Домашний компьютер № 8 (122) 2006 - Домашний_компьютер. Страница 39

Главное качество технологии Bluetooth — удобство и легкость беспроводного соединения разнообразных цифровых устройств — одновременно является, как известно, и потенциальной угрозой заражения компьютерными вирусами. Пока что, к счастью, серьезных эпидемий в этой области не случалось, поскольку (а) стандартная дальность действия Bluetooth весьма невелика, и (б) даже самой простейшей меры безопасности — выставить в настройках работу в «скрытом» (hidden) режиме — вполне достаточно для защиты от большинства известных атак. Так, во всяком случае, принято считать.

Но вот реальные масштабы уязвимости Bluetooth-устройств весной 2006 года взялась оценить специализирующаяся на защите информации итальянская фирма Secure Network SRL. Здесь создали своего рода «компактную лабораторию на колесах», скрытую в оболочке стандартного дорожного чемодана. «Чемоданная лаборатория», получившая подобающее название BlueBag, по сути, представляет собой специализированный компьютер-сниффер с комплексом Bluetooth-передатчиков и мощной антенной для автоматического прощупывания всех доступных устройств в радиусе 150 метров. Ролики чемодана и его абсолютно заурядная наружность позволяют без проблем и на ходу сканировать публику в местах большого скопления народа, вроде торговых центров, вокзалов, конференций или крупных офисных зданий.

В течение тестового сканирования, длившегося в общей сложности чуть меньше суток, сниффер BlueBag зафиксировал около полутора тысяч аппаратов, потенциально доступных для Bluetooth-соединения. За час обычно выявлялось порядка полусотни устройств, однако конкретные цифры сильно варьировались в зависимости от специфики места. Так, на Центральном железнодорожном вокзале Милана одного часа хватило для обнаружения свыше 150 доступных для контакта устройств. Естественно, далеко не каждый мобильник или смартфон в «обнаруживаемом» режиме уже открыт для злоупотреблений. Но, во-первых, от этого существенно возрастают потенциальные риски. А во-вторых, как продемонстрировал BlueBag, среди полутора тысяч выявленных устройств более 300 имели включенными функции OBEX (обмена объектами), что сразу делает их уязвимыми для уже известных вирусных атак через Bluetooth…

В этом месте самое время упомянуть, что исследовательский «проект BlueBag» был осуществлен в Италии при участии и поддержке уже знакомой нам финской антивирусной компании F-Secure, одной из первых на рынке ставшей уделять повышенное внимание защите от Bluetooth-угроз. По словам самих исследователей, одна из главных целей совместной работы двух фирм с «синим чемоданом» — глубже понять, каким образом злоумышленники могут использовать Bluetooth для подсоединения к устройствам жертв и организации целенаправленных атак. Например, в одном из сценариев, которые уже удалось придумать антивирусным специалистам, вредители могли бы заразить Bluetooth-устройства на одной из оживленных станций метро в утренние часы пик, приказав им инфицировать любое доступное оборудование и отыскивать определенные виды информации. В течение дня зараженные устройства будут искать и накапливать эти данные, а вечером на той же станции метро злоумышленники могли бы «собирать урожай», незаметно скачивая эту информацию у владельцев, возвращающихся домой.

Что существенно, подобного рода оружие не только предполагается теоретически, но и создается в антивирусной индустрии вполне реально. На августовской «хакерской» конференции Black Hat USA 2006 в Лас-Вегасе компании Secure Network и F-Secure заявили в программе доклад, где намерены представить экспериментальную шпионскую программу, демонстрирующую, как могут осуществляться подобного рода атаки. Наиболее сложная часть этой работы — придумать протокол, который позволит шпионской программе отчитываться о проделанной работе и сливать хозяину собранную информацию…

Помимо итальянской Secure Network, другим «стратегическим партнером» F-Secure в области антивирусной Bluetooth-безопасности является известная российская фирма Kaspersky Lab. В конце 2005 и начале 2006 года «Лаборатория Касперского» тоже проводила — но в Москве, в многолюдных местах вроде супермаркетов и станций метро — аналогичную серию «полевых иссследований» для сбора статистики о количестве телефонов и других устройств с включенными функциями Bluetooth. Здесь за час в среднем обнаруживалось около 100 устройств в режиме «видим для всех». Затем аналогичные сканирования были проведены специалистами K-Lab весной 2006 года в Лондоне — на конференции InfoSecurity-2006, на главных вокзалах английской столицы и станциях лондонского метро. За три дня испытаний было выявлено свыше 2000 устройств в видимом для всех режиме. Наконец, такие же по сути исследования проводила и финская компания F-Secure — на весенней выставке CeBIT 2006 в Ганновере.

Судя по отчетному документу «Лаборатории Касперского», исследователи этой компании стараются постичь специфику распространения Bluetooth-инфекций как можно глубже. Для того чтобы оценить вероятность массового распространения мобильных вирусов, здесь изучают медицинские данные об эпидемиях, вызываемых биологическими вирусами, а также некоторые математические модели ученых-эпидемиологов. Пользуясь этим научным аппаратом, в K-Lab рассчитали, используя среднее число мобильных устройств на квадратный метр, что в принципе червь для мобильных устройств смог бы заразить почти все уязвимые устройства в Москве за время порядка 15 дней.

Поскольку в жизни нашей ничего подобного не происходит, эксперты компании предполагают, что на самом деле для всеобщего Bluetooth-заражения времени потребуется больше. Однако, подчеркивают они, совершенно ясно, что угроза локальной мобильно-вирусной эпидемии — это опасная реальность. Тем более, напоминает нам K-Lab, что это действительно уже происходило — в августе прошлого года в Хельсинки, на Чемпонате мира по легкой атлетике 2005.

Почему-то первое, что приходит на ум при таком напоминании — это штаб-квартира компании F-Secure, признанного лидера в борьбе с Bluetooth-угрозами, которая по случайному стечению обстоятельств тоже находится в Хельсинки. И почему-то не кажется бредовой идея, что следующая локальная Bluetooth-эпидемия разразится в какой-нибудь мировой столице, принимающей очередную конференцию, посвященную компьютерам или инфобезопасности…

У «Лаборатории Касперского», кстати говоря, недавно появилась еще одна, непреднамеренная и несколько комичная, связь с Финляндией. Точнее говоря, лично с небезызвестным финном Линусом Торвальдсом — отцом ядра ОС Linux (давно уже работающим в США). Суть истории такова. В апреле этого года K-Lab опубликовала информацию о полученном ею в анализ новом «кросс-платформенном» вирусе, способном заражать файлы как в Windows, так и в Linux. Вирус, впрочем, довольно-таки безвредный — просто «подтверждающий концепцию», как это называется, — но интересный именно своей природой, позволяющей ему работать в условиях существенно различных операционных систем. Правда, в Linux-сообществе быстро выяснили, что «новый» вирус написан, скорее всего, довольно давно, поскольку работать способен лишь со старыми версиями ядра. Линуса Торвальдса, однако, универсальный код «вредителя» заинтересовал настолько, что он вник в проблему, нашел причину и лично написал патч к текущей версии ядра, чтобы и современная версия ОС корректно работала с этим кодом…

После этой странноватой истории один из довольно известных (во всяком случае, голосистых) деятелей Linux-сообщества, американец Джон Барр, решил поподробнее изучить активность «Лаборатории Касперского» на поприще антивирусной борьбы в среде Linux. Причина его интереса в том, что K-Lab по меньшей мере с 2001 года то и дело объявляет о выявленных ею угрозах для ОС Linux. Барр же работает — причем весьма интенсивно — исключительно под Linux с 1999 года, но при этом НИ РАЗУ за прошедшее время не сталкивался с Linux-вирусами «вживую» (а не в виде чисто лабораторных образцов, «подтверждающих концепцию»).

Отправившись на веб-сайт K-Lab, Барр нашел там наиболее свежий аналитический отчет специалистов фирмы, посвященный «эволюции вредоносных программ под ОС *nix в 2005 году». Конкретно для Linux, в частности, там приведены данные о крутейшем росте числа вирусов — всего за год, с 2004 по 2005, их количество по оценкам «Лаборатории Касперского» подскочило с 4 до 91 штуки!