Smartfony, mimo że są wyposażone w najnowocześniejsze technologie, w dalszym ciągu pozostają w tyle za komputerami stacjonarnymi, jeżeli chodzi o bezpieczeństwo. Aplikacje i oprogramowanie urządzeń mobilnych są nadal w dużym stopniu narażone na ataki, a obecne zabezpieczenia oprogramowania są często ograniczone. Uczestnicy projektu ASPIRE opracowali gotowe do użycia rozwiązanie dla sprzedawców i twórców oprogramowania, pozwalające na wyeliminowanie tych problemów.

Gospodarka cyfrowa

Statystyki wskazują na jedynie niewielki wzrost bezpieczeństwa urządzeń mobilnych, od czasu gdy na rynek wprowadzono pierwszy smartfon. Według Arxan, lidera w dziedzinie ochrony oprogramowania urządzeń mobilnych na rynku, 90% aplikacji ma krytyczne braki w zabezpieczeniach, a 46% firm produkujących aplikacje spodziewa się, że ich produkty zostaną zhakowane w ciągu sześciu miesięcy; i mimo że zabezpieczenia są dostępne na rynku, nie zapewniają one dostatecznej ochrony, są drogie lub trudne w obsłudze. "Twórcy nie są praktycznie w stanie określić wartości zabezpieczeń, w które inwestują, ani ocenić korzyści i ryzyka związanych z zabezpieczeniem", mówi Bjorn De Sutter, koordynator ASPIRE i profesor Pracowni Systemów Komputerowych na Uniwersytecie w Gandawie. Ponieważ większość organizacji ma ograniczony budżet jeśli chodzi o inwestowanie w bezpieczeństwo swoich aplikacji, wygląda na to, że rynek wpadł w błędne koło. Tutaj właśnie do akcji wkracza ASPIRE: "Próbowaliśmy tworzyć nowe technologie prezentując konkretne ulepszenia", wyjaśnia profesor De Sutter. "Na przykład, opracowaliśmy techniki ochrony przed debuggingiem, które naprawdę trudno obejść. Przesunęliśmy granice, łącząc wiele sposobów ochrony i analizując wiele właściwości i trudności (takich jak rozlokowanie na poziomie źródłowym czy binarnym) przy jednoczesnym zachowaniu wymagań branży, takich jak kooperacja ze standardowymi kompilatorami kodu, w których nie ma możliwości kontroli procesu generowania kodu. Konsorcjum potwierdziło wykonalność tych akademickich rozwiązań na skomplikowanych, rzeczywistych przypadkach i opracowało system wspomagający podejmowanie decyzji z wbudowaną metodologią oceny dla wzmocnienia ochrony oprogramowania. "O ile nam wiadomo, jest to pierwsze tego rodzaju rozwiązanie pozwalające użytkownikom na wybranie takiego zestawu zabezpieczeń, który będzie odpowiedni dla ich oprogramowania, aktywów i wymagań bezpieczeństwa", twierdzi profesor De Sutter. Połączenie mocnych stron Jedną z głównych mocnych stron ASPIRE jest połączenie różnych technik ochrony. Celem jest oczywiście utrudnienie zadania hakerom, ale również spełnienie wymagań związanych z wielością aktywów zawartych w jednej aplikacji. Wreszcie, podejście to pozwala systemowi chronić nawet same techniki bezpieczeństwa. Według profesora De Suttera takie połączenie sprawia, że potencjalne ataki będą na tyle czasochłonne i trudne do przeprowadzenia, że nie będą opłacalne. Od strony technicznej, ASPIRE łączy pięć linii obrony: ukrywanie wartości danych, zaciemnianie kodu, techniki zabezpieczenia przed manipulacjami, zdalne poświadczenia oraz techniki odnawialności. "Techniki odnawialności pozwalają na dystrybucję różnych wersji tego samego programu i częstą aktualizację programów, tak aby znalezione skuteczne ścieżki ataku mogły być wykorzystane tylko w ograniczonej liczbie instancji oprogramowania przez ograniczony czas", wyjaśnia profesor De Sutter. Celem jest zmniejszenie opłacalności ataku, co może prowadzić do ich mniejszej liczby. Aby zweryfikować skuteczność działania systemu, prof. De Sutter z zespołem stworzyli konkurs, w ramach którego hakerzy mierzą się z siedmioma programami. Osoby, którym uda się zhakować system, dostają nagrodę, o ile wyjaśnią konsorcjum sposób przeprowadzenia ataku. Patrząc w przyszłość Analiza przypadków poszerzyła wiedzę konsorcjum, którą organizacja zamierza wykorzystać w najbliższej przyszłości. Pojawiło się kilka nowych pozytywnych faktów, na przykład możliwość efektywnego zastosowania systemu ASPIRE w rozbudowanych bibliotekach wbudowanych w aplikacje Android. Ponadto konsorcjum zidentyfikowało obszary wymagające ulepszeń w zakresie skuteczności niektórych zabezpieczeń. Większość kodu stworzonego w ramach projektu będzie publicznie udostępniona po zakończeniu realizacji projektu w październiku 2016 r., aby umożliwić badaczom wykorzystanie, zbadanie i rozszerzenie zakresu działania istniejących zabezpieczeń. "Partnerzy przemysłowi projektu ASPIRE pracują nad praktycznym wykorzystaniem rezultatów badań, natomiast moja grupa będzie dalej pracować nad tymi narzędziami w wewnętrznych celach badawczych i w celu współpracy z branżą", podsumowuje prof. De Sutter.

Słowa kluczowe

ASPIRE, smartfon, bezpieczeństwo urządzeń mobilnych, aplikacje na urządzenia mobilne, bezpieczeństwo teleinformatyczne