ФСБ разрешила Blackberry в России

[Vinni]

Коллеги, эта тема уже поднималась в http://it2b-forum.ru/index.php?showtopic=3201&hl=

 

Я еще покопался в их документации. По сути будет устанавливаться защищенное соединение по GPRS (обмен ключами между сторонами по Диффи-Хеллману), правда не напрямую, а через инфраструктуру RIM (видимо ББ-шные устройства жестко настроены на какие-то сервере инфраструктуры). Но используется мастер-ключ, который хранится и на станции и на BES-сервере (зная его, можно расшифровать трафик).

Видимо из-за этого, в ББ есть дополнительный уровень защиты - OpenPGP, с помощью которого можно организовать передачу трафика, который сможет расшифровать только получатель :smile14: На самом-то деле проблема в том, что сервер (BES) должен стоять не у провайдера, а в корпоративной сети. :smile19:

Но анализ сайта ББ показывает, что для отдельных людей также можно использовать ББ с помощью BES, расположенного у самого RIM. То есть он будет играть прокси для почтовых ящиков или веб-серфинге по Интернету.

Или можно, видимо, арендовать у него BES - у МТС в ББ, скорее всего, будет такой сайт, судя по результатам Гугла - http://www.mts.ru.blackberry.com/ (находится в Канаде).

 

Понятно, что при такой архитектуре ключи могут быть выданы правоохранительным органам (что и имело место быть в случае Hushmail) :smile9:

Плюс, похоже, что администратор BES может удаленно сбросить пароль для устройства... :smile10:

 

Мораль проста - надо иметь свой собственный BES и использовать PGP :smile19:

Ну, и конечно остается открытым вопрос о надежности используемой в самом устройстве криптографии...

 

 

 

[Vinni]

В развитие предыдущего поста - нашел анализ безопасности с точки зрения возможностей встраивания программ-шпионов в нее, сделанный Symantec (_ttp://www.symantec.com/avcenter/reference/attack.surface.analysis.of.blackberry.devices.pdf)

 

BlackBerry users can generally be divided into two camps: consumers who bought and own their BlackBerry,

and enterprise end-users who are given the use of a BlackBerry by their employers. Consumer devices are

generally configured to use BlackBerry Internet Service (BIS), while enterprise devices are generally configured

to use BlackBerry Enterprise Server (BES). In a BIS environment, the end-user is generally responsible

for the appropriate configuration of security measures. In a BES environment, the end-user has a certain

amount of control, but security is usually enforced by the enterprise, via the use of an IT Policy and

Application Controls. More comprehensive controls are available in a BES deployment than in a BIS deployment,

and the default configuration of an enterprise device is generally more constrained than the equivalent

consumer deployment of that device (for example, the firewall is enabled by default).

 

...

The attacks outlined fall into a number of distinct high-level categories, these are:

• Spoofing: A situation where there exists the opportunity to spoof information upon which the

user will make a decision which may impact the security of the device.

• Data Interception or Access: A situation where data can be intercepted or accessed by malicious

code that is on the device.

• Data Theft: A situation where data can be sent out of the device by malicious code which is on

the device.

• Backdoor: A situation where malicious code that is resident on the device is able to offer functionality

which would allow an attacker to gain access at will.

• Service Abuse: A situation where malicious code that is resident on the device is able to perform

actions which will cause the user higher that expected service provider costs.

• Availability: A situation where malicious code that is resident on the device is able to impact the

availability or integrity of either the device or the data held upon it.

• Network Access: A situation where malicious code that is resident on the device is able to use

the device for one or more unauthorised network activities. This may include port scanning or

alternatively using the device as a proxy for network communications.

• Wormable: A technology which can be utilised by malicious code on the device to further help in

its propagation in a semi-autonomous fashion.

...

 

Call Record Monitoring

Call record monitoring is the most plausible attack scenario. An application

can collect all call records such as calls made, received, and their

durations and send themto a third party. Such spyware type applications

are already popular on both traditional desktop computers as well as

other smart phone devices such as those running the Symbian operating

system19. Typically, these applications are commercial in nature and are

installed when the attacker has access to the device. Note that maintaining

PIN and password protection on the device greatly reduces the likelihood

of unauthorised physical access.

 

...

This document

outlined attacks from malicious programs using available API's (MIDP2, CLDC, RIM). For these attacks to

succeed, these malicious programs would need to be specifically installed by a user. If the malicious programs

are not signed, limited opportunities exist to exploit the platform, most involving a significant

amount of social engineering. However, the burden of buying a code-signing key for $100 would discourage

only the most casual attacker. Any entrepreneurial, curious or malicious party could buy a signing key using

the means outlined in this document and develop a range of deceptive or malicious software for the

BlackBerry handheld device. Without a signing key, all of the attacks require further user judgement and

interaction to succeed. However protection via user judgement cannot be overestimated, as it has been

proven ineffective over and over again on other platforms such as the PC

[Vinni]

Кстати, планируется использовать России как раз корпоративный вариант :smile3:

 

_ttp://www.cnews.ru/news/top/index.shtml?2007/12/13/279414

"Билайн" и МТС начинают продажу BlackBerry

13.12.07, Чт, 15:13, Мск, Текст: Андрей Арсентьев / Фото: flickr.com by evilbyte

 

«ВымпелКом» и МТС получили разрешения ФСБ на ввоз в Россию коммуникаторов BlackBerry. Вероятно, уже к концу 2007 г. первые клиенты смогут подключиться к популярному на Западе средству защищенной корпоративной коммуникации. МТС за год разрешено импортировать 8000 устройств, «Вымпелкому» - 1050. В первую очередь, BlackBerry заинтересует сотрудников транснациональных корпораций, говорят представители операторов и аналитики.

 

Компании «Вымпелком» (торговая марка «Билайн») и МТС после двухлетних переговоров наконец получили разрешения ФСБ на ввоз в Россию коммуникаторов BlackBerry, выпускаемых канадской компанией Research in Motion (RIM). Данные устройства позволяют клиентам, кроме стандартных функций телефона, получать защищенный специальными кодами доступ к электронной почте, интернету и различным корпоративным сервисам. На сегодня BlackBerry пользуются около 9 млн. человек, большей частью из США и Канады. В «Вымпелкоме» CNews рассказали, что ими получено разрешение импортировать за год 1050 устройств BlackBerry 8700g. «Это наиболее популярная и продвинутая модель», — объясняют свой выбор в компании. Около 100 коммуникаторов в настоящее время уже находятся на таможне. Около 8000 аппаратов моделей 8100 Pearl, 8300 Curve, 8700g, 8800 разрешено ввезти МТС. «Получение данных разрешений — вопрос технический, — говорят в компании. — МТС будет получать разрешения на ввоз по мере роста числа абонентов BlackBerry. Неприкосновенность коммерческой и частной информации, безусловно, будет гарантирована. В рамках СОРМ государство позволяет себе вмешиваться только в строго оговоренных законом случаях, когда речь идет о раскрытии преступлений». Условия подключения к сервису BlackBerry абонентов «Вымпелкома» пока полностью не разработаны, но в компании рассчитывают, что первые клиенты смогут получить BlackBerry до конца этого года. «Прайс-листы на оборудование и услуги в настоящий момент утверждаются, мы пока не готовы назвать точную цену аппаратов и стоимость услуг», — рассказали в свою очередь в МТС.

 

Серверы для хранения информации пользователей BlackBerry, подключенных «Вымпелкомом» и МТС, будут расположены на стороне корпоративного клиента, что является схемой, рекомендованной RIM во всем мире. «В первую очередь, к сервису BlackBerry заинтересованы подключаться сотрудники транснациональных корпораций, работающие в России, — для них эта услуга давно стала корпоративным стандартом», — отмечают в компании «Вымпелком». «Мы видим, что услуга BlackBerry интересна и, скорее всего, будет пользоваться спросом», — отметили в МТС. Напомним, что в октябре 2007 г. МТС удалось запустить сервис BlackBerry в Украине. Как рассказал CNews представитель компании, в этом государстве сейчас очень большая заинтересованность в BlackBerry, терминалы быстро раскупаются по мере поставок. «Точное число клиентов мы назвать не готовы, несколько серверов уже эксплуатируются, ряд крупных клиентов сейчас устанавливают оборудование, и значительное число компаний, в том числе и крупнейшие международные корпорации, находятся в процессе принятия решения», — говорят в МТС. Стоимость смартфонов BlackBerry, которые предлагает «МТС Украина», составляет порядка $400, ежемесячная абонентская плата — около $60. «Удел BlackBerry в России — узкое нишевое решение, — считает старший аналитик J’son & Partners Сергей Савин. — Распространенным оно не станет из-за специфики устройства: большинство предлагаемых функций не нужны массовому пользователю, о защите каналов информации тоже беспокоятся далеко не все. Поэтому главным образом BlackBerry будут покупать для сотрудников крупных международных компаний. Хотя клиенты из ряда российских фирм тоже могут быть заинтересованы в подключении устройства — прежде всего, с имиджевой точки зрения». По мнению специалиста, для рядовых пользователей в России своеобразным аналогом BlackBerry станет представленный недавно компанией «Мегафон» сервис MegaSync на основе решения Nokia Intellisync Wireless Email.