Сидеть, бояться! Автор: Киви Берд.
Сидеть, бояться!
Автор: Киви Берд.
© 2003-2006, Издательский дом | http://www.computerra.ru/
Журнал «Домашний компьютер» | http://www.homepc.ru/
Этот материал Вы всегда сможете найти по его постоянному адресу: /2006/122/284574/
Достоверные факты этой запутанной истории не позволяют сделать каких-то окончательных выводов. Но и того, что известно, вполне достаточно для иллюстрации причудливых узлов и хитросплетений, формирующих ныне жизнь антивирусной индустрии.
В последние дни июня подразделения полиции Великобритании и Финляндии одновременно провели в своих странах согласованный рейд, в ходе которого были арестованы предполагаемые авторы компьютерного вируса, известного под именами Stinx-Q, Breplibot или Ryknos. Этот вирус-троянец впервые был отмечен в ноябре 2005 года и поражал, главным образом, коммерческие фирмы, поскольку создатели умышленно засылали его в компании в целях похищения информации через тайный ход (бэкдор) и «зомбирования» компьютеров для массовой рассылки почтового спама.
Подобные аресты ныне не редкость, однако конкретно в данной истории имеются весьма любопытные нюансы, не отмеченные в отчетном сообщении полиции для прессы и потому, наверное, упущенные большинством средств массовой информации. Главная особенность этого «финско-британского» вируса в том, что его вредоносная активность опирается на так называемый «руткит Sony BMG». Это специфическое программное обеспечение, напомним, тайно устанавливалось в компьютеры пользователей с аудиодисков крупнейшего музыкального лейбла для сокрытия средств защиты музыки от копирования. Но одновременно, к сожалению, этот же механизм оказался очень удобен и для злоумышленников, скрывающих с его помощью свои вредоносные коды от антивирусных программ.
Таким образом получилось, что коварный троянец Stinx поразил компьютеры «тысячи компаний» (по свидетельству британской полиции) только благодаря сомнительной инициативе Sony BMG. Интересно, что о рутките Sony и его особенностях маскировки широкая публика узнала в первых числах ноября 2005-го, а уже через неделю с небольшим в компьютерах стали обнаруживаться вредносные троянцы на его основе. Имеет смысл обратить внимание, что арестованные ныне авторы вируса проживают в Великобритании и Финляндии. Именно эти две страны самым непосредственным образом связаны как с рождением, так и с последующей судьбой руткита Sony.
Английская фирма F4I (First 4 Internet) специализируется на средствах защиты цифрового контента, и это именно она разработала для фирм звукозаписи программу XCP, дурно прославившуюся под именем «руткит Sony». А финская компания F-Secure стала первой антивирусной фирмой, где для этого руткита разработали средство выявления (еще до начала публичного скандала, начатого независимым американским программистом Марком Руссиновичем), однако не торопились оповещать публику о новой угрозе из уважения к Sony. Ну, а затем последовала известная история: в сотнях тысячах компьютеров, как оказалось, уже сидит безвредная, но потенциально опасная невидимая закладка от Sony (британского изготовления); в Сети имеется программа Backlight для ее выявления (финского производства); а также – для комплекта – вредоносный и опасный вирус-троянец (совместной британско-финской разработки).
Из этой выразительной истории с географией, естественно, абсолютно ничего не следует. В мире полно самых разных случайных совпадений и казусов. Поэтому перейдем к следующей истории – про Bluetooth-вирусы.
Главное качество технологии Bluetooth – удобство и легкость беспроводного соединения разнообразных цифровых устройств – одновременно является, как известно, и потенциальной угрозой заражения компьютерными вирусами. Пока что, к счастью, серьезных эпидемий в этой области не случалось, поскольку (а) стандартная дальность действия Bluetooth весьма невелика, и (б) даже самой простейшей меры безопасности – выставить в настройках работу в «скрытом» (hidden) режиме – вполне достаточно для защиты от большинства известных атак. Так, во всяком случае, принято считать.
Но вот реальные масштабы уязвимости Bluetooth-устройств весной 2006 года взялась оценить специализирующаяся на защите информации итальянская фирма Secure Network SRL. Здесь создали своего рода «компактную лабораторию на колесах», скрытую в оболочке стандартного дорожного чемодана. «Чемоданная лаборатория», получившая подобающее название BlueBag, по сути, представляет собой специализированный компьютер-сниффер с комплексом Bluetooth-передатчиков и мощной антенной для автоматического прощупывания всех доступных устройств в радиусе 150 метров. Ролики чемодана и его абсолютно заурядная наружность позволяют без проблем и на ходу сканировать публику в местах большого скопления народа, вроде торговых центров, вокзалов, конференций или крупных офисных зданий.
В течение тестового сканирования, длившегося в общей сложности чуть меньше суток, сниффер BlueBag зафиксировал около полутора тысяч аппаратов, потенциально доступных для Bluetooth-соединения. За час обычно выявлялось порядка полусотни устройств, однако конкретные цифры сильно варьировались в зависимости от специфики места. Так, на Центральном железнодорожном вокзале Милана одного часа хватило для обнаружения свыше 150 доступных для контакта устройств. Естественно, далеко не каждый мобильник или смартфон в «обнаруживаемом» режиме уже открыт для злоупотреблений. Но, во-первых, от этого существенно возрастают потенциальные риски. А во-вторых, как продемонстрировал BlueBag, среди полутора тысяч выявленных устройств более 300 имели включенными функции OBEX (обмена объектами), что сразу делает их уязвимыми для уже известных вирусных атак через Bluetooth…
В этом месте самое время упомянуть, что исследовательский «проект BlueBag» был осуществлен в Италии при участии и поддержке уже знакомой нам финской антивирусной компании F-Secure, одной из первых на рынке ставшей уделять повышенное внимание защите от Bluetooth-угроз. По словам самих исследователей, одна из главных целей совместной работы двух фирм с «синим чемоданом» – глубже понять, каким образом злоумышленники могут использовать Bluetooth для подсоединения к устройствам жертв и организации целенаправленных атак. Например, в одном из сценариев, которые уже удалось придумать антивирусным специалистам, вредители могли бы заразить Bluetooth-устройства на одной из оживленных станций метро в утренние часы пик, приказав им инфицировать любое доступное оборудование и отыскивать определенные виды информации. В течение дня зараженные устройства будут искать и накапливать эти данные, а вечером на той же станции метро злоумышленники могли бы «собирать урожай», незаметно скачивая эту информацию у владельцев, возвращающихся домой.
Что существенно, подобного рода оружие не только предполагается теоретически, но и создается в антивирусной индустрии вполне реально. На августовской «хакерской» конференции Black Hat USA 2006 в Лас-Вегасе компании Secure Network и F-Secure заявили в программе доклад, где намерены представить экспериментальную шпионскую программу, демонстрирующую, как могут осуществляться подобного рода атаки. Наиболее сложная часть этой работы – придумать протокол, который позволит шпионской программе отчитываться о проделанной работе и сливать хозяину собранную информацию…
Помимо итальянской Secure Network, другим «стратегическим партнером» F-Secure в области антивирусной Bluetooth-безопасности является известная российская фирма Kaspersky Lab. В конце 2005 и начале 2006 года «Лаборатория Касперского» тоже проводила – но в Москве, в многолюдных местах вроде супермаркетов и станций метро – аналогичную серию «полевых иссследований» для сбора статистики о количестве телефонов и других устройств с включенными функциями Bluetooth. Здесь за час в среднем обнаруживалось около 100 устройств в режиме «видим для всех». Затем аналогичные сканирования были проведены специалистами K-Lab весной 2006 года в Лондоне – на конференции InfoSecurity-2006, на главных вокзалах английской столицы и станциях лондонского метро. За три дня испытаний было выявлено свыше 2000 устройств в видимом для всех режиме. Наконец, такие же по сути исследования проводила и финская компания F-Secure – на весенней выставке CeBIT 2006 в Ганновере.
Судя по отчетному документу «Лаборатории Касперского», исследователи этой компании стараются постичь специфику распространения Bluetooth-инфекций как можно глубже. Для того чтобы оценить вероятность массового распространения мобильных вирусов, здесь изучают медицинские данные об эпидемиях, вызываемых биологическими вирусами, а также некоторые математические модели ученых-эпидемиологов. Пользуясь этим научным аппаратом, в K-Lab рассчитали, используя среднее число мобильных устройств на квадратный метр, что в принципе червь для мобильных устройств смог бы заразить почти все уязвимые устройства в Москве за время порядка 15 дней.
Поскольку в жизни нашей ничего подобного не происходит, эксперты компании предполагают, что на самом деле для всеобщего Bluetooth-заражения времени потребуется больше. Однако, подчеркивают они, совершенно ясно, что угроза локальной мобильно-вирусной эпидемии – это опасная реальность. Тем более, напоминает нам K-Lab, что это действительно уже происходило – в августе прошлого года в Хельсинки, на Чемпонате мира по легкой атлетике 2005.
Почему-то первое, что приходит на ум при таком напоминании – это штаб-квартира компании F-Secure, признанного лидера в борьбе с Bluetooth-угрозами, которая по случайному стечению обстоятельств тоже находится в Хельсинки. И почему-то не кажется бредовой идея, что следующая локальная Bluetooth-эпидемия разразится в какой-нибудь мировой столице, принимающей очередную конференцию, посвященную компьютерам или инфобезопасности…
У «Лаборатории Касперского», кстати говоря, недавно появилась еще одна, непреднамеренная и несколько комичная, связь с Финляндией. Точнее говоря, лично с небезызвестным финном Линусом Торвальдсом – отцом ядра ОС Linux (давно уже работающим в США). Суть истории такова. В апреле этого года K-Lab опубликовала информацию о полученном ею в анализ новом «кросс-платформенном» вирусе, способном заражать файлы как в Windows, так и в Linux. Вирус, впрочем, довольно-таки безвредный – просто «подтверждающий концепцию», как это называется, – но интересный именно своей природой, позволяющей ему работать в условиях существенно различных операционных систем. Правда, в Linux-сообществе быстро выяснили, что «новый» вирус написан, скорее всего, довольно давно, поскольку работать способен лишь со старыми версиями ядра. Линуса Торвальдса, однако, универсальный код «вредителя» заинтересовал настолько, что он вник в проблему, нашел причину и лично написал патч к текущей версии ядра, чтобы и современная версия ОС корректно работала с этим кодом…
После этой странноватой истории один из довольно известных (во всяком случае, голосистых) деятелей Linux-сообщества, американец Джон Барр, решил поподробнее изучить активность «Лаборатории Касперского» на поприще антивирусной борьбы в среде Linux. Причина его интереса в том, что K-Lab по меньшей мере с 2001 года то и дело объявляет о выявленных ею угрозах для ОС Linux. Барр же работает – причем весьма интенсивно – исключительно под Linux с 1999 года, но при этом НИ РАЗУ за прошедшее время не сталкивался с Linux-вирусами «вживую» (а не в виде чисто лабораторных образцов, «подтверждающих концепцию»).
Отправившись на веб-сайт K-Lab, Барр нашел там наиболее свежий аналитический отчет специалистов фирмы, посвященный «эволюции вредоносных программ под ОС *nix в 2005 году». Конкретно для Linux, в частности, там приведены данные о крутейшем росте числа вирусов – всего за год, с 2004 по 2005, их количество по оценкам «Лаборатории Касперского» подскочило с 4 до 91 штуки!
Если человек ни разу в жизни не видел ни одного реального Linux-вируса, а известные специалисты за год обнаружили их целых 87, то вполне естественным выглядит желание узнать поподробнее о столь неуловимых бестиях. Поэтому Барр послал в K-Lab запрос относительно какой-либо документации, подтверждающей их заявления. Для начала Барра отправили в «Энциклопедию вирусов», которая ведется на сайте Лаборатории.
Поиск вредителей для Linux в этой энциклопедии принес поражающие воображение 972 позиции. Правда, если взглянуть на всю эту жуть чуть внимательнее, то ситуация оказывается далеко не столь тревожной. Скорее даже – искусственно раздутой. Вот лишь несколько характерных особенностей, выявленных Барром в этом длиннющем списке.
Первые 256 позиций оказались вообще никак не задокументированы. Собственно вирусы в остальных позициях гипотетических угроз почти не присутствовали, а мало-мальски вразумительное описание обнаружилось лишь у 21 вируса – то есть примерно для 2% списка. Из этих 21 два оказались дубликатами. Еще один из 21 оказался вирусом Windows, а не Linux. Наконец, практически все из 21 известной «вредоносной программы» модифицируют файлы в соответствии со стандартными разрешениями, принятыми в операционных системах семейства Unix, где принципиально отличаются полномочия пользователя и администратора.
Поскольку все это даже близко не походило на «91 выявленный Linux-вирус», Джон Барр более настойчиво запросил конкретную документацию. Через несколько дней ему прислали список на 91 позицию, но в перечне этом не было абсолютно ничего, кроме голых названий. Для первого же номера данного списка в «энциклопедии» Касперского не оказалось вообще никакого упоминания. Это название удалось найти на сайте другой антивирусной компании, McAfee, однако и там не было никакой содержательной информации о вирусе. Дополнительные изыскания лишь подтвердили истину, давно известную для всей антивирусной индустрии. Единой системы классификации вирусов и прочих компьютерных вредителей здесь не существует, так что каждая компания дает им собственные имена. Таблицы соответствий для наиболее распространенных угроз по мере сил ведут лишь одиночки-энтузиасты, а в целом информация о любом новом «вредоносном коде» просто автоматически размножается без анализа и описаний, поскольку для бизнеса антивирусных компаний элементарно выгодно плодить число всевозможных угроз.
Тогда, любопытства ради, Барр решил сверить названия 21 документированного вируса в общем списке «Linux-вредителей» из 972 позиций энциклопедии и свежеполученного списка «Linux-вирусов» из 91 позиции. Таких пересечений оказалось 10. Из этих десяти два были обнаружены в 2000 году, четыре в 2001 году, три в 2002 и один в 2003… При переводе этой арифметики в обычные слова получается, что ни на один из «выявленных в 2005 году 87 Linux-вирусов» у K-Lab для въедливого запроса со стороны не обнаружилось ни документации, ни вообще хоть какого-то описания.
Подводя итог своему исследованию, Джон Барр имел, как видим, все основания констатировать, что «Лаборатория Касперского» делает крайне сильные заявления о вредоносных кодах в Linux, однако не имеет абсолютно ничего реального в подтверждение своих слов. Справедливости ради, Барр тут же делает оговорку, что подобными вещами занимается вовсе не только K-Lab, но и остальные антивирусные компании. Просто российская фирма наиболее заметна на рынке в своих энергичных попытках продвигать антивирусное ПО для Linux. А кому нужно такое ПО, если нет вирусов?