлы), по дате компиляции можно будет сказать, что программа была запущена на компьютере не раньше указанного времени. Методика определения даты и времени для PE-файлов изложена в статье. [4]
6. Исследование файлов-отчетов и журналов работы вредоносных программ. Поиск этих файлов может быть осуществлен как в каталогах, установленных в ходе исследования алгоритма работы программ, так и по всему накопителю информации в автоматизированном режиме программой «Forensic Assistant» (Илл. 4). Характеристики обнаруженных файлов можно просмотреть через меню «Описания файлов\Файлы вредоносные».
Илл. 4. Детектирование файлов-отчетов вредоносных программ
Поскольку помимо вредоносных программ при совершении компьютерных преступлений могут использоваться и легальные программы для удаленного администрирования (например, R-Admin, TeamViewer, WinVNC), эксперту необходимо исследовать журналы работы и этого класса программ.
Таким образом, исследование всех перечисленных областей носителей информации компьютера, на котором произошел инцидент, связанный с внедрением на него через сеть вредоносных программ, позволит эксперту компьютерно-технической экспертизы представить более полную картину произошедшего.
Литература
Нехорошев, А. Б. Практические основы компьютерно-технической экспертизы: учебно-методическое пособие / А. Б. Нехорошев, М. Н. Шухнин, И. Ю. Юрин, А. Н. Яковлев. - Саратов: Издательство «Научная книга», 2007. 266 с. (Новые экспертные технологии).
Юрин, И. Ю. Особенности производства экспертиз по делам, связанным с несанкционированным доступом к системам дистанционного банковского обслуживания / И. Ю. Юрин // Теоретические и прикладные проблемы информационной безопасности: тез. докл. Междунар. науч.-практ. конф. (Минск, 21 июня 2012 г.) / М-во внутр. дел Респ. Беларусь, учреждение образования «Акад. М-ва внутр. дел Респ. Беларусь». Минск: Акад. МВД, 2012. С. 257-259.
Юрин, И. Ю. Расшифровка кода троянских программ, написанных на языке JavaScript / И. Ю. Юрин // Компьютерно-техническая экспертиза: журн. 2008. Вып. 3. С. 42-53.
Юрин, И. Ю. Определение даты создания исполнимого PE-файла / И. Ю. Юрин // Компьютерно-техническая экспертиза: журн. 2008. Вып. 2. С. 18-22.
Literature
1. Nekhoroshev, AB Practical basics of computer and technical expertise: Textbook / AB Nekhoroshev, MN Shuhnin, IY Jurin, Alexander Yakovlev. - Saratov: Publishing House» Science Book», 2007. 266 p. (New technology expert).
2. Jurin, IY Features production expertise in cases involving unauthorized access to remote banking systems / IY Jurin / / Theoretical and applied problems of information security: mes. of reports. Intern. scientific-practical. conf. (Minsk, June 21, 2012) / M of ext. Affairs Resp. Belarus, educational institution, "Acad. M-va ext. Affairs Resp. Belarus ". Minsk: Akad. Ministry of Internal Affairs, 2012. Pp. 257-259.
3. Jurin, IY Transcription Trojans code written in JavaScript / IY Jurin / / Computer forensics: journal. 2008. MY. 3. Pp. 42-53.
4. Jurin, IY Determining the date of creating executable PE- file / IY Jurin / / Computer forensics: journal. 2008 MY. 2. Pp. 18-22.
|
