Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Kaspersky Security Bulletin, styczeń - czerwiec 2006: Złośliwe oprogramowanie dla platform innych niż Win32


Konstantin Sapronov
Analityk wirusów, Kaspersky Lab
  1. Rozwój złośliwego oprogramowania
  2. Złośliwe oprogramowanie dla platform innych niż Win32
  3. Ataki internetowe
  4. Złośliwe programy dla urządzeń przenośnych
  5. Raport o spamie

W tej części półrocznego raportu omówione zostaną złośliwe programy i luki w uniksowych systemach operacyjnych, łącznie z systemem Mac OS X, który opiera się na Uniksie. Obecnie OS X cieszy się sporym zainteresowaniem specjalistów ds. bezpieczeństwa, większym niż inne uniksowe systemy operacyjne.

Główne wyniki dla pierwszej połowy 2006 roku

Unix powoli ale pewnie odbiera rynek Windowsowi, zarówno jeśli chodzi o serwery, jak i użytkowników końcowych. Jednak system ten nie osiągnął jeszcze popularności, która motywowałaby twórców wirusów do pisania tak dużej liczby złośliwych programów jak w przypadku systemu Win32. OS X może okazać się kanałem, poprzez który coraz więcej użytkowników komputerów zaznajomi się z uniksowymi systemami operacyjnymi - konsekwencją tego będzie wzrost liczby złośliwych programów dla tej platformy.

Sam fakt, że OS X opiera się na FreeBSD oraz Mach pozwala na zaimplementowanie technologii uniksowych.

Poniższy rysunek pokazuje liczbę złośliwych programów atakujących uniksowe systemy operacyjne w pierwszej połowie 2006 roku.


Rysunek 1. Liczba złośliwych programów dla uniksowych systemów operacyjnych

Rysunek ukazuje z jednej strony wzmożone zainteresowanie twórców złośliwego oprogramowania systemem OS X, z drugiej strony niewielki spadek zainteresowania innymi systemami uniksowymi.

Mac OS X

Jeszcze przed swoim debiutem Mac OS X for x86 zwrócił uwagę specjalistów z branży bezpieczeństwa.

Zainteresowanie wrosło jeszcze bardziej, po tym jak Apple ogłosił przejście na popularne procesory Intel. Spowodowało to aktywniejsze poszukiwanie luk, zarówno w systemie operacyjnym, jak i tworzonych dla niego aplikacjach. Przykładem może być popularna wśród użytkowników Maca przeglądarka internetowa Safari, w której zidentyfikowano luki więcej niż jeden raz.

Michale Lehn wykrył w Safari lukę, która pozwala na uruchomienie zdalnego kodu z archiwum zip.

Fulldisclosure, znana lista mailingowa dotycząca bezpieczeństwa, opublikowała przykłady kodu uruchamianego za pomocą luki w tej przeglądarce. Gdy Safari ładuje stronę zawierającą kod, użytkownikowi ukazuje się SRCOD (Spinning Rainbow Cursor of Death - odpowiednik klepsydry znanej z systemów Windows). Następnie, Safari przestaje działać.

Należy podkreślić, że z innymi popularnymi przeglądarkami internetowymi, takimi jak FireFox, Opera czy IE, wiąże się tyle samo problemów z Safari. Luki o różnym znaczeniu nieustannie wykrywane są we wszystkich tych przeglądarkach, a niektóre z nich mogą nawet być wykorzystywane przez specjalnie napisane trojany.

Safari nie jest jedyną aplikacją w systemie OS X, w której znaleziono błędy. Apple opublikował już kilka aktualizacji dla systemu OS X, które mają wyeliminować luki w różnych aplikacjach.

Na początku lutego wykryto wiele złośliwych programów typu "proof of concept" dla systemu OS X.

Leap. Robak komunikatorów internetowych dla systemu OS X, który pojawił się w lutym 2006 roku. Szkodnik ten rozprzestrzenia się za pomocą komunikatora iChat, wysyłając swoje kopie do wszystkich kontaktów w książce adresowej.


Rysunek 2. Podczas rozprzestrzeniania się robaka pojawia się okno dialogowe.

Inqtana. Robak oparty na Javie. Pojawił się prawie w tym samym czasie co Leap. Szkodnik ten rozprzestrzenia się za pośrednictwem technologii Bluetooth i wykorzystuje starą lukę (Bugtraq ID 13491), która po raz pierwszy została upubliczniona w maju 2005.

Zarówno Leap, jak i Inqtana są robakami typu "proof of concept": ich istnienie potwierdza możliwość stworzenia takich programów. W przyszłości użytkownicy powinni być przygotowani na pojawienie się tych robaków na wolności, a twórcy systemu OS X muszą zachować czujność.

Linux

Zajmijmy się teraz tradycyjnymi systemami uniksowymi. Podczas gdy liczne luki identyfikowane w jądrze Linuksa powodują, że twórcy biją na alarm, nastąpił niewielki spadek liczby złośliwych programów dla tego systemu operacyjnego, który jest jednym z najpopularniejszych systemów uniksowych.

Na uwagę zasługuje również pojawienie się kolejnego wirusa wieloplatformowego - Virus.Multi.Bi. Próby stworzenia złośliwego programu tego typu podejmowano już wcześniej, a Virus.Multi.Bi jest wariacją na znany już temat. Do tej samej kategorii należą inne wirusy, takie jak Virus.Multi.Etapux i Virus.Multi.Pelf.

Virus.Multi.Bi, Virus.Multi.Etapux i Virus.Multi.Pelf) są wirusami typu "proof of concept". Ich głównym celem jest udowodnienie możliwości stworzenia programów infekujących zarówno system Linux jak i Win32. Unix atakowany jest głównie przez backdoory i szereg różnych narzędzi klasyfikowanych jako narzędzia hakerskie. Można to wyjaśnić tym, że atakowane komputery z systemem Unix zazwyczaj wykorzystywane są jako platforma do dalszych ataków. Po włamaniu się do konta na komputerze z Uniksem można je wykorzystać do uruchomienia snifferów, backdoorów i przeprowadzania ataków DoS.

Poniższy rysunek ukazuje rozkład tych złośliwych programów.


Rysunek 3. Rozkład złośliwych programów atakujących Uniksa.

Trendy i prognozy

Ewolucja złośliwych programów odzwierciedla ewolucję całej branży komputerowej. Dlatego właśnie, jeżeli chodzi o bezpieczeństwo systemów operacyjnych innych niż Windows, niewiele osób zaprzeczy, że złośliwe programy dla takich platform są nie tylko możliwe do stworzenia, ale istnieją już w rzeczywistości. Co więcej, integrowanie różnych technologii zachęca szkodliwych użytkowników do szukania rozwiązań, które będą działały na różnych platformach.

Na podstawie przedstawionych wyżej informacji można sformułować następujące wnioski:

1. Wraz ze wzrostem popularności systemu OS X będzie się zwiększać liczba ataków na ten system operacyjny i jego aplikacje. Gdy OS X osiągnie "masę krytyczną", szkodliwi użytkownicy zwrócą większą uwagę na komputery z systemem OS X, co spowoduje pojawienie się złośliwego oprogramowania dla tego systemu na wolności.

2. Innym potencjalnym celem jest platforma 64-bitowa. Z jednej strony, nowe technologie stwarzają dodatkowe trudności, jednak innowacje zawsze przyciągają zagorzałych specjalistów ds. bezpieczeństwa. W przyszłości pojawią się prawdopodobnie złośliwe programy dla uniksowych systemów operacyjnych dla 64-bitowych procesorów.

Reasumując, niewielka liczba złośliwych programów w dowolnym środowisku nie oznacza, że spraw bezpieczeństwa nie należy traktować poważnie. W końcu, ani Linux, ani OS X, ani żaden inny system operacyjny nie jest z natury bezpieczniejszy niż Windows, a użytkownicy powinni podjąć odpowiednie środki ostrożności, bez względu na to, jak bezpiecznie się czują.

Źródło:
Kaspersky Lab
Więcej informacji
Analizy
Kaspersky Security Bulletin, <nobr>styczeń - czerwiec 2006</nobr>: Ewolucja złośliwego oprogramowania
Kaspersky Security Bulletin, <nobr>styczeń - czerwiec 2006:</nobr> Ataki internetowe
Kaspersky Security Bulletin, <nobr>styczeń - czerwiec 2006:</nobr> Złośliwe programy dla urządzeń przenośnych
Kaspersky Security Bulletin, <nobr>styczeń - czerwiec 2006:</nobr> Raport o spamie