НовостиСобытияКонференцииФорумыIT@Work
Мобильные решения:

Блог

Шифрование в Android с точки зрения пользователя

Сергей Голубев
30.05.2014 18:34:41

Наступающее лето в очередной раз заставляет задуматься о безопасности данных в поездках. Как принципиальный сторонник BYOD, я использую исключительно собственные устройства, поэтому и их обслуживанием мне заниматься самому. Разумеется, я сразу вспомнил про неприятную историю, которая произошла с Андреем Колесовым — нехорошие люди украли у него рюкзак со всеми электронными гаджетами.

Одно дело — умничать, когда несчастье случилось с товарищем, давая ценные советы задним числом. Другое — прекрасно понимать, что с тобой может случиться то же самое. Поэтому следует не только принять какие-то меры по предотвращению кражи, но и постараться минимизировать потери, если она вдруг всё-таки произойдёт.

Разумеется, планшета мне будет жаль. Но ещё неприятнее осознавать, что совершенно чужой человек читает твои письма и заметки, смотрит твои фото и вообще — хозяйничает на моём планшете, как у себя дома. Конечно, у меня там нет информации, составляющей государственную или коммерческую тайну (по крайней мере, я так думаю). Но всё равно неприятно.

Есть методы, позволяющие дистанционно уничтожить все данные и даже приблизительно установить местонахождение планшета. Однако, чтобы ими воспользоваться, мне потребуется самому добраться до компьютера с выходом в интернет. За это время многое может произойти.

Поэтому — шифрование всего устройства. И пусть злоумышленники подбирают пароль. Тем более, что он должен быть достаточно сложным — не менее 6 символов и хотя бы одна цифра. Вся процедура занимает примерно час, поэтому вечером запустил процесс, а утром получай устройство, данные на котором защищены.



Только делать я этого не стал. И вот почему.

По непонятным мне причинам обратной функции у системы Android нет. То есть, зашифровать устройство довольно легко, а вот расшифровать его обратно — только через возврат к заводским настройкам и восстановлению из резервной копии, которую надо ещё сделать. Поскольку большую часть времени я всё-таки провожу не в поездках, а дома, то серьёзная защита и связанные с этим неудобства (при каждой разблокировке планшета мне придётся вводить сложный пароль) мне нужны на какое-то не очень продолжительное время.

Мораль очевидна. Если в принципе разумные меры безопасности создают пользователю чрезмерные неудобства, то эти меры реализованы не будут. Особенно это актуально для BYOD, где тотальный контроль за пользователем со стороны компании по понятным причинам невозможен.

Комментариев: 21

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии

Donat Lipkovsky
31.05.2014 03:20:26

Странная статья и странные выводы.

Код
Если в принципе разумные меры безопасности создают пользователю чрезмерные неудобства, то эти меры реализованы не будут. Особенно это актуально для BYOD, где тотальный контроль за пользователем со стороны компании по понятным причинам невозможен.

При использовании Google Apps для бизнеса - шифрование/расшифровка планшета или смартфона на Android - занимает 10 минут. Никакой сброс к начальным настройка не требуется.
Парольная блокировка экрана из не менее 8 символов обязательна. Прежде, чем сотрудник получает доступ к корпоративному сервису, устройство должно быть одобрено администратором. Перед подключением, на Андроид ставиться приложение Google Apps Device Policy - которое проверяет зашифровано ли устройство и включен ли пароль на блокировку экрана. Это основные требования для подключения в корпоративному сервису Google Apps - без них, а так же одобрения администратором конкретного устройства в панели управления Google Apps - подключения не будет. После подключения, администратор получает практически полный контроль над устройством, которые в основном сводятся к возможности удалить все данных и применении административных политик.
Я как то, уже говорил - или пользователь подключает своё устройство к BYOD и выполняет все требования безопасности или ему в нормальной компании никто подключить устройство не даст.
Собственно всё это можно почерпнуть вот тут Google Apps Device Policy.
Да всё это создаёт неудобства, но в нормальной организации баланс безопасность/удобство всегда в сторону - безопасность.

31.05.2014 10:56:27

Цитата
Если в принципе разумные меры безопасности создают пользователю чрезмерные неудобства

... то это не разумные меры безопасности.

Цитата
нормальной организации баланс безопасность/удобство всегда в сторону - безопасность

то это не очень нормальная организация.

31.05.2014 11:27:20

Цитата
то это не очень нормальная организация.


Совершенно верно. Сотрудники из такой компании очень быстро разбегутся, а останутся только те, кому разбегаться некуда. Если организация не прямо или косвенно бюджетная, то это закончится для неё плохо.

31.05.2014 11:41:18

Я начилал свою трудовую деятельность (почти пять лет) в очень секретной конторе.
Система безопасности строится на четкой структуризации проблемы.
Основные документы и материалы можно хранить в рабочем столе (без замков), какие-то - в личном сейфе в комнате, и только небольшая часть - в личном чемаданчике (типа "дипломата") в спецотделе (утром взял, вчером сдал).
У меня был там весьма закрытый проект, но чемоданом я пользовался не чаще 1 раза в неделю, или даже в месяц.

При этом нужно понимать, что было еще несколько периметров физической защиты: все комнаты закрывались и опечатывались, здание закрывалось. А вся "контора" была обнесена двойным забором с контрольно-следовой полосой (не шучу). Охрана - с автоматами.

Так вот при этом системе защиты, наши умельцы умудрялись выносить с территории токарные станки (не шучу). Среди работяг (у нас там было и производство) была поговорка - "если не сможем вынести в ворота, то разберем стену и вынесем". И выносили!

31.05.2014 12:06:55

Поскольку мы начинали свою трудовую деятельность в примерно одинаковых конторах, то подтверждаю каждое написанное тобою слово smile:).
Кстати, содержимое чемодана при сдаче никто не проверял. Я брал оттуда бумаги домой, а на следующий день клал их обратно. И вообще — 90% секретности было нужно только для того, чтобы бумага не потерялась. Ты ж не хуже меня знаешь, зачем в обычные письма люди старались вставить ссылку на какую-нибудь секретную тему. Даже гриф ДСП — это уже прохождение через 1-й отдел, а не обычный секретариат. Порядка в 1-м отделе было значительно больше — хоть какая-то гарантия, что письмо действительно дойдёт до адресата. Девочки из обычного секретариата половину писем банально теряли smile:).

31.05.2014 12:22:25

А я скажу несколько иную штуку.
Во времена Перестройки (88-93 гг). Я очень активно пользовался почтой (обычной). И отправлял и получал - письма, бандероли и пр.
Я тогда у почтовиков интересовался - как надежнее отправлять, скажем важное письмо или (даже ценную) бандероль. Мне разные спецы сказали однозначно - простым, обычным оправлением. Ни в коем случае ценным,
И я так и делал.

И я уверен, что аналогично и сейчас: обычная электронная почта работает надежнее, чем "защищенные каналы". И в том числе в плане безопасности. В том числе и потому, что за обычной почтой следить очень тяжело (большие объемы), а "специальную" пасут все - и друзья и враги (причем друзья - опаснее врагов).

Так что если мне нужно будет передать тебе секретную информацию, я скорее вспользуюсь обычной почтой (придумаю, как законспирировать), но только не "спец" ! smile:-)

31.05.2014 12:27:37

Да. Умный курьер повезёт миллион в обычной авоське.

Donat Lipkovsky
31.05.2014 12:37:47

Интересно, почему у Googl'a другое мнение?!

31.05.2014 12:46:55

Потому что у Googl'а есть свои интересы, которые не обязательно совпадают с моими. Кстати, а почему некоторые вендоры (например, Samsung) предлагают пользователям свои магазины приложений, позволяя ему избежать привязки планшета к гуглоаккаунту?
Я пока с этим не сталкивался, то заслуживающие доверия люди сообщили, что начали получать на гуглопочту неудаляемые письма с рекламой.

Donat Lipkovsky
31.05.2014 12:53:56

А почему у Самсунга должна быть обязательная привязка к Гуглу?! или, как это сейчас модно к любому другому аккаунту социальных сетей. И какое отношение эта привязка имеет к обсуждаемой теме безопасности?
"неудаляемые письма с рекламой" ни на обычном моём аккаунте Гугла, ни в Google Apps не сталкивался не разу.

31.05.2014 11:41:39

Прочтите внимательнее инструкцию. Шифрование в Google Apps для бизнеса выполняется точно так же, как и без неё. Есть просто парольная защита (которая за 10 мин), но она не предусматривает шифрования.

Donat Lipkovsky
31.05.2014 12:43:38

Ссылку на Инструкцию от Гугла я дал для "общего развития", а пишу на основании того, что одна из обслуживаемых мной организации использует Gogle Apps. Если у вас Андроид, то могу сделать для вас пробный аккаунт - проверите каждый пункт моего поста. Шифрование обязательное - 10-15 минут в зависимости от мощности устройства.

31.05.2014 12:48:37

С удовольствием воспользуюсь. Потом расскажу о впечатлениях «бьёдера» с десятилетним стажем smile:).

Donat Lipkovsky
31.05.2014 13:00:43

Ок. Аккаунт предоставлю после 3 июня. Если предоставить раньше, до ежемесячной оплаты, то организации придётся платить за пробный аккаунт - местное начальство будет задавать вопросы smile:evil: . Данные по аккаунту - пароль и логин в личку.

31.05.2014 13:05:21

Спасибо smile:)

Donat Lipkovsky
31.05.2014 13:03:47

Помимо этого, для отдельных пользователей включена двухэтапная аутентификация - это когда после ввода пароля, прежде чем войти в аккаунт, надо дождаться получения кода на телефон.

Donat Lipkovsky
31.05.2014 14:01:14

Уточнение - шифрование - для смартфона - 10-15, для планшета - 37 минут.

31.05.2014 11:22:55

Я довольно много езжу, причем почти всегда с е-гаджетами. причем с целым набором - нетбук, планшет, смартфон.
Причем езжу в разных варианта - перемещание в транспорте (авто, самолеты, автобусы, поезда), а также велосипед, байдарки, пешком. В поездках - почти постоянная смена жилья (обычно - 1 ночевка в одном месте).
При этом почти постоянно в режиме работы или готовности к работе. Короче говоря, полное рабочее место всегда при мне.

Я считаю, что полное шифрование всего-всего - совершенно ненужная вещь.
Защита требуется только для действительное секретной информации: персональные сведения, данные об аккаунтах (логины и пароли). Это - 1-3 файла.
Еще адресная книга.
ВСЕ

Шиформание всего - это тупой, прямолинейный и вредный подход.Не просто неудобный, а вредный.
Примерно, как носить постоянно бронежилет, в том числе спать и купаться в нем.
То, что жить так невозможно - это само собой. Но вы еще и умрете от такой ноши скорее, чем от потенциальной пули.

Нужно провести анализ то, что и от кого вам нужно защищать. Воры - это как раз самый безобидные, с точки зрения инфобезопасности люди. Им нужные материальные ценности - сама железяка. Даже кредитки им не очень нужны - с ними легко "вляпаться".


31.05.2014 11:49:13

Цитата
(при каждой разблокировке планшета мне придётся вводить сложный пароль)


Сергей, попробуйте (вместо пароля) установить графический ключ на разблокировку. Персональная буква "зю" - и у вас доступ за секунду. Скажете - да легко подобрать! А вы попробуйте - и дайте кому-нибудь развлечься - подобрать... Я думаю, через пару минут "хакер" перебрав, как ему кажется все варианты, сдастся... smile:)

31.05.2014 12:00:07

Тут два варианта. Либо это моя подпись, образец которой у уважающего себя хакера уже есть. Либо я сам забуду, какую именно «зю» использовал smile:).
У обычного человека ИБшные вопросы на каком-то сто первом месте. Не будет он этим заморачиваться.

31.05.2014 12:09:15

Цитата
Либо я сам забуду, какую именно «зю» использовал .


Как вариант - тату "зю" на укромном участке вашего организма smile:D По крайней мере, не нужно будет загружать ненужной информацией ячейку памяти своего мозга... smile:)

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии