Компьютерный вирус "Стакснет" /Stuxnet/, который был обнаружен на компьютерах сотрудников иранской АЭС в Бушере, стал первой из существующих вредоносных программ, способной инфицировать системы управления промышленных предприятий. Сложность вируса также делает его единственным в своем роде: многочисленные эксперты в один голос утверждают, что они впервые сталкиваются с чем-либо подобным. Впрочем, как отмечается в докладе компании "Симантек", американского производителя антивирусных программ, лишь время покажет, станет ли "Стакснет" прародителем нового поколения вирусов, конечной целью которых будет вывод из строя не компьютерных систем, а непосредственно объектов в физическом мире, или останется "диковинкой" из числа тех, что появляются раз в десятилетие.
Ведущие компании из разных стран, специализирующиеся на информационной безопасности и противодействии вирусам, уже несколько месяцев изучают "Стакснет" и распространяют многостраничные отчеты, посвященные принципам его работы. Однако до сих пор не найдены ответы на вопросы о том, кто, зачем и когда разработал эту уникальную программу-червя, появление которой СМИ в последние недели все чаще связывают с иранской ядерной программой. О том, действительно ли был "Стакснет" создан для того, чтобы саботировать работу бушерской АЭС или других промышленных предприятий Ирана, приходится судить преимущественно по косвенным фактам.
Впервые об обнаружении данного вируса 17 июня 2010 года сообщила белорусская компания "ВирусБлокАда", специализирующаяся на создании программного обеспечения /ПО/, предназначенного для защиты от атак хакеров. Однако ряд сведений говорит о том, что распространение "Стакснет" началось гораздо раньше. Так, в докладе "Симантек", говорится о том, что одна из ранних версий вируса, в которой отсутствовал ряд свойств, выявленных в более поздних вариантах "Стакснет", была датирована июнем предыдущего года. Некоторые эксперты даже утверждают, что атака должна была уже достичь своей цели к январю 2009 года. Это дало ряду специалистов повод высказать предположение о том, что конечной целью вируса могла быть не сама иранская АЭС /или не только она/, а комбинат по обогащению урана в Натанзе.
Этой точки зрения придерживается, в частности, Франк Ригер из немецкой фирмы "Джи-эс-эм-кей криптофон", разрабатывающей решения по обеспечению безопасности данных на мобильных устройствах и шифрованию голосовых переговоров. В статье, опубликованной немецкой газетой "Франкфуртер альгемайне цайтунг", Ригер ссылается на сообщения, появившиеся на сайте организации "Викиликс", специализирующейся на "утечках" секретной информации. Так, "Викиликс" пишет, что в начала июля 2009 года "источник, близкий к иранской программе ядерных исследований, на условиях конфиденциальности сообщил нам, что на заводе в Натанзе произошла серьезная авария, которая держится в секрете". "У "Викиликс" есть основания доверять данному источнику, хотя контакт с ним впоследствии был утерян, – говорится в сообщении организации. – Как правило, мы не публикуем подобную информацию, если она не получает дополнительного подтверждения, однако, согласно сообщениям иранского информационного агентства ИСНА и британской вещательной корпорации Би-би-си, 19 июля 2009 глава Организации по атомной энергии Ирана /ОАЭИ/ Голям Реза Агазеде подал в отставку".
При этом, в статистических сообщениях ОАЭИ, относящихся к указанному периоду, отмечается существенное уменьшение до этого неуклонно увеличивавшегося числа действующих центрифуг на предприятии в Натанзе в период с мая по ноябрь 2009 года. Последний факт может свидетельствовать о не получившем официального подтверждения техническом сбое на комбинате, так как установка центрифуг – долгий и кропотливый процесс. Смонтированная установка должна в течение длительного периода времени /до года/ находиться в вакууме, чтобы в процессе ее работы могло быть получено ядерное топливо высокой степени чистоты, однако если что-то пойдет не так, то процесс придется повторить. Тем не менее, уменьшение количества центрифуг может говорить и о проведении работ по обслуживанию части оборудования. Однако даже если на заводе действительно произошел сбой, это еще не подтверждает версии о том, что в нем повинен вирус.
Еще одно сообщение о задержках в ходе работ по осуществлению ядерной программы ИРИ поступило относительно недавно. Пуск бушерской АЭС, который сначала был запланирован на март 2010 года, был сперва отложен до 21 августа, затем до октября, а на прошлой неделе нынешний глава ОАЭИ Али Акбар Салехи заявил агентству ИСНА, что "сердце станции забьется к началу ноября". При этом в понедельник, 4 октября, Салехи выступил с пояснениями, отметив, что к сообщениям о распространении вируса "Стакснет" в Иране задержка не имеет никакого отношения. "Перед загрузкой в реактор ядерного топлива в резервуаре при реакторе была обнаружена небольшая течь, которая уже заделана. Это и отложило на несколько дней процесс загрузки топлива, предшествующий запуску реактора", – цитирует Салехи другое иранское агентство – ИРНА.
При этом, сведения о том, какова была цель, которую должен /или должен был/ в конечном итоге поразить вирус, содержатся в самой программе. Как отмечает Ральф Лангнер, специалист по информационной безопасности из Германии, целью "червя" является лишь одно конкретное предприятие, структура которого прописана в коде вируса, что позволяет ему, собрав соответствующие сведения, "убедиться" в том, что он попал именно туда, куда задумывал его создатель.
Вирус проникает в системы диспетчерского контроля и сбора данных /SCADA/. Именно анализируя их структуру, как по отпечаткам пальцев, вирус может установить, что достиг цели. Таким образом, принцип распространения вируса довольно примечателен. В то время как целью большинства вредоносного ПО является поражение как можно большего числа машин и нанесение максимального вреда /выведением из строя компонентов операционной системы/, "Стакснет" не должен причинять значительного беспокойства сотрудникам всех пораженных предприятий.
Тем не менее, сверить схемы оборудования, специфицированные в коде вируса, с теми, что применяются на иранских ядерных объектах, по понятным причинам, вряд ли удастся. Однако если целью "Стакснет" все же являлась АЭС в Бушере или комбинат в Натанзе, встает вопрос о том, откуда авторам вируса стала известна схема организации SCADA на одном из данных предприятий.
Тот факт, что вирус может собирать различные сведения о новой "среде обитания" и обмениваться информацией с удаленным сервером, ранее приводил экспертов к выводу о том, что его главная цель – промышленный шпионаж. Однако для осуществления основной миссии "Стакснет" не требуется выход в Интернет, тем более, что в закрытых внутренних сетях большинства предприятий, где существуют требования повышенной безопасности, доступ во всемирную сеть попросту отсутствует. Вирус может действовать автономно – распространяться по внутренней сети и заражать съемные носители информации /так называемые "флэшки"/. Именно таким образом он мог попасть в систему бушерской АЭС, если бы один из сотрудников станции, чей персональный компьютер был заражен, подключил бы зараженный носитель к одному из компьютеров станции /данное действие, впрочем, явилось бы вопиющим нарушением правил обеспечения безопасности на таком объекте/.
Попадая в целевую систему, "Стакснет" вмешивается в работу одного из компонентов SCADA – программируемого логического контроллера /PLC/, используемого для автоматизации промышленных процессов. К какому именно эффекту приводят команды, которые "Стакснет" отдает системам управления предприятия, можно только догадываться, однако на прошедшей 29 сентября в канадском Ванкувере конференции "Вайрус бьюллетин 2010" сотрудник компании "Симантек" Лиам О"Мурку продемонстрировал работу вируса на простом примере. Зрители могли наблюдать, как логический контроллер подключенный к простому насосу, регулирует давление газа в надутом воздушном шарике, не давая ему лопнуть. Однако после заражения "Стакснет" ограничения на подачу воздуха были сняты, в результате чего шарик с громким хлопком взорвался. По словам О"Мурку, именно способность вируса влиять на работу промышленных механизмов, в чем раньше вирусы "замечены не были", и вызывает у специалистов наибольшую тревогу.
Следует, впрочем, отметить, что "Стакснет" может перепрограммировать лишь PLC производства немецкой компании "Сименс". Речь идет об оборудовании отнюдь не последнего поколения, в то время как на современных высокотехнологичных производствах применяются более новые и более дорогие решения. Используется ли на иранских ядерных объектах оборудование "Сименс", достоверно не известно, однако именно эта компания начала работы по сооружению АЭС в Бушере в 1974 году, после чего они были надолго заморожены после исламской революции 1979 года в стране. Строительством нынешней АЭС занималась российская госкорпорация "Росатом", однако "Сименс" в последние годы осуществляла поставки своих технологических решений в Иран, что не исключает теоретической возможности их использования в Бушере или Натанзе.
География распространения вируса также наводит на определенные мысли. Согласно отчету за август текущего года словацкой компании "И-эс-и-ти", работающей на рынке защиты информации и разработки антивирусов, на Иран приходится 52,17 проц. случаев заражения, 17,4 проц. – на Индонезию, 11,7 проц. – на Индию. По сообщению компании "Сименс", вирус был обнаружен в компьютерных системах 14 промышленных предприятий Германии, однако никакого вреда он не нанес и в производственный цикл не вмешивался. Эти данные были опубликованы многими СМИ, однако и они не дают возможности окончательно связать "Стакснет" конкретно с Ираном. Данные, собранными разными компаниями, сильно расходятся, в основном из-за того, что преимущественно учитываются случаи обнаружения вируса на компьютерах, оснащенных антивирусным ПО соответствующей фирмы. Кроме того, не существует подобных сведений за более долгий период, прошедший с момента появления вируса. Тем не менее, службы компьютерной безопасности Ирана сообщили как минимум о 30 тыс. зараженных машин в стране. Данные цифры, возможно, не позволяют поставить Иран на первое место среди стран, где зарегистрирован "Стакснет", однако дают основания говорить о том, что в ИРИ этот вирус никак не редкость.
Что касается создателей вируса, то анализ кода программы, проведенный на данный момент, не выявил каких- либо однозначных "персональных" или "национальных" штрихов в почерке людей, занимавшихся его программированием. Единственной зацепкой являются слова "мирт" /myrtus/ и "гуава" /дерево семейства миртовые/, являющиеся названиями директории и файла в коде программы. Эти слова могут быть ссылкой на имя супруги персидского царя Артаксеркса – Эсфири, которая также пользовалась именем Хадасса, что на иврите означает "мирт". В ветхозаветной Книге Эсфирь, описывается, как царица помешала планам персов "убить, погубить и истребить всех иудеев". Данная аналогия позволила некоторым газетным обозревателям прийти к выводу о том, что разработкой вируса занимались специалисты израильских спецслужб, неоднократно заявлявших о том, что бушерская АЭС является для них приоритетной целью. Хотя убедительность такого "доказательства", по крайней мере, весьма сомнительна, проводимые Израилем военные операции действительно нередко называются в честь событий или героев Ветхого Завета. Кроме того, эксперты сходятся во мнении, что создать
"Стакснет" не мог хакер-одиночка, так как похищение сертификатов безопасности, тщательное тестирование программы, многоуровневое шифрование и проработка различных сценариев заражения с запасными вариантами потребовали бы слишком много усилий. В компании "Симантек" отмечают, что разработка программы подобного уровня могла быть проделана лишь командой высококлассных специалистов при весьма существенной финансовой поддержке, вплоть до государственной. Впрочем, иранские СМИ 2 октября цитировали слова министра информации ИРИ /руководителя иранских спецслужб/, Хейдара Мослехи, заявившего, что власти Ирана "задержали нескольких западных шпионов", которые могли способствовать распространению вируса в стране. Таким образом, вскоре Иран сможет озвучить свою версию того, кем и с какой целью был разработан "Стакснет", которая пополнит ряды существующих теорий.
На данном этапе изучения вируса и обстоятельств его распространения возникает больше вопросов, чем ответов. Однако эксперты сходятся во мнении, что сам факт появления такой программы, даже если она пока не нанесла значительного вреда, может стать основой для создании оружия нового поколения, которое будет применяться в "кибервойнах" между различными государствами. Кроме того, уже в ближайшие месяцы ожидается появление вирусов, которые для проникновения на компьютеры будут использовать те же уязвимые места операционной системы "Майкрософт Уиндоус" /большинство из них до сих пор не закрыты/, что и "Стакснет", однако, скорее всего, будут значительно более простыми и преследовать более "приземленные" цели – такие, как похищение личной информации, а также номеров и паролей банковских карт. Как стало известно корр. ИТАР-ТАСС, весной будущего года масштабный аналитический доклад, посвященный проблемам "киберконфликтов", в котором значительное внимание будет посвящено прецеденту вируса "Стакснет", планирует опубликовать Лондонский международный институт стратегических исследований.
Описание
9 июля 2010 года специалисты белорусской антивирусной компании «ВирусБлокада» обнаружили в Иране вредоносное программное обеспечение (ВПО), которому было названо Stuxnet. У антивирусных компаний нет единого мнения, когда именно Stuxnet появился, по некоторым данным, распространение происходило уже с января 2009 года. Отличительные особенности:
- Stuxnet содержит несколько модулей, написанных с использованием нескольких сред разработки и языков программирования;
- для обхода механизмов антивирусной защиты некоторые модули (драйверы) ВПО имели цифровую подпись, сделанную с использованием сертификатов компаний Realtek и JMicron (предположительно, украденных);
- несколько способов распространения – посредством USB-Flash накопителей и по сети. В версии 2009 года использовался широко применяемый способ запуска через autorun.inf (который, как правило, отключают из соображений безопасности), в версии 2010 года он был заменен на более эффективный – использование уязвимости обработки ярлыков MS10-046 (zero-day на тот момент). Для распространения через сеть использовались уязвимости MS08-067 (ранее использовалась в 2009 году ВПО Kido, что привело к массовым заражениям) и MS10-061 (zero-day на тот момент);
- для обеспечения работы производилось повышение привилегий до уровня администратора системы при помощи использования двух локальных уязвимостей (zero-day на тот момент) MS10-073 (Windows 2000 и XP) и MS10-092 (Windows Vista, включая версию x64), таким образом, было предусмотрен нормальный запуск ВПО из-под ограниченных учетных записей;
- Stuxnet организует свою собственную peer-to-peer (P2P) сеть для синхронизации и обновления своих копий;
- присутствует функционал, позволяющий пересылать на удаленные сервера управления информацию, найденную на компьютере;
- необычная «полезная» нагрузка – нарушение нормальной работы системы автоматизации SIMATIC, производимой компанией Siemens, которая обычно используется в различных промышленных системах управления производственными процессами.
Специалист по информационной безопасности из Германии, Ральф Ленгнер, в сентябре 2010 опубликовал анализ действий Stuxnet относительно SIMATIC на собственном сайте.
SIMATIC WinCC (Windows Control Center) – ПО для создания человеко-машинного интерфейса, составная часть семейства систем автоматизации SIMATIC. Работает под управлением операционных систем семейства Microsoft Windows NT и использует базу данных Microsoft SQL Server 2000 (начиная с версии 6.0). WinCC взаимодействует с пакетом STEP 7.
SIMATIC STEP 7 – ПО для разработки систем автоматизации на основе программируемых логических контроллеров (ПЛК) SIMATIC S7-300/S7-400/M7/C7 и WinAC.
Если Stuxnet определяет, что запущен на инженерной станции, то подменяет часть STEP7, отвечающую за прошивку кода в ПЛК. В момент, когда инженер осуществит подключение к контроллеру, если Stuxnet опознает подходящую конфигурацию аппаратных средств, то модифицирует код, передаваемый в ПЛК. Исследователи выяснили, что злоумышленников интересовали контроллеры 6ES7-417 и 6ES7-315-2, а так же индустриальные сети стандарта Profibus-DP. Модифицированный STEP7, при попытке чтения измененных блоков программы ПЛК отображает их в исходном виде (rootkit компонента для сокрытия факта модификации).
Stuxnet осуществляет идентификацию целевой системы путем проверки блока данных DB 890. Это происходит периодически каждые пять секунд в среде WinCC.
Если условие выполнено, Stuxnet модифицирует модуль ОВ 35 во время передачи из Simatic Manager в ПЛК. Модуль ОВ 35 вызывается в ПЛК каждые 100 мс по таймеру, в нем перехватчик Stuxnet проверяет код возврата функции FC 1874. Если код возврата из FC 1874 – DEADF007, оригинальное содержимое ОВ 35 не выполняется.
Код Stuxnet в ПЛК позволяет:
- слушать сеть Profibus-DP (по которой общаются ПЛК), и генерировать свои пакеты, причем данные для этих пакетов могут обновляться с инженерной станции;
- читать входы ПЛК и управлять его выходами, к ним подключены датчики и исполнительные механизмы (ИМ) соответственно, при этом для целенаправленного воздействия нужно знать конкретно, какие датчики/ИМ подключены к каким входам/выходам;
- синхронизировать свои копии среди зараженных ПЛК по сети Profibus-DP (ПЛК не могут заражаться друг от друга, исполняемый код контроллеров не может переписываться «на лету», только данные, это ограничение контроллеров Siemens).
Siemens подтверждает, что целью вируса является конкретная технологическая конфигурация. Всего компания сообщила о 15 случаях заражения на производстве, в основном в Германии. Ни в одном случае Stuxnet не внедрился в ПЛК, так как не совпали параметры. При этом на работе оборудования это не сказалось, и во всех случаях Stuxnet удалось нейтрализовать.
Выводы
Указанные факты позволяют сделать следующие выводы:
- Stuxnet является тщательно спроектированным ВПО, которое разрабатывалось группой специалистов различной направленности;
- не выявлено фактов распространения посредством сети «Интернет», только через USB-Flash и посредством сети – эти признаки характерны для внедрения в закрытую систему, не имеющую прямого подключения к общедоступным сетям;
- функционал нарушения нормальной работы системы управления производственными процессами Siemens WinCC (средство компьютерного саботажа) подразумевает, что разработчики Stuxnet для тестирования имели программно-аппаратную систему, идентичную той, на которую планировалась атака. Кроме того, они ориентировались на конкретную цель (использование данных от завербованного персонала внутри организации);
- разработка такого масштаба предполагает значительное финансирование – оплата труда группы программистов, организация кражи цифровых сертификатов, покупка или разработка 4 zero-day уязвимостей, доступ к развернутой системе Siemens WinCC.
Версии
Эксперты полагают, что Stuxnet мог быть разработан для применения против АЭС в Бушере (Иран). В качестве вероятных разработчиков может выступать Израиль и США. В основу версии легли следующие факты:
- Иран является одним из наиболее пострадавших от Stuxnet регионов. Судя по динамике данных о заражениях – примерно в мае-июне 2010 года Иран был лидером по числу заражений;
- Бушерская атомная электростанция (АЭС) является одной из наиболее важных военных целей в Иране;
- АЭС начали строить еще в 1970-е. В строительстве, принимала участие компания Сименс. В 1979 году Siemens прекратила работы в этой стране (из-за революции). Впоследствии Siemens вернулась в Иран и это был один из ее крупнейших рынков. В январе 2010 года компания Siemens снова объявила о прекращении сотрудничества с Ираном. Однако, летом она была уличена в поставке комплектующих в Бушер. Используется ли на АЭС программное обеспечение Siemens для управления процессами – официально неизвестно. На одном из размещенных в сети Интернет снимков экрана компьютера, сделанного якобы внутри АЭС, можно видеть систему управления WinCC компании Siemens;
- участие в строительстве АЭС российской компании «Атомстройэкспорт», у которой есть проекты в Индии, а также традиционное пренебрежение вопросами информационной безопасности российскими компаниями, что могло привести к распространению Stuxnet в Индии;
- Израиль является одной из наиболее заинтересованных в нарушении функционирования Бушерской АЭС стран. Иран подозревают в том, что на этой станции, под видом ядерного топлива, будут изготовляться запасы для производства собственного ядерного оружия, которое, наиболее вероятно, может быть использовано против Израиля;
- Израиль входит в число стран, обладающих высококвалифицированными специалистами в области информационных технологий, способными использовать их как для атак, так и для шпионажа.
- производство по обогащению урана в Натанзе – мощно укрепленный и спрятанный глубоко под землёй объект – по свидетельствам экспертов, представляет собой намного большие риски с точки зрения производства ядерного оружия, нежели Бушерская АЭС;
- в июле 2009 г. один из источников, связанных с ядерной программой Ирана, конфиденциально сообщил о серьезной ядерной аварии, произошедшей незадолго до этого в Натанзе. Позднее, согласно сообщениям иранских СМИ и британской Би-Би-Си, Голамреза Агазаде, глава Иранской организации по атомной энергии (IAEO), ушел в отставку. В то же время, согласно официальным данным, предоставляемым IAEO в контролирующие структуры, существенно (на несколько тысяч) упало количество функционирующих центрифуг в Натанзе, что могло являться последствиями воздействия Stuxnet.
В США в июне 2012 года вышла книга под названием «Confront and Conceal: Obama"s Secret Wars and Surprising Use of American Power» (Конфронтация и сокрытие: Тайные Войны Обамы и удивительное использование американской мощи), согласно которой Stuxnet был разработан именно в США с участием израильских специалистов и именно с целью нейтрализации ядерной программы Ирана. Автор – журналист The New York Times Дэвид Сэнгер – утверждает, что Stuxnet разрабатывался ещё в период президентства Джорджа Буша-младшего. Проект назывался «Olympic Games». Сначала это была программа по распространению шпионского ПО, благодаря которому удалось получить представление об оборудовании иранского центра по обогащению урана в Натанзе. Уже после этого был разработан функционал, который воздействовал на программное обеспечение, управляющему центрифугами очистки урана.
Ещё в прошлом году Дэвид Сэнгер и двое его коллег публиковали в New York Times статью, в которой утверждалось, что Stuxnet - действительно дело рук американских и израильских спецслужб и что испытывали его в секретном израильском центре «Димона» в пустыне Негев. Официально Израиль отказывается признавать у него существование собственной ядерной программы, однако авторы статьи ссылаются на неких осведомлённых экспертов в разведывательной и военной областях, которые подтверждают: в Димоне стоят центрифуги, практически идентичные тем, что стояли в Натанзе. Способность Stuxnet выводить их из строя была опробована, в том числе, на них.
По данным The Wall Street Journal, ФБР проводит расследование утечки информации, в результате которой стало известно о причастности правительства страны к кибератакам на ядерные объекты Ирана.
Многие эксперты относятся к этой информации скептически. Они считают ее очередным «вбросом» информации накануне президентских выборов в США.
Подробные источники информации о Stuxnet:
Аналитический отчет компании Symantec
Про вирус Stuxnet September 18th, 2010
Выясняются все новые и новые подробности о вирусе StuxNet, обнаруженый в Июне этого года. Чем вирус необычен? Да много чем...
Сам собой напрашивается вывод: группа крутых профессионалов хотела что-то сломать, что-то очень дорогое, важное и промышленное. Вероятнее всего, в Иране (хотя вирус попал и в другие страны) и, вероятнее всего, уже успешно сломала (по оценкам вирусологов Stuxnet прожил почти год до обнаружения) Это не простая группа хакеров. Тут нужно первоклассное техническое оснащение - от людей, крадущих, ключи, до спецов по уязвимостям, до экспертов по промышленному производству. Минимум приличных размеров копрорация, а вероятнее чьи-то госструктуры.
Кто точно в Иране пользуется системой WinCC неизвестно, но конспирологи указывают, что копия WinCC, причем нелицензионная , стояла на строящемся реакторе в Бушере . На том самом, на которой Иран хочет обогащать уран для своей ядерной программы, и на защиту которого Россия хочет послать ракетный комплекс С-300 и уже послала зенитки Тор-1 .
Что целью является именно Бушер, это, конечно, не доказывает. Может быть, в Иране половина фабрик работает на данном продукте. Так тем хуже для Ирана.
(Update
: Вроде бы, WinCC в Иране все-таки уже лицензировали. Ключ проекта 024 в сопроводительном README файле специально отведен под Бушер (см. стр. 2) Других иранских объектов, кстати, в списке нет.)
Кстати: большая часть информации, необходимой для создания виря, лежало в открытом доступе. Похожие уязвимости пару раз упоминались в разных, записи в блоге фирмы Symantec ,
в копилку конспирологам: американский эксперт Скотт Борг из при-правительственной организации US Cyber Consequences Unit год назад предлагал заражать иранские ядерные объекты через USB-драйвы.
Бонус : Германские хакеры, распотрошившие вирус также нашли сдохшего два года назад трояна на сайте родного нашего АтомСтройЭкспорта (посмотрите исходники www.atomstroyexport.com/index-e.htm) Отношение к инфекции он скорее всего не имеет, просто показывает уровень безопасности в атомной энергетике.
класс уязвимостей, который называется 0day. 0day- термин, который обозначает уязвимости (иногда и сами зловредные программы), против которых защитные механизмы антивирусов и других программ для защиты компьютера бессильны. Такое понятие появилось потому, что злоумышленники, которые обнаружили уязвимость в программе или операционной системе, проводят свою атаку сразу же не позднее первого ("нулевого дня") дня информированности разработчика об обнаруженной ошибке. Естественно, это означает, что разработчик не успевает вовремя исправить уязвимость , что распространяет сложные эпидемии зловредных программ, которые не поддаются своевременному лечению. На данный момент различные злоумышленники фокусируют свое внимание именно в нахождении таких уязвимостей. Прежде всего, они обращают внимание на такое программное обеспечение , которое получило широкое распространение. Заражая такое программное обеспечение зловредным кодом, злоумышленник гарантировано получит максимальную отдачу от своих действий. При этом антивирусные программы будут бессильны, так как они не смогут определить зловредный код, который находится в популярной программе. Одним из таких примеров был назван пример выше, когда вирус поражал служебные файлы Delphi и тем самым внедрял свой код в различные программы, которые были откомпилированы в этом компиляторе. Так как такие программы были широкого использования, большое количество пользователей было заражено. Все это дало понять злоумышленникам, что такие атаки являются достаточно эффективными и их можно использовать и в дальнейшем. Впрочем, нахождение 0day уязвимости - это достаточно трудоемкий процесс. Для того, чтобы найти такую уязвимость , злоумышленники прибегают к различным стрессовым тестам программного обеспечения, разбору кода на части, а также поиску в программном коде разработчика различных ошибок. Но если эти действия приносят успех, и уязвимость будет найдена, то можно считать, что злоумышленники обязательно ею воспользуются. На сегодняшний день самой известной вредоносной программой, использующей 0day уязвимость в программном обеспечении, является червь Stuxnet, который был обнаружен летом 2010 года. Stuxnet использовал ранее неизвестную уязвимость операционных систем семейства Windows , связанную с алгоритмом обработки ярлыков. Следует отметить, что помимо 0day уязвимости, Stuxnet использовал еще три, ранее известные, уязвимости. Уязвимости "нулевого дня" также позволяют злоумышленникам создавать вредоносные программы, которые могут обходить защиту антивирусов, что также является опасным для обычного пользователя. Кроме такого рода уязвимостей (0day), существуют также и вполне обычные уязвимости, которыми постоянно пользуется злоумышленник . Другой опасной разновидностью уязвимостей являются уязвимости, которые используют Ring 0 операционной системы. Ring 0 используется для написания различных системных драйверов. Это специальный уровень, из которого можно осуществить полный контроль над операционной системой. Злоумышленник в этом случае уподобляется программисту, который пишет драйвер для операционной системы, ведь в этом случае написание зловредной программы и драйвера является идентичным случаем. Злоумышленник с помощью системных функций и вызовов пытается придать своей зловредной программе функции прохождения в Ring 0.Опасность кражи персональных данных с мобильных телефонов
Если подобное сказали буквально лет 7 назад, то тогда, скорее всего, такому факту просто не поверили бы. Сейчас же опасность кражи персональных данных пользователей мобильных телефонов крайне высока. Существует большое множество зловредных программ, которые занимаются именно кражей персональных данных с мобильных телефонов пользователей. А еще совсем недавно никто и не мог предположить, что мобильные платформы заинтересуют злоумышленников. История вирусов начинается с 2004 когда. Именно этот год считается точкой отсчета для мобильных вирусов. При этом вирус , созданный в этом году, был подобран под систему Symbian. Он являлся демонстрацией самой возможности существования вирусов на платформе операционной системы Symbian. Авторы такого рода разработок, движимые любознательностью и стремлением поспособствовать укреплению безопасности атакованной ими системы, обычно не заинтересованы в их распространении или злоумышленном использовании. Действительно, оригинальный экземпляр вируса Worm .SymbOS.Cabir был разослан в антивирусные компании по поручению самого автора, однако позже исходные коды червя появились в интернете, что повлекло за собой создание большого количества новых модификаций данной вредоносной программы. Фактически, после публикации исходных кодов Cabir начал самостоятельно "бродить" по мобильным телефонам во всем мире. Это доставило неприятности обычным пользователям смартфонов, но эпидемии по сути не произошло, так как у антивирусных компаний тоже были исходные коды этого вируса и именно тогда начались первые выпуски антивирусов под мобильные платформы. Впоследствии стали распространяться различные сборки этого вируса, которые, впрочем, не приносили огромного вреда. Далее последовал первый бэкдор (зловредная программа , которая открывает доступ в систему извне). Ее функционал позволяет передавать в обе стороны файлы и выводить на экран текстовые сообщения. Когда зараженное устройство подключается к интернету, бэкдор отсылает его IP-адрес по электронной почте своему хозяину. Впоследствии появилась еще одна зловредная программа для мобильных платформ. Программа представляет собой SIS- файл - приложение -инсталлятор для платформы Symbian. Ее запуск и установка в систему приводят к подмене иконок (AIF-файлов) стандартных приложений операционной системы на иконку с изображением черепа. Одновременно, в систему, поверх оригинальных, устанавливаются новые приложения. Переписанные приложения перестают функционировать. Все это было подхвачено различными любителями в написании зловредных программ, которые начали плодить всевозможные модификации на старые вирусы, а также пытаться создавать свои собственные. Впрочем, на тот момент все зловредные программы под мобильные платформы были достаточно примитивными и не могли сравниться со своими аналогами зловредных программ на компьютере. Достаточно много шума наделала программа под названием Trojan.SymbOS Lockhunt. Эта программа являлась трояном. Он эксплуатирует "доверчивость" (отсутствие проверок целостности файлов). После запуска, вирус создает в системной директории /system/apps/ папку с неблагозвучным с точки зрения русского языка названием gavno, внутри которой размещаются файл gavno. app и сопутствующие ему gavno.rsc и gavno_caption.rsc. При этом во всех файлах вместо соответствующей их форматам служебной информации и кода содержится обычный текст. Операционная система , исходя только из расширения файла gavno. app , считает его исполняемым - и зависает, пытаясь запустить " приложение " после перезагрузки. Включение смартфона становится невозможным. После этих вирусов, в основном, идут однотипные вирусы, которые могут передавать сами себя посредством различных технологий.
Сама уязвимость мобильных платформ достаточно высокая, так как нет таких средств, которые надежно бы защищали мобильные платформы. К тому же необходимо учитывать и то, что современные мобильные платформы уже вплотную подбираются к обычным операционным системам, а значит и алгоритмы воздействия на них остаются похожими. Кроме того, у мобильных платформ есть два достаточно специфических метода передачи данных, которых нет у компьютеров - это технология Bluetooth и MMS . Bluetooth - технология беспроводной передачи данных, разработанная в 1998 г. На сегодняшний день она широко используется для обмена данными между различными устройствами: телефонами и гарнитурами к ним, карманными и настольными компьютерами и другой техникой. Bluetooth-связь обычно работает на расстоянии до 10-20 м, не прерывается физическими препятствиями (стенами) и обеспечивает теоретическую скорость передачи данных до 721 Кбит/сек. ММS - относительно старая технология, призванная расширить функционал SMS возможностями передачи картинок, мелодий и видео. В отличие от сервиса
