VIP-интервью: мобильные вирусы и не только

Сегодня в рамках рубрики «VIP-интервью» на вопросы мАбилы по части защиты информации на мобильных устройствах ответил управляющий директор компании «Лаборатория Касперского» в Украине Андрей Слободяник. Помимо классификации мобильной «нечисти» и способах ее распространения, в этой статье вы узнаете, как все-таки оградить личные данные на своем портативном устройстве от покушений вирусописателей.

мАбила: Какова сейчас общая картина в мире мобильной «нечисти»? Какие мобильные платформы чаще всего становятся мишенью вирусописателей?

Андрей Слободяник: С вашего позволения, я бы хотел начать с общей картины, в частности с распространения мобильных устройств. По нашим данным, сейчас в мире существует 2,7 млрд мобильных устройств. Если выделить из этого большинства так называемые «умные» устройства — смартфоны, то их доля в общем рыночном пироге значительно выросла за последнее время и развивается стремительными темпами. В мире рынок смартфонов растет со скоростью более 80 % в год.

Если говорить о каких-то общих тенденциях или ключевых выводах (полную информацию об основных тенденциях можно увидеть в приложении к этой статье), более половины пользователей компьютерной техники на данный момент имеют хотя бы одно или больше устройств. Более трети пользователей имеют сразу два мобильных устройства. Подавляющее большинство пользователей хранит на своих портативных устройствах конфиденциальную информацию, и практически каждый пользователь хотя бы раз терял мобильную технику. Все это говорит о том, что мобильные устройства достаточно уязвимы и, в целом, в памяти большинства из них хранится какая-то личная, либо конфиденциальная информация.

Стоит также отметить, что зачастую люди не понимают, какой важности информацию они хранят. В частности Стенфордский университет проводил исследования, в рамках которого собирались некие фокус-группы, в которых участникам задавали вопрос, насколько они считают данные в своих телефонах интересными для каких-либо групп лиц. Самый распространенный ответ был таким: «Пожалуй, я не такая важная персона, чтобы мои личные данные кого-либо заинтересовали». Однако, в ходе дальнейшей беседы выяснялось, что опрошенные все же не хотели бы делать достоянием общественности список личных контактов или, что даже более важно, конфиденциальную информацию о себе или о работодателе, в частности, данные об интеллектуальной собственности, о каких-то зарплатных проектах, договорах — все то, что может представлять собой коммерческую тайну. Вся эта информация, безусловно, требует защиты.

Если говорить о каких-то вероятностях появления вредоносных программ, то для описания этого мы используем так называемую методику «трех факторов». Факторы следующие:

• Широкое распространение операционной системы (платформы). Если мы говорим, что операционная система достаточно распространена, ею пользуется большое количество людей (в качестве примера можно привести операционную систему смартфона), то вероятность появления зловредов для нее уже очень высока.
• Документированность. Наличие подробного описания среды, для которой будут создаваться вредоносные приложения. То есть, если есть документированные возможности, значит с их помощью можно поискать и какие-то недокументированные, и затем использовать их в своей преступной деятельности.
• Существующие уязвимости. Думаю, этот фактор можно не комментировать.

Все перечисленные факторы есть у всех распространенных сейчас мобильных операционных систем, в частности, Symbian OS и Windows Mobile. Хотя для последней версии вирусы пока еще не так распространены, как под Symbian OS. Так, если для Symbian OS вирусы сейчас исчисляются сотнями, то для Windows Mobile их десятки.

мАбила: Как часто стоимость информации в памяти мобильного устройства превышает стоимость самого аппарата?

Андрей Слободяник: Зачастую среди всех мобильных устройств самая ценная информация хранится все же на ноутбуках. Ведь те же смартфоны еще не вышли на такой объем памяти, который можно использовать для хранения или работы с большими массивами данных. Однако, если говорить о ноутбуках, то, очень часто украденная информация в разы дороже самого компьютера. Например, если ноутбук используется на работе, и это аппарат не совсем рядового сотрудника, на нем всегда есть информация, которая может содержать коммерческую тайну.

Что касается утечек информации, то наше дочернее предприятие, которое занимается защитой от них, InfoWatch, уже зафиксировало очень много инцидентов, когда с украденного или каким-то другим способом полученного ноутбука утекали данные, например, о какой-то клиентской части, конфиденциальная информация о страховках, какой-то банковской информации и тому подобное. Это происходит постоянно во всем мире, и количество подобных инцидентов очень велико.

Утечки данных и вирусы всегда преследуют одну и ту же цель — получение информации, которая в итоге может превратиться в деньги. Просто способы разные — можно украсть ноутбук, а можно, напротив, взломать с помощью каких-то вирусных технологий, что зачастую является более трудоемким процессом.

мАбила: Расскажите о классификации вредоносных приложений для мобильных устройств.

Андрей Слободяник: Для мобильных устройств используется та же классификация вредоносных приложений, что и для компьютерной техники. Другая только среда заражения. Если для настольных ПК и ноутбуков это Интернет, какие-то носители, то здесь это тот же Интернет, Bluetooth, WAP или MMS. В целом же, грань между мобильным и десктоповским вирусом постепенно стирается.

К вредоносному программному обеспечению относятся сетевые черви, классические файловые вирусы, троянские программы, хакерские утилиты и прочие программы, наносящие заведомый вред компьютеру, на котором они запускаются на выполнение, или другим компьютерам в сети.

Сетевые черви

К данной категории относятся программы, распространяющие свои копии по локальным и/или глобальным сетям с целью:

•      проникновения на удаленные компьютеры;
•      запуска своей копии на удаленном компьютере;
•      дальнейшего распространения на другие компьютеры в сети.

Для своего распространения сетевые черви используют разнообразные компьютерные и мобильные сети: электронную почту, системы обмена мгновенными сообщениями, файлообменные (P2P) и IRC-сети, LAN, сети обмена данными между мобильными устройствами (телефонами, карманными компьютерами) и т. д.

Большинство известных червей распространяется в виде файлов: вложение в электронное письмо, ссылка на зараженный файл на каком-либо веб- или FTP-ресурсе в ICQ- и IRC-сообщениях, файл в каталоге обмена P2P и т. д.

Некоторые черви (так называемые «бесфайловые» или «пакетные» черви) распространяются в виде сетевых пакетов, проникают непосредственно в память компьютера и активизируют свой код.

Для проникновения на удаленные компьютеры и запуска своей копии черви используют различные методы: социальный инжиниринг (например, текст электронного письма, призывающий открыть вложенный файл), недочеты в конфигурации сети (например, копирование на диск, открытый на полный доступ), ошибки в службах безопасности операционных систем и приложений.

Некоторые черви обладают также свойствами других разновидностей вредоносного программного обеспечения. Например, некоторые черви содержат троянские функции или способны заражать выполняемые файлы на локальном диске, т. е. имеют свойство троянской программы и/или компьютерного вируса.

Классические компьютерные вирусы

К данной категории относятся программы, распространяющие свои копии по ресурсам локального компьютера с целью:

•      последующего запуска своего кода при каких-либо действиях пользователя;
•      дальнейшего внедрения в другие ресурсы компьютера.

В отличие от червей, вирусы не используют сетевых сервисов для проникновения на другие компьютеры. Копия вируса попадает на удалённые компьютеры только в том случае, если зараженный объект по каким-либо не зависящим от функционала вируса причинам оказывается активизированным на другом компьютере, например:

•      при заражении доступных дисков вирус проник в файлы, расположенные на сетевом ресурсе;
•      вирус скопировал себя на съёмный носитель или заразил файлы на нем;
•      пользователь отослал электронное письмо с зараженным вложением.

Некоторые вирусы содержат в себе свойства других разновидностей вредоносного программного обеспечения, например бэкдор-процедуру или троянскую компоненту уничтожения информации на диске.

Троянские программы

В данную категорию входят программы, осуществляющие различные несанкционированные пользователем действия: сбор информации и ее передачу злоумышленнику, ее разрушение или злонамеренную модификацию, нарушение работоспособности компьютера, использование ресурсов компьютера в неблаговидных целях.

Отдельные категории троянских программ наносят ущерб удаленным компьютерам и сетям, не нарушая работоспособность зараженного компьютера (например, троянские программы, разработанные для массированных DoS-атак на удалённые ресурсы сети).

Хакерские утилиты и прочие вредоносные программы

К данной категории относятся:

•      утилиты автоматизации создания вирусов, червей и троянских программ (конструкторы);
•      программные библиотеки, разработанные для создания вредоносного ПО;
•      хакерские утилиты скрытия кода зараженных файлов от антивирусной проверки (шифровальщики файлов);
•      «злые шутки», затрудняющие работу с компьютером;
•      программы, сообщающие пользователю заведомо ложную информацию о своих действиях в системе;
•      прочие программы, тем или иным способом намеренно наносящие прямой или косвенный ущерб данному или удалённым компьютерам.

мАбила: Что из вышеперечисленного актуально для украинских пользователей?

Андрей Слободяник: Интернет и мобильное сообщество являются международными понятиями. Например, нам часто задают вопрос, как украинский вирус отличается от египетского. Да никак не отличается. Ведь общая тенденция Интернета одинаково работает на всех территориях.

В приведенном ниже списке все вредоносные приложения расположены по опасности. Например, на первом месте у нас расположился вирус Trojan-SMS.J2ME.RedBrowser, который работает в среде Java, т. е. является кроссплатформенным. А на данный момент Java интегрирована как в Symbian OS и Windows Mobile, так и практически в любой современный мобильный телефон. Вирус опасен тем, что рассылает SMS-сообщения на платные номера (порядка $5-6 — отправка на один номер). И этот механизм, по нашим оценкам, работает на большинстве мобильных устройств.

Третий вирус в нашем рейтинге, Worm.SymbOS.StealWar, достаточно интересен тем, что в данном случае имеет место некая гибридизация вируса. Т.е. это одновременно червь и троянское приложение. Как червь он распространяется по адресам в базе потенциальной жертвы, а затем ворует данные и отсылает их на определенные адреса. Это вредоносное приложение включило в себя две ранее известные вредоносные программы — троянское приложение Pbstealer и червь Comwar. Т.е. автор объединил все в одном модуле. В результате получилось приложение, которое имеет черты обоих своих «родителей» — ворует данные адресной книги и рассылает свои копии через MMS.

Всегда будьте осторожны с MMS, приходящими из незнакомых источников. Ведь существуют и вирусы, рассылаемые посредством мультимедийных сообщений. Самым безобидным, что может произойти в случае заражения, это финансовые потери, связанные с рассылкой MMS по адресам, найденным на зараженном устройстве. Кроме того это вмешательство в работу системы, которое может грозить потерей данных.

мАбила: В чем может состоять опасность использования пиратского ПО на мобильных устройствах с точки зрения вирусологии?

Андрей Слободяник: Мобильными вирусами можно заразиться через Bluetooth (Wi-Fi), через WAP или через Интернет. Скачивая определенную программу из негарантированного источника, можно просто заразиться этим вирусом. Вредоносный код может быть попросту прикреплен к существующей программе и тем самым, попадая в систему, наносить ей вред. Кроме того, зараженным может быть также кейген, кряк или вообще даже сам WAP-портал.

Мы рекомендуем достаточно аккуратно подбирать источники, с которых происходит загрузка той или иной программы. Нужно понимать, что, например, мобильный оператор постоянно следит за своим имиджем и любой доказанный инцидент скачивания зараженного файла с его портала достаточно плохо сказывается на его имидже. А если, напротив, это WAP-портал, который находится в «вольном» Интернете, что не предусматривает особых обязательств, то с высокой долей вероятности можно быть уверенным, что должная защита публикуемого контента не обеспечена.

мАбила: Поскольку мобильные устройства уже вошли в нашу жизнь, стали ее частью, становятся актуальными технологии, которые позволяют пользоваться мобильным аппаратом как электронным портмоне — так называемый мобильный банкинг. Примером такой технологии может быть NFC (Near Field Communication), продвижением которой занимаются многие производители мобильной техники. Какой же риск существует при использовании мобильного банкинга?

Андрей Слободяник: На наш взгляд, сам смартфон, который принимает участие в каких-то банковских транзакциях, уже должен быть защищен, и защищен максимально. Первое, что должно быть, это шифрование паролей, которые пользователи очень любят хранить на современных устройствах. (Кстати, штатные средства Windows уже позволяют шифровать данные). Кроме того, во многих пакетах антивирусов разных производителей есть специальные утилиты, которые также позволяют шифровать данные. Причем это могут быть даже бесплатные продукты, которые значительно усложнят задачу хакера.

Второе: должна обязательно быть установлена антивирусная защита. В противном случае устройство может быть уязвимо для фишинга. Большинство наших пользователей уверены, что фишинг у нас не распространен, это головная боль Запада. В Украине уже была масса инцидентов, когда производились несанкционированные доступы к карточкам, и снимались деньги. И, конечно же, с развитием мобильного банкинга мы прогнозируем, что подобные ситуации будут происходить и в этой сфере.

А будущее у мобильного банкинга есть. Согласитесь, действительно, очень удобно управлять своим счетом с мобильного устройства.

мАбила: Расскажите о способах заражения через беспроводные протоколы Bluetooth и Wi-Fi. Был такой случай, когда в одной из стран Европы вирусом через Bluetooth были заражены телефоны, которые находились на витрине магазина.

Андрей Слободяник: Да, это был один из первых случаев заражения червем Cabir. Подобные вещи очень часто фиксировались, когда человек с телефоном со включенным модулем Bluetooth (режим «Виден для всех») проходил мимо витрины какого-либо салона мобильной связи и умышленно заражал аппараты в продаже.

Червь Cabir это был первый тест хакеров на распространенность вируса и вообще на возможность подобных механизмов заражения. Всегда перед запуском новой системы, хакеры тестируют данную возможность. Изначально Cabir не нес никаких зловредных функций, он просто себя копировал. Но уже потом к нему начали присоединять какие-то зловредные функции.

Приведу некоторые цифры по поводу использования технологии Bluetooth в мобильных устройствах. Согласно нашим исследованиям, примерно 23 % Bluetooth-устройств это смартфоны. Из этих смартфонов более 80 % поддерживают функцию Object Transfer, именно эта функция необходима для распространения мобильного вируса. В частности, ее используют черви Cabir, Comwar, троянские программы Skuller и Pbstealer.

Эти цифры заставляют нас еще раз акцентировать внимание на одной из проблем современной мобильной безопасности в протоколе Bluetooth. Это действительно на данный момент большая проблема.

мАбила: Какие первые признаки, что ваше мобильное устройство подверглось заражению?

Андрей Слободяник: Самым разумным будет все-таки не гадать, а сделать следующее: 1) проверить свое мобильное устройство на наличие вирусов; 2) приобрести программу антивирусной защиты, которая на данный момент вполне доступна большинству пользователей. В этом случае вы будете с большой долей вероятности уверены, что ваше устройство не заражено, и не будет заражено, чем гадать, а вызвано ли замедление работы деятельностью какого-то зловредного приложения или нет.

мАбила: Существует ли при заражении риск полной окончательной потери работоспособности мобильного устройства?

Андрей Слободяник: Как правило нет. Все лечится жесткой перезагрузкой аппарата, но это чревато потерей конфиденциальных данных, адресной книги и т. п. А резервное копирование, по нашим исследованиям, пользователи проводят очень редко.

мАбила: Вопрос об использовании шпионского ПО на мобильных устройствах для тайного мониторинга сотрудников дирекцией компаний. Предусмотрен ли такой механизм украинским законодательством, есть ли здесь «лазейки»?

Андрей Слободяник: На мой взгляд, подобную причастность руководства будет доказать очень сложно. Другое дело, что, с технической точки зрения, шпионское ПО, которое по сути является вредоносным, будет фиксироваться антивирусной программой. При этом большинство антивирусов будет блокировать работу таких приложений.

мАбила: Что в первую очередь должен предпринять пользователь, чтобы защитить свое устройство? Какие решения предлагает «Лаборатория Касперского»?

Андрей Слободяник: Первый шаг это, несомненно, приобретение антивируса. Сейчас у нас уже есть продукт, который называется Kaspersky Mobile. Это уже второе поколение этого ПО. Есть версия как для Symbian OS, так и для Windows Mobile.

Для тех же аппаратов, которые не поддерживают установку приложений, мы рекомендуем относиться с подозрением к MMS-сообщениями, полученными из каких-то незнакомых источников, а также не загружать данные с малознакомых WAP-порталов.

С точки зрения беспроводных протоколов наши рекомендации — ограничить использование Bluetooth, соединять аппарат только с доверительными устройствами. Не держать «синий зуб» постоянно включенным. Даже если отключена функция распознавания, это не гарантирует того, что мобильное устройство будет неуязвимо к возможной атаке. Если адаптер включен, то каким-то образом он в любом случае может стать лазейкой для злоумышленника. Все вышеперечисленное касается и модуля Wi-Fi.