|
Mobilne złośliwe oprogramowanie Czas zakończyć cykl materiałów podsumowujących rok 2005, to co nowe i warte odnotowania w cześci IV, zapraszamy do lektury. Odnotowuje się stały wzrost liczby nowych programów trojańskich infekujących telefony, plamptopy, a za ich ośrednictwem komputery. Dobrym przykładem jest koń trojański o nazwie PBstealer - jest to pierwszy trojan dla urządzeń przenośnych przeznaczony do kradzieży danych użytkownika.
PBstealer zdobywa dostęp do książki adresowej zainfekowanego urządzenia i wysyła ją poprzez Bluetootha do najbliższego dostępnego urządzenia. W ostatnich miesiącach nastąpił również znaczny wzrost liczby trojanów posiadających podwójne funkcje. Trojany takie są tworzone nie tylko w celu infekcji telefonów, ale także każdego rodzaju komputera PC, do którego podłączony jest telefon. Trzeba wspomnieć tu również o programach "wandalach" - do tej grupy należy większość złośliwych programów dla smartfonów. Nie tylko niszczą one pliki systemowe, zastępując je niedziałającymi kopiami lub kasując informacje, ale również blokują dostęp do danych. Na przykład trojany z rodziny Cardblock instalują hasło dostępu do karty pamięci urządzenia. W przypadku usunięcia złośliwych programów użytkownik nie będzie mógł uzyskać dostępu do danych na karcie. Możliwe, że kolejnym etapem ewolucji tych trojanów będzie szyfrowanie danych oraz żądanie zapłaty za ich przywrócenie, tak jak w przypadku wirusów Gpcode i Krotten przedstawionych wcześniej, a napisanych dla komputerów PC. "Cabir" - czyli sprawdzające się hipotezy. Analitycy z Kaspersky, przewidywali, że pod koniec 2005 roku może wybuchnąć epidemia złośliwych programów dla urządzeń przenośnych. Fakty potwierdzają zjawisko. Firma rozpoczęła sprzedaż oprogramowania antywirusowego dla telefonów przenośnych na terenie Rosji i Wspólnoty Niepodległych Państw. I cóż się okazało? Bardzo duża liczba zgłoszeń potwierdziła hipotezy, które wcześniej oparto analizując "teoretycznie" możliwe luki. Większość zgłoszonych infekcji została spowodowana wirusem Cabir, który rozprzestrzenia się poprzez Bluetooth. Wirusa wykryto w ponad 30 państwach. Wnioski nasuwają się same: podobny do wymienionego "program" spowoduje globalną epidemię. Większość nowych złośliwych programów dla urządzeń przenośnych pochodzi z Azji (głównie z Chin i Południowej Korei), co stanowi powód do niepokoju. Duża gęstość zaludnienia oraz wysoki odsetek osób z dostępem do komputerów i telefonów komórkowych stwarzają idealne warunki do potencjalnej epidemii. Nie powinniśmy również zapominać, że w tej części świata znajduje się Tajlandia, Malezja i Indonezja, które stanowią główne cele turystyczne. Infekując telefony turystów, nowy złośliwy program mógłby łatwo rozprzestrzenić się z tej strefy geograficznej do pozostałej części świata. Konsole do gier - nowa platforma dla wirusów? Na początku października 2005 roku nastąpił nowy etap ewolucji złośliwego oprogramowania. Twórcy wirusów zainteresowali się nową platformą, co skłania do zastanowienia się nad przyszłością bezpieczeństwa urządzeń cyfrowych. Pojawiły się złośliwe programy atakujące konsole do gier. Kilka lat temu nikt nie pomyślałby, że taki rozwój sytuacji jest możliwy. Ostrzeżenia przed złośliwymi programami, które atakują kuchenki mikrofalowe lub lodówki, traktowano wtedy jako żart. Jednak rzeczywistość potwierdziła najgorsze obawy branży IT. Pierwszą ofiara stała się konsola PlayStation Portable firmy Sony. Na wielu stronach pojawił się trojan podszywający się pod grę. Jego działanie było podobne do działania trojanów dla telefonów komórkowych: kasował on system plików konsoli, przez co urządzenie nie mogło działać. Kilka dni później wykryto dwa kolejne trojany, tym razem dla Nintendo DS. Jednak w obu przypadkach infekowane były tylko konsole, na których używano kopii pirackich gier. Ponieważ legalne gry kosztują sporo pieniędzy, takie "złamane" konsole są bardzo popularne. Istnieje również ogromna liczba grup hakerskich specjalizująca się w kopiowaniu i łamaniu gier. Pojawienie się wirusów dla określonej platformy zależy od kilku czynników. Te same czynniki można odnieść do konsol do gier. Są to:
- Popularność konsol do gier. Konsole cieszą się ogromnym zainteresowaniem i stanowią pewnego rodzaju standard w świecie gier. Używają ich dziesiątki milionów ludzi na całym świecie.
- Dokumentacja platform do gier. Grupy hakerów dokładnie przeanalizowały wewnętrzną strukturę konsol trzech głównych producentów (Sony, Nintendo oraz Microsoft), aby móc czerpać zyski ze sprzedaży pirackich gier. Na różnych stronach i forach internetowych można dowiedzieć się, jak złamać konsole.
- Obecność luk. Główna luka polega na możliwości uzyskania dostępu przez użytkownika do plików systemowych. Jeśli potrafi dokonać tego użytkownik - wirus także.
Ponieważ wszystkie te trzy kryteria zostały spełnione w przypadku konsol do gier, pojawienie się koni trojańskich dla tej platformy było tylko kwestią czasu. Jak dotąd nie wykryto żadnych innych złośliwych programów. Jednak drzwi zostały już uchylone i "twórcy" wirusów z pewnością pokuszą się pchnąć je dalej. Trend polegający na tworzeniu np. nowych konsol, które można połączyć z Internetem, administrować centralnie - umożliwiając współpracę ze sobą konsol, urządzeń AGD i inteligentnych domów za pomocą technologii bezprzewodowych, takich jak WiFi, Bluetooth i IrDA. Znacznie zwiększa ryzyko związane z wykorzystywaniem takich technologii. W każdym z tych urządzeń pojawią się luki, co oznacza, że każde z nich może stać się celem ataków hakerów. Jeśli dodamy do tego odwieczny problem bezpieczeństwa sieci bezprzewodowych, nawet nieodległa przyszłość nie wygląda optymistycznie. Tradycjonalne programy antywirusowe mogą okazać się bezużyteczne. Rootkit Sony Duże zamieszanie w mediach wywołało oświadczenie specjalisty ds. bezpieczeństwa Marka Russinovicha o wykryciu rootkita w module DRM płyt dystrybuowanych Sony. Ukazało się wiele artykułów na ten temat, a do sądów trafiło kilka pozwów przeciwko Sony. Bez wątpienia, rootkit Sony, obok luk w systemie Windows, jest nie tylko jednym z najważniejszych incydentów, jakie miały miejsce w branży bezpieczeństwa w czwartym kwartale 2005 roku, ale jednym z najważniejszych wydarzeń w całym roku. Ponieważ szczegóły tej historii są powszechnie dostępne, zamiast przytaczać je na nowo przyjrzymy się ogólnej sytuacji i pokusimy o wyciągnięcie wniosków. Za sprawą firmy Sony setki tysięcy komputerów na całym świecie zawierało oprogramowanie ukrywające przed użytkownikiem pewne pliki i procesy. W rezultacie, teoretycznie każdy plik, którego nazwa zaczynała się od $sys$, stawał się niewidoczny, chyba że zastosowano specjalne narzędzia. Jest to dość ryzykowna funkcja, ponieważ może zostać wykorzystana przez złośliwe programy w celu zamaskowania swej obecności w systemie. Nic dziwnego, że po ujawnieniu rootkita Sony, szkodliwi użytkownicy postanowili ją wykorzystać. Kilka dni po tym, jak Russinovich poinformował o zidentyfikowaniu rootkita, specjaliści z Kaspersky wykryli backdoora, który instalował się do systemu pod nazwą zaczynającą się od $sys$. Nazwano go Backdoor.Win32.Breplibot.b. Wkrótce pojawiły się kolejne wirusy. Biorąc pod uwagę liczbę zagrożonych komputerów oraz niezdolność niektórych programów antywirusowych do wykrywania rootkitów, nie było to żadnym zaskoczeniem. Rootkit Sony stanowi wyjątek od reguły. Do tej pory autorzy wirusów tworzyli złośliwe programy wykorzystujące luki w systemie Windows, tym razem jednak do powstania szkodników przyczyniła się firma Sony. To punkt zwrotny. Można powiedzieć, że nastąpiła zmiana wektorów ataków, ponieważ zaczęto szukać potencjalnych luk w produktach innych firm niż Microsoft. Wykryte luki prędzej czy później zostaną wykorzystane przez hakerów. Analitycy przewidywali, że wykorzystywane będą luki w programach antywirusowych lub urządzeniach sieciowych firmy np. znanej firmy Cisco (w szczególności IOS). W przypadku Sony ogromne znaczenie miało to, że luka była łatwa do wykorzystania oraz szeroko nagłośniona. Można wyciągnąć kilka wniosków: Wykorzystywanie przez twórców oprogramowania technologii rootkit powinno być zabronione (zarówno ze względów moralnych, jak i technicznych). Rootkity stosowane są w niektórych programach typu adware - jest to pewien sposób zabezpieczenia programów. Ich autorzy zapominają, że podobne technologie są wątpliwe moralnie oraz mogą zostać wykorzystane do niewłaściwych celów. Specjaliści w dużych firmach software'owych posiadają słabe umiejętności programistyczne. Nie chodzi tu o liczbę luk w dostępnym oprogramowaniu, ale o to, że programiści nie w pełni rozumieją możliwości stworzonych przez siebie programów. Przykładem mogą być programiści z First4Internet (firmy, która stworzyła rootkita dla Sony), którzy jeszcze rok temu sami poszukiwali informacji na temat tego, jak można ukryć pliki w systemie. Dlatego z technicznego punktu widzenia trudno jest traktować stworzonego przez nich rootkita poważnie. Celem ataków wirusów nie jest już tylko firma Microsoft i system Windows. Każda firma tworząca popularne programy zawierające luki lub nieudokumentowane funkcje może potencjalnie spowodować epidemię. Każda taka luka lub funkcja może zostać wykorzystana do przeprowadzenia ataku.
Twórcy wirusów nie ograniczają się już do śledzenia informacji o lukach w systemie Windows, aby następnie je wykorzystać. Teraz sami wykrywają luki, zarówno w systemach, jak i w programach firm innych niż Microsoft. Świadczy o tym zarówno incydent z rootkitem Sony, jak i luka WMF.
Firmy antywirusowe coraz częściej będą znajdowały się w sytuacji, gdy interesy dużych producentów oprogramowania kolidują z interesami użytkowników. Oczywiście użytkownicy chcą, aby rootkity były wykrywane i usuwane z systemu; jednak niektórzy producenci mogą być zdania, że stosowanie tych technologii służy ochronie ich programów. Konieczne jest zatem osiągnięcie kompromisu w tej sprawie. Ostatni kwartał 2005 roku obfitował w wydarzenia, które mogą mieć dalekosiężne skutki dla firm zajmujących się bezpieczeństwem oraz użytkowników. Bez wątpienia, rok 2006 przyniesie dalszą ewolucję złośliwego kodu. Luki będą wykrywane nie tylko w programach i systemach firmy Microsoft. To z kolei stworzy niespotykane możliwości dla twórców wirusów, hakerów i cyberprzestępców. Branża antywirusowa śledzi rozwój złośliwych programów, rozwija metody zwalczania szczególnie nowych zagrożeń. Jednak poprzez połączenie różnych technologii bezprzewodowych z urządzeniami biurowymi, Internetem i elektronicznym wyposażeniem domowym, może dochodzić do sytuacji trudnych do przewidzenia, a co za tym idzie opanowania... |
