От чемоданчиков с поддельными базовыми станциями до эксплоитов HackingTeam: с какими угрозами сегодня приходится сталкиваться пользователям и корпорациям и как устроены серьезные защитные технологии.

На конференции CPX 2016 нам удалось пообщаться с Михаилом Шауловым, который руководит подразделением мобильных решений Check Point. Шаулов — сооснователь компании Lacoon Mobile Security, которая перешла под крыло Check Point в 2015 году. Вместе с ней была приобретена и продвинутая технология предотвращения угроз, известная теперь как Check Point Mobile Threat Prevention. Несмотря на русскую фамилию, Михаил не говорит по-русски: его родители эмигрировали из Украины, когда ему было три года. Шаулов работает в сфере защиты мобильных устройств с 2001 года и неоднократно выступал на Black Hat.

Первое интервью с CPX 2016 — с руководителем подразделения Check Point Incident Response Дэном Уайли — ты найдешь в разделе «CoverStory».

CPX 2016

В апреле 2016 года компания Check Point провела конференцию CPX 2016, на которой собрала около 4000 участников из 46 стран, чтобы обсудить проблемы в области кибербезопасности и анонсировать новую линейку своих продуктов. Компания Check Point Software Technologies была основана в 1993 году Гилом Шведом и предоставляла решения для защиты только зарождавшихся в то время компьютерных сетей, в том числе один из первых аппаратных файрволов. Сегодня Check Point является одним из лидеров в своей области и предлагает широкий выбор программных и аппаратных решений для корпоративных клиентов.


— Я бы хотел поговорить о векторах атак. Не мог бы ты вкратце пройтись по разным направлениям и рассказать о том, как решения Check Point защищают от них?

— С точки зрения векторов атак ситуация с мобильными устройствами проста. Мы видим, что самый распространенный вектор сегодня — это приложения. В случае с Android это хорошо известная проблема: люди ставят приложения на телефон, приложения могут содержать малварь. Если человек поставил приложение с малварью, хакеры могут проникнуть в его телефон, похитить данные и даже воспользоваться сенсорами устройства — к примеру, микрофоном, чтобы незаметно записывать разговоры. Уже примерно год, как эта проблема начала встречаться и у Apple. За последние полгода мы видели атаки на устройства Apple с использованием приложений.

— Мы говорим об устройствах без джейлбрейка, верно?

— Верно. Проблема с джейлбрейком известна уже долгое время. Для каждой новой версии iOS делают джейлбрейк — у нас даже график был, сколько времени это занимает со дня релиза (обычно от 30 до 180). Но дело не в джейлбрейке. За последние полгода мы видели много атак, в рамках которых инфицируют айфоны без него. Возможности две — через механизм сертификации, который в Apple предоставляют компаниям. С некоторых пор в Apple разрешили использовать его и частным разработчикам — механизм тот же: ты получаешь персональный сертификат, позволяющий загрузить в телефон приложение в обход проверки, через которую пропускают программы при публикации в App Store. Это стало большой проблемой. А еще мы встречали уже два вида атак, в рамках которых малварь удалось загрузить в App Store. XcodeGhost — одна из них, и месяц назад была еще одна: хакерам удалось разместить наполовину малварь, наполовину механизм для установки пиратских программ. Интересно, что техники используются очень похожие на те, что применяются для проникновения в Google Play. В общем, приложения — это самый распространенный способ проникновения на данный момент, и в этом есть смысл: мобильные устройства сейчас примерно на том же этапе развития, что и ПК в двухтысячном году. Тогда никто не делал хитроумных эксплоитов — тебе просто присылали исполняемый файл и говорили: «Пожалуйста, открой его».

— То есть много неопытных людей стали использовать технологии?

— Да, барьер социальной инженерии на мобильных устройствах стал таким низким, что хакеры не утруждают себя изобретением чего-то сложного. Они могут просто взять приложение и сделать с его помощью все что хотят.

— Но в то же время нынешние телефоны — это самые защищенные компьютеры за всю историю.

— Это правда. И iOS, и Android, и Windows Phone — наиболее защищенные операционные системы за все время, поэтому проникнуть в них не то чтобы суперлегко. Но в конечном итоге самое слабое звено — это не компьютер или операционная система, а человек. До тех пор, пока можно обмануть человека и убедить его что-нибудь установить, будут и успешные атаки.

— А с другой стороны, телефоны — идеальные троянские кони: это компьютеры, которые могут исполнять программы, они всегда с собой, в них куча личной информации, их подключают к самым разным беспроводным сетям, а потом приносят на работу и подключают к корпоративной сети.

— Ты упомянул сразу две важные вещи. Второй вектор после приложений — это сети. Когда ты подключаешься к вайфаю в кафе или в аэропорту, эта сеть может оказаться скомпрометированной и хакер может провести атаку типа man in the middle. Это, ясное дело, гораздо более нацеленная атака, потому что нужно находиться в непосредственной близости от жертвы. И так сложнее устроить массовое заражение. Например, в случае с приложением бывает поражено по 4–5 миллионов устройств за одну атаку. Ну и помимо Wi-Fi, это можно делать и при помощи сотовой сети. Можно прийти с чемоданчиком, в котором находится небольшая базовая станция, и перехватывать трафик.

— Случается ли такое в реальной жизни?

— О да. Правительства постоянно используют этот метод для шпионажа. Да и в промышленном шпионаже он тоже вовсю применяется. В этой области, кстати, недавно произошло несколько интересных вещей. В США удалось составить карту мест, где ФБР или полиция установили свои сотовые вышки. В Великобритании журналисты VICE News взяли телефон с приспособлением, которое позволило им искать поддельные базовые станции. За полчаса езды по Лондону они обнаружили кучу полицейских базовых станций, предназначенных для наблюдения за протестующими. А потом поехали к парламенту и нашли такие станции и там.

— И это вышки, установленные постоянно?

— Могут быть и постоянные. Десять лет назад такое оборудование было с половину стола и, чтобы сделать его передвижным, нужно было устанавливать внутрь машины. Сейчас такие устройства по размерам сравнимы с айпадом. Можно спрятать в одежде и ходить с ним.

— Как происходит атака с использованием подобного оборудования?

Продолжение статьи доступно только подписчикам

Вариант 1. Оформи подписку на «Хакер», чтобы читать все статьи на сайте

Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта, включая эту статью. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов. Подробнее о подписке

Вариант 2. Купи одну статью

Заинтересовала статья, но нет возможности оплатить подписку? Тогда этот вариант для тебя! Обрати внимание: этот способ покупки доступен только для статей, опубликованных более двух месяцев назад.


1 комментарий

Подпишитесь на ][, чтобы участвовать в обсуждении

Обсуждение этой статьи доступно только нашим подписчикам. Вы можете войти в свой аккаунт или зарегистрироваться и оплатить подписку, чтобы свободно участвовать в обсуждении.

Check Also

Скрытая сила пробела. Эксплуатируем критическую уязвимость в Apache Tomcat

В этой статье мы поговорим о баге в Apache Tomcat, популярнейшем веб-сервере для сайтов на…