Домашний компьютер № 8 (122) 2006
Шрифт:
В этом месте самое время упомянуть, что исследовательский «проект BlueBag» был осуществлен в Италии при участии и поддержке уже знакомой нам финской антивирусной компании F-Secure, одной из первых на рынке ставшей уделять повышенное внимание защите от Bluetooth-угроз. По словам самих исследователей, одна из главных целей совместной работы двух фирм с «синим чемоданом» — глубже понять, каким образом злоумышленники могут использовать Bluetooth для подсоединения к устройствам жертв и организации целенаправленных атак. Например, в одном из сценариев, которые уже удалось придумать антивирусным специалистам, вредители могли бы заразить Bluetooth-устройства на одной из оживленных станций метро в утренние часы пик, приказав им инфицировать любое доступное оборудование и отыскивать
Что существенно, подобного рода оружие не только предполагается теоретически, но и создается в антивирусной индустрии вполне реально. На августовской «хакерской» конференции Black Hat USA 2006 в Лас-Вегасе компании Secure Network и F-Secure заявили в программе доклад, где намерены представить экспериментальную шпионскую программу, демонстрирующую, как могут осуществляться подобного рода атаки. Наиболее сложная часть этой работы — придумать протокол, который позволит шпионской программе отчитываться о проделанной работе и сливать хозяину собранную информацию…
Помимо итальянской Secure Network, другим «стратегическим партнером» F-Secure в области антивирусной Bluetooth-безопасности является известная российская фирма Kaspersky Lab. В конце 2005 и начале 2006 года «Лаборатория Касперского» тоже проводила — но в Москве, в многолюдных местах вроде супермаркетов и станций метро — аналогичную серию «полевых иссследований» для сбора статистики о количестве телефонов и других устройств с включенными функциями Bluetooth. Здесь за час в среднем обнаруживалось около 100 устройств в режиме «видим для всех». Затем аналогичные сканирования были проведены специалистами K-Lab весной 2006 года в Лондоне — на конференции InfoSecurity-2006, на главных вокзалах английской столицы и станциях лондонского метро. За три дня испытаний было выявлено свыше 2000 устройств в видимом для всех режиме. Наконец, такие же по сути исследования проводила и финская компания F-Secure — на весенней выставке CeBIT 2006 в Ганновере.
Судя по отчетному документу «Лаборатории Касперского», исследователи этой компании стараются постичь специфику распространения Bluetooth-инфекций как можно глубже. Для того чтобы оценить вероятность массового распространения мобильных вирусов, здесь изучают медицинские данные об эпидемиях, вызываемых биологическими вирусами, а также некоторые математические модели ученых-эпидемиологов. Пользуясь этим научным аппаратом, в K-Lab рассчитали, используя среднее число мобильных устройств на квадратный метр, что в принципе червь для мобильных устройств смог бы заразить почти все уязвимые устройства в Москве за время порядка 15 дней.
Поскольку в жизни нашей ничего подобного не происходит, эксперты компании предполагают, что на самом деле для всеобщего Bluetooth-заражения времени потребуется больше. Однако, подчеркивают они, совершенно ясно, что угроза локальной мобильно-вирусной эпидемии — это опасная реальность. Тем более, напоминает нам K-Lab, что это действительно уже происходило — в августе прошлого года в Хельсинки, на Чемпонате мира по легкой атлетике 2005.
Почему-то первое, что приходит на ум при таком напоминании — это штаб-квартира компании F-Secure, признанного лидера в борьбе с Bluetooth-угрозами, которая по случайному стечению обстоятельств тоже находится в Хельсинки. И почему-то не кажется бредовой идея, что следующая локальная Bluetooth-эпидемия разразится в какой-нибудь мировой столице, принимающей очередную конференцию, посвященную компьютерам или инфобезопасности…
У «Лаборатории Касперского», кстати говоря, недавно появилась еще одна, непреднамеренная и несколько комичная, связь с Финляндией. Точнее говоря, лично с небезызвестным финном Линусом Торвальдсом — отцом ядра ОС Linux (давно уже работающим в США). Суть истории такова. В апреле этого года K-Lab опубликовала информацию о полученном ею в анализ новом «кросс-платформенном» вирусе, способном заражать
После этой странноватой истории один из довольно известных (во всяком случае, голосистых) деятелей Linux-сообщества, американец Джон Барр, решил поподробнее изучить активность «Лаборатории Касперского» на поприще антивирусной борьбы в среде Linux. Причина его интереса в том, что K-Lab по меньшей мере с 2001 года то и дело объявляет о выявленных ею угрозах для ОС Linux. Барр же работает — причем весьма интенсивно — исключительно под Linux с 1999 года, но при этом НИ РАЗУ за прошедшее время не сталкивался с Linux-вирусами «вживую» (а не в виде чисто лабораторных образцов, «подтверждающих концепцию»).
Отправившись на веб-сайт K-Lab, Барр нашел там наиболее свежий аналитический отчет специалистов фирмы, посвященный «эволюции вредоносных программ под ОС *nix в 2005 году». Конкретно для Linux, в частности, там приведены данные о крутейшем росте числа вирусов — всего за год, с 2004 по 2005, их количество по оценкам «Лаборатории Касперского» подскочило с 4 до 91 штуки!
Если человек ни разу в жизни не видел ни одного реального Linux-вируса, а известные специалисты за год обнаружили их целых 87, то вполне естественным выглядит желание узнать поподробнее о столь неуловимых бестиях. Поэтому Барр послал в K-Lab запрос относительно какой-либо документации, подтверждающей их заявления. Для начала Барра отправили в «Энциклопедию вирусов», которая ведется на сайте Лаборатории.
Поиск вредителей для Linux в этой энциклопедии принес поражающие воображение 972 позиции. Правда, если взглянуть на всю эту жуть чуть внимательнее, то ситуация оказывается далеко не столь тревожной. Скорее даже — искусственно раздутой. Вот лишь несколько характерных особенностей, выявленных Барром в этом длиннющем списке.
Первые 256 позиций оказались вообще никак не задокументированы. Собственно вирусы в остальных позициях гипотетических угроз почти не присутствовали, а мало-мальски вразумительное описание обнаружилось лишь у 21 вируса — то есть примерно для 2% списка. Из этих 21 два оказались дубликатами. Еще один из 21 оказался вирусом Windows, а не Linux. Наконец, практически все из 21 известной «вредоносной программы» модифицируют файлы в соответствии со стандартными разрешениями, принятыми в операционных системах семейства Unix, где принципиально отличаются полномочия пользователя и администратора.
Поскольку все это даже близко не походило на «91 выявленный Linux-вирус», Джон Барр более настойчиво запросил конкретную документацию. Через несколько дней ему прислали список на 91 позицию, но в перечне этом не было абсолютно ничего, кроме голых названий. Для первого же номера данного списка в «энциклопедии» Касперского не оказалось вообще никакого упоминания. Это название удалось найти на сайте другой антивирусной компании, McAfee, однако и там не было никакой содержательной информации о вирусе. Дополнительные изыскания лишь подтвердили истину, давно известную для всей антивирусной индустрии. Единой системы классификации вирусов и прочих компьютерных вредителей здесь не существует, так что каждая компания дает им собственные имена. Таблицы соответствий для наиболее распространенных угроз по мере сил ведут лишь одиночки-энтузиасты, а в целом информация о любом новом «вредоносном коде» просто автоматически размножается без анализа и описаний, поскольку для бизнеса антивирусных компаний элементарно выгодно плодить число всевозможных угроз.