По мере расширения их функциональности сотовые телефоны и персональные цифровые секретари все чаще будут подвергаться атакам хакеров.

По мнению некоторых производителей, это может привести к новой вирусной эпидемии.

Тому есть две причины. Во-первых, согласно закону Мура, сотовые телефоны, органайзеры и электронные часы довольно скоро будут обладать процессорными ресурсами, достаточными для работы любого программного обеспечения. А во-вторых, стремление к организации взаимодействия всевозможных устройств с помощью Bluetooth или другой сетевой технологии откроет для самотиражирующихся программ новые и весьма широкие возможности распространения. Инфицированная система способна рассылать вирус всем, кто находится в зоне ее досягаемости, так что этот вирус будет распространяться по воздуху со скоростью света.

Еще хуже придется администраторам корпоративных сетей, поскольку эти приспособления могут открыть для атаки и защищенные системы. Мобильные устройства часто являются собственностью сотрудников компании, которые не относят защиту к числу своих приоритетов, и на них не распространяется контроль со стороны специалистов отдела информационных технологий. «Риск представляется нам очень серьезным, — делится своими опасениями Кери Нэшенберг, старший научный специалист Symantec Antivirus Research Center. — Мы пытаемся обратить на это внимание производителей, но они к нам не прислушиваются».

Весьма тревожит тот факт, что уже создаются вирусы, рассчитанные на карманные устройства, в частности на устройства с популярной операционной системой PalmOS. Однако обнадеживает то, что отрасль антивирусного ПО готова к подобной эпидемии, рассчитывая расширить свои продажи. Но самое замечательное, что это программное обеспечение может и не понадобиться, по крайней мере, пока.

«Намного чаще мы сталкиваемся с мистификациями, нежели с реальными вирусами», — уверен Грехем Клули, старший консультант по вопросам технологий компании Sophos, выпускающей антивирусное программное обеспечение. Клули отмечает, что ни один из вирусов, предназначенных для устройств Palm, не был обнаружен «на воле». «Как и большинство других вирусов, их присылали в компании, разрабатывающие антивирусы, сами программисты, жаждущие известности. Опасность преувеличена — пресс-релизов о вирусах, выпущено намного больше, чем инфицировано пользователей», — считает он.

Поскольку мнения экспертов зачастую противоречат друг другу, сетевым администраторам необходимо самим разбираться в вирусах. Во-первых, оцените новые вычислительные платформы. Будет ли разрешен доступ в вашу сеть всем типам устройств, которые сотрудники компании намерены подключить, или же в качестве стандартной будет выбрана одна конкретная система? Скорее всего, еще рано принимать решение, но тем не менее желательно учесть все возможности. Имейте в виду, что пользователи уже сейчас могут экспериментировать с устройствами Palm и телефонами на базе протокола беспроводных приложений (Wireless Application Protocol, WAP), даже если официально эти устройства не поддерживаются в вашей сети.

Затем оцените степень угрозы. Определите, каковы наиболее уязвимые места выбранной вами платформы и примите решение относительно стратегии защиты. Профилактика всегда лучше, чем лечение, но и она может быть организована по-разному. Некоторые антивирусные программы могут работать на ПК или сервере, уменьшая нагрузку на клиентов и административные затраты. Другие антивирусные программы должны устанавливаться на устройствах индивидуального пользования, защищая их даже в том случае, если они отключены от основной сети.

Наконец, оставаясь скептиком, не превращайтесь в циника. Производители, безусловно, заинтересованы в том, чтобы раздуть шумиху вокруг каждого проявления вируса; другими словами, большинство сообщений об обнаружении новых штаммов на самом деле всего лишь попытка привлечь внимание публики. По оценкам Sophos, 99,7% вирусов, о которых сообщалось в печати, никогда не заразило ни один из компьютеров, установленных вне компаний, выпускающих антивирусное программное обеспечение. К сожалению, остальные 0,3% все же способны причинить ущерб.

ВЫБОР УСТРОЙСТВ

Хотя, в конце концов, вирус может поразить даже ваш тостер, первыми жертвами нового штамма станут так называемые мобильные устройства: сотовые телефоны и персональные электронные секретари (Personal Digital Assistant, PDA). Первые в представлении не нуждаются; к последним относится все от ультратонких Palm V до выпускаемых Microsoft машин класса Jupiter, которые по размеру сравнимы с ноутбуками, но за счет меньшей мощности могут дольше работать от аккумулятора. С точки зрения защиты от вирусов сами ноутбуки мобильными устройствами не считаются. Они подвержены тем же атакам, что и настольные ПК и Mac, и требуют такой же защиты.

Современные PDA достаточно совершенны; они поддерживают графические пользовательские интерфейсы и пакеты офисных приложений, могут распознавать рукописный текст и имеют процессоры с быстродействием как у Intel 80386, на котором, кстати, и был обнаружен первый вирус. PDA также способны загружать и исполнять разнообразные программы, поэтому для них вирусы представляют реальную угрозу.

Чаще всего о реальных или потенциальных вирусах, как уже было сказано, сообщают сами разработчики антивирусного программного обеспечения. Однако они проявили мало интереса к разработке ПО для этого пока еще достаточно узкого сектора рынка. «Вирусы для таких устройств можно было писать уже очень давно, — замечает Клули, — но никто и не думал об этом вплоть до 2000 г.». Основная причина в том, что до недавнего времени цифровыми секретарями пользовались лишь очень немногие. «Если вы автор вирусов и хотите стать известным, то, скорее всего, выберете своей целью самую большую и самую гомогенную среду, т. е. Windows», — утверждает Клули.

Среду, в которой работают мобильные устройства, можно назвать какой угодно, но только не однородной. В то время как на рынке ПК доминируют Microsoft и Intel, на рынке PDA не существует ни одного производителя, которого можно было бы назвать монополистом даже в первом приближении. За право считаться производителем самой совершенной операционной системы для PDA борются три компании, причем две из них поддерживают различные процессоры. Приложения приходится переписывать для каждой конкретной среды, что крайне затрудняет распространение вирусов.

Самый популярный класс PDA использует PalmOS — операционную систему, разработанную компанией Palm Computing, отделившейся от 3Com. Продукты данной компании — единственные PDA, уже пострадавшие от реальных вирусов. Это объясняется прежде всего их преобладанием на рынке, а еще тем, что все устройства Palm используют один и тот же процессор, Dragonball компании Motorola. PalmOS также устанавливается на машинах, продаваемых рядом известных корпораций, в том числе IBM, Sony и Qualcomm.

Уже три года Microsoft борется с доминирующим положением Palm на рынке, но ее Windows CE по-прежнему значительно отстает, занимая лишь третье место среди операционных систем для PDA. Второе место принадлежит продукту Psion британской компании, создавшей первые PDA и до появления Palm считавшейся лидером этого рынка. Ее система EPOC используется в большинстве складных карманных устройств с экраном и клавиатурой QWERTY.

EPOC — это основной продукт компании Symbian, совместного предприятия, созданного в июне 1998 г. компанией Psion и ведущими компаниями сотовой связи. Они пришли к выводу, что идет постепенная функциональная интеграция телефонов и PDA, и предположили, что большинству телефонов в конечном итоге потребуется некая операционная система. Symbian — это попытка, предпринятая Nokia, Ericsson и Motorola, с целью сохранить контроль за ситуацией и не допустить господства Microsoft или 3Com. Они не хотят, чтобы их статус снизился до уровня производителей ПК, большая часть которых лишь собирает компьютеры в соответствии со спецификациями Windows.

ИЗБИРАТЕЛЬНАЯ ПАМЯТЬ

Разработчики антивирусного программного обеспечения считают особенно уязвимыми интеллектуальные или смарт-телефоны, так как они объединяют операционную систему PDA и терминал беспроводной связи. «Создатели вирусов пока не трогают Palm и Windows CE только потому, что при этом им пришлось бы иметь дело с «горячей синхронизацией» (hot syncing) и инфракрасными соединениями», — замечает Клули. Мобильный телефон открывает и другие возможности: вирусы способны распространяться по Internet или даже напрямую связываться с другими смарт-телефонами.

Настольные компьютеры уже несколько лет назад стали подключаться к Internet, и большинство из них от вирусов не пострадало. Так стоит ли проявлять беспокойство по поводу сетевых мобильных устройств? По мнению специалистов Symantec, стоит.

Нэшенберг отмечает, что мобильные устройства по своей природе более восприимчивы к вирусам, чем ПК, поскольку в них используются процессоры, не обладающие возможностями защиты. «Pentium позволяет обеспечивать защиту на уровне памяти, — подчеркнул он, — а процессоры, установленные в телефонах, — нет». Защита на уровне памяти означает, что каждое приложение или процесс располагается в собственном пространстве памяти, недоступном для других. Такой механизм имеется во всех Intel-совместимых процессорах, начиная с 80286.

Однако отсутствие защиты на уровне памяти, по-видимому, — в большей степени проблема теоретическая, нежели реальная. Защита на уровне памяти должна реализовываться в операционной системе, чего не было сделано в настольных версиях Windows вплоть до 95/98 и ME. Ядро этих ОС по-прежнему базируется на DOS, которая была написана для более старых процессоров. UNIX и Windows NT/2000 до некоторой степени поддерживают такую защиту, хотя операционной системы, способной в полной мере использовать функции защиты этих процессоров, не существует до сих пор.

Еще один фактор, снижающий значимость защиты памяти, — появление вирусов в виде командных файлов и макросов, которые действуют на более высоком уровне и не обращаются напрямую к памяти. Совсем недавно жуткую панику вызвали вирусы в виде файлов с расширением *.vbs, которые используют язык Visual Basic Scripting (VBS) компании Microsoft и выполняются на любой настольной версии Windows, начиная с Windows 98. Кроме того, макровирусы распространены очень широко, поскольку они используют возможности автоматизации задач в таких приложениях, как Word и Excel. Их намного проще создавать, чем традиционные вирусы, и они могут легко преодолевать барьеры, препятствующие проникновению в другие операционные системы.

Программы Pocket Word и Pocket Excel, поставляемые вместе с Windows CE, пока не поддерживают макросы, но специалисты Symantec полагают, что в конечном итоге это случится. Скорее всего, такая участь не минует и другие PDA, поскольку способность читать и создавать документы в том же формате, что и популярные офисные приложения, делает PDA более привлекательными. По большей части беспроводная электронная почта представляет собой, по сути, расширенный пейджинг, но опрос за опросом показывает, что пользователи хотят получить нечто большее. «Как только вы начнете получать почтовые сообщения с вложениями, то сразу же начнете получать и вирусы», — предсказывает Нэшенберг.

ОТРАВЛЕННОЕ ЗЕЛЬЕ

Телефоны и PDA используют собственные командные языки, которые могут весьма заинтересовать авторов вирусов. Летом этого года Sun Micro-systems анонсировала Java2 Micro Edition (J2ME), версию популярного языка, предназначенную для мобильных устройств. Как и его «старший брат», язык Micro Java, позволяет программистам создавать апплеты, работающие на любых платформах, вне зависимости от базовой операционной системы или процессора.

Апплеты Java работают внутри «виртуальной машины», которая не позволяет им получать доступ к потенциальным целям вирусной атаки: локальным файлам, каналам связи и другим частям системы. К сожалению, такой подход не позволяет апплетам выполнять многие полезные задачи, поэтому Java предусматривает возможность для апплетов запросить доступ за пределы виртуальной машины. Это может быть сделано только с разрешения пользователя, следовательно, в руках бдительных пользователей язык Java является безопасным.

Все дело в том, что многие владельцы компьютеров таковыми не являются. Почти все вирусы, передаваемые по электронной почте, активизируются только после того, как пользователь откроет вложенный файл, но знание этого факта не препятствует распространению вирусов. В 2000 г. авторы смертоносного Love Letter воспользовались готовностью пользователей, не подозревавших, что перед ними программы, открывать файлы *.vbs. Два года назад миллионы людей с удовольствием запускали присланный им файл с расширением *.exe, тем самым инициируя безвредный, но надоедливый Happy99. С технической точки зрения и Love Letter, и Happy99 — это «черви», а не вирусы. «Червь» — это любая программа, которая сама себя копирует, в то время как вирус пытается замаскироваться внутри другого файла, но результат одинаков.

Намного большую, чем Java, угрозу представляет собой Wscript — командный язык, встроенный в WAP. Он интегрирован почти во все новые сотовые телефоны, даже в модели, не относящиеся к классу смарт-устройств, а также в последние версии операционных систем Palm и Symbian. Сейчас сотовых телефонов в мире уже больше, чем ПК, и, как предполагают аналитики, в ближайшие четыре года они станут основным средством доступа в Internet. WAP в скором времени может получить большее распространение, чем Windows, так что уже одно это превращает его в привлекательную цель для создателей вирусов.

Wscript менее защищен, чем Java. WAP предоставляет сценариям прямой доступ к телефонным функциям, предназначенных для таких приложений, как путеводитель по интерактивному справочнику. Это значит, что вирус мог бы воспользоваться телефонной книгой пользователя, связываясь с каждым из абонентов, чтобы передать ему собственную копию. Пользователи японской сети NTT DoCoMo уже сталкивались с чем-то подобным «благодаря» вирусу, действующему в среде ПК. Всякий раз, когда пользователи подключали свои телефоны к компьютеру для того, чтобы синхронизировать информацию, компьютер брал управление на себя и делал звонок в полицию.

Специалисты всех компаний, выпускающих антивирусное ПО, утверждают, что наилучшая защита от опасных апплетов Wscript — установка программного обеспечения на шлюзе WAP, интерфейсе между мобильной сетью и Internet (см. Рисунок 1). Шлюз WAP обычно поддерживается операторами связи или провайдерами Internet. Но иногда эту работу берут на себя компании, поскольку зашифрованные данные на шлюзе должны быть расшифрованы, а значит, каждый может просмотреть весь проходящий через шлюз трафик.

Одна из функций шлюза WAP состоит в компиляции апплетов из Wscript в исполняемый код, так что вирус никак не может обойти эту процедуру. Однако если на шлюзе не установлено антивирусное программное обеспечение, то вирус благополучно скомпилируется и сможет тиражироваться от телефона к телефону. И пока не существует способа это предотвратить. Ни один производитель не выпускает антивирусные программы для самих телефонов, хотя есть надежда, что в конце концов их все же будут встраивать в аппаратуру.

СОТОВАЯ МИСТИФИКАЦИЯ

В июне 2000 г. вирусы для сотовых телефонов стали одной из самых популярных тем в выпусках новостей, и средства массовой информации с волнением сообщали об атаках на сотовые телефоны вируса, известного под названием Timofonica. Хотя, в определенном смысле, это было именно так, вирус на самом деле не запускался на сотовых телефонах. Timofonica был обычным вирусом *.vbs, инфицировавшим ПК с операционными системами Windows 98 и 2000.

Авторы этого вируса не столько стремились нанести вред системе, сколько преследовали политическую цель. Вирус выводил на экран текст с утверждением о том, что испанский оператор — компания Telefonica — занимается незаконной предпринимательской деятельностью, после чего вирус пытался послать то же сообщение по другим сотовым телефонам с помощью службы коротких сообщений (Short Message Service, SMS). Ничего страшного не происходило, просто пользователь сотового телефона получал короткое сообщение, которое можно отнести к категории спама, столь хорошо знакомого всем, кто пользуется электронной почтой.

«Сейчас не существует никакой угрозы телефонам со стороны вирусов», — считает Нэшенберг. Эти устройства просто недостаточно мощные, чтобы их можно было использовать для сколько-нибудь сложных вычислительных задач. В WAP размер файла ограничен 1 Кбайт, чего хватает лишь для текста в один абзац. «Но в ближайшую пару лет появятся телефоны, на базе которых вирусы вполне смогут работать», — заметил он.

В то же время компании, выпускающие антивирусное ПО, уже предлагают продукты, которые, как утверждается, смогут защитить мобильные устройства от будущей угрозы (см. Таблицу 1). Самые последние из этих продуктов работают на ПК, а не на самих PDA в соответствии с теорией, что большая часть программного обеспечения загружается в мобильные устройства через ПК. В тот момент, когда две машины связываются друг с другом, антивирусные программы сканируют мобильное устройство и удаляют все, что кажется подозрительным.

Сканеры вирусов на базе ПК никак не используют скудные системные ресурсы или ограниченную память мобильного устройства, но при этом они и не обеспечивают полной защиты. Пользователи часто подключают свои PDA друг к другу или к модему, а беспроводные сетевые соединения позволят им загружать программное обеспечение намного проще, без посредничества ПК. Вот почему некоторые компании выпускают ПО, которое работает на самих PDA, хотя до сих пор выбор таких решений крайне невелик.

Старт, хотя и неудачный, созданию антивирусного программного обеспечения специально для PDA был дан в 1998 г., когда компания Iris Software выпустила пакет для защиты Windows CE. Годом позже она прекратила продажи, и новые владельцы больше не высказывали намерения продолжать распространение и поддержку данного продукта. Возможно наученные горьким опытом Iris, другие производители пока не решаются возродить эту идею. Вы можете найти копию этой программы, но маловероятно, чтобы она оказалась полезной, поскольку антивирусное программное обеспечение необходимо регулярно обновлять с учетом появления новых вирусов. Устаревшие пакеты дают пользователям лишь ложное ощущение безопасности.

Сами вирусы пока оставляют Windows CE в покое, возможно, потому, что устройств с этой операционной системой сейчас используется относительно немного. Однако нельзя то же самое сказать относительно более популярной EPOC, хотя все угрозы в ее адрес до сих пор носили характер безвредных пакостей. Самой неприятной из них стала Fake. Она отображает анимационное диалоговое окно, в котором высвечивается сообщение: «Форматирование диска». Весь эффект от этой «шутки» пропадает сразу же, как только пользователь вспоминает, что у PDA нет диска.

Все эти «шуточки» отлавливаются уже существующими сканерами вирусов на базе ПК, но компания F-Secure сделала программу и для самой EPOC. Учитывая намерение встроить операционную систему в мобильные телефоны, поддерживающие WAP и Bluetooth, в скором времени примеру F-Secure, безусловно, последуют и другие производители.

ОСТОРОЖНО, ВИРУСЫ!

Антивирусное программное обеспечение для PalmOS выпускают три производителя, так что может показаться, что это самая защищенная платформа. Однако пользователям следует быть осторожными. Компания Trend Micro, хотя сама и не предлагает решений для Palm, предупреждает, что производители могут не уделять данной платформе достаточно внимания, поскольку для этого у них нет достаточных экономических стимулов.

«Большая часть программного обеспечения для PalmOS — это условно бесплатные программы, — замечает Дэвид Томпсон, первый вице-президент компании Trend Micro. — До тех пор пока они предлагаются свободно, люди не намерены за них платить». И похоже, что он прав: все три программы для Palm можно загрузить бесплатно, но при этом с ограниченной технической поддержкой или вовсе без таковой.

Уверенность, что все необходимое для Palm должно распространяться свободно, привела к появлению первой действительно злонамеренной программы, известной как Liberty Crack. Она была замаскирована под программу-взломщик для условно бесплатной версии Liberty — программы-имитации Nintendo GameBoy. Незадачливые пираты обнаружили, что они играют скорее в «Русскую рулетку», чем в «Тетрис», поскольку эта программа часто удаляет все их данные и приложения.

Liberty Crack — это не настоящий вирус, поскольку он не может распространяться. По сути, он представляет собой «троянского коня», так как, маскируясь под нечто иное, он вынуждает пользователей загрузить его.

Первым вредоносным вирусом, поразившем Palm, был Phage, который появился в сентябре 2000 г. По действию он походил на Liberty Crack, но при этом мог тиражировать себя через инфракрасный порт. О данном эпизоде писали очень много, но большинство этих сообщений упускало из виду одну крайне важную информацию. «Нам не известно фактов, чтобы хоть один из конечных пользователей от него пострадал, — отмечает Клули, — и он не был обнаружен ни одной компанией, выпускающей антивирусное программное обеспечение».

ВОЛК! ВОЛК!

Антивирусный исследовательский центр компании Symantec отслеживает компьютерные вирусы и оценивает их опасность по шкале от одного до пяти. Самым серьезным считается пятый уровень, который, к примеру, был присвоен известному вирусу «Мелисса» и другим зловредным программам, поскольку они способны нанести значительный вред сети. По этой шкале все вирусы, когда-либо написанные для мобильного устройства, получили первый уровень: они встречаются крайне редко и, по существу, безвредны.

Эту правду редко можно услышать в хоре голосов, вещающих об ужасных перспективах. Производители антивирусного программного обеспечения стремятся напугать нас всякий раз, когда появляется новая угроза, вне зависимости от того, насколько она реальна. «И это очень опасно, — предупреждает Клули. — Если люди каждый раз будут пугаться попусту, то, когда возникнет действительно серьезная угроза, нам никто не поверит».

Эндрю Дорнан — ответственный редактор Network Magazine. С ним можно связаться по адресу: adornan@cmp.com.


Ресурсы Internet

Мистификации и слухи о возможных угрозах безопасности развенчиваются на узле http://www.vmyths.com. Специалисты узла придерживаются скептического взгляда на угрозу со стороны вирусов. Здесь имеется пополняемый с 1996 г. архив страшных историй, писем, рассылаемых встревоженными пользователями их знакомым и коллегам, а также других несостоявшихся вирусов.

Web-узел антивирусного исследовательского центра компании Symantec по адресу: http://www.sarc.com, содержит полную базу данных всех известных вирусов.

Компания F-Secure, ранее называвшаяся Datafellows, создала так называемый Global Palm Virus Information Center по адресу: http://www.f-secure.com/palm. На этом узле публикуется антивирусное программное обеспечение для платформы PalmOS.

Stiller Research на узле http://www.stiller.com рассказывает о том, как следует максимально эффективно использовать антивирусное программное обеспечение.

IBM публикует на узле Web по адресу: http://www.av.ibm.com, данные об истории возникновения и эволюции вирусов. Сам Голубой гигант не создает антивирусное программное обеспечение, поэтому специалистов компании трудно обвинить в пристрастности.


Программы иммунизации
Произво-

дитель
PalmOSWindows CESymbian EPOCWAP
F-SecureВ самом устройстве и на ПК- В самом устройствеНа шлюзе
SophosНа ПК- - На шлюзе
McAfeeВ самом устройстве и на ПКНа ПКНа ПК-
SymantecВ самом устройстве и на ПК- - -
Trend Micro- - - На шлюзе
Panda SoftwareНа ПКНа ПКНа ПК-
Таблица 1. Некоторые производители утверждают, что выпускаемое ими программное обеспечение способно выявлять вирусы для PDA, но большая часть этого ПО работает на ПК, а не на самом устройстве. Точно так же телефоны с поддержкой Wireless Application Protocol (WAP) защищаются с помощью программного обеспечения на шлюзе.

Вернуться