ProHoster > Блог > Administracija > Mobilni antivirusi ne rade

Mobilni antivirusi ne rade

Mobilni antivirusi ne rade
TL; DR ako vaši korporativni mobilni uređaji zahtijevaju antivirus, onda sve radite pogrešno i antivirus vam neće pomoći.

Ovaj post je rezultat burne rasprave o tome da li je antivirus potreban na korporativnom mobilnom telefonu, u kojim slučajevima radi, a u kojim je beskoristan. U članku se ispituju modeli prijetnji od kojih bi, u teoriji, antivirus trebao štititi.

Prodavci antivirusa često uspijevaju uvjeriti korporativne klijente da će antivirus uvelike poboljšati njihovu sigurnost, ali u većini slučajeva to je iluzorna zaštita, koja samo smanjuje budnost i korisnika i administratora.

Prava korporativna infrastruktura

Kada kompanija ima desetine ili čak hiljade zaposlenih, nemoguće je ručno konfigurisati svaki korisnički uređaj. Postavke se mogu mijenjati svaki dan, dolaze novi zaposleni, njihovi mobilni telefoni i laptopovi se pokvare ili izgube. Kao rezultat, sav rad administratora bi se sastojao od svakodnevnog postavljanja novih postavki na uređaje zaposlenih.

Ovaj problem je počeo da se rešava na desktop računarima davno. U Windows svijetu, takvo upravljanje se obično događa pomoću Active Directory-a, centraliziranih sistema provjere autentičnosti (Single Sign In) itd. Ali sada su svi zaposleni na svoje računare dodali pametne telefone na kojima se odvija značajan dio radnih procesa i pohranjuju važni podaci. Microsoft je pokušao da integriše svoje Windows telefone u jedinstveni ekosistem sa Windowsom, ali ova ideja je umrla zvaničnom smrću Windows Phone-a. Stoga, u korporativnom okruženju, u svakom slučaju, morate birati između Androida i iOS-a.

Sada u korporativnom okruženju, koncept UEM (Unified endpoint management) je u modi za upravljanje uređajima zaposlenih. Ovo je centralizovani sistem upravljanja za mobilne uređaje i desktop računare.
Mobilni antivirusi ne rade
Centralizirano upravljanje korisničkim uređajima (Unified endpoint management)

Administrator UEM sistema može postaviti različite politike za korisničke uređaje. Na primjer, omogućavanje korisniku manje ili više kontrole nad uređajem, instaliranje aplikacija iz izvora treće strane, itd.

Šta UEM može učiniti:

Upravljajte svim postavkama — administrator može u potpunosti zabraniti korisniku promjenu postavki na uređaju i promijeniti ih na daljinu.

Kontrolni softver na uređaju — omogući mogućnost instaliranja programa na uređaj i automatskog instaliranja programa bez znanja korisnika. Administrator također može blokirati ili dozvoliti instalaciju programa iz trgovine aplikacija ili iz nepouzdanih izvora (iz APK datoteka u slučaju Androida).

Daljinsko blokiranje — ako je telefon izgubljen, administrator može blokirati uređaj ili izbrisati podatke. Neki sistemi vam takođe omogućavaju da podesite automatsko brisanje podataka ako telefon nije kontaktirao server duže od N sati, kako bi se eliminisala mogućnost oflajn pokušaja hakovanja kada su napadači uspeli da uklone SIM karticu pre nego što je komanda za brisanje podataka poslata sa servera .

Prikupite statistiku — pratite aktivnost korisnika, vrijeme korištenja aplikacije, lokaciju, nivo baterije itd.

Šta su UEM-ovi?

Postoje dva fundamentalno različita pristupa za centralizovano upravljanje pametnim telefonima zaposlenih: u jednom slučaju kompanija kupuje uređaje od jednog proizvođača za zaposlene i obično bira sistem upravljanja od istog dobavljača. U drugom slučaju zaposleni koriste svoje lične uređaje za rad i tu počinje zoološki vrt operativnih sistema, verzija i platformi.

BYOD (Donesite svoj uređaj) je koncept u kojem zaposleni koriste svoje lične uređaje i račune za rad. Neki centralizovani sistemi upravljanja vam omogućavaju da dodate drugi radni nalog i potpuno odvojite svoje podatke na lične i poslovne.

Mobilni antivirusi ne rade

Apple Business Manager - Appleov izvorni centralizirani sistem upravljanja. Može upravljati samo Apple uređajima, računarima sa macOS i iOS telefonima. Podržava BYOD, stvarajući drugo izolovano okruženje sa drugim iCloud nalogom.

Mobilni antivirusi ne rade

Google Cloud Endpoint Management — omogućava vam upravljanje telefonima na Android i Apple iOS, kao i desktop računarima na Windows 10. Najavljena je podrška za BYOD.

Mobilni antivirusi ne rade
Samsung Knox UEM - Podržava samo Samsung mobilne uređaje. U tom slučaju možete odmah koristiti samo Samsung Mobile Management.

U stvari, postoji mnogo više UEM provajdera, ali nećemo ih sve analizirati u ovom članku. Glavna stvar koju treba imati na umu je da takvi sistemi već postoje i omogućavaju administratoru da konfiguriše korisničke uređaje adekvatno postojećem modelu prijetnji.

Model pretnje

Prije nego što odaberemo sredstva zaštite, moramo razumjeti od čega se štitimo, što se najgore može dogoditi u našem konkretnom slučaju. Relativno govoreći: naše tijelo je lako ranjivo na metak, pa čak i na viljušku i ekser, ali ne oblačimo pancir pri izlasku iz kuće. Dakle, naš model prijetnje ne uključuje rizik od upucavanja na putu do posla, iako statistički to nije tako nevjerovatno. Štoviše, u određenim uvjetima nošenje pancira je potpuno opravdano.

Modeli prijetnji se razlikuju od kompanije do kompanije. Uzmimo, na primjer, pametni telefon kurira koji je na putu da dostavi paket klijentu. Njegov pametni telefon sadrži samo adresu trenutne isporuke i rutu na mapi. Najgora stvar koja se može desiti njegovim podacima je curenje adresa za dostavu paketa.

A evo i računovođe pametnog telefona. Ima pristup korporativnoj mreži preko VPN-a, ima instaliranu korporativnu klijent-banku aplikaciju i pohranjuje dokumente sa vrijednim informacijama. Očigledno je da se vrijednost podataka na ova dva uređaja značajno razlikuje i treba ih različito štititi.

Hoće li nas antivirus spasiti?

Nažalost, iza marketinških slogana gubi se pravi smisao zadataka koje antivirusni program obavlja na mobilnom uređaju. Pokušajmo detaljno razumjeti šta antivirusni program radi na telefonu.

Sigurnosna revizija

Većina modernih mobilnih antivirusa vrši reviziju sigurnosnih postavki na uređaju. Ova revizija se ponekad naziva "provjera reputacije uređaja". Antivirusni uređaji smatraju uređaj sigurnim ako su ispunjena četiri uslova:

  • Uređaj nije hakovan (root, jailbreak).
  • Uređaj ima konfiguriranu lozinku.
  • USB otklanjanje grešaka nije omogućeno na uređaju.
  • Instalacija aplikacija iz nepouzdanih izvora (bočno učitavanje) nije dozvoljena na uređaju.

Ako se, kao rezultat skeniranja, utvrdi da uređaj nije siguran, antivirus će obavijestiti vlasnika i ponuditi da onemogući "opasnu" funkcionalnost ili da vrati tvornički firmver ako postoje znakovi root ili jailbreak.

Prema korporativnim običajima, nije dovoljno samo obavijestiti korisnika. Nesigurne konfiguracije moraju biti eliminirane. Da biste to učinili, morate konfigurirati sigurnosne politike na mobilnim uređajima koji koriste UEM sistem. A ako se otkrije root / jailbreak, morate brzo ukloniti korporativne podatke s uređaja i blokirati njegov pristup korporativnoj mreži. A to je moguće i sa UEM-om. I tek nakon ovih postupaka mobilni uređaj se može smatrati sigurnim.

Pretražite i uklonite viruse

Suprotno uvriježenom mišljenju da za iOS ne postoje virusi, to nije istina. Još uvijek postoje uobičajeni eksploati u divljini za starije verzije iOS-a zaraziti uređaje kroz iskorištavanje ranjivosti pretraživača. Istovremeno, zbog arhitekture iOS-a, razvoj antivirusa za ovu platformu je nemoguć. Glavni razlog je taj što aplikacije ne mogu pristupiti listi instaliranih aplikacija i imaju mnoga ograničenja prilikom pristupa datotekama. Samo UEM može dobiti listu instaliranih iOS aplikacija, ali čak ni UEM ne može pristupiti datotekama.

Sa Androidom je situacija drugačija. Aplikacije mogu dobiti informacije o aplikacijama instaliranim na uređaju. Oni čak mogu pristupiti svojim distribucijama (na primjer, Apk Extractor i njegovi analozi). Android aplikacije također imaju mogućnost pristupa datotekama (na primjer, Total Commander, itd.). Android aplikacije se mogu dekompilirati.

S takvim mogućnostima, sljedeći antivirusni algoritam izgleda logično:

  • Provjera aplikacija
  • Dobijte listu instaliranih aplikacija i kontrolnih suma (CS) njihovih distribucija.
  • Provjerite aplikacije i njihov CS prvo u lokalnoj, a zatim u globalnoj bazi podataka.
  • Ako je aplikacija nepoznata, prenesite njenu distribuciju u globalnu bazu podataka radi analize i dekompilacije.

  • Provjera datoteka, traženje potpisa virusa
  • Provjerite CS datoteke u lokalnoj, a zatim u globalnoj bazi podataka.
  • Provjerite datoteke na nesiguran sadržaj (skripte, eksploatacije, itd.) koristeći lokalnu, a zatim globalnu bazu podataka.
  • Ako se otkrije zlonamjerni softver, obavijestite korisnika i/ili blokirajte korisnikov pristup zlonamjernom softveru i/ili proslijedite informacije UEM-u. Neophodno je prenijeti informacije u UEM jer antivirus ne može samostalno ukloniti malver sa uređaja.

Najveća briga je mogućnost prijenosa distribucije softvera sa uređaja na vanjski server. Bez toga je nemoguće provesti „analizu ponašanja“ koju tvrde proizvođači antivirusnih programa, jer Na uređaju ne možete pokrenuti aplikaciju u zasebnom "sandboxu" ili je dekompajlirati (koliko je efikasna kada koristite zamagljivanje je zasebno složeno pitanje). S druge strane, korporativne aplikacije mogu biti instalirane na mobilnim uređajima zaposlenih koji su nepoznati antivirusu jer nisu na Google Play-u. Ove mobilne aplikacije mogu sadržavati osjetljive podatke koji mogu uzrokovati da ove aplikacije ne budu navedene u javnoj trgovini. Prenošenje ovakvih distribucija proizvođaču antivirusnog programa čini se netačnim sa sigurnosne tačke gledišta. Ima smisla dodati ih u izuzetke, ali ja još ne znam za postojanje takvog mehanizma.

Malware bez root privilegija može

1. Nacrtajte svoj nevidljivi prozor na vrhu aplikacije ili implementirajte vlastitu tastaturu za kopiranje podataka koje je korisnik unio - parametre računa, bankovne kartice itd. Nedavni primjer je ranjivost. CVE-2020-0096, uz pomoć kojih je moguće zamijeniti aktivni ekran aplikacije i na taj način dobiti pristup podacima koje unese korisnik. Za korisnika to znači mogućnost krađe Google naloga sa pristupom rezervnoj kopiji uređaja i podacima o bankovnoj kartici. Za organizaciju je, pak, važno da ne izgubi svoje podatke. Ako su podaci u privatnoj memoriji aplikacije i nisu sadržani u Google sigurnosnoj kopiji, zlonamjerni softver im neće moći pristupiti.

2. Pristup podacima u javnim imenicima – preuzimanja, dokumenti, galerija. Ne preporučuje se pohranjivanje informacija od vrijednosti za kompaniju u ove direktorije jer im svaka aplikacija može pristupiti. I sam korisnik će uvijek moći podijeliti povjerljivi dokument koristeći bilo koju dostupnu aplikaciju.

3. Nervirajte korisnika reklamom, rudarite bitcoine, budite dio botneta itd.. Ovo može imati negativan utjecaj na performanse korisnika i/ili uređaja, ali neće predstavljati prijetnju korporativnim podacima.

Zlonamjerni softver s root privilegijama potencijalno može učiniti sve. Oni su rijetki jer je hakiranje modernih Android uređaja pomoću aplikacije gotovo nemoguće. Posljednji put ovakva ranjivost je otkrivena 2016. godine. Ovo je senzacionalna Prljava KRAVA, kojoj je dat broj CVE-2016-5195. Ovdje je ključno da ako klijent otkrije znakove UEM kompromisa, klijent će izbrisati sve korporativne informacije sa uređaja, tako da je vjerovatnoća uspješne krađe podataka korištenjem takvog zlonamjernog softvera u korporativnom svijetu mala.

Zlonamjerne datoteke mogu oštetiti i mobilni uređaj i korporativne sisteme kojima ima pristup. Pogledajmo ove scenarije detaljnije.

Oštećenje mobilnog uređaja može nastati, na primjer, ako na njega preuzmete sliku koja, kada se otvori ili kada pokušate instalirati pozadinu, pretvara uređaj u „ciglu“ ili ga ponovo pokreće. Ovo će najvjerovatnije naštetiti uređaju ili korisniku, ali neće utjecati na privatnost podataka. Iako postoje izuzeci.

Nedavno se raspravljalo o ranjivosti CVE-2020-8899. Navodno se može koristiti za pristup konzoli Samsung mobilnih uređaja koristeći zaraženu sliku poslanu putem e-pošte, instant messenger-a ili MMS-a. Iako pristup konzoli znači mogućnost pristupa samo podacima u javnim imenicima gdje osjetljive informacije ne bi trebale biti, privatnost ličnih podataka korisnika je ugrožena i to je uplašilo korisnike. Iako je u stvari moguće napasti uređaje samo koristeći MMS. A za uspješan napad potrebno je poslati od 75 do 450 (!) poruka. Antivirus, nažalost, tu neće pomoći, jer nema pristup dnevniku poruka. Za zaštitu od ovoga postoje samo dvije opcije. Ažurirajte OS ili blokirajte MMS. Na prvu opciju možete dugo čekati i ne čekati, jer... Proizvođači uređaja ne objavljuju ažuriranja za sve uređaje. Onemogućavanje prijema MMS-a u ovom slučaju je mnogo lakše.

Datoteke prenesene s mobilnih uređaja mogu uzrokovati štetu korporativnim sistemima. Na primjer, postoji zaražena datoteka na mobilnom uređaju koja ne može oštetiti uređaj, ali može zaraziti Windows računar. Korisnik šalje takvu datoteku e-poštom svom kolegi. On ga otvara na računaru i na taj način ga može zaraziti. Ali najmanje dva antivirusa stoje na putu ovom vektoru napada – jedan na serveru e-pošte, drugi na računaru primaoca. Dodavanje trećeg antivirusnog programa u ovaj lanac na mobilnom uređaju izgleda potpuno paranoično.

Kao što vidite, najveća prijetnja u korporativnom digitalnom svijetu je zlonamjerni softver bez root privilegija. Odakle mogu doći na mobilnom uređaju?

Najčešće se instaliraju pomoću bočnog učitavanja, adb ili trgovina trećih strana, što bi trebalo zabraniti na mobilnim uređajima s pristupom korporativnoj mreži. Postoje dvije opcije da zlonamjerni softver stigne: sa Google Playa ili sa UEM-a.

Prije objavljivanja na Google Play, sve aplikacije prolaze obaveznu verifikaciju. Ali za aplikacije s malim brojem instalacija, provjere se najčešće izvode bez ljudske intervencije, samo u automatskom načinu rada. Stoga, ponekad zlonamjerni softver uđe u Google Play, ali ipak ne često. Antivirus čije se baze podataka ažuriraju na vrijeme moći će otkriti aplikacije sa zlonamjernim softverom na uređaju prije Google Play Protecta, koji i dalje zaostaje u brzini ažuriranja antivirusnih baza podataka.

UEM može instalirati bilo koju aplikaciju na mobilni uređaj, uklj. malware, tako da se svaka aplikacija mora prvo skenirati. Aplikacije se mogu provjeriti kako tokom razvoja pomoću alata za statičku i dinamičku analizu, tako i neposredno prije njihove distribucije korištenjem specijaliziranih sandboxova i/ili antivirusnih rješenja. Važno je da se aplikacija jednom provjerava prije nego što se otpremi na UEM. Stoga u ovom slučaju antivirusni program na mobilnom uređaju nije potreban.

Zaštita mreže

Ovisno o proizvođaču antivirusnog programa, vaša mrežna zaštita može ponuditi jednu ili više od sljedećih funkcija.

URL filtriranje se koristi za:

  • Blokiranje saobraćaja po kategorijama resursa. Na primjer, zabraniti gledanje vijesti ili drugog ne-korporativnog sadržaja prije ručka, kada je zaposlenik najefikasniji. U praksi, blokiranje najčešće funkcionira s mnogim ograničenjima - proizvođači antivirusnih programa ne uspijevaju uvijek pravovremeno ažurirati direktorije kategorija resursa, uzimajući u obzir prisustvo mnogih „ogledala“. Osim toga, tu su anonimizatori i Opera VPN, koji najčešće nisu blokirani.
  • Zaštita od krađe identiteta ili lažiranja ciljnih hostova. Da biste to učinili, URL-ovi kojima uređaj pristupa prvo se provjeravaju u antivirusnoj bazi podataka. Linkovi, kao i resursi do kojih vode (uključujući moguća višestruka preusmjeravanja), provjeravaju se u bazi podataka poznatih phishing lokacija. Ime domene, certifikat i IP adresa se također verificiraju između mobilnog uređaja i pouzdanog servera. Ako klijent i server primaju različite podatke, onda je to ili MITM („čovjek u sredini“), ili blokiranje prometa pomoću istog antivirusa ili raznih vrsta proxyja i web filtera na mreži na koju je mobilni uređaj povezan. Teško je sa sigurnošću reći da postoji neko u sredini.

Da bi dobio pristup mobilnom prometu, antivirus ili gradi VPN ili koristi mogućnosti Accessibility API-ja (API za aplikacije namijenjene osobama s invaliditetom). Istovremeni rad više VPN-ova na mobilnom uređaju je nemoguć, tako da zaštita mreže od antivirusa koji grade vlastiti VPN nije primjenjiva u korporativnom svijetu. VPN iz antivirusa jednostavno neće raditi zajedno s korporativnim VPN-om, koji se koristi za pristup korporativnoj mreži.

Davanje antivirusnog pristupa API-ju pristupačnosti predstavlja još jednu opasnost. Pristup API-ju pristupačnosti u suštini znači dozvolu da se učini bilo šta za korisnika - vidi šta korisnik vidi, izvršava radnje s aplikacijama umjesto korisnika, itd. S obzirom da korisnik mora eksplicitno dati antivirusu takav pristup, on će to najvjerovatnije odbiti. Ili će, ako bude prisiljen, sebi kupiti drugi telefon bez antivirusa.

Firewall

Pod ovim opštim imenom postoje tri funkcije:

  • Prikupljanje statistike o korištenju mreže, podijeljeno po aplikaciji i vrsti mreže (Wi-Fi, mobilni operater). Većina proizvođača Android uređaja pruža ove informacije u aplikaciji Postavke. Umnožavanje u mobilnom antivirusnom sučelju izgleda suvišno. Zbirne informacije o svim uređajima mogu biti od interesa. Uspješno ga prikupljaju i analiziraju UEM sistemi.
  • Ograničavanje mobilnog saobraćaja – postavljanje ograničenja, obavještavanje kada je dostignuto. Za većinu korisnika Android uređaja ove funkcije su dostupne u aplikaciji Postavke. Centralizirano postavljanje ograničenja je zadatak UEM-a, a ne antivirusa.
  • Zapravo, zaštitni zid. Ili, drugim riječima, blokiranje pristupa određenim IP adresama i portovima. Uzimajući u obzir DDNS na svim popularnim resursima i potrebu da se za te svrhe omogući VPN, koji, kako je gore napisano, ne može raditi u sprezi s glavnim VPN-om, ova funkcija se čini neprimjenjivom u korporativnoj praksi.

Wi-Fi provjera punomoći

Mobilni antivirusi mogu procijeniti sigurnost Wi-Fi mreža na koje se mobilni uređaj povezuje. Može se pretpostaviti da se provjerava prisutnost i snaga enkripcije. Istovremeno, svi moderni programi koriste enkripciju za prijenos osjetljivih podataka. Stoga, ako je neki program ranjiv na nivou linka, onda je opasno koristiti ga putem bilo kojeg internetskog kanala, a ne samo putem javnog Wi-Fi-ja.
Stoga, javni Wi-Fi, uključujući i bez enkripcije, nije ništa opasniji i ništa manje siguran od bilo kojeg drugog nepouzdanog kanala za prijenos podataka bez enkripcije.

Spam Protection

Zaštita se, po pravilu, svodi na filtriranje dolaznih poziva prema listi koju odredi korisnik, ili prema bazi podataka poznatih spamera koji beskrajno gnjave osiguranjem, pozajmicama i pozivima u pozorište. Iako se ne javljaju tokom samoizolacije, uskoro će ponovo početi. Samo pozivi podliježu filtriranju. Poruke na trenutnim Android uređajima nisu filtrirane. S obzirom na to da spameri redovno mijenjaju svoje brojeve i nemogućnost zaštite tekstualnih kanala (SMS, instant messengeri), funkcionalnost je više marketinške nego praktične prirode.

Zaštita od krađe

Izvođenje daljinskih radnji s mobilnim uređajem u slučaju gubitka ili krađe. Alternativa uslugama Find My iPhone i Find My Device od Apple-a i Google-a. Za razliku od svojih analoga, usluge proizvođača antivirusnih programa ne mogu blokirati uređaj ako ga je napadač uspio vratiti na tvorničke postavke. Ali ako se to još nije dogodilo, s uređajem možete daljinski učiniti sljedeće:

  • Blokiraj. Zaštita od prostodušnog lopova, jer se to lako može učiniti vraćanjem uređaja na tvorničke postavke putem oporavka.
  • Saznajte koordinate uređaja. Korisno kada je uređaj nedavno izgubljen.
  • Uključite glasan bip koji će vam pomoći da pronađete svoj uređaj ako je u nečujnom načinu rada.
  • Vratite uređaj na tvorničke postavke. Ima smisla kada je korisnik prepoznao uređaj kao nepovratno izgubljen, ali ne želi da se podaci pohranjeni na njemu otkriju.
  • Da napravim fotografiju. Fotografirajte napadača ako drži telefon u rukama. Najsumnjivija funkcionalnost je da je vjerovatnoća da će se napadač diviti telefonu pri dobrom osvjetljenju mala. Ali prisutnost na uređaju aplikacije koja može tiho kontrolirati kameru pametnog telefona, snimati fotografije i slati ih na njegov server izaziva razumnu zabrinutost.

Daljinsko izvršavanje naredbi je osnovno u svakom UEM sistemu. Jedino što im nedostaje je daljinsko fotografisanje. Ovo je siguran način da navedete korisnike da nakon završetka radnog dana izvade baterije iz svojih telefona i stave ih u Faraday torbu.

Funkcije protiv krađe u mobilnim antivirusima dostupne su samo za Android. Za iOS, samo UEM može izvršiti takve radnje. Na iOS uređaju može postojati samo jedan UEM - ovo je arhitektonska karakteristika iOS-a.

nalazi

  1. Situacija u kojoj korisnik može instalirati zlonamjerni softver na telefon NIJE PRIHVATLJIVA.
  2. Ispravno konfigurisan UEM na korporativnom uređaju eliminiše potrebu za antivirusom.
  3. Ako se 0-dnevne ranjivosti u operativnom sistemu iskoriste, antivirus je beskorisan. To može samo ukazati administratoru da je uređaj ranjiv.
  4. Antivirus ne može utvrditi da li se ranjivost iskorištava. Kao i izdavanje ažuriranja za uređaj za koji proizvođač više ne objavljuje sigurnosna ažuriranja. Najviše godina ili dvije.
  5. Ako zanemarimo zahtjeve regulatora i marketinga, onda su korporativni mobilni antivirusi potrebni samo na Android uređajima, gdje korisnici imaju pristup Google Playu i instalaciju programa iz izvora trećih strana. U drugim slučajevima, efikasnost upotrebe antivirusa nije ništa više od placeba.

Mobilni antivirusi ne rade

izvor: www.habr.com

Dodajte komentar