реферат по безопасност и защите на компютърните системи и приложения 90929
1. Безопасност и защита на
Windows Phone 8 - мобилни комуникации
Реферат по дисциплината „Безопасност и защита на компютърни
системи и приложения“
30.3.2015 г.
Икономически университет - Варна
Център Магистърско обучение
Изготвил:
Николай Христов Захариев
СИН: 400465
Група 10
Проверили:
Доц. д-р Стефан Дражев
ас. Радка Начева
2. 1
Съдържание
УВОД ……………………………………………………………………………………………….
Грешка! Показалецът не е дефиниран.
I. Вградени защитни технологии в архитектурата на Windows Phone 8............ Грешка!
Показалецът не е дефиниран.
II. Вградени защитни опции ...................................... Грешка! Показалецът не е дефиниран.
III. Защита на и чрез акаунти ..................................... Грешка! Показалецът не е дефиниран.
IV. Защита на изтегляните приложения................... Грешка! Показалецът не е дефиниран.
V. Защита при сърфиране .......................................... Грешка! Показалецът не е дефиниран.
VI. Правна защита ........................................................ Грешка! Показалецът не е дефиниран.
VII. Приложения за сигурност от магазина на Windows PhoneГрешка! Показалецът не е
дефиниран.
ЗАКЛЮЧЕНИЕ …………………………………………………………………………………..
Грешка! Показалецът не е дефиниран.
ИЗТОЧНИЦИ …………………………………………………………………………………….. 9
3. 2
По данни на Strategy Analytics1
през 2014 г. доставките на смартфони и респективно
на операционни системи за тях са нараснали с 29,6% на годишна база. На Фигура 1 е предс-
тавен трендът в доставките.
Фигура 1 - Глобални доставки на операционни системи за смартфони за периода 2011-
2014 г.2
(в милиони единици)
Очакванията са за 90-процентно увеличение на потребителите на смартфони през
следващите 6 години3
. Разнообразието от приложения за съвременните умни устройства
превръщат последните в персонален асистент с висока стойност за индивида. Без значение
дали чати в социалните мрежи, осъществява разплащане, следи продажбите на фирмата си
или подава информация за сърдечния си ритъм до своя лекар, чрез смартфона потребителят
получава и изпраща информация, която следва да бъде защитена адекватно. Тази защита мо-
же да бъде постигната чрез безопасна операционната система. На Фихура 2 са представени
пазарните дялове на водещите производители на мобилни операционни системи.
Фигура 2 - Пазарни дялове на операционните системи за смартфони през 2014 г.4
Майкрософт е третият най-популярен производител на операционни системи за смарт-
фони, като средно за 2013 и 2014 г. растежът на пазарния дял възлиза на 49%. Предпослед-
1
Strategy Analytics. Android Shipped 1 Billion Smartphones Worldwide in 2014. 29.01.2015 г.
http://bit.ly/1HrMNIo
2
Пак там и Strategy Analytics. Android and Apple iOS Capture a Record 92 Percent Share of Global Smartphone
Shipments in Q4 2012. 28.01.2013 г.
http://bit.ly/1CHaY21
3
Strategy Analytics. Global Smartphone Users Will Almost Double in Six Years. 24.12.2014 г.
http://bit.ly/1HgBZvF
4
Strategy Analytics. Android Shipped 1 Billion Smartphones Worldwide in 2014. 29.01.2015 г.
http://bit.ly/1HrMNIo
490,5
700,1
990
1283,5
400
800
1200
1600
2011 2012 2013 2014
81%
15%
3%
1%
Андроиид
iOS
Майкрософт
Други
4. 3
ното поколение система на компанията е Window Phone 8 (WP 8), а очакванията са, че фи-
налната версия на новата Window Phone 10 ще излезе най-рано в края на лятото5
. Всички те-
зи факти сочат, че голяма част от устройства по света ще продължат да използват Windows
Phone 8 в близките месеци, което определят и актуалността на въпроса за безопасността на
тази мобилна операционна система. Настоящият реферат има за цел да разгледа възможнос-
тите за безопасност и защита на Windows Phone 8.
I. Вградени защитни технологии в архитектурата на Windows Phone 8
Според Майкрософт6
операционната система (OS) е проектирана с мисълта да защи-
тава потребителите и организациите. В архитектурата на Windows Phone 8 са внедрени реди-
ца защитни технологии.
Безопасното стартиране на OS се осигурява от няколко компонента. Trusted Boot
(доверено стартиране) валидира фърмуера7
при зареждане на операционната система. Техно-
логията се внедрява по време на производството на устройството и гарантира, че всички
файлове, които се стартират при първоначалното зареждане, трябва да бъдат подписани от
доверен издател (trusted authority). System-on-a-Chip - технологията е свързана с интерфейса
Unified Extensible Firmware Interface8
и осигурява пред-UEFI зареждане и UEFI среда. Всички
UEFI драйвери и приложения са валидирани преди да бъдат изпълнени. Windows Phone boot
manager пък се поддържа в средата на UEFI и завършва процеса на стартиране, след като
пред-UEFI и UEFI компонентите приключат своето зареждане. Криптирането на данните е
друг важен вграден механизъм за защита. ProtectedData осигурява методи за криптиране и
разкодиране на данни, като се свързва с Data Protection API (DPAPI). Това е услуга, която се
осигурява от операционната система и използва едновременно потребителя и машина за ак-
редитация при кодиране и разкодиране. Windows Phone 8 поддържа следните криптограф-
ски алгоритми: AES, HMACSHA1, HMACSHA256, Rfc2898DeriveBytes, RSA, SHA1,
SHA256. Безжичните комуникации също имат своя безопасен архитектурен бекграунд. Ре-
жимът на откриваемост на Bluetooth е включен единствено в Bluetooth настройките, което
предотвратява неоторизиран достъп до телефона. За контролиране на over-the-air9
достъпа
5
PC ADVISOR. Windows 10 for phones UK release date, price and new features: When will my phone get Windows
10?. 18.03.2015 г.
http://bit.ly/1OliRyF
6
Microsoft Corporation. Windows Phone 8 Security Guide, 09.2013 г., стр. 2
7
Фърмуер (firmware) - комбинация от постоянна памет, съхранените в нея данни и програмен код.
8
UEFI - софтуерен интерфейс между операционната система и фърмуер платформата.
9
Over-the-air access - технология, използвана за комуникация с-, смъкване на приложения към- и управление
на SIM картата без необходимост от физическа връзка с нея.
5. 4
до устройството са предвидени защитни принципи като изпълнение с парола, комплексност
на паролата и криптиране на устройството.
II. Вградени защитни опции
Операционната система предлага различни избираеми опции за допълнителна защита.
Както останалите, така и мобилните телефони с WP 8 предоставят възможност за за-
ключване на SIM картата чрез ПИН код, който трябва да бъде въвеждан при стартиране
на устройството. За да се предотврати използването на телефона от други лица, потребителят
може да активира и парола за отключване на началния екран.
За защита на покупките са предвидени няколко опции. ПИН кодът за Портфейла10
е
цифрова парола11
за защита на достъпа до портфейла, която освен това предотвратява неже-
лани NFC плащания12
и защитава направените от магазина на Windows Phone покупки13
. Ако
ПИН-ът бъде забравен, телефонът трябва да бъде нулиран до фабричните настройки. Друг
подход е използването на специална защитена SIM карта за извършване на покупки в ма-
газини посредством NFC транзакции. В допълнение няма възможност за изтриване на
кредитна/дебитна карта директно от телефона – за премахване на картата е необходимо
изтриването й от акаунта в Майкрософт.
WP 8 предвижда родителски контрол върху ресурсите на телефона. Вграденото при-
ложение Детски кът (Kid`s Corner) дава възможност на родителите да активират14
игрите,
приложенията, музиката и видеоклиповете, които детето ще може да ползва, без да има дос-
тъп до останалото съдържание на телефона. Това създава „телефон в телефона“, предназна-
чен за деца, до който се достига с прелистване на иначе заключения начален екран надясно.
Налична е вградена защитна опция за архивиране на информация от телефона в
облака15
. Архивирането може да бъде активирано за приложения + настройки16
, текстови
съобщения (SMS, MMS, чат) и/или снимки + видео. Облакът също подлежи на защита, която
от Майкрософт усъвършенстват непрестанно. Така например през 2014 г. е добавена защита-
10
Вграденото приложение „Портфейл“ (Wallet) съхранява цифрови версии на: кредитни и дебитни карти; член-
ски карти, карти за лоялност и купони; ваучери за подарък, както и бордови карти и карти за събития.
11
Портфейл > Още > Настройки + ПИН > ПИН код на портфейла > Готово
12
NFC плащания - безжични транзакции, които са базирани на Near Field Communication технологията и се
реализира чрез допиране на устройството до четец за NFC.
13
отметка в квадратчето „Използвай ПИН кода на портфейла за защита на покупките на музика и приложения“
14
Settings > Kid`s corner > избор на файловете, които ще са достъпни за детето > Done
15
Облак - място в интернет (като OneDrive), където може да бъде запазвана всякакъв вид информация.
16
за архивиране на инсталираните приложения, оформлението на стартовия екран, обажданията, думите в
речника, предпочитанията в браузъра, паролите за акаунтите и повечето настройки в облака
6. 5
та Perfect Forward Secrecy17
, която позволява криптирането на изпращаната и получавана
поща между различни доставчици. Създава се нов ключ за всяка връзка, което ограничава
количеството данни, които могат да бъдат достигнати при пробиване на ключа. Създаден е и
Microsoft Transparency Center, където хора от правителството могат да инспектират изход-
ния код, за да се убедят в софтуерната цялост и да потвърдят, че няма „задни вратички“.
Активирането на функцията „Открий моя телефон“ защитава телефона в случай на
загуба или кражба. Възможните действия са: позвъняване на телефона от браузър, изпращане
на кратко съобщение, локализиране на картата, заключване или изтриване на съдържанието
чрез отдалечен достъп.
III. Защита на и чрез акаунти
За пълноценното и по-безопасно използване на смартфоните с WP е препоръчително
създаването на майкрософт-акаун. To изисква посочването на телефонен номер или алтерна-
тивен email адрес, на които Майкрософт изпраща код за защита за акаунт в Майкрософт
за автентикация на потребителя при извършване на важни промени, забравяне на паролата
или опит за проникване от трета страна. Двустъпковата верификация е опция, чието
включване предпазва акаунта дори ако хакер е научил потребителската парола. При вписване
чрез устройство, което няма статут на Trusted device18
се извежда страница за въвеждането на
защитен код, който се изпраща на алтернативния email или телефонен номер. В допълнение
служебните акаунти, организирани от работодателя за осъществяване на работа от телефона,
могат да бъдат защитени чрез фирмени правила като парола с определена сложност, забра-
на за съхраняване на информация върху картата за съхранение, забрана на вградени и/или
инсталирани приложения или тяхното изтегляне, отдалечено нулиране на телефона и др.
IV. Защита на изтегляните приложения
Приложенията в магазина на Windows Phone, са тествани от Майкрософт и са шифро-
вани, което предотвратява възможността за инсталиране на опасен софтуер на телефона.
Microsoft Security Development Lifecycle (SDL) е процес на осигуряване на сигурност, пред-
ставляващ набор от задължителни дейности по сигурността, групирани по фазите на тради-
ционния жизнен цикъл на разработване на софтуер. Майкрософт предлага много SDL инст-
рументи на разработчиците - Microsoft SDL Threat Modeling Tool, FxCop, BinScope, MiniFuzz,
Banned.h. Готовото приложение ще бъде подложено на различни публично документирани
тестове за сертифициране. Ако ги издържи ще бъде цифрово подписано и ще бъде на разпо-
17
PFS - протоколи за потвърждаване на ключ, гарантиращи, че полученият от набор дългосрочни ключове сеси-
ен ключ не може да бъде застрашен, ако един от дългосрочните ключове бъде компрометиран.
18
Trusted device - устройство, което потребителят е маркирал като доверено
7. 6
ложение за продажба. Магазинът на Windows Phone е единственият източник за придоби-
ване на лиценз за дадено приложение. В случай че потребителят успее да инсталира прило-
жение отвъд магазина, то няма да работи, защото Windows Phone ще изисква лиценз.
Потребителят упражнява контрол върху способностите (capabilities) на инсталира-
ното приложение във връзка с лична потребителска информация, сигурност, цена и бизнес
въздействие, тъй като разработчиците са длъжни да ги посочват на страницата в магазина.
Инсталираните приложения са изолирани едно от друго и взаимодействат с телефона
по стриктно структуриран начин. Ако дадено приложение трябва да съхранява данни или
информация за конфигурацията то ще го направи в изолирано хранилище (камера), което е
защитено от останалите приложения. Освен това приложенията работят под надзора на фун-
кция за управление на приложенията - Execution Manager, която следи използването на ре-
сурсите от нестоящите на преден план приложения и ги прекратява, за да направи стоящите
на преден план по „отзивчиви“. Друг пример е минимизирането на площта на приложението
- ако последното не изисква използване на Media Library, платформата ще го изпълни изоли-
рано от нея. За достъп до фирмените приложения се използва защитната технология
Company Hub - портал за откриване, инсталиране и стартиране на фирмените приложения.
V. Защита при сърфиране
Браузърът на WP 8 - Internet Explorer 10 осигурява защита по няколко начина: 1) ра-
боти в изолирана камера, предотвратявайки достъпа на уеб приложенията до другите ре-
сурси; 2) не поддържа plug-in модел, поради което не могат да бъдат инсталирани злонаме-
рени плъгини; 3) технологията SmartScreen Filter осигурява защитава срещу небезопасни
сайтове в реално време. В настройките на браузъра могат да бъдат активирани Do Not Track
request на посещаваните сайтове и опция за блокиране на „бисквитките“ (Cookies).
За по-безопасното свързване на към Wi-Fi мрежата се използва протоколът PEAP-
MS-CHAPv219
от фамилията Extensible Authentication Protocol20
, ползващ Transport Layer
Security за създаване на криптиран канал между устройството и сървъра. Автентикацията се
осъществява на две нива. Първо - създаване на TSL канал между клиента и сървъра - клиен-
тът се асоциира с безжична точка на достъп. Осигурява се Open System или Shared Key ав-
тентикация преди установяване на асоциирането. След успешното установяване на връзката,
TLS сесията с точката на достъп е „договорена“. Полученият при „преговорите“ ключ се из-
ползва за криптиране на последващата комуникация. Второ - EAP-удостоверена комуника-
19
TechNet. PEAP-MS-CHAP v2. 31.03.2005 г.
https://technet.microsoft.com/en-us/library/cc779326%28v=ws.10%29.aspx
20
EAP - рамка за автентикация, често използвана в безжичните мрежи и point-to-point връзките.
8. 7
ция - пълна EAP комуникация, включваща EAP преговор, възниква във вече изградения TSL
канал. Сървърът удостоверява автентичността на клиента посредством метод, който се опре-
деля от вида EAP и е избран за използване в рамките на PEAP. Точката на достъп само изп-
раща съобщения между клиента и сървъра без да може да ги разшифрова. Пълният списък на
поддържаните EAP протоколи21
(WP 8.1) е както следва: EAP-TLS (certificate), EAP-AKA
(SIM), EAP-AKA (Prime), EAP-TTLS (PAP), EAP-TTLS (CHAP), EAP-TTLS (MSCHAPv2).
Тази система не е непробиваема за хакерите22
. От Майкрософт напомнят, че отворе-
ните мрежи не са защитени и съветват да се внимава с изискващи лична или поверителна
информация онлайн дейности, или да се изчака свързването с надеждна защитена мрежа.
SSL сертификатите представляват още един защитен метод. Потребителите могат да
се свържат с уеб услуга, използвайки SSL връзка до тогава докато SSL сертификатът на сър-
въра е валиден за целевия сайт. Сертификатите се издават от доверени организации -
Certification Authorities (CAs), членове на Windows Root Certificate Program. Налично е SSL
криптиране на данните, които се предават между устройството и сървъра на корпоративната
поща. SSL каналът е 128 битов шифър съгласно стандарта Advanced Encryption Standard.
Криптираните данни преминават по самостоятелен SSL порт през защитната стена (firewall).
VI. Правна защита
Политиката за поверителност, важаща за уеб сайтове, продукти и услуги на Майкро-
софт (събиращи данни) е издържана в Декларация за поверителност. Според нея за споделя-
не на лична информация се изисква съгласието на потребителя. Майкрософт споделя лична
информация единствено с други контролирани филиали и поделения, или доставчици/агенти,
работещи от името на компанията, спазващи изискванията за защита на личните данни.
VII. Приложения за сигурност от магазина на Windows Phone
В магазина на Windows Phone съществуват различни приложения, които внасят до-
пълнителен защитен елемент. Такива са генераторите на кодове за сигурност, служещи за
верификация, като Authenticator или Keeper, който създава устойчиви уникални пароли за
всеки онлайн акаунт. Той е мениджър за пароли, автоматично записващ данните за логвания
в различните акаунти, синхронизира уиндоус устройства, предлага бекъпи в облака и крип-
тира тази информация. Съществуват и безопасни браузъри като AVG Family Safety, който
предпазва от сайтове с неприемливо съдържание, онлайн измами и фишинг и Kaspersky Safe
21
TechNet. Enterprise Wi-Fi authentication (EAP). 25.06.2014 г.
https://technet.microsoft.com/library/dn643706.aspx
22
Goodin, D. Windows Phones susceptible to password theft when connecting to rogue Wi-Fi. 06.08.2013 г.
http://bit.ly/1EFAOT1
9. 8
Browser, получаващ информация за злонамерени сайтове в реално време от облачната анти-
фишинг база данни на Kaspersky Security Network. Best Phone Security пък разкрива дали
някой от обкръжението на потребителя не се опитва да проникне в телефона му в негово от-
съствие, като записва локацията на грешните опити за въвеждане на парола. Други приложе-
ния като Lock & Hide поставят снимките в телефона на потребителя под защита с парола,
добавяйки слой за криптиране на тези данни.
В заключение могат да бъдат направени следните изводи за безопасността и защитата
на Windows Phone 8:
1) WP 8 осъзнава значението на безопасността в мобилните комуникации и разра-
ботва механизми за защита във всички аспекти - данни, достъп, приложения, плащания, Ин-
тернет, право. Това определя защитата като комплексна. Тя е отговорност на всички свърза-
ни страни - Майкрософт, техните партньори, потребители, разработчици на приложения, мо-
билните оператори, платежните системи, отговарящите за мрежата, регулаторните органи.
2) Успешната защита до голяма степен зависи от поведението на потребителя. Него-
во е правото и отговорността да активира и настрои вградените опции за защита (като паро-
лите на SIM, началния екран и Портфейла, архивиране), да бъде внимателен в уеб простран-
ството и при плащания, да се информира за способностите на инсталираните приложения.
3) Безопасността и защитата на WP 8 стъпва на изградената от Майкрософт своеоб-
разна „защитна инфраструктура“ - ноу-хауът, стратегиите за безопасност като Microsoft SDL
и защитните формални и неформални правила като Декларацията за поверителност. Изграж-
дането на Microsoft Transparency Center за облачните технологии на Майкрософт е важна
стъпка към повишаване на прозрачността в мобилните и облачни комуникации.
4) С оглед на контрола, който мобилните операционни системи упражняват, осигу-
ряваната от тях защита може да бъде разграничена на контролирана от системата (вградени
защитни технологии в архитектурата) и частично контролирана защита (защитни опции,
приложения, сърфиране). Чрез своята архитектура WP 8 убедително защитава данните и ре-
сурсите на смартфона. Обичайно частично контролираните приложения са поставени под
контрол. Най-сериозната уязвимост за системата продължава да бъде сърфирането.
5) Изводите от 4) очертават и перспективите пред следващото поколение - Windows
Phone 10. WP 10 трябва да търси нови решения за защитата в уеб среда. Може да се предпо-
ложи, че част от защитните опции ще бъдат интегрирани към вградената защита - те ще са
10. 9
задължителни, което ще засили контрола на защитата, но може да рефлектира върху удов-
летвореността на потребителя.
6) Така проведеното изследване може да послужи за отправна точка при анализ на
безопасността и защитата на новото поколение WP мобилна операционна система (WP 10).
Източници:
o Microsoft Corporation. Security for Windows Phone 8. 19.08.2014 г.
<https://msdn.microsoft.com/en-us/library/windows/apps/ff402533%28v=vs.105%29.aspx>
o Microsoft Corporation. Windows Phone 8 Security Guide, 09.2013 г.
o Windowsphone.com
<http://www.windowsphone.com/>
o Strategy Analytics. Android Shipped 1 Billion Smartphones Worldwide in 2014. 29.01.2015 г.
<http://blogs.strategyanalytics.com/WSS/post/2015/01/29/Android-Shipped-1-Billion-Smartphones-
Worldwide-in-2014.aspx>
o Strategy Analytics. Android and Apple iOS Capture a Record 92 Percent Share of Global
Smartphone Shipments in Q4 2012. 28.01.2013 г.
<http://blogs.strategyanalytics.com/WSS/2013/01/default.aspx>
o Strategy Analytics. Global Smartphone Users Will Almost Double in Six Years. 24.12.2014 г.
<http://blogs.strategyanalytics.com/WSS/post/2014/12/24/Global-Smartphone-Users-Will-Almost-Double-in-
Six-Years.aspx>
o PC ADVISOR. Windows 10 for phones UK release date, price and new features: When will my
phone get Windows 10?. 18.03.2015 г.
<http://www.pcadvisor.co.uk/new-product/mobile-phone/3594482/windows-phone-10-uk-release-date-price-
new-features-apps-os-summer/>
o TechNet. Enterprise Wi-Fi authentication (EAP). 25.06.2014 г.
<https://technet.microsoft.com/library/dn643706.aspx>
o TechNet. PEAP-MS-CHAP v2. 31.03.2005 г.
<https://technet.microsoft.com/en-us/library/cc779326%28v=ws.10%29.aspx>
o TechNet. Windows and Windows Phone 8 SSL Root Certificate Program (Member CAs). 10.2014 г.
<http://social.technet.microsoft.com/wiki/contents/articles/14215.windows-and-windows-phone-8-ssl-root-
certificate-program-member-cas.aspx>
o Sarder, J. Microsoft increases Outlook and OneDrive security and opens a transparency center.
04.06.2014 г.
<http://www.techrepublic.com/article/microsoft-increases-outlook-and-onedrive-security-and-opens-a-
transparency-center/>
o Goodin, D. Windows Phones susceptible to password theft when connecting to rogue Wi-Fi.
06.08.2013 г.
<http://arstechnica.com/security/2013/08/windows-phones-susceptible-to-password-theft-when-connecting-to-
rogue-wi-fi/>
o Stern, A. 5 Security Apps For Windows Phones. 26.05.2014 г.