ПО обнаруживает поддельные сети и точки доступа
Израильская компания разработала продукт, который по их словам может обнаружить подключение мобильного устройства к поддельной станции сотовой связи или Wi-Fi точке
доступа, обеспечивая потенциальную защиту критически важных данных от попадания в руки хакеров.
Два крупных европейских поставщика услуг связи уже тестируют продукт, который, как ожидается, выйдет на рынок в начале 2016 года, сказал Дрор Льюер, начальник службы безопасности и соучредитель компании CoroNet, основанной в Беэр-Шеве (Израиль).
Программное обеспечение CoroNet блокирует один тип атаки, который долго рассматривался как слишком дорогой, чтобы быть реализованным. Это включает в себя создание поддельной базовой станции, которая имеет более сильный сигнал, чем реальная. А мобильные устройства, как известно, предназначены для подключения к станции с сильным сигналом.
После того, как устройство подключено, у хакера появляется возможность выяснить приблизительное местоположение человека и, возможно, украсть данные или прослушивать звонки.
Такие атаки, как ранее полагали эксперты, возможно реализовать только правительственным и спецслужбам, но программное обеспечение, необходимое для создания базовой станции, OpenBTS, является ПО с открытым исходным кодом, и стоимость необходимого аппаратного обеспечения резко сократилась, сказал Льюер.
В США недавно наблюдалось повышение озабоченности по поводу полицейских подразделений, использующих такие устройства, которые иногда называют IMSI (International Mobile Subscriber Identity) ловцами, без одобрения суда.
Технически подкованный человек, теоретически, может построить поддельную станцию сотовой связи приблизительно за $350, в то время как не-технический человек может собрать ее приблизительно за $ 1500, сказал Льюер. Для предприятий, использующих критически важные данные, перехват мобильной связи создает еще один источник угроз.
Программное обеспечение CoroNet представляет собой легкий агент, который работает на Android или IOS устройствах или на ноутбуке. Он запрограммирован для определения поведения и характеристик базовой станции, а также точек доступа Wi-Fi.
Выявив, что поддельные средства связи оставляют много улик, приложение определяет, что они, вероятно, являются фальшивкой. Льюер сказал, что существует много признаков, но он готов осветить только пару из них, которые анализирует CoroNet.
Поддельная базовая станция деавторизовывает устройство от легальной сети, а затем пытается одолеть ее собственным сигналом, чтобы выглядеть более привлекательно, что является первым признаком. CoroNet может также обнаружить «след» злоумышленника на основе структуры радиоволн в определенном месте.
«Основываясь на этой модели, мы знаем, что это, вероятно, подозрительное поведение,» - сказал Льюер. - «Безопасные сети никогда не ведут себя подобным образом».
Если мобильная сеть выглядит подозрительно, CoroNet может отрезать связь с поддельной базовой станцией и маршрутизировать вызов к легальной сети.
В случае с Wi-Fi, если CoroNet обнаруживает так называемого злого близнеца – точку доступа, у которой то же SSID имя, что и у легитимной - он может запретить телефону подключаться к ней.
Существуют другие проекты и продукты, предназначенные для решения этой проблемы. SnoopSnitch - это Android-приложение, которое также анализирует мобильные сети, чтобы попытаться обнаружить среди них поддельные.
Компании, включая Boeing и Lockheed, также продают специальные мобильные телефоны с микрочипами безопасности, которые имеют утвержденный список мобильных сетей, к которым разрешено подключаться устройству.
CoroNet планируется продавать не напрямую потребителям, а через поставщиков мобильных услуг и управляемых услуг безопасности. Это, вероятно, будет включено в стоимость обслуживания в месяц. Предполагается предлагать два тарифных плана: один основной, который охватывает только передачу данных, и премиальный, который обрабатывает передачу как данных, так и голоса.