О механизмах блокирования Android-устройств
Большинство существующих инструкций и процедур предписывает строгое соблюдение правил при расследовании инцидентов в отношении мобильных устройств. Все они варьируются на основе функциональных особенностей таких устройств, связанных архитектурными подходами к управлению потоками данных, а также пользовательскими сценариями. Наиболее популярные пункты таких предписаний обычно гласят, что устройство должно быть переведено в состояние, при котором оно не сможет взаимодействовать с беспроводными сетями или же будет подключено к постоянному источнику питания, (стирание данных с устройства при отсутствии питания считается одной из практик обеспечения защиты информации). Несмотря на это, общие подходы к расследованию инцидентов очень сильно меняются от платформы к платформе, от очередного революционного GUI к другому. Тем более это актуально в условиях набора неизвестного ПО, которое может включать вредоносный код, например, удаляющий данные при отсутствии подключения к серверу управления. Данная статья рассматривает защитные механизмы Android-платформы по блокированию устройств, известные как «Password Lock Protection» и «Pattern Lock Protection», которые могут создавать препятствия при доступе к устройствам, и требуют специального подхода к ведению процесса расследования при соответствии процедурам.
Данный защитный механизм известен давно и представляет собой защиту на основе пароля, введённого пользователем. Подобный механизм может как осуществлять обычную защиту от доступа к устройству, так и расширяться, увеличивая значимость обладания последним. Наиболее известные примеры приведены ниже: • блокирование по истечению определённого (заданного) временного интервала;• удаление данных после определённого (заданного) количества неудачных попыток ввода пароля;• шифрование файловой системы с помощью ключей, сгенерированных на основе пароля. Пароли для Android-устройств создаются с применением буквенно-цифрового множества символов в отличие от подвида, известного как «PIN Lock Protection», который ориентирован на применение только цифрового множества символов.
Pattern Lock Protection
Этот механизм блокирования устройств известен более высокой степенью адаптации под мобильные устройства (естественно, имеются в виду устройства touch или multi-touch,) нежели парольная защита, т.к. ввод спецсимволов вкупе с редуцированной клавиатурой понижает скорость разблокировки при частом блокировании экрана. А через некоторое время пропадает и само желание его блокировать, что часто подталкивает пользователей к применению более простых паролей, не отвечающих требованиям безопасности (сложности). В данном механизме защиты пользователи «рисуют» для разблокирования созданный ранее шаблон (см. рисунок ниже), и если он корректен, то процесс разблокировки является успешным.
Способы противодействия
Поддержание активности устройства
Для Android-устройств разброс границ типичного временного интервала, по истечению которого устройство блокируется с использованием парольного механизма, обычно варьируется от нескольких секунд до 15 минут. Хоть это и довольно короткий промежуток времени, но его может вполне хватить для получения полного доступа к устройству без необходимости ввода пароля. Поэтому, если устройство находится в этом состоянии, и необходимо получить к нему доступ, то первым делом нужно увеличить временной интервал появления экрана блокировки. Раздел, где располагается подобная настройка, может иметь название «Display Screen Timeout/Lock», которое может варьироваться в зависимости от локализации и модели телефона. это название, Ровно так же элемент «Отключить тайм-аут» может быть заменён на элемент, соответствующий максимальному временному значению. В этом случае останется только периодически подвергать устройство минимальной активности. Однако следует иметь в виду, что данная активность не должна влиять на запуск/остановку процессов и программ, иначе это может привести к изменениям в системе, которые не смогут быть учтены и тем более отражены в протоколах. Поскольку протоколирование является обязательным пунктом, то, даже факт отключения записи времени блокирования, как и любая совершаемая активность, должен фиксироваться в протоколе. .Также интересны опциональные настройки «Enable USB debugging» и «Stay awake», первая из которых позволяет получать доступ для извлечения данных, в то время как вторая не позволит подключенной к зарядному устройству Android-платформе уходить в так называемый «спящий режим», препятствуя, таким образом появлению экрана блокировки. Кроме того, первая настройка тесно связана с консольной утилитой «Android Debug Bridge (ADB)», которая позволяет производить установку и удаление приложений, копирование файлов с/на устройства(-о), а также извлечение дополнительной информации о логах или запущенных процессах.
Легальное блокирование
Около года назад исследователь по информационной безопасности Thomas Cannon [http://goo.gl/skVol], разработал механизм, который легально позволяет блокировать появление экрана блокировки, и основан на использовании стандартного API, доступного для разработчиков. Он же применяется и для отключения возможности блокировки экрана при наступлении таких событий, как входящие или исходящие звонки.
Разблокировка посредством Google-аккаунта
Данный механизм создавался на случай превышения лимита неудачных попыток ввода на устройстве пароля/ПИН-кода (как правило, десяти). При наступлении такого события появляется диалог, который запрашивает почтовый логин и пароль, с которых было зарегистрировано устройство, с целью сброса текущего способа блокировки. Интересно, что данный механизм не требует подключения к сети, поскольку Android-устройства кэшируют эти данные и, соответственно, сравнивают их с введёнными без обращения в сеть.
Разблокировка при наступлении «особого» события. Как правило, таким событием может быть постановление суда, обязующее корпорацию Google разблокировать устройство. Несмотря на высокую вероятность данного события, Google требует онлайн-присутствия устройства, что может повлечь за собой определённые риски стирания или модификации хранимых данных. Здесь правильным с точки зрения методик, принятых в криминалистике, будет использование WiFi-канала вместо EDGE/3G. Это позволит технически прибегнуть к протоколированию трафика с применением утилит типа сниффер с целью организационно отметить факт происходящих изменений в процессе разблокировки либо последующего изучения полученных данных.
Отпечатки пальцев
Известна научная работа «Smudge Attacks on Smartphone Touch Screens» [http://goo.gl/XvULn], авторами которой являются Adam J. Aviv, Katherine Gibson, Evan Mossop, Matt Blaze, and Jonathan M. Smith -. Согласно этой работе, были проведены эксперименты по изучению экранов Android-устройств в трёх состояниях:1. «из коробки»; 2. после некоторого количества использования механизма разблокирования «Pattern Lock Protection»; 3. после попыток удаления следов пользования данным механизмом. Данный эксперимент представляет собой идеализированную модель, т.к. не была оценена степень влияния клавиатуры как неотъемлемого элемента использования устройства. На практике это может привести к неточному извлечению результатов в определении направлений пользовательского рисунка при разблокировании устройства (механизм «Pattern Lock Protection»). Основная модель атаки подразумевает вариант фотографирования экрана с повышенной контрастностью. Также в работе отмечается, что попытки удаления следов пальцев эффективно противодействуют данной модели атаки.
Юрий Чемёркин Исследователь ЗАО «Перспективный Мониторинг»