Безопасность BlackBerry-решений: уязвимости на стыке технологий

Юрий Чемеркин
Magazine Hakin9

Проблемы архитектурной документации

Тем не менее по сей день большинство вендоров систем безопасности не столь охотно придерживается этого правила, ссылаясь на то, что их наработки могут попасть злоумышленникам, а последнее прямо-таки неизбежно приведет к росту атак на их продукт, падению его эффективности и прочим горестным последствиям. Однако по другую сторону всех этих маркетинговых услад, чаще демонстрирующих неспособность продукта с чем-либо в принципе справляться, стоит фактор, приводящий к росту атак на продукт только за счет одной популярности. Степень изощренности атак абсолютно никак не коррелируется с видом лицензий на продукт.

Недавние события на BlackHat в отношении компании Sophos, вызванные докладом сотрудника компании Google Тейвисом Орманди, еще раз подтвердили это. Отличным продуктом от ряда других является представленный канадской RIM в виде BlackBerry-инфраструктуры, прочно закрепившийся в понимании вопросов "что?" и "как?" в рамках информационной безопасности. Однако камнем преткновения BlackBerry, как и, впрочем, ряда других решений, является устаревшее представление о безопасности, как о базировании либо на триаде "конфиденциальность, целостность и доступность", либо на незначительном ее расширении. При первом приближении есть возможность выстроить достаточно гибкую и эффективную модель ИБ в рамках предоставляемых BlackBerry возможностей. Однако и эта модель требует от пользователя внимательности и адекватности выбранных действий.

Существующие виртуальные магазины приложений позволяют расширять экосистему любой мобильной платформы, но особого интереса прочие платформы (Android, Windows Mobile, iOS) не представляют, так как не проектировались с оглядкой на безопасность. Что же дает возможность расширения даже в случае скачивания "легального ПО"? Ответить на данный вопрос можно сразу примером: приложение просит доступ к SMS и E-mail плюс доступ к Интернету и GPS. Это типовой случай, так как покрывает пользовательские сценарии работы с социальными аспектами жизни, как, например, уведомление друга о пробках на дороге. С одной стороны, потребитель получает заявленный продукт, и речь идет даже не о том, что "приложение запросило доступ к E-mail для отправки другу сообщений, при запуске приложения мы видим запрос на группу разрешений (!)". Делегировав полномочия, потребитель не может гарантировать себе, что, кроме доступа, к функции отправки сообщения не будет запроса к входящим, отправленным, и прочим папкам с целью кражи, подмены или ряда прочих деструктивных целей. В действительности на сегодняшний день ни один вендор не в состоянии реализовать разумную детализацию политик с целью повышения эффективности ИБ или предоставить информацию о том, куда и с какой целью сейчас был совершен запрос его продуктом. Впрочем, типовое поведение программы на этом не заканчивается, так как скорее всего такое приложение попросит вдобавок дать доступ к телефонной книге, ведь пользователь телефонные номера или почтовые адреса не держит в голове, а, собственно, автоматизация за этим и была придумана. Причем вопрос доступа к данным может осуществляться с точки зрения систематизации криминалистики как в "живом", так и в "мертвом", или классическом, виде, то есть динамически и статически. Вопрос детализации, поднятый ранее, до сих пор не коррелируется с системами мониторинга происходящих событий, как, например, логирование событий отправки сообщений, использования GPS-функционала и т.п.

Легальный вредоносный код

Ряд предоставляемых платформой возможностей часто оборачивается проблемами безопасности, как, например, возможность создавать сообщения типа E-mail и Pin с любой конфигурацией, вводя в заблуждение человека, и, как следствие, провоцировать на открытие вложений. По сути, это модификация и подмена за счет копирования параметров необходимого сообщения с последующим его удалением и созданием модифицированного на основе имеющихся данных нового сообщения. В качестве дополнительного бонуса мы получим эффективное средство защиты от криминалистов (!) в виде сотни сообщений как ложного графа, учитывая, что подконтрольными точками взаимодействия с сообщениями являются все параметры сообщения.

Ряд прочих механизмов, предоставленных разработчикам со стороны RIM, заключается в эмулировании физических и виртуальных клавиш. Вполне понятно, что данную возможность не составит труда использовать для автоответа на входящий звонок с определенного номера или подтверждения какого-либо сообщения. Плюс тот фактор, что нет возможности определить приложение, ответственное за это поведение, а крайним окажется либо потребитель, либо разработчики того продукта, на который был нацелен данный вредоносный код. Также и BlackBerry, и любое другое решение (как мобильное, так и настольное) до сих пор предоставляет возможность вопреки маркетинговым изысканиям полакомиться "чувствительной" информацией, содержащейся в буфере обмена или отображенной на экране.

Все названное, хотя в рамках статьи это всего лишь малая часть угроз на базе концепции "легальный троян", имеет более интересное значение, так как до сегодняшнего момента не поднимался вопрос о возможности реализации мобильных руткитов прикладного уровня для BlackBerry. Предварительная версия, представленная на конференции, имеет возможность взаимодействия, изменения и получения данных о компонентах интерфейса, данных самих компонент и изменения их состояния. Поэтому не представляет особенного труда получать любые типы данных, такие как переписка в IM-клиентах в режиме реального времени или пароли, "скрытые под звездочками", или видоизменять интерфейс пользовательского приложения с целью покрытия ряда атак, которые невозможно выполнить напрямую, или сокрытия вредоносной активности. К слову, еще одним наглядным примером являлась подделка окна логинизации для приложения Facebook под мобильную платформу на базе Android, представленная на конференции BlackHat в этом году.

Проблема человеческого фактора: новое видение

Основными проблемами являются производные человеческого фактора, только не в привычном для руководящих лиц компании понимании, а со стороны человеческого фактора в рамках одной человеческой единицы в лице группы людей от менеджеров проектов до программистов, плодами творения которых являются сообщения их продуктов в стиле "Произошла непоправимая ошибка!" с одной единственной кнопкой "Ок". Впрочем, если бы текст был "Ничего страшного, я уже привык", смысл бы сильно не изменился, так как у пользователя нет ни малейшего представления, что же случилось. Крайним случаем является вываливание на мозг пользователя тонн машинного кода. На промежуточные модели вендоры до сих пор скупы, что является наглядной формой проявления безалаберности, учитывая, что ни знания, ни правильная поведенческая модель никогда не возникнут у потребителей с потолка, ввиду экономической модели поведения человека, подразумевающей выгоду всегда и везде. Этот подход приводит к основной проблеме, которая уже не первый раз звучит как неосведомленность или lack of knowledge. И это справедливо для половины продукции на рынке; а через некоторое время можно будет смело делать вредоносный код, который будет рассказывать пользователю о том, что какой-нибудь из его продуктов совершил ошибку; весь вредоносный функционал "заворачивать" в кнопку "Ok" и при этом просить разрешить отправку через системы мониторинга, от которых уже сейчас прок минимален, и блокировать уведомления от антивирусных и прочих продуктов по безопасности. Особенно критичным фактором, который в геометрической прогрессии множит проблемы нехватки знаний на нехватку идей, является менеджмент, который скромно заимствует друг у друга (между компаниями) эти идеи, развлекаясь конкурентной разведкой, не особенно думая, к тому ли месту ИБ они пришлись или же нет. При цельном осознании перечня проблем становится очевидно активное поддержание актуального состояния стагнации сферы ИБ вместо разрешения проблем, доказывая лишний раз, что даже такие совершенные с точки зрения архитектуры решения, как BlackBerry-инфраструктура, имеют массу критичных точек, способных остановить бизнес-процессы, в которые активно вовлечены те или иные решения по безопасности.