Сертификат AM Test Lab
Номер сертификата: 420
Дата выдачи: 22.08.2023
Срок действия: 22.08.2028
- Введение
- Функциональные возможности Anwork
- Внешний аудит безопасности Anwork
- Сценарии использования Anwork
- Выводы
Введение
Организация защищённого взаимодействия с клиентами, коллегами, партнёрами по бизнесу — одна из самых актуальных задач, стоящих перед ИТ-департаментами компаний любых размеров. Утечка любой информации, не только стратегической, но и операционной, может привести к значительному финансовому или репутационному ущербу. Однако, несмотря на наличие закупленных защищённых корпоративных средств, сотрудники зачастую предпочитают пользоваться популярными мессенджерами: они привычнее и удобнее, чем, например, почтовые клиенты.
При этом культура безопасного общения сильно отстала от возможностей мессенджеров, направленных на популяризацию и пользовательское удобство в ущерб безопасности. Так, огромная часть конфиденциальной информации хранится на серверах популярных мессенджеров, что регулярно становится причиной компрометации данных. Например, в ноябре 2022 г. из WhatsApp утекла база данных о контактах около 500 млн пользователей. Телеграм-аккаунты угоняются злоумышленниками, как с целью доступа к информации, так и для последующего шантажа владельца. Мессенджер Exlu был взломан для слежки за людьми, а в Threema был обнаружен баг, позволяющий получить доступ к закрытым ключам пользователей.
В связи с подобными инцидентами в разных странах вводятся запреты на использование зарубежных приложений для передачи конфиденциальных данных разного рода.
Ещё одной угрозой для обеспечения конфиденциальности данных, хранимых на телефонах, стало увеличение количества шпионского программного обеспечения, внедряемого в приложения и передающего данные третьим сторонам. Подобные программы регулярно попадают на устройства пользователей.
Исходя из существующих тенденций, в России запреты на использование подобных приложений будут только расширяться, затрагивая всё новые отрасли экономики и бизнес-деятельности компаний различной направленности.
В ответ на эти риски в России появилось мобильное приложение Anwork, предназначенное для обеспечения безопасности корпоративных коммуникаций и конфиденциальности передаваемых данных.
Главная особенность Anwork состоит в том, что во главу угла была поставлена задача обеспечения конфиденциальности общения и обмена данными, когда третьи лица исключены как риск; при этом удобство использования осталось таким же, как у любого популярного мессенджера.
Использование Anwork возможно в двух вариантах: в виде SaaS-модели, когда вся инфраструктура, обеспечивающая работу мессенджера, находится на внешних ресурсах, и локально (on-premise), с размещением всех элементов в инфраструктуре заказчика. Второй вариант является нестандартным и для каждой компании проектируется индивидуально.
Рассмотрим функциональные возможности Anwork в разрезе этих двух аспектов — безопасности данных и удобства использования как стандартного мессенджера.
Функциональные возможности Anwork
Обезличенная регистрация в системе
Концептуальная особенность приложения Anwork состоит в том, что пользователь не проходит стандартную процедуру регистрации. Это исключает возможность найти его, например, по номеру телефона либо извлечь информацию о нём из профиля.
Вторая особенность приложения — в нём отсутствует общий список контактов. Пользователь видит только те группы, в состав которых включён, и те контакты, с которыми у него установлена связь.
Каким же образом обеспечивается взаимодействие пользователей в приложении? После заключения договора вендор предоставляет покупателю лицензионный ключ на определённое количество пользователей. Клиент в свою очередь предоставляет ключ своим сотрудникам, те вводят его после установки мобильного приложения. При подключении к лицензионному серверу, находящемуся в инфраструктуре Anwork, происходит проверка комбинации идентификатора пользователя и ключа.
- Если комбинация известна и срок лицензии не истёк, пользователь подключается к системе.
- Если указанное сочетание неизвестно, но условия лицензии не нарушаются, то происходит регистрация устройства на сервере.
- Если же все купленные экземпляры лицензии исчерпаны, то вход в приложение блокируется и пользователь получает соответствующее сообщение.
Рисунок 1. Процесс регистрации пользователя в системе Anwork 0.7.3
При первом входе в приложение для каждого пользователя генерируется набор ключей:
- «ID Key» — постоянный обезличенный ключ идентификации, который не привязан к личным данным либо атрибутам устройства;
- «Signed Prekey» — промежуточный ключ, применяемый для генерации групповых ключей;
- список одноразовых предварительных ключей, используемых для обмена групповыми ключами при приглашении новых членов в группу.
Связки ключей (только открытые части) для каждого пользователя регистрируются на сервере после первого входа в систему.
Создание групп и обмен данными
Anwork позволяет создавать рабочие группы для общения в чатах и обмена данными.
Для включения в группу новых членов пользователь «А» генерирует код группового приглашения. Код отправляется на сервер и сохраняется там в течение одного часа. Приглашённый участник, воспользовавшись действительным кодом, получает публичную часть «ID Key», публичную часть «Signed Prekey» и один одноразовый предварительный ключ пользователя «А».
Рисунок 2. Процесс организации рабочих групп в Anwork 0.7.3
Полученные от сервера ключи позволяют новому участнику установить соединение с пользователем «А» и обменяться с ним специальными ключами SKDM, каждый из которых уникален для комбинации «пользователь — группа». С помощью SKDM-ключей пользователи могут шифровать (расшифровывать) данные, отправляемые на сервер, при этом сервер выступает в роли почтового ящика, не имея возможности «читать» передаваемое.
Рисунок 3. Процесс обмена данными в рабочих группах Anwork 0.7.3
Параметры безопасности
Функциональные возможности Anwork позволяют реализовать принцип асимметричного канала связи, когда отправка и получение сообщений не зависят от статуса другого пользователя (онлайн / офлайн). Для реализации этого принципа в цепочку включается дополнительный участник системы — сервис доставки. Он выполняет роль своеобразной «ячейки», доступ к которой имеет только получатель. Срок хранения зашифрованного сообщения в этой «ячейке» — до 14 дней. «Ячейка» опустошается сразу после того, как пользователь появляется в сети, и сообщение доставляется на целевое устройство, где и расшифровывается. Расшифровка сообщения в сервисе доставки невозможна.
На мобильных устройствах пользователей история сообщений хранится в зашифрованном виде и автоматически уничтожается спустя определённое время (от 1 до 14 дней).
Ключи пользователей находятся в специально защищённых аппаратных хранилищах мобильных устройств: Keychain (iOS) и Keystore (Android). Метаданные шифруются с помощью протокола TLS, а безопасность передачи данных обеспечивается закреплением SSL-сертификата (SSL Pinning).
Для обеспечения безопасности и криптостойкости приложения и данных компания-разработчик использует несколько протоколов шифрования, среди которых можно выделить X3DH (Extended Triple Diffie-Hellman), асинхронный протокол согласования ключей, позволяющий двум участникам выработать общий секрет на основе открытых ключей и одновременно провести аутентификацию. В этом протоколе пользователь «А» запрашивает три подписанных ключа пользователя «В», которые тот заблаговременно (например, при регистрации) разместил на сервере, и для каждого подписанного ключа выполняет протокол Диффи — Хеллмана. Новый общий секрет получается путём объединения (конкатенации) результатов работы трёх протоколов Диффи — Хеллмана.
Ещё один протокол, Double Ratchet Algorithm, позволяет двум участникам с помощью предварительно распределённого общего секрета, выработанного по протоколу X3DH, обмениваться зашифрованными сообщениями. Здесь один участник вырабатывает новый общий секрет по протоколу Диффи — Хеллмана с помощью старого открытого ключа другого пользователя (полученного, например, в предыдущей итерации этого протокола, выполненной другим участником) и своего нового секретного ключа, который вырабатывается в процессе выполнения протокола; при этом соответствующий открытый ключ пересылается в открытом виде другому участнику вместе с зашифрованным сообщением.
Для устройств на базе ОС Android реализован запрет на создание скриншотов.
Автоматическое удаление сообщений
Для того чтобы минимизировать риск компрометации старых сообщений, в приложении реализован механизм их автоматического удаления в установленный пользователем срок, но не более чем через 14 календарных дней.
Создание групп и работа в них
Для реализации возможностей популярных мессенджеров Anwork позволяет использовать как индивидуальные чаты, так и работу в группах. Для приглашения пользователя в рабочую группу генерируется специальный буквенный и QR-код, срок действия которого составляет один час. В рабочих группах есть возможность создания и ведения заметок (в т. ч. для планирования задач), обмена сообщениями и файлами размером до 128 МБ. Как и в обычных мессенджерах, для группы можно установить иконку и название.
В чате группы видны как сообщения, так и информация об их прочтении, добавлении новых участников или пропущенных звонках.
Аудио- и видеовызовы
Ещё одна функциональная возможность Anwork, делающая приложение более удобным, — возможность организации конференций. Аудиоконференции распространяются на группы численностью до пяти человек, видеосвязь — в формате «один на один». Так же как и сообщения, аудио- и видеотрафик шифруется и отправляется напрямую без участия сервера-посредника по принципу «peer-to-peer» (P2P) для невозможности компрометации данных.
Внешний аудит безопасности Anwork
Для подтверждения защищённости приложений Anwork для платформ iOS и Android компания привлекла одного из ведущих мировых разработчиков решений для детектирования и предотвращения кибератак, выявления мошенничества и защиты интеллектуальной собственности в сети. Специалисты приглашённой организации проверили реальное состояние защищённости внешнего и внутреннего периметров приложения для конечных пользователей, а также уровень компетентности специалистов компании-разработчика в вопросах ИБ, используя максимальное количество векторов атак.
После внедрения новых функций вендор снова пригласил внешних специалистов для выявления и устранения уязвимостей, которые потенциально могут нанести вред пользователям приложения. Подобная практика является регулярной, в результате чего в Anwork минимизирован риск эксплуатации брешей.
Таблица 1. Результаты исследования приложения Anwork 0.7.3 для Android
Уязвимость | Исходный риск | Результат | Текущий риск | Форма эксплуатации |
Небезопасное хранение конфиденциальных данных в локальном хранилище | Высокий | Исправлено | Отсутствует | Отсутствует |
Некорректная реализация механизма привязки приложения к устройству | Высокий | Исправлено | Отсутствует | Отсутствует |
Небезопасное хранение ключей | Средний | Исправлено | Отсутствует | Отсутствует |
Небезопасная реализация алгоритма генерации пароля | Средний | Исправлено | Отсутствует | Отсутствует |
Применение слабой парольной политики для ПИН-кодов | Средний | Исправлено | Отсутствует | Отсутствует |
Некорректная реализация функции выработки ключа | Низкий | Исправлено | Отсутствует | Отсутствует |
Раскрытие пользовательских данных в оперативной памяти | Низкий | Частично исправлено | Информационный | Физический доступ |
Раскрытие конфиденциальной информации в файлах скриншотов | Низкий | Исправлено | Отсутствует | Отсутствует |
Некорректная реализация механизма SSL Pinning | Низкий | Исправлено | Отсутствует | Отсутствует |
Возможность использования механизмов межпроцессорного взаимодействия сторонними процессами | Низкий | Исправлено | Отсутствует | Отсутствует |
Использование устаревших программных компонентов | Низкий | Исправлено | Низкий | Отсутствует |
Неэффективный механизм обнаружения прав суперпользователя на устройстве | Низкий | Частично исправлено | Низкий | Отсутствует |
Таблица 2. Результаты исследования приложения Anwork 0.7.3 для iOS
Уязвимость | Исходный риск | Результат | Текущий риск | Форма эксплуатации |
|---|---|---|---|---|
Некорректная реализация механизма привязки приложения к устройству | Высокий | Исправлено | Отсутствует | Отсутствует |
Небезопасное хранение конфиденциальных данных в локальном хранилище | Средний | Исправлено | Отсутствует | Отсутствует |
Небезопасное хранение ключей | Средний | Частично исправлено | Низкий | Физический доступ |
Небезопасная реализация алгоритма генерации пароля | Средний | Исправлено | Отсутствует | Отсутствует |
Отсутствие ограничений на количество попыток локальной аутентификации | Средний | Исправлено | Отсутствует | Отсутствует |
Применение слабой парольной политики для ПИН-кодов | Средний | Исправлено | Отсутствует | Отсутствует |
Наличие конфиденциальной информации в файлах резервных копий | Средний | Исправлено | Отсутствует | Отсутствует |
Отсутствие антиотладочных механизмов | Низкий | Не исправлено | Низкий | Физический доступ |
Раскрытие пользовательских данных в оперативной памяти | Низкий | Частично исправлено | Информационный | Физический доступ |
Отсутствие механизма обнаружения прав суперпользователя на устройстве | Низкий | Исправлено | Отсутствует | Отсутствует |
Некорректная реализация механизма SSL Pinning | Низкий | Исправлено | Отсутствует | Отсутствует |
Раскрытие конфиденциальной информации в файлах скриншотов | Низкий | Исправлено | Отсутствует | Отсутствует |
Таблица 3. Методы прикладного программного интерфейса (API), используемые Anwork 0.7.3
Уязвимость | Исходный риск | Результат | Текущий риск | Форма эксплуатации |
|---|---|---|---|---|
Возможность перечисления сессионных токенов | Низкий | Исправлено | Отсутствует | Отсутствует |
Таблица 4. Серверные API Anwork 0.7.3
Уязвимость | Исходный риск | Результат | Текущий риск | Форма эксплуатации |
|---|---|---|---|---|
Отсутствие необходимых HTTP-заголовков безопасности | Низкий | Частично исправлено | Информационный | Удалённый доступ |
Сценарии использования Anwork
Использование в банке
Рассмотрим практическое применение Anwork в банковской сфере. Предположим, что сотрудник банка занимается сопровождением сделок типа M&A (поглощение и слияние). Утечки информации о планируемой покупке или продаже активов могут негативно повлиять на их стоимость и привести к финансовому ущербу для компании-продавца или компании-покупателя. При этом, с одной стороны, количество каналов утечки информации велико (мобильные телефоны и офисные АТС, корпоративная почта и внешние мессенджеры), а с другой стороны, время и возможности для организации очной встречи с целью обсуждения актуальных тем есть не у всех.
Для минимизации подобных рисков приложение Anwork используется в банке для раздельного коммуникативного взаимодействия внутри отдела обеспечения сделок M&A, с компанией-продавцом и потенциальными покупателями.
Рисунок 4. Список групп в Anwork 0.7.3
Рисунок 5. Управление группой в Anwork 0.7.3
В рабочей группе с компанией-продавцом происходят обсуждение проведённых встреч и полученных предложений, обмен файлами и т. д.
Рисунок 6. Рабочий чат в Anwork 0.7.3
В Anwork 0.7.3 есть функция добавления заметок для участников соответствующих групп.
Рисунок 7. Список активных заметок в группе Anwork 0.7.3
Рисунок 8. Список завершённых заметок в группе Anwork 0.7.3
Необходимо отметить, что участники группы не могут видеть контактные данные друг друга, а следовательно, не могут взаимодействовать между собой в обход банка.
Рисунок 9. Информация о контактах в Anwork 0.7.3
При необходимости выполняются конференц-звонки.
Рисунок 10. Проведение аудиоконференции в Anwork 0.7.3
Рисунок 11. Проведение аудиозвонка в Anwork 07.3
Отдельно необходимо отметить систему приглашения участников в группы. Для этого генерируются специальные коды, которые действуют в течение одного часа, что снижает риски в случае их утечки из почтовой системы или мессенджера приглашаемого.
Рисунок 12. Ошибка при вводе кода с истёкшим сроком действия в Anwork 0.7.3
В случае если по какой-то причине необходимо удалить все данные из приложения, пользователь вводит экстренный ПИН-код.
Рисунок 13. Настройка экстренного ПИН-кода в Anwork 0.7.3
Использование в сфере юридических услуг
Практика проведения судебных разбирательств в отношении доверителей требует соблюдения всех норм конфиденциальности, как с точки зрения делового этикета, так и для соответствия законодательству. Эти требования распространяются и на небольшие компании, и на крупнейших участников рынка. Утечки информации о материалах дела могут привести к разным последствиям, начиная от репутационного ущерба для обеих сторон и вплоть до лишения адвокатского статуса.
Использование Anwork в подобном сценарии позволит организовать прямую связь «участник судебного разбирательства — юрист» с минимальным риском нарушения конфиденциальности.
При этом особым преимуществом Anwork может быть возможность организации видеоконференции в режиме «один на один».
Рисунок 14. Проведение видеоконференции в Anwork 0.7.3
Также будет полезна функция обмена документами — например, стратегией защиты клиента юридической фирмы или материалами рассматриваемого дела. Anwork исключает риск попадания подобных конфиденциальных материалов в третьи руки, в т. ч. к компании-разработчику.
Рисунок 15. Обмен файлами в Anwork 0.7.3
Таким образом будут обеспечены конфиденциальность и последующее удаление передаваемых данных, а также оперативная связь между участником судебного процесса и сопровождающей процесс юридической фирмой.
Организация взаимодействия топ-менеджмента компании
Как показывает статистика, причиной большей части инцидентов с утечками данных являются действия персонала. В связи с этим топ-менеджмент зачастую оказывается в непростой ситуации, связанной с выбором доверенных каналов общения, где могут обсуждаться стратегические и тактические бизнес-вопросы, влияющие на судьбу компании. Данные, которые передаются через популярные мессенджеры и почтовые сервисы, принадлежат владельцам этих сервисов. Организация коммуникаций через внутрикорпоративные программные решения грозит утечкой в случае подкупа ИТ- или ИБ-персонала компании.
Таким образом, защищённый корпоративный мессенджер, обеспечивающий сквозную (end-to-end) передачу данных, является удобным способом минимизации рисков при сохранении привычной функциональности.
Выводы
Защищённый мессенджер от компании Anwork пригодится для организации коммуникаций, нарушение конфиденциальности которых может повлечь за собой негативные последствия — например, для общения между членами совета директоров, врачами и пациентами, работниками и клиентами банковской организации, да и в обычной операционной деятельности любой компании, которая использует мессенджеры как средство связи.
Безопасность в мессенджере обеспечивается за счёт использования протокола Signal, дополненного криптостойкими протоколами шифрования, а также большого количества криптоалгоритмов, сквозного шифрования и отсутствия серверов, на которых хранятся данные.
Дополнительно безопасность информации обеспечивается автоматическим удалением сообщений в установленный срок и возможностью задать специальный код, после ввода которого все данные удаляются.
Осенью 2023 г. ожидаются выпуск веб-версии мессенджера и внесение Anwork в реестр отечественного ПО.
Подход вендора к построению процесса удобного обмена данными, где основным приоритетом является безопасность, воплощает тот принцип, которым должен руководствоваться рынок корпоративных мессенджеров в дальнейшем. Для клиентов и работников компаний он может стать определённым индикатором отношения к безопасности. Использование подобных мессенджеров рекомендуется не только организациям банковской или юридической сферы, но и всем компаниям, где происходит регулярный обмен конфиденциальными данными, утечка которых может привести к негативным последствиям.
Достоинства:
- Проверенная криптостойкость.
- Регулярный аудит защищённости с привлечением независимых экспертов по ИБ.
- Недоступность передаваемых данных и контактных сведений о пользователях.
- Локальное хранение данных на смартфонах пользователей.
- Неизвлекаемость информации из приложения в ОС смартфона.
- Управление правами доступа к мессенджеру.
- Возможность настройки автоудаления в срок от 1 до 14 дней.
Недостатки:
- Отсутствие настольной версии приложения (релиз намечен на сентябрь).
