С ростом популярности “умных” телефонов (смартфонов и коммуникаторов), на которых абоненты все чаще обрабатывают конфиденциальную информацию, включая данные о своих банковских счетах, и хранят пароли для доступа к корпоративной сети (их записывают в файлы, находящиеся в портативных устройствах), повышается интерес к этим устройствам и со стороны хакеров. А значит, как и обычным компьютерам, портативным мобильным устройствам нужны антивирусы и специальные защитные программы (спам-фильтры, firewall и т. д.) для обеспечения безопасности пользовательских данных.
Опасности портативных устройств
О том, что можно синтезировать вирусы для мобильных телефонов, говорили еще в конце 90-х, когда создавали смартфоны, управляемые операционной системой. Именно наличие стандартной ОС с весьма предсказуемыми системными функциями позволяет вирусу проникать на терминал в виде стороннего приложения и не только заражать там другие программы, но и предпринимать попытки к саморазмножению. И в настоящее время, по мнению экспертов компаний McAfee и Sipera, активный рост популярности мобильных устройств делает их как никогда прежде привлекательными для хакеров-вирусописателей.
Миллиарды жителей планеты уже не представляют себе жизни без мобильника, причем многие из них привыкли производить при помощи мобильных терминалов финансовые операции, что, конечно, не укрылось от внимания хакеров. К слову, основное отличие вирусов для портативных смартфонов и коммуникаторов от компьютерных — скрытность работы и вполне ощутимый материальный ущерб. Дело в том, что любой смартфон или коммуникатор — устройство с возможностью осуществления платных вызовов и просмотра страниц в Интернете. Следовательно, именно эти функции являются главными целями злоумышленников. Уже существуют вирусы, которые при значительном времени простоя терминала инициируют вызовы на платные голосовые номера контент-провайдеров (стоимость — 3--10 долл./мин), открытие веб-ссылок через прямой набор удаленного номера модемного пула в зарубежной стране, шпионские программы, предназначенные для слежения за действиями пользователей (вводимая с клавиатуры информация, снимки экрана, список активных приложений и действия пользователя с ними записываются в файл на диске и периодически отправляются злоумышленнику) или для заманивания их на специальные сайты, а также “клавиатурные шпионы”, которые воруют пароли, SMS-переписку и другие интересные, на взгляд их авторов, файлы.
Судя по данным “Лаборатории Касперского”, в настоящий момент в сотовых сетях циркулирует порядка 200 вирусов для смартфонов и коммуникаторов, причем более 98% из них — для ОС Symbian. Безусловно, в сравнении с сотнями тысяч вирусов для компьютеров это выглядит скромно, но эксперты телекоммуникационной индустрии уверены, что увеличение числа вирусов для мобильных телефонов будет стремительным. Для сравнения отметим, что еще в прошлом году счет таких вредоносных программ шел на десятки. Причем некоторые специалисты связывают рост количества вирусов для мобильников с совершенствованием защиты персональных компьютеров. Новый уровень безопасности для ПК может вынудить вирусописателей переключиться на создание программ для портативных телекоммуникационных устройств. То, что сегодня предлагает антивирусная индустрия, — скорее игра на опережение.
Для мобильной версии Windows наиболее распространенными вирусами являются утилиты удаленного администрирования (backdoor). Обычно это небольшой файл (около 5--10 Кб), который после запуска “укореняется” в каталоге \Windows\StartUp\, получая таким образом управление при каждом запуске зараженного коммуникатора. При активности устройства он скрытно устанавливает соединение с Интернетом и отправляет IP-адрес жертвы по электронной почте автору, информируя его о том, что коммуникатор находится в сети и backdoor активен. После этого такая утилита открывает различные порты для приема команд, что позволяет автору вируса получить персональные данные пользователя или загрузить в зараженное устройство программу, уничтожающую все заложенные в него данные.
Основные типы вредоносного ПО для Symbian — троянские программы, занимающиеся разрушением или злонамеренной модификацией данных, нарушением работоспособности мобильных устройств и т. д. В этой же категории присутствуют и многоцелевые троянские программы, которые одновременно шпионят за пользователем и предоставляют proxy-сервис удаленному злоумышленнику.
Обычно мобильные вирусы распространяются по Bluetooth и MMS. Они способны вызвать очень быстрое заражение большого количества систем, нарушив работоспособность мобильной сети либо превратив ее в подконтрольную злоумышленнику распределенную сеть. Посылая команды по SMS или с помощью сообщений на веб-страницах (небольшая часть исполнительного кода, воспринимаемая вирусной программой при его загрузке), к которым пользователь регулярно обращается, хакер может совершать сотни и даже тысячи звонков, к примеру, на контактные телефоны коммерческих служб или государственных органов власти, блокируя таким образом их работу.
Вдобавок слабость защиты беспроводных протоколов передачи данных дает возможность подготовленным электронным взломщикам устанавливать контроль над пользовательскими устройствами в момент их взаимодействия с Интернетом через хотспот Wi-Fi. К примеру, уязвимость в смартфоне BlackBerry 7270 позволяет хакеру дезактивировать функции голосовой связи (блокировка телефона); HTC HyTN оказался подвержен воздействию зловредных сообщений в формате SIP, способных вызывать прерывание разговора; переполнение буфера в Samsung SCH-i730 позволяет блокировать телефон удаленно и замедлять работу операционной системы и т. д. Помимо этого вирусы могут заблокировать основные функции мобильного телефона (скажем, отправку SMS), удалить игры, выключить встроенную камеру разрядить аккумулятор телефона в несколько раз быстрее обычного, а при синхронизации смартфона с компьютером переслать на ПК деструктивный код. Фактически чем “умнее” терминал, тем более он восприимчив к вирусам, ведь разнообразные функции управления и коммуникационные порты требуют сложного ПО, а в нем вирусописателям легче обнаружить уязвимость.
Таким образом, наличие специального ПО, обеспечивающего надежную защиту против самых современных мобильных вирусов и “троянов”, является критически важным. По прогнозам, в 2008 г. в мире число смартфонов сравнится с числом ноутбуков, что, в свою очередь, может привести к тому, что именно смартфоны станут излюбленным объектом хакерских атак.
Защитное ПО
В настоящий момент практически все производители антвиирусного ПО обратили свой взгляд на проблему безопасности мобильных устройств. Разработки в этом направлении ведут как отечественные, так и зарубежные компании: на рынке имеются такие решения, как антивирус Касперского Mobile, BitDefender Mobile Security, F-Secure Mobile Anti-Virus, Norton Smartphone Security, Handy Safe для Windows Mobile Pocket PC, Trend Micro Mobile Security.
Обычно это кросс-платформенные решения, работающие на Symbian и Windows Mobile. Экзотические ОС, к примеру Linux, не поддерживаются крупными игроками из-за относительно слабой распространенности мобильных решений на базе этой операционной системы. Хотя, возможно, с широким распространением интернет-планшетов для WiMAX-сети Google и Sprint в США, которые используют именно Linux, ситуация в этом сегменте рынка изменится.
К слову, и характеристики таких программ весьма стандартны. Во-первых, следует отметить многофункциональность компоновки систем. Если год-два назад такое ПО состояло из простого анализатора кода и, возможно, программы-монитора, которая располагалась в оперативной памяти, то сейчас кроме полноценного антивируса с возможностью “лечения” зараженных объектов в мобильные антивирусы включают персональный брандмауэр, спам-фильтр для SMS и шифрование данных с парольным доступом к системе (более развитые функции настройки, а также стойкий алгоритм в сравнении со стандартными возможностями ОС). Подобное ПО по запросу пользователя может оперативно проверить внутреннюю память, карту памяти или всё устройство, удаляя зловредные файлы.
Во-вторых, мобильные антивирусы обеспечивают сканирование папок и архивов электронной почты в режиме реального времени. Особенно это актуально для сервисов push e-mail, которые с наибольшим успехом используются большинством корпоративных пользователей с помощью мобильных устройств. Аналогичным образом в онлайн-режиме сканируются все входящие файлы программ и документов, которые загружаются на компьютер с применением Bluetooth и MMS — два наиболее распространенных пути получения данных на мобильные устройства. Вдобавок антивирусный продукт контролирует запуск исполняемых файлов и другие каналы связи (к примеру, инфракрасный порт), а при запуске анализирует аппаратные возможности устройства и состояние их защиты (в частности, наличие пароля для приема файлов по Bluetooth) и подсказывает пользователю наиболее оптимальную для него стратегию защиты (так называемый детектор попыток проникновения). Когда программа обнаруживает зараженный файл, она обычно немедленно изолирует его, чтобы защитить все остальные данные в системе, и запрашивает разрешение на дальнейшие действия у пользователя.
В-третьих, современное антвирусное ПО поддерживает регулярное автоматическое обновление своих баз по беспроводной сети. Несмотря на развитые возможности детектирования вредоносных программ, антивирус работает более надежно при сравнении подозрительного кода с эталонными вариантами, которые содержатся в его базе данных. Дополнительные библиотеки повышают его результативность — обычно они появляются на сервере производителя сразу же после обнаружения нового образца “в диком виде”. Обновление антивирусных баз и функциональных модулей продукта должно происходить автоматически, в соответствии с периодом, заданным пользователем, или по умолчанию один раз в неделю. Доступно как мобильное обновление по WAP/HTTP (GPRS, EDGE, 3G), так и загрузка обновлений через ПК.
В-четвертых, защитное ПО от вирусов оптимизировано специально для мобильных устройств. Учитывая тот факт, что смартфоны и коммуникаторы обычно обладают более слабыми по сравнению с настольными компьютерами ресурсами, антивирусное ПО может работать с моделями, у которых частота процессора составляет от 200 МГц, оперативная память — от 64 Мб. Занимают они до 10--12 Мб на карте памяти. При этом установка возможна непосредственно через мобильное интернет-подключение или через подключение к настольному компьютеру, а минимально потребляемые ресурсы не сильно уменьшают срок работы аккумулятора. Учитывая не очень глубокую погруженность владельцев мобильных устройств (к слову, их в мире больше, чем персональных компьютеров) в тонкости информационных технологий, интерфейс у таких систем обычно простой и дружественный, не требующий вмешательства пользователей для запуска продукта.