1. ЧЕМЁРКИН ЮРИЙ, HAKIN9 MAGAZINE
INFOSECURITY RUSSIA 2011
БЕЗОПАСНОСТЬ BLACKBERRY
РЕШЕНИЙ:
УЯЗВИМОСТИ НА СТЫКЕ ТЕХНОЛОГИЙ
2. КРАТКО О ДОКЛАДЧИКЕ
• Специалист в области
• информационной безопасности
• мобильных платформ
• BlackBerry, Android, Windows Mobile
• неклассической криминалистики
• Reverse-разработчик
• Assembler, C++, C#, Delphi, Java
• риск-менеджмента
• Представитель HAKIN9 MAGAZINE
• Google me: «Yury Chemerkin»
3. КРАТКО О HAKIN9 MAGAZINE
• HAKIN9 MAGAZINE
• Месячное издание
• Hakin9
• Hakin9 Extra
• Hakin9 Exploiting Software
• Область – Информационная Безопасность
• Издается на четырёх языках
• Издательство - Software Press Sp.z.o.o
• 6 лет истории успеха в области ИБ
• Google: «http://hakin9.org/»
4. РЕШЕНИЯ В ОБЛАСТИ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ
• Наличие проектной документации
• Архитектурная документация
• Технологическая документация
• Функциональная документация
• Концептуальная документация
• Политики ИБ
• Регламенты ИБ
5. РЕШЕНИЯ В ОБЛАСТИ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ
• Проектная документация VS Патенты
• Документация VS Потеря доли рынка
• Документация VS Рост атак на продукт
• Документация VS Маркетинг
• Документация VS Отсутствие решения
• И т.д.
6. BLACKBERRY
• Классический пример и стандарт
защищённой мобильной платформы
• Наличие сопутствующей документации
• Базируется на принципах информационной
безопасности
8. BLACKBERRY VS ОСТАЛЬНЫХ
• BlackBerry – проектировалась как защищённая
мобильная платформа
• iOS – проектировалась как расширение окружения
продуктов на базе MacOS
• Android – проектировалась как платформа для
коммуникаторов, планшетов, проигрывателей,
наручных часов на ядре Linux
• Windows – проектировалась как расширение
настольных решений для корпоративных клиентов
9. СИНГУЛЯРНОСТЬ
• Точка, в которой математическая функция
стремится к бесконечности или имеет какие-
либо иные нерегулярности поведения
(Математическое определение)
• Предполагаемый короткий период
чрезвычайно быстрого технологического
прогресса (Техническое определение)
10. СИНГУЛЯРНОСТЬ И BLACKBERRY
• Поддержка Adobe Flash
• Поддержка Closed-Native Java Machine
• Поддержка Dalvik Java Machine
• Поддержка QNX SDK
• Покрытие мобильных платформ частичными BB-
решениями
• BlackBerry Messenger
• Pin-To-Pin
• Email
29. ПРЕДЫДУЩИЕ РАБОТЫ ПО ОЦЕНКЕ
ЗАЩИЩЁННОСТИ BLACKBERRY
• Praetorian Global
• DEFCON 14, 2006
• FX of Phenoelit
• BLACKHAT, 2006
• Symantec
• 2009
30. PRAETORIAN GLOBAL
• BlackBerry Attack ToolKit – инструмент, позволяющий
проводить атаку на BlackBerry-устройства
• BlackBerry Proxy – вредоносный модуль, который
может быть внедрён посредством предыдущего
модуля и осуществляет проксирование трафика,
создавая скрытый канал.
• Успешно обходит корпоративный IDS
• Трафик зашифрован обусловлено
инфраструктурой BES
31. FX OF PHENOELIT
• Комплексное исследование инфраструктуры
BlackBerry
• Поиск уязвимых точек для проведения атак
• RIM-ключи
• BES IT POLICY + SQL
• Сетевые пакеты
• BES Attachment Service
32. SYMANTEC
• Аналитический отчет
• Построение вредоносного кода на основе Java API
• Разработка решений по защите на основе BES IT
Policy
33. РЕЗУЛЬТАТЫ
• Praetorian Global
• Proof-Of-Concept
• Уязвимые места не защищены
• FX of Phenoelit
• Требует дополнительного изучения
• Расхождение в результатах
• Symantec
• Неэффективное применение BES IT Policy
34. УЛУЧШЕНИЕ ПРЕДЫДУЩИХ РАБОТ
• Разработка эффективных политик для ряда угроз
• Улучшение или создание новых Proof-Of-Concept
• Расширение функционала
• Эффективность сокрытия
• Введение в заблуждение пользователя
• Ряд материалов доступен
• HAKIN9 Magazine
35. MESSAGE MISLEADING
• Область покрытия по типу
• Email
• Pin-To-Pin
• Область покрытия по виду
• Все типы сообщений (входящие, исходящие)
• Все типы статусов сообщений
• Цель
• Провокация на запуск вредоносного кода
• Затруднение криминалистического расследования
36. MESSAGE MISLEADING
• Аккаунт
• Поле «От кого»
• Поле «Кому»
• Тема сообщения
• Дата сообщения
• Тело сообщения
• Вложение
• Статус сообщения
• Прочитано, отправлено с ошибкой и тп
37. MESSAGE MISLEADING
• Аккаунт
• Поле «От кого»
• Поле «Кому»
• Тема сообщения
• Дата сообщения
• Тело сообщения
• Вложение
• Статус сообщения
• Прочитано, отправлено с ошибкой и тп
40. ЭМУЛЯЦИЯ КЛАВИШ
• Покрывает виртуальную клавиатуру
• Покрывает физическую клавиатуру
• Доступно для всех приложений
• Требуется разрешение IT Policy устройства
• Пример
• Сокрытие ответа на звонок
• Сворачивание экрана
• Переход на домашний экран
42. ЗАЩИЩЁННОСТЬ IM-ДАННЫХ
• Хранение
• Зашифрованная файловая система
• В открытом виде
• Невозможность с телефона прочесть отличное от
txt расширение
• Постоянный путь хранения
• Требуется опция сохранения в памяти
устройства
48. ЗАЩИТА ОТ
ДЕСТРУКТИВНОГО ВОЗДЕЙСТВИЯ
• Предпосылки
• BlackBerry Enterprise Server
• IT Policy
• Управление приложение
• Удаление после перезагрузки
• Необходимость прошивки устройства
• «Безрукое» удаление программ
49. ЗАЩИТА ОТ
ДЕСТРУКТИВНОГО ВОЗДЕЙСТВИЯ
• Эффективность
• BlackBerry Enterprise Server
• Организационная сопряжена со своевременностью
• Человеческий фактор
• Отсутствие атак и факта заражения
• Управление приложением
• Отсутствует
• Необходимость прошивки устройства
• До перезагрузки
56. ПРОТИВОДЕЙСТВИЕ УТЕЧКЕ
ДАННЫХ АУТЕНТИФИКАЦИИ
• Password Keeper, BlackBerry Wallet
• Получение доступа к содержимому буфера
при активном окне приводит к ошибке
«Unauthorized attempt to attach to this
application»
57. ПРОТИВОДЕЙСТВИЕ УТЕЧКЕ
ДАННЫХ АУТЕНТИФИКАЦИИ
• Password Keeper, BlackBerry Wallet
• Получение доступа к содержимому буфера
при свернутом или закрытом окне
программы предоставляет неограниченный
доступ к буферу обмена
64. РУТКИТ ПРИКЛАДНОГО УРОВНЯ
• Получение доступа к большинству
приложений
• 90% приложений из коробки
• Сторонние приложения
• Системные приложения
65. РУТКИТ ПРИКЛАДНОГО УРОВНЯ
• Получение информации о компонентах
• Получение информации с компонентов
• Изменение состояния компонентов
• Удаление или подмена компонентов
66. РУТКИТ ПРИКЛАДНОГО УРОВНЯ
• Элементы интерфейса группируются по типу
и сворачиваются
• ButtonField группируется в
ButtonFieldManager
• Manager сворачиваются в ScreenManager
• И т.д. до главного ScreenManager
73. ПРОБЛЕМАТИКА
• Отсутствие мониторинга событий
• Отсутствие ведения записи истории событий
• Отсутствие достаточной детализации разрешений
• Отсутствие достаточной информативности запросов
• «Безалаберность» вендоров как разработчиков
• Закрепление неосведомлённости пользователей
• Стагнация ИБ