Назад в дневник Пишет Крег
ВНИМАНИЕ-ВИРУСЫ! (ОПИСАНИЕ).Уязвимость мобильных устройств
Сфера интеллектуальных мобильных устройств, будучи относительно молодой, в настоящий момент полностью «открыта» и беззащитна как с технической, так и с социальной точки зрения. С одной стороны, техническая защищенность системы возрастает лишь в условиях «гонки вооружений» — бесконечной череды нападок атакующего и контрмер защищающегося. Для карманных компьютеров и «умных» телефонов «проверка боем» только началась, поэтому их безопасность находится на некоем изначальном, «нулевом» уровне.
С другой стороны, из теории защиты информации известно, что человеческий фактор может свести на нет все технические усилия по обеспечению безопасности системы. Учитывая инертность массового сознания по сравнению со скоростью развития высоких технологий, техническое решение обнаруженной проблемы безопасности какое-то время не имеет должного эффекта. Обобщенному «пользователю компьютера» потребовались годы после начала вирусных эпидемий на то, чтобы включить антивирусные утилиты в свой набор программ, и месяцы после начала эпидемий почтовых червей на то, чтобы научиться менее легкомысленному отношению к запуску неизвестных программ, приходящих по электронной почте.
За демонстрацией уязвимости мобильной безопасности со стороны человеческого фактора далеко ходить не приходится: появившийся больше года назад Worm.SymbOS.Cabir в настоящее время все чаще обнаруживается на мобильных устройствах по всему миру. При этом технические предпосылки для такой живучести отсутствуют, равно как и информационные:
1. червь не использует каких-либо уязвимостей, и для того, чтобы смартфон заразился, пользователю необходимо дважды подтвердить загрузку и запуск неизвестной программы;
2. существует несколько общедоступных антивирусных решений для мобильных устройств от разных производителей;
3. вызванная появлением первого мобильного червя шумиха в прессе должна была достичь ушей даже самых оторванных от мира пользователей телефонов;
4. информация о Cabir доступна на любом сайте антивирусной тематики.
Из совокупности этих факторов следует вывод, что в настоящее время небезопасность мобильных систем гарантируется одним только человеческим фактором, вне какого-либо технического контекста.
Об уровне же технической защищенности смартфонов можно приблизительно судить по тому, с какой легкостью выводится из строя (вплоть до необходимости в сервисной перепрошивке) аппарат под управлением ОС Symbian. Как следует из приведенной выше таблицы, функционал большинства известных мобильных вирусов основан исключительно на эксплуатации нескольких «особенностей» этой операционной системы: возможности перезаписи любых файлов, включая системные, и крайней неустойчивости системы при ее столкновении с неожиданными (нестандартными для данного дистрибутива либо поврежденными) файлами.
Другой пример: большинство производителей техники с функцией обмена информацией через Bluetooth по умолчанию включают эту функцию. Учитывая антипатию среднего пользователя к технической документации, владельцы подобных устройств могут даже не подозревать о том, что их мобильный телефон «видим» для всех владельцев Bluetooth-устройств в окрестности 10-20 метров и потенциально открыт для обмена информацией.
Ситуация кажется особенно пугающей, если учитывать привлекательность сферы мобильных устройств для разнообразных вирусописателей. От сферы компьютеров ее отличают следующие «выгодные» особенности:
1. Повышенная «качественная» контактность между устройствами: как правило, мобильные устройства способны обеспечивать постоянную связь с внешним миром (с мобильными сетями, интернетом, с компьютерами и друг с другом). С этой целью они оснащены большим количеством технологий обмена данными: от традиционных (SMS, MMS) до пока еще новых (Bluetooth, Wi-Fi).
2. Повышенная «количественная» контактность между устройствами: их носят с собой повсюду. В процессе этих перемещений устройства, входя в сферу действия Bluetooth-связи с другими аппаратами, получают возможность обмениваться данными «по воздуху». Носимый в кармане мобильный телефон за считанные часы входит в контакт с тысячами других телефонов, а в условиях больших скоплений людей они образуют мощные сети передачи данных.
3. Интегрированные с компьютерными мобильные технологии представляют собой исключительно удобную почву для спамерских рассылок и профессионального шпионажа.
4. Технологии беспроводной передачи данных в настоящий момент могут обеспечить злоумышленнику близкую к абсолютной степень анонимности.
Первые два пункта создают серьезные предпосылки для мгновенной и глобальной эпидемии (например, в случае появления достаточно мощного Bluetooth-червя), а последние два будут способствовать привлечению в мобильную область вирусописателей-профессионалов, работающих в связке с криминальными структурами.
Угрозы безопасности мобильных устройств
Самую большую угрозу безопасности мобильных устройств в контексте вирусологии представляют собой самостоятельно распространяющиеся вирусы — черви. Червь потенциально способен вызвать очень быстрое заражение большого количества систем, нарушив работоспособность мобильной сети либо превратив ее в подконтрольную злоумышленнику распределенную сеть.
В настоящий момент вирусологии известно два червя (без учета их модификаций) для мобильных телефонов: Worm.SymbOS.Cabir, алгоритм распространения которого основан на использовании технологии Bluetooth, и Worm.SymbOS.Comwar, размножающийся как по Bluetooth, так и при помощи MMS. Детальный анализ этих червей можно найти в «Вирусной энциклопедии», здесь же хотелось бы более подробно рассмотреть механизмы их самораспространения.
Bluetooth — технология беспроводной передачи данных, разработанная в 1998 г. На сегодняшний день она широко используется для обмена данными между различными устройствами: телефонами и гарнитурами к ним, карманными и настольными компьютерами и другой техникой. Bluetooth-связь обычно работает на расстоянии до 10-20 м, не прерывается физическими препятствиями (стенами) и обеспечивает теоретическую скорость передачи данных до 721 Кбит/сек.
Червь Worm.SymbOS.Cabir использует технологию Bluetooth «честно», не эксплуатируя никаких уязвимостей. При запуске он начинает сканировать окружающее пространство на наличие доступных через Bluetooth устройств, и «по воздуху» отсылает им копию самого себя в виде SIS-архива. При этом на экране атакованного телефона, вне зависимости от установленной в нем операционной системы, появляется уведомление о входящем файле и запрос на его загрузку. Далее, если пользователь Symbian-телефона отвечает на запрос положительно, файл сохраняется в память и автоматически запускается на исполнение. При этом система инсталляции SIS-файлов запрашивает у пользователя подтверждения установки, и после его получения червь инсталлируется в систему, начиная новый цикл сканирования и заражений. Пользователям Windows Mobile-телефонов, загрузившим файл червя, ничто не угрожает, поскольку червь способен функционировать только под ОС Symbian. Ничто не угрожает и владельцам автомобилей с бортовыми компьютерами на базе ОС Symbian: в соответствии с проведенными исследованиями, слухи о возможности их заражения Bluetooth-червем не имеют под собой оснований.
ММS — относительно старая технология, призванная расширить функционал SMS возможностями передачи картинок, мелодий и видео. В отличие от сервиса SMS, работающего по протоколу мобильной сети, MMS-сообщения передаются через интернет. Поэтому для отправки и приема MMS-сообщений помимо поддержки данной технологии аппаратом требуется наличие подключения к интернету.
Червь Worm.SymbOS.Comwar, помимо технологии Bluetooth, использует для самораспространения технологию MMS. Для этого он рассылает по номерам телефонов адресной книги MMS-сообщения с вложенной копией своего инсталляционного файла. В процедуре рассылки зараженных сообщений запрограммирована задержка по времени. Возможно, только благодаря этому Worm.SymbOS.Comwar, будучи по функционалу существенно опаснее Worm.SymbOS.Cabir, пока не получил очевидного преимущества по распространенности.
Тема и текст рассылаемых червем сообщений составлены с использованием ставших классическим среди email-червей методов социальной инженерии, призванных усыпить бдительность пользователей: «Nokia RingtoneManager for all models», «Symbian security update» и т.п. Symbian-телефон, получив такое сообщение, автоматически запускает вложенный в него файл, вследствие чего вирус устанавливается в систему. Windows-устройства заражению не подвержены.
Сложно сказать, какой из механизмов саморазмножения червей для мобильных телефонов более опасен. Технология MMS поддерживается большим, чем Bluetooth количеством телефонов и не нуждается в попадании зараженного устройства в сферу действия Bluetooth других устройств. С другой стороны, у Bluetooth — полная универсальность, позволяющая объединять для обмен
Программные платформы
На сегодняшний день наиболее распространены следующие операционные системы для мобильных устройств: Windows CE (Pocket PC, Windows Mobile), Symbian OS, Palm OS и Linux. В секторе КПК и коммуникаторов преобладает Windows, в секторе смартфонов — Symbian. Palm OS и Linux в целом по области карманных устройств распространены незначительно.
О степени защищенности той или иной платформы судить пока рано. Однако результаты тестирования существующих мобильных вирусов показывают, что Symbian-телефоны автоматически обрабатывают (загружают, проигрывают, запускают) любой попавший в папку «Входящие» файл, в том числе и полученный по Bluetooth или MMS — будь это картинка, аудио-файл или инсталлятор. Windows Mobile-телефоны лишь сохраняют полученный файл в память (обычно в папку «Мои документы»). Поскольку нам не представляется возможным протестировать все существующие смартфоны и коммуникаторы, есть вероятность, что указанное отличие не столько межплатформенное, сколько межмодельное. Но даже в этом случае статистически оно сводится к межплатформенному.
Исходя из всего вышесказанного наиболее подверженной вирусным атакам и наиболее уязвимой для них выглядит платформа Symbian. Однако это не более чем отражение текущего состояния рынка, и вряд ли может быть свидетельством «иммунности» Windows Mobile. Просто уязвимость ОС Symbian, как наиболее распространенной и вследствие этого наиболее подверженной атакам вирусописателей платформы для смартфонов, оказалась продемонстрирована в первую очередь.
(3) 