Несколько лет назад я писала статью на этом сайте под названием Защита вашего ПКП. С тех пор мобильная безопасность шагнула далеко вперед, и ныне существующая операционная система Windows Mobile 6.1, новые версии серверов Windows и программное обеспечение сторонних производителей позволяют гораздо проще чем когда-либо обеспечить пользователей удобством современных смартфонов и подключением к сети компании с помощью мобильных устройств без риска взлома локальной сети. Однако все же остается множество трудностей с безопасностью по мере того, как мобильные устройства так стремительно распространяются. В этой статье мы сконцентрируемся на том, как защитить устройства Windows Mobile 6.1, а также рассмотрим некоторые проблемы, возникающие при использовании мобильных устройств не-Windows (таких как iPhone) в сети Windows.
Оценка угрозы от мобильных устройств
Смартфоны, ПКП и прочие портативные устройства могут упрощать нашу жизнь, позволяя нам оставаться на связи с офисом, семьей и коллегами независимо от того, где мы находимся. Благодаря скоростным сетям 3G и возможностям wi-fi мы можем сохранять подключение и проверять почту, получать доступ к веб содержимому и т.д. без необходимости носить с собой ноутбуки. На самом деле, сегодняшние портативные устройства обладают такими же возможностями, какими настольные компьютеры обладали пару лет назад. Мой Samsung i760 Windows Mobile представляет собой полноценный Windows компьютер. Он оснащен 400 MГц процессором, 64 MB RAM и 128 MB ROM, 4 ГБ места на мини SDHC карте. Эти параметры превосходят параметры настольного компьютера, купленного мной в 1995 году за 3000 долларов.
Благодаря всей этой компьютерной мощи (буквально говоря) в наших ладонях, многие из нас проводят время, особенно те, кто путешествует, работая со своих телефонов. Мы можем использовать их для создания, редактирования и хранения документов Word и таблиц, читать файлы в формате PDF и получать доступ к другим файлам компании. Но это влечет за собой гораздо большую степень риска для безопасности, чем когда-либо. Мы можем не только обмениваться электронной почтой, содержащей уязвимую информацию, но мы также можем хранить конфиденциальные данные на своих устройствах, пароли для входа в сеть компании или на веб сайты.
Некоторые, присущие мобильным устройствам, угрозы безопасности включают:
- Потерю или кражу мобильного устройства, что подвергает риску данные
- Перехват данных, которые передаются по сетям wi-fi или 3G
- Захват данных через соединения Bluetooth
- Мобильные вирусы (включая вирусы электронной почты)
Как и в случае с ноутбуками, мобильные устройства могут таить в себе особые угрозы безопасности, особенно когда сотрудникам разрешено подключаться со своих личных устройств к корпоративной сети. Июльские исследования 2008 года показали, что 89% респондентов используют свои собственные смартфоны или смартфоны компании для доступа к корпоративной почте или другой информации компании, и больше половины опрошенных сказали, что компании, которые не выдают сотрудникам рабочие смартфоны, должны позволять им получать доступ и хранить информацию компании на собственных смартфонах. (Smartphones opening up enterprise risks)
Это может обернуться катастрофой для ИТ персонала, если необходимо применять меры безопасности для множества различных типов оборудования и ПО. Если не использовать никаких ограничений, то можно оказаться в ситуации, когда вы пытаетесь обеспечить безопасный доступ различным версиям Windows Mobile, RIM Blackberries, Apple iPhones, Symbian устройствам, устройствам Palm и устройствам на базе Linux, таким как Google Android телефоны, выпуск которых ожидается в ближайшем будущем (выпуск HTC Dream намечен на осень).
Проблемы безопасности мобильных устройств и их решения
Первым шагом должна стать разработка грамотной политики безопасности для управления использованием мобильных устройств в вашей сети. В вашей организации должны быть специальные политики для мобильных устройств; не пытайтесь применить простые общие политики безопасности. Также очень важно просвещать своих пользователей мобильных устройств в области проблем безопасности, включая физическую безопасность. Некоторые политики безопасности можно внедрять с помощью технологий, а другие зависят исключительно от грамотности пользователя.
Политики использования мобильных устройств должны затрагивать следующие области:
- Защита паролем: мобильные устройства, на которых хранится информация компании, или которые используются для подключения к сети компании, должны быть защищены паролем с помощью надежных PIN кодов/идентификационных фраз. Это не позволит вору загрузить устройство и получить доступ к информации, хранящейся на нем.
- Защита карт памяти: многие мобильные устройства поддерживают использование SD, мини SD или флеш карт для расширения объема памяти хранения до нескольких гигабайт. Это очень удобно, однако в случае отсутствия должной защиты карта может быть изъята из устройства и к информации, хранящейся на этой карте, может быть получен доступ с другого устройства или компьютера с помощью карт-ридера, даже если вор не имеет доступа к самому устройству. Информация, хранимая на съемных накопителях, должна храниться в зашифрованном виде.
- Шифрование файлов: файлы данных должны быть зашифрованы для более надежной защиты содержимого. PGP Mobile и Aiko SecuBox являются примерами программ шифрования данных сторонних производителей для мобильных устройств.
- Резервное копирование: для защиты от потери важных данных компании файлы данных на мобильных устройствах должны подвергаться резервному копированию, при этом резервные копии должны храниться в безопасном месте вне устройства.
- Ограничения ПО: политики должны регламентировать то, какое ПО пользователям будет разрешено устанавливать на свои мобильные устройства, подключенные к корпоративной сети
- Приемлемое использование: разрешите ли вы мобильным устройствам подключаться к сети через VPN? Разрешите ли вы пользователям подключать свои мобильные устройства к компьютерам компании через службу терминала /удаленный рабочий стол? Разрешено ли пользователям подключать свои мобильные устройства к рабочим ПК с помощью USB кабеля или Bluetooth для синхронизации файлов? Все эти моменты должны регламентироваться вашими политиками использования мобильных устройств.
Нуждается ли мобильное устройство в брандмауэре и программах против вредоносного ПО? Стив Райли из компании Microsoft говорит «нет» для брандмауэров и «практически нет» для программ против вредоносного ПО. Он говорит о том, что задачей брандмауэра является блокирование слушающего сокета, а поскольку устройства Windows Mobile не имеют такового ‘ входящим является только тот трафик, который содержит ответы на ранее посланные запросы ‘ то использование брандмауэра будет бессмысленным. В настоящее время угрозы вредоносного ПО для мобильных устройств не очень велики, но он признает, что ситуация может кардинально измениться в будущем. Смотрите его интервью о безопасности Windows Mobile 6 в подробностях. Вам нужно будет зарегистрироваться на Windows Live, чтобы посмотреть видео.
Заметка: В этом же интервью, Стив также говорит, что сложные PIN коды опасны, поскольку существует вероятность того, что пользователи могут отвлекаться, когда будут разблокировать свои устройства во время вождения авто. Я не согласна с этим тезисом, так как для того чтобы ответить на звонок не нужно разблокировать телефон, а если вы собираетесь позвонить, то вам следует свернуть на обочину или воспользоваться системой hands-free.
Механизмы безопасности Windows Mobile 6.x
Если мобильное устройство в вашей сети использует Windows Mobile 6.x, то оно защищено с помощью интегрированных механизмов защиты, которые включают следующее:
- Защиту паролем: Windows Mobile устройства имеют возможность использования простого 4-значного цифрового PIN кода или алфавитно-цифрового пароля до 20 символов длиной, который может включать буквы верхнего и нижнего регистра, цифры и символы. Устройство должно быть настроено на блокировку после определенного промежутка времени, в течение которого устройство не используется (для устройств Windows Mobile можно устанавливать блокировку паролем от 0 минут до 24 часов). Вы даже можете настроить функцию удаления локальных устройств, чтобы выполнять перезагрузку и удалять все пользовательские данные, если пин-код или пароль вводится неправильно определенное количество раз.
- Поддержка цифровых сертификатов: Windows Mobile может использовать цифровые сертификаты для контролирования того, какие приложения могут быть запущены, основываясь на цифровой подписи.
- Аутентификация на основе сертификата: для более надежной безопасности Windows Mobile поддерживает аутентификацию, используя Transport Layer Security (TLS) с помощью ключа шифрования до 2048 бит. Desktop Enrollment осуществляется путем подключения устройства Windows Mobile к ПК в домене, в котором расположен сервер сертификации. Сертификат устанавливается на устройства посредством ПК
- Шифрование локальных данных:
- У вас будет более строгий контроль над безопасностью мобильного устройства, если в вашей сети используется Exchange Server 2007. Ниже описано то, как это сочетание может исправлять вышеперечисленные проблемы:
- Защита паролем: благодаря Windows Mobile 6 можно использовать программные модули Local Authentication Plug-ins для позволения серверу Exchange Server внедрять политики паролей, такие как длина, сложность и история. Например, если вы разрешите 4-значный PIN-код, вы можете включить распознавание модели, которое не позволит пользователям использовать такие пин-коды как ‘1234’. Или вы можете запретить использование PIN-кодов и потребовать пароли определенной длины и сложности. Вы также можете задавать сроки действия паролей и запрещать повторное использование одинаковых паролей.
- Цифровые сертификаты: Windows Mobile может использовать цифровые сертификаты для сетевой аутентификации, после чего сервер Exchange проверяет корневой сертификат мобильного устройства, чтобы создать SSL соединение для шифрования коммуникации между сервером и мобильным устройством.
- Удаленное вытеснение: вы можете выполнить удаленное вытеснение устройства Windows Mobile посредством синхронизации Exchange или Outlook Web Access (OWA). Все пользовательские данные, ключи и пароли, а также параметры конфигурации будут перезаписаны.
- Защита карт памяти: в Windows Mobile 6 у вас есть возможность шифрования данных, хранящихся на карте. Когда вы это делаете, данные можно только прочитать на том устройстве, на котором они были зашифрованы. Это можно сделать с помощью политик Exchange Server 2007, чтобы данные мог контролировать администратор, а не пользователь. Exchange Server 2007 может также выполнять удаленное вытеснение карт памяти.
- Распространение политик: политики предприятия можно распространять на устройства Windows Mobile, когда эти устройства синхронизируются с сервером Exchange. Устройства, не отвечающие политикам, не смогут синхронизироваться с Exchange.
Диспетчер Microsoft’s System Center Mobile Device Manager может упростить управление большим количеством устройств Windows Mobile 6.1. Он интегрирован для работы с Active Directory/Group Policy и может обеспечивать безопасный, постоянно включенный VPN доступ с мобильного устройства. Администраторы контролируют устройства и могут отключать Bluetooth, инфракрасный передатчик, WLAN, POP/IMAP почту и встроенные камеры в целях повышения безопасности. Вы также можете включить полное шифрование файла, отслеживание данных для всех устройств, и выполнить немедленное удаленное шифрование в случае потери или кражи устройства (без необходимости ожидания того, чтобы устройство синхронизировалось с сервером).
Мобильные устройства не Microsoft в сетях Windows
Windows Mobile устройства построены, в своей основе, для сочетания с инфраструктурой сетей Microsoft и работают с Exchange, Office Communications Server, SharePoint, etc. в безопасном режиме. Однако неизбежна ситуация, в которой пользователи захотят подключить свои любимые устройства, такие как Apple iPhone, и ожидаемые в продаже Google Android, к корпоративной сети. В компаниях, где сотрудникам приходится покупать собственные телефоны (и эти затраты не оплачиваются компанией), многие будут выбирать себе устройство по внешнему виду или недорогие модели, использующие бесплатные ОС. Также существуют модели Symbian, Palm Treos использующие операционную систему Palm и Blackberries в сочетании. Поддержка такого количества различных платформ может обернуться кошмаром для безопасности.
В августе, был продемонстрирован основной недостаток в защите паролей устройства iPhone, благодаря которому можно с легкостью получать доступ к частной информации в почте, SMS-сообщениях, и контактах устройства, которое, как предполагается, заблокировано. Запрет компании Apple на загрузку ПО сторонних производителей, которое не выпускается самой компанией, может снизить возможность заражения вредоносным программным продуктом, но именно подключение к Web дает хакерам возможности осуществления атак, а популярность мобильных устройств может сделать их привлекательной целью для атак. Очень важно обновлять ПО устройства. Сентябрьское обновление прошивки (v2.1) исправляет различные уязвимости в безопасности, включая заражение DNS кэша, спуфинг TCP и удаленное выполнение случайного кода.
Устройства Android работают несколько иначе, и их можно использовать таким образом, чтобы на самом устройстве хранилось очень мало конфиденциальной информации или таковая не хранилась на нем вообще; вместо этого устройство получает доступ к приложениям предприятия через обозреватель. Это означает, что безопасность обозревателя является задачей первостепенной важности.
Заключение
Распространение мобильных устройств в сегодняшних корпоративных средах делает жизнь более удобной для пользователей, но более сложной для ИТ администраторов, пытающихся защитить свои сети от угроз, которые могут представлять собой неуправляемые устройства пользователей, подключенных к этой сети. При помощи создания и внедрения политик безопасного использования мобильных устройств и четкого учета того, какие типы устройств разрешены, а также с помощью использования встроенных в устройства Windows Mobile 6.x технологий безопасности и функций, интегрированных в Microsoft Exchange Server 2007 и диспетчера System Center Mobile Device Manager, вы можете обеспечить доступ без риска для безопасности.