У Міністерстві оборони США не можуть ефективно розробляти захищені мобільні додатки «з урахуванням вимог безпеки». Про це йдеться в новій заявці на дослідження Агентства оборонних інформаційних систем, з текстом якої ознайомився RT. У зв’язку з цим в Пентагоні планують створити інструменти для розробки програмного забезпечення для своїх співробітників. Між тим російські експерти відзначили, що подібний проект не вирішить проблему ненадійності мобільних додатків, однак може допомогти агентствам Пентагону пояснити, куди витрачаються виділені з бюджету гроші.
Пентагон планує працювати над створенням захищених мобільних додатків. Про це йдеться в новій заявці на дослідження Агентства оборонних інформаційних систем. Так, відомство має намір прискорити процес розробки програмного забезпечення (ПО) за допомогою створення спеціального середовища розробки.
Також наголошується, що на даний момент у Пентагону немає інструментів для створення захищеного ЗА для своїх потреб.
«Міністерство оборони США на даний момент не володіє способом ефективної розробки схвалених додатків для мобільної середовища Міноборони з урахуванням вимог безпеки до процесу розробки», — підкреслюється в документі.
У документі зазначено, що основна мета проекту — підготовка «прототипу середовища розробки програмного забезпечення на основі веб-технологій для створення безпечних мобільних додатків», які були б сумісні з механізмом забезпечення мобільного доступу до несекретным даними Міністерства оборони США (DMUC).
Підсумковий продукт повинен «мінімально» включати в себе середовище розробки додатків під Apple iOS і Android. При цьому вона повинна також володіти інструментами для автоматичної перевірки створюваних програм на відповідність вимогам інформаційної безпеки, які висувають АНБ і Пентагон.
При цьому доступ до цієї середовищі має бути з будь-якої точки світу і у всіх розробників програмного забезпечення, які отримали дозвіл на створення додатків для військового відомства США.
Користувачі мобільних пристроїв Міністерства оборони «повинні мати безпечний доступ до засобів та служб, з якими вони звикли працювати на своїх стаціонарних комп’ютерах і ноутбуках», зазначається в заявці.
Спроба відповісти на загрози
У ряді випадків співробітники військового відомства, використовуючи мобільні додатки, ризикують розкрити або втратити не тільки свої особисті дані, але й стратегічно важливу для держави інформацію. Про це в розмові з RT розповів полковник Федерального агентства урядового зв’язку та інформації (ФАПСИ) у відставку, експерт з інтернет-розвідки Андрій Масалович.
«Будь-який додаток, навіть перевірене, — все одно шпигун. Тобто велика частина додатків стежить за місцем розташування, мікрофоном і камерою. Для військових у багатьох випадках це критично, відповідно, потрібно контролювати, які дані збираються і передаються назовні», — підкреслив експерт.
Зокрема, за його словами, в пристроях, які використовують військові, повинна блокуватися фунцкія геопривязки, оскільки вона може видати розташування військовослужбовця.
Нагадаємо, в минулому році військові аналітики виявили, що спеціальна функція програми для фітнесу, яка дає користувачам можливість записувати дані про маршрути своїх пробіжок і відзначати їх на карті, розкриває становище і планування військових баз, на яких тренуються солдати.
«Stravа випустили свою глобальну теплову карту. 13 трлн точок GPS, які зафіксували їх користувачі (функцію передачі даних можна відключити). Виглядає дуже красиво, але для операційної безпеки не кращий варіант. Військові бази США чітко видно і легко опознаваемы», — написав у своєму Twitter австралійський військовий аналітик Натан Рузер з організації IUC Analysts.
Strava released their global heatmap. 13 трильйонів GPS points from their users (turning off data sharing is an option). https://t.co/hA6jcxfBQI … It looks very pretty, but not bad for Op-Sec. US Bases are clearly identifiable and mappable pic.twitter.com/rBgGnOzasq
— Nathan Ruser (@Nrg8000) 27 січня 2018 р.
Експерт в області кібербезпеки Олексій Лукацький, у свою чергу, зазначив, що розробка спеціальних програм, які відповідають всім стандартам безпеки, не вирішить проблему ненадійності мобільних пристроїв. За словами Лукацького, в даний момент американські військові активно використовують на своїх телефонах не спеціалізовані операційні системи та розроблені для них програми, а загальнодоступні платформи і програми.
«Враховуючи, що Сполучені Штати Америки досить активно на своїх мобільних пристроях використовують не спеціалізовані операційні системи, а широко поширені, наприклад Apple iOS, то виникає питання: як забезпечити захист тих додатків, які будуть випускатися на спільній операційній системі. При цьому сама Apple iOS є досить закритою і компанія Apple не випускає її з своїх рук. Тому розробити додаток без розуміння того, як захищена сама мобільна операційна система, досить складно», — зазначив експерт.
«Треба звітувати за гроші»
Вашингтон, як зазначає Андрій Масалович, щорічно виділяє величезні суми на різні проекти військових відомств, саме тому в нових заявках на дослідження звучать все більш красномовні пропозиції.
Сполучені Штати мають намір витратити $38,5 млн на створення архіву з 350 млрд записів інтернет-користувачів в соцмережах. Про це…
«У військовій сфері їдять великий бюджет. Їм треба-то за гроші звітувати, вони постійно будуть формулювати якісь цікаві словосполучення, щоб пояснити, куди тепер витрачають гроші», — зазначив експерт.
Так, у серпні минуло року Управління перспективних дослідницьких проектів Міноборони США (DARPA) виділило $44 млн на розробку нового анонімного мобільного мессенджера, стійкого до злому.
«DARPA шукає пропозиції по здійсненню інноваційних досліджень в області шифрування і обфускации повідомлень з метою створення мобільної системи зв’язку, яка буде забезпечувати анонімність, володіти стійкістю перед атаками і цілком функціонувати в межах мережевий середовища», — йдеться в документі.
Як наголошується в матеріалах тендеру, повідомлення співрозмовників всередині програми повинні бути зашифровані. Крім того, одним з основних вимог є стійкість до зломів навіть у тому випадку, якщо зловмисниками був отриманий доступ до одного з вузлів системи.
Thanks!
Our editors are notified.