Дмитрий Костров, заместитель директора Центра систем кибербезопасности, ООО «Энвижн Специальные проекты», NVision Group
Мобильные устройства завоевывают все большее место в качестве главного устройства, с которым человек практически никогда не расстается. При этом уже общеизвестно, что смартфоны подвержены не простым заражениям «мини-вирусами», мягко крадущими персональные данные пользователя и/или отсылающими «дорогие» СМС на короткий номер контент-провайдера третьего уровня, а стали частью системы нападения. Компания Prolexic опубликовала отчет, согласно которому для осуществления DDoS-атак сегодня используются мобильные приложения. По представленным данным за IV квартал 2013 г., количество DDoS-атак увеличилось на 26% (по сравнению с предыдущим кварталом того же года). По мнению президента Prolexic Стюарта Шолли, популярность мобильных устройств и широкий выбор загружаемых приложений сегодня меняют правила игры, поскольку мобильные сети используют супер-прокси – заблокировать исходящие IP обычным способом невозможно, поскольку это заблокирует и естественный трафик.
С популяризацией высокоскоростного мобильного Интернета и «умных» мобильных терминалов мы стали свидетелями взрывного роста вредоносного программного обеспечения.
Для абонентов: воровство информации, прослушивание разговоров, отслеживание местонахождения и т. п.; потери активов (уничтожение данных); мошенничество; атаки на другие абонентские терминалы; распространение спама; шантаж, обман и т. д.
Для операторов мобильной связи: атаки на сетевые объекты, сами услуги мобильной связи и другие терминалы; «захват» значительных ресурсов сетей или услуг мобильной связи, что приводит к снижению качества и доступности связи; «захват» сетевых элементов и контроль над ними.
Внедрение вредоносного программного обеспечения приводит к худшим последствиям при использовании мобильного Интернета в сравнении с традиционным проводным доступом в Cеть, так как:
- мобильный Интернет – это растущий рынок с отстающим внедрением соответствующих механизмов безопасности;
- мобильные терминалы содержат информацию частного характера, возможно, и коммерческую тайну, которая очень привлекательна для злоумышленников;
- в сравнении с фиксированным (проводным) доступом в Интернет мобильные сети имеют меньшие ресурсы (например, атака типа flood быстрее выведет из строя ресурс сети);
- существует отличие бизнес-модели проводного доступа в Интернет от услуги сотовой связи, что приводит к иным юридическим последствиям («безлимитный доступ» и «пакет услуг передачи данных»);
- слабая защищенность операционных систем мобильных терминалов и загрузка программ из недоверенных хранилищ (магазинов) повышают уровень угроз;
- с учетом того, что мобильные терминалы часто имеют множество интерфейсов обмена данными (USB, SD-карты, Bluetooth и т. д.), они становятся дополнительным каналом утечки.
В управлении инфицированными терминалами можно выделить три типа ролей: оператор, абоненты и другие организации. Оператор мобильной связи играет ключевую роль, в рамках которой работа может быть разделена на три процесса: обнаружение, управление и обмен. Также в рамках данной области мы рассмотрим вредоносное программное обеспечение и сами базы данных.
Предлагается проанализировать отношения выделенных ролей: операторы должны обнаруживать и профилировать выявленные аномалии абонентских терминалов на стороне сети и, конечно, информировать абонентов об данных угрозах. Кроме того, операторы могут делиться информацией о выявленных вредоносах с другими организациями. Например, сейчас идет разработка фундамента обмена в рамках Ассоциации по противодействию мошенничеству при использовании высоких технологий. Цель – формирование подходов и стандартов по обмену информацией об инцидентах кибербезопасности, в том числе мошенничества (фрода) на сетях связи между различными отраслями.
Ассоциация – неформальная организация, в которую входят признанные в своих компаниях эксперты по информационной (кибер-) безопасности. Каждая организация может выделять для работы неограниченное количество экспертов, при этом один эксперт назначается «точкой входа» для работы между участниками. Направления работ: обмен опытом в области легального противодействия кибератакам как на саму компанию, так и на ее клиентов (абонентов); создание неофициальной системы быстрого информирования и реагирования на инциденты кибербезопасности; обмен опытом при реализации требований государственных органов в рамках их полномочий.
Вернемся к нашим процессам. В процессе поиска анализируются заголовки протоколов и другие необходимые данные (PH&CP – Protocol Header and Control Packet). Цель – собрать, проанализировать и выявить аномалии.
В процессе управления выявленные аномалии проверяются и срабатывают механизмы защиты, направленные на обеспечение безопасности самих операторов мобильной связи и их абонентов. Применяются специальные языки высокого уровня для описания объекта и информирования всех участвующих сторон. Здесь уже предлагаются меры по восстановлению абонентского терминала и информированию других организаций для обеспечения безопасности отрасли в целом.
Объектом в нашей модели являются само вредоносное программное обеспечение и база данных «знаний». Данная база должна быть максимально актуализирована, что дает возможность снижать общий уровень риска, как для самого оператора, так и для его абонентов.
В процессе обнаружения в рамках определенной мобильной сети сбор данных для анализа аномалий, показанный на рис. 2, может осуществляться из разных источников.
Обычно изучаются два источника данных: терминалы (какие услуги легально включены в АСР, CDR, IPDR, LOG) и PH&CP. Информация о PH&CP может быть получена через Gi-интерфейс GGSN или Gn-интерфейс SGSN).
Вредоносные коды и исполняемые файлы включают (но не ограничиваются этим):
- вредоносные коды веб-страниц;
- вредоносные исполняемые файлы, загруженные с помощью мобильных браузеров;
- вредоносные исполняемые файлы, загруженные с помощью вредоносного программного обеспечения.
Известны три способа отслеживания зараженного терминала: веб-серфинг и анализ сетевых ресурсов, применение honeypot/honeynet и изучение самого сетевого трафика.
Нас интересуют бот-сети. Ботнет – это компьютерная сеть, состоящая из некоторого количества хостов с запущенными ботами (автономным программным обеспечением). Чаще всего бот в составе ботнета является программой, скрыто устанавливаемой на устройство жертвы и позволяющей злоумышленнику выполнять некие действия с использованием ресурсов зараженного компьютера. Для нелегальной или неодобряемой деятельности обычно используются рассылки спама, перебор паролей на удаленной системе, атака на отказ в обслуживании. Сам бот должен сообщать о своем существовании в C&C (Command and Control) сервер, чтобы присоединиться к бот-сети. При этом он получает «инструкции» по работе (догружает обновления и/или недостающие части программы. Центром может быть и мобильный терминал, а «инструкции» могут направляться посредством Интернета, SMS- и MMS-сервисов.
Существуют разные политики обнаружения зараженных терминалов: попытки доступа к известному вредоносному центру; отправка терминалом бинарных SMS-сообщений большому количеству мобильных терминалов; рассылка спама с учетом произвольного географического распределения; резкое увеличение premium rate-вызовов или международных звонков и отправка большого количества сообщений. В общем, резкое изменение профиля поведения абонента.
Наиболее популярный и эффективный подход к анализу PH&CP – сигнатурное обнаружение.
Конечно же, применяется и статический анализ: данный подход используется для того, чтобы понять проблему на синтаксическом уровне (например, разбор подозрительных мобильных приложений путем «обратной инженерии»).
Часто динамический анализ используется для отслеживания подозрительных программ, в том числе в защищенных «песочницах».
После процесса отслеживания идет процесс управления: выходы процесса обнаружения анализируются и проверяются (автоматически или полуавтоматически), осуществляется процесс «исправления».
На рис. 3 отображен процесс интерактивных отношений между процессом обнаружения и другими структурами.
В зависимости от тяжести обнаруженной аномалии применяются следующие меры: дальнейший мониторинг, предупреждение и ограничение. Дальнейший мониторинг проводится в том случае, если выявленная аномалия не относится к низкому уровню и на ее изучение требуется больше времени. При аномалиях среднего уровня, при которых не надо прекращать доступ абонента к услугам, применяется предупреждение. Ограничение используется, когда необходимо срочно пресечь дальнейшее действие зараженного терминала, ограничить или полностью приостановить услугу.
Есть много инструментов для ограничения (предупреждения): «черный список», квот-ограничения, «пороги» и т. п. Механизмы, используемые для частичного ограничения, могут с помощью АСР отключать часть услуг (ММS или Интернет).
Способами уведомления абонентов об угрозе заражения терминала (или его заражении) являются:
- звонки и сообщения голосовой почты из центра обслуживания;
- посылка СМС\MMS;
- предупреждающие заставки.
Сокращения:
BOSS – Business and Operation Support System (система поддержки операционной и бизнес деятельности операторов связи)
C&C – Command and Control (центр контроля)
CDR – Call Detailed Records (подробная запись о вызове)
DDoS – Distributed Denial of Service (атака на отказ в обслуживании)
GGSN – Gateway GPRS Support Node (узел, входящий в состав GPRS Core Network и обеспечивающий маршрутизацию данных между GPRS Core network (GTP) и внешними IP-сетями)
GPRS – General Packet Radio Service («пакетная радиосвязь общего пользования» – надстройка над технологией мобильной связи GSM, осуществляющая пакетную передачу данных)
MMS – Multimedia Message Service (служба мультимедийных сообщений)
MMSC – Multimedia Message Service Centre (центр службы мультимедийных сообщений)
PH&CP – Protocol Header and Control Packet (контроль пакетов и заголовков)
SGSN – Serving GPRS Support Node (узел поддержки GPRS
SMS – Short Message Service (служба коротких сообщений)
SMSC – Short Message Service Centre (центры службы коротких сообщений)
VAS – Value-Added Service (услуги с добавленной стоимостью)
WAP Wireless Application Protocol (беспроводной протокол передачи данных)