Cyber-Evil Getting Ever More Personal

Smartphones will soon become the target of choice for cyber attackers—making cyber warfare a personal matter. The emergence of mobile threats is nothing new, though until now, it has mainly been a phase of testing the waters and building an arms arsenal. Evil-doers are always on the lookout for weaknesses—the easiest to exploit and the most profitable. Now, it is mobile’s turn. We are witnessing a historic shift in focus from personal computers, the long-time classic target, to mobile devices. And of course, a lofty rationale lies behind this change.

Why Mobile?
The dramatic increase in usage of mobile apps concerning nearly every aspect of our lives, the explosive growth in mobile web browsing, and the monopoly that mobile has on personal communications, makes our phones a worthy target. In retrospect, we can safely say that most security incidents are our fault: the more we interact with our computer, the higher the chances become that we will open a malicious document, visit a malicious website or mistakenly run a new application that runs havoc on our computer. Attackers have always favored human error, and what is better suited to expose these weaknesses than a computer that is so intimately attached to us 24 hours a day?

Mobile presents unique challenges for security. Software patching is broken where the rollout of security fixes for operating systems is anywhere from slow to non-existent on Android, and cumbersome on iOS. The dire Android fragmentation has been the Achilles heel for patching. Apps are not kept updated either where tens of thousands of micro-independent software vendors are behind many of the applications we use daily, security being the last concern on their mind. Another major headache rises from the blurred line between the business and private roles of the phone. A single tap on the screen takes you from your enterprise CRM app, to your personal WhatsApp messages, to a health tracking application that contains a database of every vital sign you have shown since you bought your phone.

Emerging Mobile Threats
Mobile threats grow quickly in number and variety mainly because attackers are well-equipped and well-organized—this occurs at an alarming pace that is unparalleled to any previous emergence of cyber threats in other computing categories.

The first big wave of mobile threats to expect is cross-platform attacks, such as web browser exploits, cross-site scripting or ransomware—repurposing of field-proven attacks from the personal computer world onto mobile platforms. An area of innovation is in the methods of persistency employed by mobile attackers, as they will be highly difficult to detect, hiding deep inside applications and different parts of the operating systems. A new genre of mobile-only attacks target weaknesses in hybrid applications. Hybrid applications are called thus since they use the internal web browser engine as part of their architecture, and as a result, introduce many uncontrolled vulnerabilities. A large portion of the apps we are familiar with, including many banking-oriented ones and applications integrated into enterprise systems, were built this way. These provide an easy path for attackers into the back-end systems of many different organizations. The dreaded threat of botnets overflowing onto mobile phones is yet to materialize, though it will eventually happen as it did on all other pervasive computing devices. Wherever there are enough computing power and connectivity, bots appear sooner or later. With mobile, it will be major as the number of devices is high.

App stores continue to be the primary distribution channel for rogue software as it is almost impossible to identify automatically malicious apps, quite similar to the challenge of sandboxes that deal with evasive malware.

The security balance in the mobile world on the verge of disruption proving to us yet again, that ultimately we are at the mercy of the bad guys as far as cyber security goes. This is the case at least for the time being, as the mobile security industry is still in its infancy—playing a serious catch-up.

A variation of this story was published on Wired.co.UK – Hackers are honing in on your mobile phone.

Hackers are honing in on your mobile phone

Most security incidents are, in retrospect, our own fault. The more we interact with a computer, the higher the chances that we will open a malicious document, visit a harmful website or mistakenly launch a new app that causes havoc.

Attackers favour human error, and there’s nothing better suited to expose this than the smartphone, a computer that is attached to us 24 hours a day. The dramatic increase in usage of mobile apps for many aspects of our lives, the huge growth in mobile web browsing and the monopoly mobile has on our communications makes smartphones a key target for cybercrime.

Mobile presents unique challenges for our security. Software patching is broken: the rollout of security fixes is slow to non-existent on the Android ecosystem and cumbersome on iOS. Apps are rarely kept up-to date: for thousands of independent micro-vendors, security is the last concern. A further headache arises from the blurring between the business and private roles of the phone. A single tap can now take you from your enterprise CRM app to WhatsApp or a health-tracking app containing every vital sign recorded since you bought your phone.

The first wave of mobile threats to expect will be cross-platform, such as web browser exploits, cross-site scripting or ransomware – the repurposing of PC attacks on to mobile platforms. Mobile attackers are innovative in the methods they use to hide inside apps and operating systems, making them difficult to detect.

We will start to see mobile-specific attacks targeting weaknesses in hybrid apps. These use the internal web browser engine as part of their architecture, and as a result introduce uncontrolled vulnerabilities. Many familiar apps were built this way, providing an easy path for attackers into an organisation’s back-end systems. The threat of botnets – in which hackers take control of a user’s device to enlist them in spam campaigns or DDoS – overflowing on to mobile phones has yet to materialise, but where there’s sufficient computing power and connectivity, they will appear at some point. App stores will continue to be the primary distribution channel for rogue software as it is almost impossible to identify malicious apps.

Again, we’re at the mercy of the bad guys. The mobile security industry is still in its infancy, and has some catching up to do.

 

Published on Wired

איומי סייבר על הטלפון שלך: אתגרים, טכנולוגיות, ותחזית לשנים הבאות

הטלפונים שלנו מהווים כיום את אתגר האבטחה הגדול ביותר עבור העולם הארגוני ולא בכדי. הטלפון הפך למחשב הנייד האמיתי של כולנו עם קישוריות אינטרנט עוצמתית, יכולת התקנה מיידית של תוכנות חדשות מתוך מאגר אפליקציות בלתי נדלה וכלי תקשורת עיקרי ברמה הפרטית והעיסקית. החשיבות הגוברת של מכשיר זה בחיינו לא נעלמה מהתוקפים שהפכו את הטלפון ליעד אטרקטיבי להשגת מטרות שונות. החל מגניבת הזהות הפרטית לצורך עשיית רווחים ועד תקיפות ייעודיות נגד ארגונים וכאן הסיפור מתחיל להסתבך. הטלפון הפרטי שלנו הפך לחלק בלתי נפרד ממערך המחשוב הארגוני של חברות רבות בזכות חיבור קל יחסית ליישומים ארגוניים. כיום כל תוכנה ארגונית מתגאה בהתאמה שלה לטלפונים בכדי לאפשר עבודה בלתי פוסקת בין אם אנחנו במשרד או לא. קישוריות זו לארגונים הפכה את הטלפון שלנו לכלי המועדף לביצוע תקיפות אצל גורמים עויינים שמחפשים תמיד אחר דרכים מהירות ופשוטות להשיג את מטרתם. ואכן קל מאוד מבחינה טכנית לשתול קוד עויין בטלפון של עובד זה או אחר בכדי לחדור למערכות הארגוניות.

הערבוב בין השימוש הפרטי לעסקי בטלפון פועל לרעתנו ומאפשר את קיומן של חולשות רבות המנוצלות היטב על ידי תוקפים. לדוגמא, החופש להתקין כל אפליקציה על הטלפון בניגוד כמובן למה שקורה על המחשב הארגוני שלנו, מאפשר לאפליקציות עויינות שמתחפשות לאפליקציות לגיטימיות לחדור בקלות לטלפון ולבצע את זממן באין מפריע. רק השנה חוקרים מצאו בחנות האפליקציות של גוגל 30,000 אפליקציות שסווגו כפוגעניות. דוגמא נוספת הינה ההגנה על התקשורת שיוצאת ממכשיר הטלפון. הטלפון שלנו מתחבר במשך היום לרשתות אלחוטיות רבות, מוכרות ולא מוכרות, רשתות שהביטחון בהן נמוך מאוד. חופש תקשורתי זה מגביר באופן דרמטי את הסיכוי להאזנות, גניבת מידע ושימוש בנתונים הכוללים את הזיהוי של המשתמש לביצוע תקיפות מאוחרות יותר. הימים בהם הארגון שלט בטלפון של העובד באופן מוחלט עברו וחלפו והבנה זאת חילחלה גם לספקי התוכנה והיצרנים של הטלפונים וכמובן לממונים על האבטחה. המתח הזה בין החופש בשימוש בטלפון לבין הצורך בהגנה על הסביבה הארגונית נמצא היום בראש העדיפויות של מנהלי האבטחה הארגוניים. צורך מתהווה זה נקלט גם במוחם היצירתי של יזמים רבים בתחום הסייבר וזליגת האיום הארגוני למובייל היתה ועדיין מהווה כר פורה להמצאות טכנולוגיות שונות. ישראל, כמובילה טכנולוגית עולמית בתחום האבטחה, מהווה שחקן נכבד גם בתחום זה עם מספר לא מבוטל של סטארטאפים וחברות בוגרות יותר שמציעות פתרונות אבטחה לתחום המובייל.

תחום זה נוצר לפני מספר שנים מיד עם ההצלחה המסחררת של טלפונים חכמים וצפוי בשנים הבאות להתממש במובן של רכישות והתפתחות יישומים וטכנולוגיות עם התאמה טובה לשוק. טכנולוגיות האבטחה בתחום המובייל מתחלקים למספר קטגוריות:

טלפונים מאובטחים – גוגל, סמסונג, בלקברי וסטארטאפים נוספים מנסים לכבוש את שוק הטלפונים המאובטחים. החל מטלפונים מאובטחים ברמה צבאית המיועדים עבור גופים ממשלתיים וצבאות עד טלפונים שמאפשרים קיום הפרדה בין פעילות פרטית לעסקית על מכשיר אחד. בתחום זה הושקעו עד כה מאות מיליוני דולרים ולמרות ההשקעה הרבה טרם נוצר סטאנדרט עולמי. הקושי בתחום זה נובע ממגוון צורות השימוש בטלפון ובהתאמה צרכי האבטחה השונים. בנוסף נוכחנו לראות פעם אחר פעם תקיפות אפקטיביות נגד המודלים הכי מאובטחים. בעתיד נראה איך עבור הקהל הרחב נבנות אט אט תשתיות אבטחה על המכשיר עצמו שמאפשרים בניית פתרונות אבטחה מגוונים ובמקביל הפיכה של סוגים מסויימים של טלפונים מאובטחים לסטנדרט בתחומים צרים כגון המגזר הממשלתי. תחום זה כולל בתוכו גם פתרונות בתחום אובדן וגניבת טלפונים.

מערכות הגנה מאיומים אקטיביים תחת קטגוריה נרחבת זו ניתן למצוא אנטי ווירוסים, מערכות לזיהוי קוד עויין בזמן ריצה, מערכות זיהוי שינוי תצורה של הטלפון, אכיפה אקטיבית של מדיניות אבטחה על הטלפון ופתרונות המתחברים למערכות ההגנה הארגוניות ומשתפות איתן פעולה בניסיון לזהות התנהגות עויינת. קטגוריה זו צפוייה להיות הצומחת ביותר בשנים הקרובות מכיוון שפתרונות אלה מאפשרים גישת אבטחה פרואקטיבית במצב של אי וודאות. טכנולוגיות מסויימות כגון חיבור למערכת ההרשאות הארגונית וחיבור למערכת האתראות האירגונית כבר הוטמעו בארגונים רבים ובמקביל ישנם אתגרים שנותרו ללא מענה מספק. לדוגמא, היכולת לזהות קוד עויין בזמן ריצה עדיין לא מומשה מכיוון שאופי האיומים על טלפונים משתנה כל הזמן. קושי נוסף בתחום זה נובע מהעובדה שהמודל החישובי של טלפון חכם שונה באופן משמעותי מהמחשב השולחני וספקי פתרונות האבטחה עדיין לומדים את הנושא בניסיון לייצר עבורו פתרונות מתאימים. ישראל צפוייה להיות שחקן משמעותי בתחום זה הודות לניסיון הרב הנצבר בתעשייה בנושא של תקיפות והגנות.

תקשורת מאובטחת נושא התקשורת וותיק מאוד ומכיל בתוכו טכנולוגיות שונות כגון הצפנה לצורך יצירת תקשורת נתונים מאובטחת מכל מקום בעולם ויכולות ניטור של אנטנות אלחוטיות וניסיון לזהות את רמת אבטחתן. בתחום זה ניתן לראות ערב רב של גישות חדשניות ובהחלט צפוי לראות בקרוב התממשות של חלק מהטכנולוגיות המוצעות מכיוון שצורך זה הינו בסיסי ופתיר.

אפליקציות מאובטחות בשנתיים האחרונות נוצרה הקטגוריה של אפליקציות מאובטחות המאפשרות עבודה בטוחה עם הארגון ושימוש בטוח באפליקציות צרכניות רגישות כגון בנקאות ישירה. ישנן מערכות המאפשרות למפתח האפליקצייה לבדוק האם ישנם חורי אבטחה באפליקציות, פתרונות המעשירים את האפליקציות ביכולות אבטחה דינמיות ומנגנונים המנטרים בצורה אקטיבית אפליקציה זו או אחרת. תחום זה נמצא בשלב החדשנות ויקח זמן לא מועט עד שיהפוך לשוק קיים. ייתכן שבעתיד יווצר חיבור בין יצרני טלפונים מאובטחים ליצרני טכנולוגיות אלה בכדי לייצר פתרונות משלימים.

אבטחת נתונים-טלפונים מחזיקים בנתונים הכי חשובים שלנו. בין אם זה גישה לבנק או לכרטיסי אשראי הרשומים בתוך המכשיר עד לגישה לתמונות האישיות או ארכיון של התקשורות השונות. בתחום זה צומחות מספר טכנולוגיות ופתרונות הנועדו לזהות שימוש לא מורשה במידע באופנים שונים. תחום זה של אבטחה נמצא בשלבים הראשוניים ביותר וצפוי לצמוח בהתאמה לכמות אירועי גניבות המידע שיקרו בשנים הבאות.

כפי שניתן לראות תחום האבטחה במובייל חי ובועט וצפוי להפוך להיות אחד התחומים המובילים בעולם הסייבר בשנים הבאות, במיוחד לאור הצמיחה הצפוייה בכמות התקיפות על טלפונים.

פורסם במגזין גלובס IT מהדורת דצמבר 2015

My new iPad 2 is no faster than my good ole’ iPad 1!

I have been enjoying my first iPad for the last year and few weeks ago I got a new one, iPad 2. I knew I should not expect to many new features on it except for better speed and camera support. Indeed it felt very fast. Very fast in comparison to my first old iPad. And then I got a weird felling about the improvement, as if someone cheated me. Actually it was not faster at all in comparison to my first iPad If I were to compare it with the speed of the first iPad on the day I bought it and unwrapped it from the box before installing stuff and working with it. Indeed my first iPad became so slow that the second one seems like a miracle but this is just a fix and not a real improvement!

So…. Eventually I understood that actually the iPad product is going through a similar evolutionary path (and I guess also iPhone) to the one Windows/Intel a.k.a Wintel duo went through recent decades. To the ones who don't understand what I am talking about, the Wintel duo was actually a rat race, every once in a while a new hardware would come, new and shiny and seems to work very fast and then all the developers of the apps running on it see that there is a "room" for more features and complicated changes. The developers made their software better and then magically the same "new" device would become slower and slower. So painful slow that a new version of the same device seems like a true hero with its speed improvements. But this is just an illusion, the new version just fixes the speed problems incurred by the all the software that was "added" on it during its lifetime and eventually every version of the hardware just imrpoves the whole product enough to reach the same initial starting point in terms of speed. 

 

For years it was a duo conducted by MS Windows and Intel and now it seems that the same effect happens on iPad. It seems that once there is a status quo of speed set by some new category hardware (like the iPad, iPhone or PCs were initially when they were launched) then it will never be improved dramatically across versions, actually the improvements from each version to the other one will be just enough to reach the status quo again. Ok, maybe I am exaggerating but not too much.

 

Another thought is that on the MS-Windows and Intel duo they were always a suspect of some kind of duopoly coordinating their acts but now it is clear that these are just market forces since on iPad, apps are being developed by disconnected 3rd party companies.

 

The mysterious thing to me in this behavior is the human angle. Why when there is a new product being invented/built such as the first iPhone then there is always a serious leap in capabilities of the product while later versions are always constrained to some "magical" boundary of improvement. Is it a matter of market demand and competition forcing the companies to small improvements or some kind of framing being created by the mere product definition, a framing that is vague enough to be broken when a new product is being devised. 

 

Want to express your thoughts on the topic – see my question on Quora