Сидеть, бояться!
Автор: Киви Берд.
© 2003-2006, Издательский дом | http://www.computerra.ru/
Журнал «Домашний компьютер» | http://www.homepc.ru/
Этот материал Вы всегда сможете найти по его постоянному адресу: /2006/122/284574/
В последние дни июня подразделения полиции Великобритании и Финляндии одновременно провели в своих странах согласованный рейд, в ходе которого были арестованы предполагаемые авторы компьютерного вируса, известного под именами Stinx-Q, Breplibot или Ryknos. Этот вирус-троянец впервые был отмечен в ноябре 2005 года и поражал, главным образом, коммерческие фирмы, поскольку создатели умышленно засылали его в компании в целях похищения информации через тайный ход (бэкдор) и «зомбирования» компьютеров для массовой рассылки почтового спама.
Подобные аресты ныне не редкость, однако конкретно в данной истории имеются весьма любопытные нюансы, не отмеченные в отчетном сообщении полиции для прессы и потому, наверное, упущенные большинством средств массовой информации. Главная особенность этого «финско-британского» вируса в том, что его вредоносная активность опирается на так называемый «руткит Sony BMG». Это специфическое программное обеспечение, напомним, тайно устанавливалось в компьютеры пользователей с аудиодисков крупнейшего музыкального лейбла для сокрытия средств защиты музыки от копирования. Но одновременно, к сожалению, этот же механизм оказался очень удобен и для злоумышленников, скрывающих с его помощью свои вредоносные коды от антивирусных программ.
Таким образом получилось, что коварный троянец Stinx поразил компьютеры «тысячи компаний» (по свидетельству британской полиции) только благодаря сомнительной инициативе Sony BMG. Интересно, что о рутките Sony и его особенностях маскировки широкая публика узнала в первых числах ноября 2005-го, а уже через неделю с небольшим в компьютерах стали обнаруживаться вредносные троянцы на его основе. Имеет смысл обратить внимание, что арестованные ныне авторы вируса проживают в Великобритании и Финляндии. Именно эти две страны самым непосредственным образом связаны как с рождением, так и с последующей судьбой руткита Sony.
Английская фирма F4I (First 4 Internet) специализируется на средствах защиты цифрового контента, и это именно она разработала для фирм звукозаписи программу XCP, дурно прославившуюся под именем «руткит Sony». А финская компания F-Secure стала первой антивирусной фирмой, где для этого руткита разработали средство выявления (еще до начала публичного скандала, начатого независимым американским программистом Марком Руссиновичем), однако не торопились оповещать публику о новой угрозе из уважения к Sony. Ну, а затем последовала известная история: в сотнях тысячах компьютеров, как оказалось, уже сидит безвредная, но потенциально опасная невидимая закладка от Sony (британского изготовления); в Сети имеется программа Backlight для ее выявления (финского производства); а также – для комплекта – вредоносный и опасный вирус-троянец (совместной британско-финской разработки).
Из этой выразительной истории с географией, естественно, абсолютно ничего не следует. В мире полно самых разных случайных совпадений и казусов. Поэтому перейдем к следующей истории – про Bluetooth-вирусы.
Главное качество технологии Bluetooth – удобство и легкость беспроводного соединения разнообразных цифровых устройств – одновременно является, как известно, и потенциальной угрозой заражения компьютерными вирусами. Пока что, к счастью, серьезных эпидемий в этой области не случалось, поскольку (а) стандартная дальность действия Bluetooth весьма невелика, и (б) даже самой простейшей меры безопасности – выставить в настройках работу в «скрытом» (hidden) режиме – вполне достаточно для защиты от большинства известных атак. Так, во всяком случае, принято считать.
Но вот реальные масштабы уязвимости Bluetooth-устройств весной 2006 года взялась оценить специализирующаяся на защите информации итальянская фирма Secure Network SRL. Здесь создали своего рода «компактную лабораторию на колесах», скрытую в оболочке стандартного дорожного чемодана. «Чемоданная лаборатория», получившая подобающее название BlueBag, по сути, представляет собой специализированный компьютер-сниффер с комплексом Bluetooth-передатчиков и мощной антенной для автоматического прощупывания всех доступных устройств в радиусе 150 метров. Ролики чемодана и его абсолютно заурядная наружность позволяют без проблем и на ходу сканировать публику в местах большого скопления народа, вроде торговых центров, вокзалов, конференций или крупных офисных зданий.
В течение тестового сканирования, длившегося в общей сложности чуть меньше суток, сниффер BlueBag зафиксировал около полутора тысяч аппаратов, потенциально доступных для Bluetooth-соединения. За час обычно выявлялось порядка полусотни устройств, однако конкретные цифры сильно варьировались в зависимости от специфики места. Так, на Центральном железнодорожном вокзале Милана одного часа хватило для обнаружения свыше 150 доступных для контакта устройств. Естественно, далеко не каждый мобильник или смартфон в «обнаруживаемом» режиме уже открыт для злоупотреблений. Но, во-первых, от этого существенно возрастают потенциальные риски. А во-вторых, как продемонстрировал BlueBag, среди полутора тысяч выявленных устройств более 300 имели включенными функции OBEX (обмена объектами), что сразу делает их уязвимыми для уже известных вирусных атак через Bluetooth…
В этом месте самое время упомянуть, что исследовательский «проект BlueBag» был осуществлен в Италии при участии и поддержке уже знакомой нам финской антивирусной компании F-Secure, одной из первых на рынке ставшей уделять повышенное внимание защите от Bluetooth-угроз. По словам самих исследователей, одна из главных целей совместной работы двух фирм с «синим чемоданом» – глубже понять, каким образом злоумышленники могут использовать Bluetooth для подсоединения к устройствам жертв и организации целенаправленных атак. Например, в одном из сценариев, которые уже удалось придумать антивирусным специалистам, вредители могли бы заразить Bluetooth-устройства на одной из оживленных станций метро в утренние часы пик, приказав им инфицировать любое доступное оборудование и отыскивать определенные виды информации. В течение дня зараженные устройства будут искать и накапливать эти данные, а вечером на той же станции метро злоумышленники могли бы «собирать урожай», незаметно скачивая эту информацию у владельцев, возвращающихся домой.