Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Ewolucja wirusów dla urządzeń przenośnych

Tagi:

Współczesne technologie stają się coraz bardziej zintegrowane. Powstają coraz inteligentniejsze telefony komórkowe, których funkcjonalność jest zbliżona do komputerów. Inteligentne urządzenia, takie jak PDA, komputery zainstalowane w samochodach oraz sprzęt gospodarstwa domowego najnowszej generacji, wyposażane są w funkcje komunikacyjne. Wkraczamy w nową epokę - wiek inteligentnych domów, globalnych sieci obejmujących szereg różnych urządzeń, które - używając słów pisarzy wywodzących się z nurtu cyberpunku - wymieniają między sobą dane poprzez powietrze przesycone bitami i bajtami. Ten kierunek rozwoju w oczywisty sposób otwiera nowe horyzonty dla osób chcących wykorzystać takie urządzenia do przestępczych celów, wyraźnie rysują się też potencjalne zagrożenia.

Świat ten wciąż ewoluuje. Powinien nas zatem cieszyć fakt, że do przejęcia kontroli nad czyimś samochodem nie wystarczy jeszcze jedynie laptop i połączenie bezprzewodowe. Mimo to bezpieczeństwo urządzeń przenośnych już teraz stanowi problem; jego pierwszą oznaką było pojawienie się wirusa, co zresztą nikogo nie powinno dziwić.

Na pierwszy rzut oka, problem złośliwych programów wydaje się być tylko częścią szerszego zagadnienia bezpieczeństwa informacji. Jednakże złośliwe programy, które pierwotnie były tylko niewinnymi zabawkami pisanymi przez znudzonych programistów i studentów chcących pochwalić się swymi umiejętnościami, ewoluują do postaci profesjonalnych rozwiązań tworzonych w celu osiągnięcia zysku finansowego. Granica, która wcześniej oddzielała wirusologię komputerową od bezpieczeństwa sieciowego, luk w oprogramowaniach, programów typu adware i struktur przestępczych została obecnie zatarta. Dlatego nie można przecenić analizowania technik stosowanych przez autorów złośliwych programów jako istotnego elementu zapewniania cyfrowego bezpieczeństwa.

W artykule tym dokonano analizy zagrożeń dla urządzeń działających pod kontrolą przenośnych systemów operacyjnych oraz wyposażonych w technologie bezprzewodowe. W teorii zagrożenia te odnoszą się do wszystkich urządzeń przenośnych. W praktyce jednak, złośliwe programy atakują palmofony i komunikatory, czyli urządzenia najatrakcyjniejsze z punktu widzenia twórców wirusów. Urządzenia PDA nie stanowią z kolei podatnego gruntu dla rozprzestrzeniania się wirusów, ponieważ nie mają kontaktu z wieloma innymi urządzeniami, na które mogłyby przesyłać (potencjalnie zainfekowane) dane. Trudno oszacować stopień, w jakim inne urządzenia przenośne mogą być narażone na niebezpieczeństwo ze strony złośliwych programów, gdyż nie są one jeszcze powszechnie stosowane.

Krótka historia złośliwych programów dla urządzeń przenośnych

Początek nastąpił w czerwcu 2004 roku, gdy grupa profesjonalnych autorów wirusów znana jako 29A stworzyła pierwszego wirusa dla palmofonów. Wirus otrzymał nazwę "Caribe". Został stworzony dla systemu operacyjnego Symbian i rozprzestrzeniał się poprzez technologię łączności bezprzewodowej Bluetooth. Firma Kaspersky Lab zaklasyfikowała go jako Worm.SymbOS.Cabir.

Chociaż Worm.SymbOS.Cabir wywołał ogromny szum medialny, w rzeczywistości był jedynie wirusem typu "proof of concept", stworzonym wyłącznie w celu zademonstrowania, że napisanie złośliwego programu dla systemu Symbian jest możliwe. Autorzy tego typu wirusów twierdzą, że motywowani są ciekawością i chęcią zwiększenia bezpieczeństwa systemów, które są atakowane przez ich własne twory; zazwyczaj nie są więc zainteresowani rozpowszechnianiem ich kodów, ani wykorzystywaniem ich do nielegalnych celów. Pierwsza próbka Cabira została przesłana do producentów oprogramowania antywirusowego na polecenie jego autora. Jednak kod źródłowy robaka został opublikowany w Internecie i w efekcie powstała ogromna liczba jego modyfikacji. Cabir zaczął powoli, ale nieprzerwanie, infekować telefony komórkowe na całym świecie.

Chociaż Cabir wywołał ogromny szum medialny, w rzeczywistości był jedynie wirusem typu "proof of concept".

Zaledwie miesiąc po pojawieniu się Cabira, firmy antywirusowe zaalarmowane zostały kolejną technologiczną innowacją: Virus.WinCE.Duts. Szkodnik ten wyróżnił się podwójnie: był pierwszym znanym wirusem dla platformy Windows CE (Windows Mobile) oraz pierwszym infektorem plików dla palmofonów. Duts infekuje pliki wykonywalne w folderze głównym urządzenia, zanim jednak to zrobi prosi użytkownika o autoryzację.

Nie upłynęło wiele czasu, gdy twórcy wirusów zadali kolejne uderzenie w wirtualnym ataku na Windows Mobile: miesiąc po stworzeniu wirusa Duts pojawił się Backdoor.WinCE.Brador. Jak wskazuje jego nazwa, program ten był pierwszym backdoorem dla platform przenośnych. Szkodnik otwiera porty na urządzeniu ofiary, a tym samym otwiera urządzenia PDA oraz palmofony na dostęp zdalnego użytkownika. Następnie Brador czeka, aż zdalny użytkownik nawiąże połączenie z zaatakowanym urządzeniem.

Wraz z pojawieniem się Bradora niemalże całkowicie ustała działalność kilku największych ekspertów w dziedzinie bezpieczeństwa urządzeń przenośnych - autorów wirusów typu "proof of concept", którzy do ich tworzenia wykorzystują radykalnie nowe technologie. Trojan.SymbOS.Mosquit, który pojawił się niedługo po Bradorze, podszywał się pod Mosquitos, czyli legalną grę dla Symbiana, jednakże ze zmienionym kodem. Zmodyfikowana wersja gry wysyła wiadomości SMS pod numery telefonów zakodowanych w treści programu. W rezultacie, program klasyfikowany jest jako trojan, ponieważ, typowo dla tej klasy, wykonuje operacje bez wiedzy i zgody użytkownika.

W listopadzie 2004 r., po trzymiesięcznej przerwie, na niektórych forach związanych tematycznie z telefonią komórkową został umieszczony nowy trojan dla systemu Symbian. Trojan.SymbOS.Skuller, który wyglądał jak program oferujący nowe tapety i ikony dla Symbiana, był plikiem SIS - instalatorem platformy Symbian. Po uruchomieniu i zainstalowaniu programu w systemie ikony standardowych programów (pliki AIF) zastępowane były ikonką przedstawiającą trupią czaszkę. Program nadpisywał również oryginalne aplikacje, które w rezultacie przestawały funkcjonować.

Trojan.SymbOS.Skuller ujawnił światu dwa niezbyt pozytywne fakty o architekturze Symbiana. Po pierwsze, możliwe jest nadpisywanie aplikacji systemowych, co prowadzi do niestabilności systemu. Po drugie, nie stworzono żadnych zabezpieczeń dla tej "luki".

Luka szybko została wykorzystana przez osoby, które piszą wirusy w celu zademonstrowania swoich umiejętności programowania. Skuller był pierwszym programem należącym do największej obecnie klasy złośliwych programów dla telefonów komórkowych. Funkcje programu są bardzo prymitywne i zostały stworzone jedynie w celu wykorzystania wspomnianej wcześniej "właściwości" Symbiana. W porównaniu z wirusami dla komputerów PC, pod względem wyrządzanych szkód i właściwości technicznych, wirusy z tej klasy są analogiczne do wirusów plikowych systemu DOS, które wykonywały polecenie 'format c:\'.

Drugi trojan z tej klasy - Trojan.SymbOS.Locknut - pojawił się dwa miesiące później. Po uruchomieniu wirus tworzy w /system/apps folder o nazwie 'gavno' (niezbyt fortunna nazwa z punktu widzenia osoby mówiącej językiem rosyjskim). Folder zawiera pliki o nazwach 'gavno.app', 'gavno.rsc' oraz 'gavno_caption.rsc', które zawierają tekst, a nie - typowo dla plików tego formatu - kod i strukturę. Rozszerzenie .app sprawia, że system identyfikuje plik jako wykonywalny. Przy uruchamianiu aplikacji po ponownym starcie systemu nastąpi jego zablokowanie, co uniemożliwi włączenie zainfekowanego palmofonu.

Wciąż pojawiają się konie trojańskie działające dzięki "luce" w systemie Symbian. Różnią się od siebie jedynie sposobem, w jaki ją wykorzystują.

  • Trojan.SymbOS.Dampig nadpisuje aplikacje systemowe złośliwym kodem
  • Trojan.SymbOS.Drever uniemożliwia automatyczne uruchomienie niektórych aplikacji antywirusowych
  • Trojan.SymbOS.Fontal zastępuje pliki czcionki systemowej innymi plikami. Chociaż pliki te są prawidłowe, nie odpowiadają wersji językowej plików czcionki systemu operacyjnego. W rezultacie nie można ponownie włączyć telefonu
  • Trojan.SymbOS.Hoblle zastępuje aplikację systemową File Explorer uszkodzonym programem
  • Trojan.SymbOS.Appdiasbaler i Trojan.SymbOS.Doombot mają identyczne funkcje z trojanem Trojan.SymbOS.Dampig (drugi z nich instaluje robaka Worm.SymbOS.Comwar)
  • Trojan.SymbOS.Blankfont jest praktycznie identyczny z trojanem Trojan.SymbOS.Fontal

Strumień jednolitych trojanów przerwał dopiero w styczniu 2005 r. robak Worm.SymbOS.Lascon. Jest to daleki krewny robaka Worm.SymbOS.Cabir. Od swojego poprzednika różni się tym, że może infekować pliki SIS. W marcu 2005 r. Worm.SymbOS.Comwar wniósł nowe funkcje do świata złośliwych programów dla telefonów komórkowych - był to pierwszy złośliwy program z możliwością rozprzestrzeniania się przez wiadomości MMS.

Podsumowanie złośliwych programów dla urządzeń przenośnych

Nazwa Data wykrycia System operacyjny Zestaw funkcji Wektor infekcji Liczba wariantów
Worm.SymbOS.Cabir Czerwiec 2004 Symbian Rozprzestrzenianie poprzez Bluetooth Bluetooth 11
Virus.WinCE.Duts Lipiec 2004 Windows CE Infekowanie plików
(Plikowe funkcje API)
1
Backdoor.WinCE.Brador Sierpień 2004 Windows CE Zapewnianie zdalnego dostępu poprzez sieć
(Sieciowe funkcje API)
1
Trojan.SymbOS.Mosquit Sierpień 2004 Symbian Wysyłanie wiadomości SMS SMS 1
Trojan.SymbOS.Skuller Listopad 2004 Symbian Zastępowanie aplikacji plikiem ikony "Luka" w systemie operacyjnym 12
Worm.SymbOS.Lasco Styczeń 2005 Symbian Rozprzestrzenianie się poprzez Bluetooth, infekowanie plików Bluetooth, plikowe funkcje API 1
Trojan.SymbOS.Locknut Luty 2005 Symbian Instalowanie zainfekowanych aplikacji "Luka" w systemie operacyjnym 2
Trojan.SymbOS.Dampig Marzec 2005 Symbian Zastępowanie aplikacji systemowych "Luka" w systemie operacyjnym 1
Worm.SymbOS.Comwar Marzec 2005 Symbian Rozprzestrzenianie się poprzez Bluetooth, wysyłanie wiadomości MMS Bluetooth, MMS 2
Trojan.SymbOS.Drever Marzec 2005 Symbian Zastępowanie funkcji startowych aplikacji antywirusowych "Luka" w systemie operacyjnym 3
Trojan.SymbOS.Fontal Kwiecień 2005 Symbian Zastępowanie plików czcionek "Luka" w systemie operacyjnym 2
Trojan.SymbOS.Hobble Kwiecień 2005 Symbian Zastępowanie aplikacji systemowych "Luka" w systemie operacyjnym 1
Trojan.SymbOS.Appdisabler Maj 2005 Symbian Zastępowanie aplikacji systemowych "Luka" w systemie operacyjnym 2
Trojan.SymbOS.Doombot Czerwiec 2005 Symbian Zastępowanie aplikacji systemowych, instalowanie robaka Comwar "Luka" w systemie operacyjnym 1
Trojan.SymbOS.Blankfont Lipiec 2005 Symbian Zastępowanie plików czcionek "Luka" w systemie operacyjnym 1

Wykres 1. Wzrost liczby znanych rodzin wirusów dla telefonów komórkowych

Historię wirusów dla telefonów komórkowych można podzielić na dwie epoki: ilustruje to zmiana, jaka nastąpiła w funkcjach tych złośliwych programów wraz z Cabirem. Pierwsza epoka obejmuje początkowe sześć miesięcy od pojawienia się pierwszego wirusa dla telefonów komórkowych (od czerwca 2004 r. do stycznia 2005 r.) - był to okres przełomów technologicznych. Kolejne sześć miesięcy (styczeń 2005 - do teraz) zdominowały prymitywne trojany dla Symbiana. Jeśli weźmiemy pod uwagę fakt, że pierwsza wzmianka o robaku Worm.SymbOS.Comwar pojawiła się w Internecie dwa miesiące, zanim próbki zostały rozesłane do firm antywirusowych, a Worm.SymbOS.Lasco jest zmodyfikowaną wersją robaka Worm.SymbOS.Cabir, to granica między tymi dwoma okresami będzie jeszcze wyraźniejsza.

Obecnie nastąpiło wstrzymanie ewolucji wirusów dla telefonów komórkowych - ostatni wirus, który wykorzystywał całkowicie nowe techniki, pojawił się w marcu 2005 r. i był to Worm.SymbOS.Comwar. Obserwujemy stały wzrost ilościowy: średnio raz w miesiącu pojawia się nowy złośliwy program dla przenośnych systemów operacyjnych (nie licząc modyfikacji istniejących już złośliwych programów).

Luki w zabezpieczeniach urządzeń przenośnych

Inteligentne urządzenia przenośne wciąż znajdują się we wczesnym stadium rozwoju, a tym samym narażone są na ataki zarówno z technicznego, jak i socjologicznego punktu widzenia. Z jednej strony, ich stabilność techniczna ma szansę wzrosnąć tylko w warunkach wyścigu technologicznego, gdy jedna strona przepuszcza nieprzerwany strumień ataków, a druga nieustannie podejmuje przeciwdziałania. W przypadku urządzeń PDA i palmofonów, podobna walka rozpoczęła się całkiem niedawno, więc zabezpieczenia tych urządzeń są, na razie, prawie w ogóle nierozwinięte.

Z drugiej strony, teoria bezpieczeństwa informacji mówi, że czynnik ludzki może pokrzyżować wszystkie działania techniczne podjęte w celu zabezpieczenia systemów. Z powodu braku świadomości użytkowników techniczne rozwiązania przynoszą zazwyczaj na początku niewiele efektów w kwestii bezpieczeństwa. Przeciętni użytkownicy komputerów potrzebowali lat, zanim od momentu pierwszej epidemii nauczyli się standardowo stosować rozwiązania antywirusowe, oraz miesięcy, zanim po epidemii wywołanej przez robaki pocztowe nauczyli się nie otwierać nieznanych załączników, które przychodziły wraz z pocztą elektroniczną.

  • Robak dla telefonów komórkowych nie wykorzystuje żadnej luki; do zainfekowania palmofonu wystarczy, aby użytkownik dwukrotnie autoryzował pobranie i uruchomienie nieznanego pliku.
  • Wielu producentów oferuje rozwiązania antywirusowe dla urządzeń przenośnych
  • Szum medialny wokół pojawienia się pierwszego robaka dla urządzeń przenośnych powinien był dotrzeć do wszystkich użytkowników telefonów komórkowych, nawet tych niezainteresowanych technologią
  • Informacje o Cabirze zostały opublikowane na wszystkich stronach związanych z wirusami i rozwiązaniami antywirusowymi

Uwzględniając te cztery punkty można wyciągnąć wniosek, że obecnie tylko odpowiednie zachowanie człowieka może zagwarantować bezpieczeństwo urządzeń przenośnych.

Poziom technicznego zabezpieczenia palmofonów można ustalić na podstawie łatwości, z jaką jest ona destabilizowana - w najgorszym przypadku może zajść konieczność zainstalowania na urządzeniach działających pod kontrolą systemu Symbian nowego oprogramowania wewnętrznego (firmware). Jak pokazuje powyższa tabela, funkcje większości znanych wirusów dla urządzeń przenośnych wykorzystują charakterystyczną cechę systemu operacyjnego: możliwość nadpisania każdego pliku, łącznie z plikami systemowymi, oraz dużą niestabilność systemu w kontakcie z nieoczekiwanymi plikami (tj. plikami zainfekowanymi lub niestandardowymi dla bieżącej dystrybucji).

Kolejny przykład: wymiana danych poprzez Bluetooth należy do standardowych funkcji oferowanych przez większość producentów i urządzeń. Biorąc pod uwagę niechęć przeciętnego człowieka do dokumentacji, może on nawet nie podejrzewać, że jego telefon komórkowy jest widoczny dla innych użytkowników tej technologii w promieniu od 10 do 20 metrów i jest potencjalnie otwarty na przesyłanie danych i wymianę informacji.

Sytuacja ta jest niewątpliwie zatrważająca, szczególnie jeśli uwzględnimy fakt, że urządzenia przenośne są atrakcyjne dla wszystkich rodzajów twórców wirusów. Z następujących względów złośliwe programy dla telefonów komórkowych mogą przynieść większe korzyści finansowe niż wirusy dla komputerów:

  • Wyższa jakość komunikacji między urządzeniami: urządzenia przenośne nazywane są urządzeniami przenośnymi, ponieważ nieustannie komunikują się ze światem zewnętrznym (z sieciami przenośnymi, z Internetem, z komputerami i ze sobą nawzajem). Z tego względu wyposażone są w wiele technologii do przesyłania danych, począwszy od tradycyjnych technologii przenośnych (takich jak SMS i MMS) po Bluetooth i inne metody bezprzewodowe.
  • Większy kontakt między urządzeniami, ponieważ użytkownicy zwykle noszą urządzenia przenośne przy sobie i nawiązują ze sobą kontakt za pomocą Bluetooth, dzięki czemu możliwa jest wymiana danych między tymi urządzeniami. Oznacza to, że telefon komórkowy, który użytkownik nosi przy sobie, w przeciągu godzin zetknie się z tysiącami innych telefonów. Zatem na gęsto zaludnionym lub zatłoczonym obszarze powstaje potężna sieć do wymiany plików.
  • Technologie przenośne zintegrowane z technologiami komputerowymi stanowią bardzo podatny grunt dla masowego rozsyłania wiadomości i dla szpiegostwa politycznego, przemysłowego czy innego rodzaju działalności przestępczej.
  • Technologie bezprzewodowej transmisji danych oferują obecnie zdalnym użytkownikom prawie całkowitą anonimowość.

Punkty pierwszy i drugi stwarzają niezbędne warunki do wystąpienia natychmiastowej i globalnej epidemii w przypadku pojawienia się wystarczająco silnego robaka dla Bluetootha. Punkty trzeci i czwarty spowodują, że dziedziną telefonów komórkowych zainteresują się profesjonalni twórcy wirusów współpracujący z grupami przestępczymi.

Zagrożenia

Najpoważniejszym zagrożeniem wirusowym z punktu widzenia bezpieczeństwa telefonów komórkowych byłby samoczynnie rozmnażający się wirus - czyli robak. Taki złośliwy kod potrafi z błyskawiczną szybkością zainfekować ogromną liczbę systemów, paraliżując działanie sieci przenośnych lub przekształcając sieć przenośną w sieć kontrolowaną przez przestępców.

Znamy obecnie dwa robaki dla telefonów komórkowych (nie uwzględniając modyfikacji), są to: Worm.SymbOS.Cabir, którego algorytm rozprzestrzeniania wykorzystuje technologię Bluetooth, oraz Worm.SymbOS.Comwar, który rozprzestrzenia się poprzez Bluetooth i MMS. Szczegółowa analiza tych robaków dostępna jest w Encyklopedii Wirusów, w tym miejscu jednak ograniczymy się tylko do przeglądu wykorzystywanych przez nie mechanizmów samoczynnego rozprzestrzeniania się.

Bluetooth jest technologią wykorzystywaną do bezprzewodowej transmisji danych, stworzoną w 1998 r. Obecnie jest to powszechnie stosowana technologia wymiany danych pomiędzy wieloma różnymi urządzeniami - telefonami i akcesoriami telefonicznymi, urządzeniami PDA, komputerami biurkowymi i innym sprzętem. Połączenia poprzez Bluetooth mają zazwyczaj zasięg od 10 do 20 metrów, mogą być przesyłane poprzez obiekty fizyczne, takie jak ściany, i teoretycznie oferują prędkość transmisji do 721 KB na sekundę.

Worm.SymbOS.Cabir wykorzystuje technologię Bluetooth zgodnie z jej przeznaczeniem, tzn. nie wykorzystuje żadnej luki. Po uruchomieniu robak rozpoczyna skanowanie najbliższego obszaru w poszukiwaniu innych urządzeń Bluetooth w trybie umożliwiającym wykrycie, a następnie przesyła dane - w tym wypadku kopia robaka - w formie archiwum SIS. Niezależnie od systemu operacyjnego zainstalowanego na atakowanym telefonie, na ekranie pojawi się powiadomienie o przesyłanym pliku i zapytanie o jego akceptację. Jeśli użytkownik odpowie twierdząco, plik zostanie zapisany w pamięci i automatycznie uruchomiony w celu wykonania. System instalacji plików SIS zapyta użytkownika, czy instalacja ma być kontynuowana i robak zostanie zainstalowany tylko w przypadku zgody użytkownika. Robak rozpocznie następnie nowy cykl skanowania i infekowania najbliższych urządzeń. Plik ten może zostać pobrany przez użytkowników systemu Windows Mobile, nie stanowi on jednak dla nich żadnego zagrożenia, ponieważ robak działa tylko w systemie Symbian. Nie ma również żadnego zagrożenia dla komputerów wbudowanych do samochodów, które działają pod kontrolą systemu Symbian: w wyniku badań stwierdzono, że robak wykorzystujący technologię Bluetooth nie może zainfekować tych systemów.

MMS jest stosunkowo starą technologią, jest to rozszerzenie technologii SMS z możliwością przesyłania obrazów, plików audio i video. W przeciwieństwie do technologii SMS, która wykorzystuje protokoły sieci przenośnych, wiadomości MMS przesyłane są poprzez Internet. Oznacza to, że oprócz telefonu z usługą MMS, użytkownik musi posiadać również odpowiedni pakiet serwisowy, aby mógł wysyłać i otrzymywać wiadomości MMS.

W celu rozprzestrzeniania się Worm.SymbOS.Comwar wykorzystuje technologię MMS (oprócz opisanej wcześniej technologii Bluetooth). Szkodnik wysyła wiadomość MMS pod wszystkie numery telefonów w książce adresowej. Wiadomość zawiera osadzoną kopię pliku instalacyjnego robaka.

Zarówno temat, jak i treść przesyłanej wiadomości wykorzystują sprawdzone metody socjotechniki, które za sprawą robaków pocztowych stały się klasyką. Tematy, takie jak 'Nokia RingtoneManager for all models', 'Symbian security update' itd. mają wyraźnie wywołać w użytkowniku fałszywe poczucie bezpieczeństwa. Telefony z systemem Symbian, które otrzymują takie wiadomości, automatycznie uruchamiają załączony plik, a tym samym do systemu instaluje się wirus. Jak do tej pory nie odnotowano żadnych przypadków infekcji urządzeń z systemem Windows.

Trudno powiedzieć, który z mechanizmów rozprzestrzeniania, Bluetooth czy MMS, jest groźniejszy, gdy wykorzystują go robaki dla telefonów komórkowych. Za technologią MMS przemawia to, że jest w nią wyposażona większość telefonów, a mechanizm rozprzestrzeniania robaka nie zależy od tego, czy zainfekowany telefon znajduje się w odległości nawiązania połączenia z mechanizmem Bluetooth. Z drugiej strony, niekwestionowaną przewagą Bluetootha jest jego uniwersalność i zdolność do łączenia szeregu różnych urządzeń do transmisji danych. Poza tym transmisja jest anonimowa.

Wykres 2: 'Dane firmy F-Secure ukazujące liczbę państw, w których odnotowano infekcję.

Platformy

Obecnie najpopularniejszymi systemami operacyjnymi w urządzeniach przenośnych są Windows CE (Pocket PC, Windows Mobile), Symbian OS, Palm OS oraz Linux. Jednak Palm OS i Linux są wykorzystywane stosunkowo rzadko. Windows dominuje w urządzeniach PDA oraz w sektorze komunikatorów, natomiast Symbian jest popularniejszy w kategorii palmofonów.

Na razie jest za wcześnie, aby ocenić bezpieczeństwo jakiejkolwiek platformy. Jednak testy przeprowadzone z wykorzystaniem istniejących już wirusów dla telefonów komórkowych zwracają uwagę na interesującą kwestię. Telefony z systemem Symbian automatycznie przetwarzają (tj. pobierają, odtwarzają i uruchamiają) każdy plik, który dostaje się do skrzynki odbiorczej, łącznie z plikami otrzymywanymi poprzez Bluetooth i MMS. Odnosi się to do każdego pliku, zarówno pliku obrazu, pliku audio jak i instalatora. Natomiast telefony działające pod kontrolą systemu Windows Mobile zapiszą po prostu otrzymany plik w pamięci (zazwyczaj w folderze "Moje Dokumenty"). Ponieważ nie mieliśmy okazji przetestować wszystkich, dostępnych obecnie palmofonów i komunikatorów, istnieje prawdopodobieństwo, że różnica ta nie będzie dotyczyła różnych platform, a raczej modułów, chociaż w praktyce te dwie rzeczy oznaczają mniej więcej to samo.

Na podstawie dowodu przedstawionego we wcześniejszym paragrafie oraz opisywanej wcześniej "luki" rozsądnie jest wysunąć konkluzję, że Symbian jest platformą najbardziej narażoną na ataki wirusów. Obiektywnie jednak, jest to jedynie odzwierciedlenie obecnej sytuacji na rynku i nie wynika z tego wcale, że platforma Windows Mobile jest mniej narażona na ataki robaków. Jak już pokazano, Symbian jest po prostu najpopularniejszą obecnie platformą dla palmofonów. Jednocześnie jest to system najbardziej podatny na ataki określonych złośliwych programów wykorzystanych podczas testowania bezpieczeństwa urządzeń przenośnych.

Ochrona przed wirusami dla telefonów komórkowych

Obecnie istnieje kilka rozwiązań antywirusowych przeznaczonych do ochrony urządzeń przenośnych przed wirusami: firma Kaspersky Lab oferuje program antywirusowy dla systemu Windows CE (Pocket PC, Windows Mobile) Symbian (wersje 6, 7 oraz 8, a także UIQ) oraz dla systemu Palm OS (na razie nie wykryto jeszcze żadnych wirusów dla tego systemu operacyjnego). Inne firmy, takie jak Trend Micro, Network Associates oraz F-Secure, produkują zbliżone programy, podobnie jak niektóre młode firmy zajmujące się wytwarzaniem wyspecjalizowanych rozwiązań antywirusowych dla urządzeń przenośnych (Airscanner, Simworks).

Jeśli chodzi o robaki rozprzestrzeniające się poprzez MMS, optymalnym rozwiązaniem jest zainstalowanie przez operatora sieci komórkowej produktu antywirusowego na serwerze internetowym, przez który przepływa ruch MMS. Zapewni to ochronę użytkowników sieci.

Trendy i prognozy

Trudno jest dokładnie przewidzieć rozwój wirusów dla telefonów komórkowych. Teren ten jest wciąż bardzo niestabilny. Wzrost liczby czynników, które mogłyby potencjalnie spowodować poważne zagrożenia dla bezpieczeństwa informacji, jest szybszy niż tempo, w jakim przebiega proces adaptacji i ewolucji środowiska - zarówno technicznego jak i socjologicznego - mający na celu sprostanie tym potencjalnym zagrożeniom.

Następujące czynniki spowodują wzrost liczby złośliwych programów oraz zagrożeń dla palmofonów:

  • Rośnie odsetek palmofonów w użyciu. Im popularniejsza technologia, tym większy zysk z ataku.
  • Uwzględniając powyższe, wzrośnie również liczba osób zainteresowanych przeprowadzeniem takiego ataku, które posiadają do tego odpowiednie możliwości.
  • Palmofony stają się coraz potężniejszymi, wielofunkcyjnymi urządzeniami i zaczynają wypierać z rynku urządzenia PDA. W rezultacie, wirusy i ich twórcy będą mieli więcej funkcji do wykorzystywania.
  • Rozszerzona funkcjonalność urządzenia wiąże się naturalnie z większą ilością informacji przechowywanych na urządzeniu, które mogą potencjalnie zainteresować zdalnego przestępcę. W przeciwieństwie do standardowych telefonów komórkowych, które zazwyczaj przechowują w swej pamięci niewiele ponad książkę adresową, pamięć palmofonów może zawierać wszystkie pliki, które normalnie mogłyby być przechowywane na dysku twardym komputera. Palmofony mogą również wykorzystywać programy, które, tak jak ICQ, udostępniają chronione hasłem usługi online, zagrożone są więc także poufne dane.

Jednak czynniki negatywne zostały obecnie zrównoważone przez czynniki, które utrudniają występowanie wspomnianych wyżej zagrożeń: utrzymujący się na niskim poziomie odsetek palmofonów, brak dominacji jednego systemu operacyjnego na rynku telefonów komórkowych. Obecnie hamuje to potencjalne wystąpienie globalnej epidemii - tylko wirus wieloplatformowy mógłby zainfekować większą liczbę palmofonów (a tym samym wywołać epidemię). Nawet wtedy większość użytkowników telefonów komórkowych byłaby bezpieczna, ponieważ stosowałaby urządzenia ze standardowymi funkcjami (nie palmofony).

Urządzenia przenośne będą poważnie zagrożone, gdy czynniki negatywne zaczną przeważać te pozytywne. Wydaje się to nieuniknione. Według danych grupy analityków SmartMarketing, w ciągu ostatnich 2, 3 lat stale wzrastał udział rynkowy systemu Symbian na rosyjskim rynku urządzeń PDA i palmofonów. W połowie 2005 roku udział rynkowy tego systemu był taki sam jak udział rynkowy systemu Windows Mobile, tak więc Windows Mobile może zostać wypchnięty z rynku.

Urządzenia przenośne będą poważnie zagrożone, gdy czynniki negatywne zaczną przeważać te pozytywne.

Obecnie nie istnieje ryzyko wystąpienia globalnej epidemii spowodowanej złośliwymi programami dla telefonów komórkowych. Jednak za kilka lat groźba ta może stać się rzeczywistością, ponieważ mniej więcej po tym okresie liczba palmofonów, doświadczonych twórców wirusów i standaryzacja platform osiągnie punkt krytyczny. Nie zmniejsza to jednak potencjalnego zagrożenia - większość twórców wirusów jest wyraźnie zainteresowana dziedziną urządzeń przenośnych. Oznacza to, że wirusy dla tych urządzeń wciąż będą ewoluowały, a wraz z tym nastąpi rozwój nowych technologii i szkodliwych funkcji, które stopniowo będą stawały się coraz powszechniejsze. Równocześnie wzrośnie liczba trojanów dla Symbiana wykorzystujących słabe punkty w systemie, chociaż większość z nich prawdopodobnie będzie prymitywna (pod względem funkcjonalności będą zbliżone do trojanów o nazwie Fontal i Appdisabler).

Ogólny zwrot twórców wirusów w kierunku urządzeń przenośnych stanowi równy strumień wirusów analogicznych do znanych już szkodników z nielicznymi innowacjami technologicznymi. Wydaje się, że tendencja ta utrzyma się co najmniej przez kolejne 6 miesięcy. Dodatkowym bodźcem dla twórców wirusów będzie możliwość osiągnięcia zysków finansowych, co nastąpi wtedy, gdy palmofony będą powszechnie wykorzystywane do przeprowadzania operacji finansowych oraz w celu interakcji z systemami płatności elektronicznej.

Źródło:
Kaspersky Lab