Что существенно, подобного рода оружие не только предполагается теоретически, но и создается в антивирусной индустрии вполне реально. На августовской «хакерской» конференции Black Hat USA 2006 в Лас-Вегасе компании Secure Network и F-Secure заявили в программе доклад, где намерены представить экспериментальную шпионскую программу, демонстрирующую, как могут осуществляться подобного рода атаки. Наиболее сложная часть этой работы – придумать протокол, который позволит шпионской программе отчитываться о проделанной работе и сливать хозяину собранную информацию…

Помимо итальянской Secure Network, другим «стратегическим партнером» F-Secure в области антивирусной Bluetooth-безопасности является известная российская фирма Kaspersky Lab. В конце 2005 и начале 2006 года «Лаборатория Касперского» тоже проводила – но в Москве, в многолюдных местах вроде супермаркетов и станций метро – аналогичную серию «полевых иссследований» для сбора статистики о количестве телефонов и других устройств с включенными функциями Bluetooth. Здесь за час в среднем обнаруживалось около 100 устройств в режиме «видим для всех». Затем аналогичные сканирования были проведены специалистами K-Lab весной 2006 года в Лондоне – на конференции InfoSecurity-2006, на главных вокзалах английской столицы и станциях лондонского метро. За три дня испытаний было выявлено свыше 2000 устройств в видимом для всех режиме. Наконец, такие же по сути исследования проводила и финская компания F-Secure – на весенней выставке CeBIT 2006 в Ганновере.

Судя по отчетному документу «Лаборатории Касперского», исследователи этой компании стараются постичь специфику распространения Bluetooth-инфекций как можно глубже. Для того чтобы оценить вероятность массового распространения мобильных вирусов, здесь изучают медицинские данные об эпидемиях, вызываемых биологическими вирусами, а также некоторые математические модели ученых-эпидемиологов. Пользуясь этим научным аппаратом, в K-Lab рассчитали, используя среднее число мобильных устройств на квадратный метр, что в принципе червь для мобильных устройств смог бы заразить почти все уязвимые устройства в Москве за время порядка 15 дней.

Поскольку в жизни нашей ничего подобного не происходит, эксперты компании предполагают, что на самом деле для всеобщего Bluetooth-заражения времени потребуется больше. Однако, подчеркивают они, совершенно ясно, что угроза локальной мобильно-вирусной эпидемии – это опасная реальность. Тем более, напоминает нам K-Lab, что это действительно уже происходило – в августе прошлого года в Хельсинки, на Чемпонате мира по легкой атлетике 2005.

Почему-то первое, что приходит на ум при таком напоминании – это штаб-квартира компании F-Secure, признанного лидера в борьбе с Bluetooth-угрозами, которая по случайному стечению обстоятельств тоже находится в Хельсинки. И почему-то не кажется бредовой идея, что следующая локальная Bluetooth-эпидемия разразится в какой-нибудь мировой столице, принимающей очередную конференцию, посвященную компьютерам или инфобезопасности…

У «Лаборатории Касперского», кстати говоря, недавно появилась еще одна, непреднамеренная и несколько комичная, связь с Финляндией. Точнее говоря, лично с небезызвестным финном Линусом Торвальдсом – отцом ядра ОС Linux (давно уже работающим в США). Суть истории такова. В апреле этого года K-Lab опубликовала информацию о полученном ею в анализ новом «кросс-платформенном» вирусе, способном заражать файлы как в Windows, так и в Linux. Вирус, впрочем, довольно-таки безвредный – просто «подтверждающий концепцию», как это называется, – но интересный именно своей природой, позволяющей ему работать в условиях существенно различных операционных систем. Правда, в Linux-сообществе быстро выяснили, что «новый» вирус написан, скорее всего, довольно давно, поскольку работать способен лишь со старыми версиями ядра. Линуса Торвальдса, однако, универсальный код «вредителя» заинтересовал настолько, что он вник в проблему, нашел причину и лично написал патч к текущей версии ядра, чтобы и современная версия ОС корректно работала с этим кодом…

После этой странноватой истории один из довольно известных (во всяком случае, голосистых) деятелей Linux-сообщества, американец Джон Барр, решил поподробнее изучить активность «Лаборатории Касперского» на поприще антивирусной борьбы в среде Linux. Причина его интереса в том, что K-Lab по меньшей мере с 2001 года то и дело объявляет о выявленных ею угрозах для ОС Linux. Барр же работает – причем весьма интенсивно – исключительно под Linux с 1999 года, но при этом НИ РАЗУ за прошедшее время не сталкивался с Linux-вирусами «вживую» (а не в виде чисто лабораторных образцов, «подтверждающих концепцию»).

Отправившись на веб-сайт K-Lab, Барр нашел там наиболее свежий аналитический отчет специалистов фирмы, посвященный «эволюции вредоносных программ под ОС *nix в 2005 году». Конкретно для Linux, в частности, там приведены данные о крутейшем росте числа вирусов – всего за год, с 2004 по 2005, их количество по оценкам «Лаборатории Касперского» подскочило с 4 до 91 штуки!

Если человек ни разу в жизни не видел ни одного реального Linux-вируса, а известные специалисты за год обнаружили их целых 87, то вполне естественным выглядит желание узнать поподробнее о столь неуловимых бестиях. Поэтому Барр послал в K-Lab запрос относительно какой-либо документации, подтверждающей их заявления. Для начала Барра отправили в «Энциклопедию вирусов», которая ведется на сайте Лаборатории.

Поиск вредителей для Linux в этой энциклопедии принес поражающие воображение 972 позиции. Правда, если взглянуть на всю эту жуть чуть внимательнее, то ситуация оказывается далеко не столь тревожной. Скорее даже – искусственно раздутой. Вот лишь несколько характерных особенностей, выявленных Барром в этом длиннющем списке.

Первые 256 позиций оказались вообще никак не задокументированы. Собственно вирусы в остальных позициях гипотетических угроз почти не присутствовали, а мало-мальски вразумительное описание обнаружилось лишь у 21 вируса – то есть примерно для 2% списка. Из этих 21 два оказались дубликатами. Еще один из 21 оказался вирусом Windows, а не Linux. Наконец, практически все из 21 известной «вредоносной программы» модифицируют файлы в соответствии со стандартными разрешениями, принятыми в операционных системах семейства Unix, где принципиально отличаются полномочия пользователя и администратора.