System mobilny, system tradycyjny - czy istniej膮 jeszcze bezpieczne platformy?

Maciej Ziarek, analityk zagro偶e艅, Kaspersky Lab Polska

Z istnienia zagro偶e艅 przeznaczonych na tradycyjne systemy operacyjne zdaje sobie spraw臋 wi臋kszo艣膰 posiadaczy komputer贸w. O tym, 偶e zagro偶one s膮 platformy inne ni偶 Windows wie ju偶 niewielu. Natomiast o mo偶liwo艣ci zainfekowania szkodliwym oprogramowaniem telefonu kom贸rkowego wiedz膮 niestety jedynie osoby interesuj膮ce si臋 bezpiecze艅stwem oraz u偶ytkownicy, kt贸rzy sami do艣wiadczyli dzia艂ania konia troja艅skiego na swoim smartfonie lub tablecie. M贸wi膮c og贸lnie, 艣wiadomo艣膰 zagro偶e艅 czyhaj膮cych na posiadaczy sprz臋tu elektronicznego jest niewielka. Tym artyku艂em postaram si臋 nieco rozja艣ni膰 w膮tpliwo艣ci dotycz膮ce bezpiecze艅stwa wsp贸艂czesnych system贸w operacyjnych, zar贸wno tych tradycyjnych, jak i mobilnych.

Ka偶dy system mo偶na zaatakowa膰

Jeszcze kilka lat temu praktycznie wszystkie szkodliwe programy powstawa艂y z my艣l膮 o systemach Windows. Pocz膮tkowo by艂y to wirusy maj膮ce na celu uprzykrzy膰 偶ycie u偶ytkownikowi. Cyberprzest臋pcy b艂yskawicznie zdali sobie jednak spraw臋, 偶e jest to wielomiliardowy rynek, kt贸ry zasypany szkodliwym oprogramowaniem mo偶e przynosi膰 spore dochody. Ma艂o kto przypuszcza艂 wtedy, 偶e systemy takie jak Mac OS X, 贸wcze艣nie uznawane za "wirusoodporne" potrzebowa膰 b臋d膮 ochrony antywirusowej. Szkodliwy kod mia艂 by膰 problemem u偶ytkownik贸w Windowsa. Nie min臋艂o wiele lat, a sytuacja na rynku zagro偶e艅 diametralnie si臋 zmieni艂a... Obecnie platforma Mac OS X jest tak偶e zagro偶ona szkodliwym oprogramowaniem i coraz cz臋艣ciej notuje si臋 przypadki infekowania tych system贸w. U偶ytkownicy systemu spod znaku jab艂ka notuj膮 mi臋dzy innymi infekcje fa艂szywymi programami antywirusowymi, kt贸re nie maj膮 偶adnych w艂a艣ciwo艣ci zabezpieczaj膮cych i pokazuj膮 fa艂szywe wyniki skanowania dysku. Wszystko po to, by nak艂oni膰 u偶ytkownika do wykupienia pe艂nej licencji na aplikacj臋, kt贸ra nie robi nic poza wy艣wietlaniem reklam. W drugiej po艂owie 2011 r. nasi analitycy wykryli wiele fa艂szywych program贸w zabezpieczaj膮cych o nazwach takich jak MacDefender, MacSecurity czy MacProtector.


Fa艂szywa aplikacja antywirusowa na system Mac OS X. 殴r贸d艂o: Kaspersky Lab

Od kiedy udzia艂y Apple w segmencie system贸w operacyjnych zwi臋kszy艂y si臋, wzros艂a tak偶e liczba wirus贸w i koni troja艅skich pisanych dla systemu Mac OS X. Niestety, nic nie wskazuje na zmian臋 tego trendu, szkodliwy kod nie jest ju偶 problemem wy艂膮cznie u偶ytkownik贸w Windowsa. Ale co z systemami mobilnymi?

Popularno艣膰 nie musi i艣膰 w parze z zagro偶eniami...

W przypadku infekowania szkodliwym oprogramowaniem mobilnych system贸w operacyjnych, w odr贸偶nieniu od platform tradycyjnych, cyberprzest臋pcy nie kieruj膮 si臋 wy艂膮cznie popularno艣ci膮 systemu. Wydawa膰 by si臋 mog艂o, 偶e udzia艂 danego OS-a w rynku jest najwa偶niejsz膮 kwesti膮. W ko艅cu dla systemu Windows, kt贸ry jest najpopularniejsz膮 platform膮, pisanych jest niepor贸wnywalnie wi臋cej szkodliwego oprogramowania, ni偶 dla Linuksa czy systemu Mac OS X.

Powy偶szy fakt nie znajduje jednak odzwierciedlenia w艣r贸d system贸w mobilnych. Zgodnie z poni偶szym wykresem, trzy najpopularniejsze obecnie systemy operacyjne to Symbian, iOS oraz Android. Mimo to, zagro偶enia dla iOS-a praktycznie nie istniej膮, o czym mo偶emy si臋 przekona膰 analizuj膮c drugi wykres.


Popularno艣膰 mobilnych system贸w operacyjnych (stycze艅 - luty 2012). 殴r贸d艂o: StatCounter - GlobalStats.


Ilo艣膰 mobilnego szkodliwego oprogramowania pisanego na konkretne platformy (podsumowanie dla 2011 r). 殴r贸d艂o: Kaspersky Lab.

Gdyby kierowa膰 si臋 wspomnian膮 wcze艣niej zasad膮, iOS, kt贸ry zajmuje drugie miejsce w rankingach popularno艣ci, powinien by膰 jednym z najcz臋艣ciej infekowanym system贸w mobilnych. Tak jednak nie jest. Wszystko z powodu polityki prowadzonej przez firm臋 Apple, tw贸rc臋 iOS-a. Aplikacje dla tej platformy mo偶na pobiera膰 jedynie z oficjalnego sklepu - AppStore. Zanim cokolwiek si臋 tam znajdzie, musi zosta膰 zatwierdzone przez Apple, dzi臋ki czemu nie ma mowy o wprowadzeniu szkodliwego kodu do sklepu z aplikacjami. Dodatkowo iOS jest systemem zamkni臋tym, co oznacza, 偶e u偶ytkownik nie ma praw administratora. Sprawia to, 偶e u偶ytkownik nie ma mo偶liwo艣ci ingerowa膰 w system operacyjny. Na ataki nara偶one s膮 jedynie platformy iOS poddane procesowi "jailbreaku", kt贸ry polega na nieautoryzowanym nadaniu uprawnie艅 administratora. Dzi臋ki temu mo偶liwe staje si臋 instalowanie program贸w spoza sklepu Apple, a tym samym nie艣wiadome pobranie szkodliwego kodu.

Na dzie艅 dzisiejszy, najwi臋kszy wzrost zagro偶e艅 notuje si臋 dla systemu Android. Mimo 偶e Google, producent Androida, tak偶e posiada w艂asny sklep z aplikacjami (Google Play, zwany dawniej Android Marketem), trafiaj膮ce tak programu niekiedy okazywa艂y si臋 by膰 trojanami. Rozwi膮zaniem tego problemu mo偶e si臋 okaza膰 us艂uga Bouncer wprowadzona przez Google. Ma ona skanowa膰 aplikacje w poszukiwaniu z艂o艣liwego kodu, jednak nie wiadomo jak tego typu rozwi膮zanie poradzi sobie w rzeczywisto艣ci i na ile skuteczny oka偶e si臋 skaner zaimplementowany w Bouncerze. Ponadto, us艂uga ta nie blokuje drogi szkodliwym aplikacjom instalowanym poza Android Marketem. Wiele os贸b instaluje programy z nieoficjalnych 藕r贸de艂, co mo偶e sta膰 si臋 przyczyn膮 infekcji telefonu.

Przyk艂adem szkodliwej aplikacji instalowanej poza Android Marketem jest program maj膮cy w za艂o偶eniu monitorowa膰 aktywno艣膰 SMS-ow膮 u偶ytkownika. Po zainstalowaniu w menu systemu mo偶na by艂o zobaczy膰 ikon臋 "SuiConFo".


Przyk艂ad szkodliwej aplikacji SuiConFo napisanej dla systemu Android. 殴r贸d艂o: Kaspersky Lab.

Uruchomienie programu powodowa艂o wys艂anie czterech SMS-贸w na numery o podwy偶szonej op艂acie. Po uruchomieniu aplikacji, u偶ytkownik by艂 informowany o braku kompatybilno艣ci z zainstalowan膮 wersj膮 systemu operacyjnego, podczas gdy w rzeczywisto艣ci wysy艂ane by艂y SMS-y.

Ataki wieloplatformowe to nie science-fiction...

Jednym z najlepszych dowod贸w na konieczno艣膰 ochrony wielu platform jednocze艣nie jest ko艅 troja艅ski ZeuS (wyst臋puj膮cy tak偶e pod nazw膮 Zbot), kt贸ry atakuje klient贸w bankowo艣ci elektronicznej. Szkodnik ten infekuje komputery z tradycyjnymi systemami operacyjnymi, zdobywa informacje o loginie i ha艣le do konta bankowego, a w drugim etapie dzia艂ania infekuje telefon w celu przechwycenia SMS-贸w z kodami jednorazowymi. Poni偶szy schemat przedstawia kolejne kroki ataku:


Etapy ataku konia troja艅skiego ZeuS.

ZeuS znany jest od 2010 r., jednak w tamtym okresie atakowa艂 on g艂贸wnie klient贸w bank贸w zachodnich. Do Polski zawita艂 na pocz膮tku 2011 r., a jego tw贸rcy za cel obrali sobie u偶ytkownik贸w mi臋dzy innymi banku ING.

Bardzo cz臋sto zdarza si臋, 偶e klienci bank贸w otrzymuj膮 na swoje skrzynki phishing. Atak taki rozpoczyna si臋 od otrzymania wiadomo艣ci elektronicznej z pro艣b膮 o zalogowanie si臋 na stronie banku przy pomocy zawartego w mailu odno艣nika. Zazwyczaj pro艣ba taka jest motywowana wzgl臋dami bezpiecze艅stwa i konieczno艣ci膮 zmodyfikowania przez klienta ustawie艅 konta. Z powodu stosowania przez polskie banki wielowarstwowych zabezpiecze艅, wy艂udzenie w najlepszym wypadku sko艅czy si臋 zdobyciem loginu i has艂a, jednak konieczno艣膰 podania kodu jednorazowego uniemo偶liwi przest臋pcy dokonania przelewu. ZeuS omin膮艂 tak偶e t臋 form臋 ochrony. Nie stosowa艂 on phishingu mailowego, lecz infekowa艂 system operacyjny. W momencie przej艣cia u偶ytkownika na stron臋 banku, szkodliwe oprogramowanie podmienia艂o witryn臋 na fa艂szyw膮 wersj臋. Poni偶ej widoczny jest przyk艂ad takiej strony:


Fa艂szywa strona logowania wygenerowana przez konia troja艅skiego ZeuS. 殴r贸d艂o: ING Bank 艢l膮ski.

U偶ytkownik proszony jest o podanie has艂a dost臋pu. Nale偶y zwr贸ci膰 uwag臋, 偶e has艂o nie jest podawane w formie maskowanej, gdzie do zalogowania potrzebne s膮 tylko wybrane elementy. Dzi臋ki temu przest臋pca nie napotka wi臋kszych trudno艣ci w momencie logowania na prawdziwej stronie banku. Po podaniu przez klienta loginu i has艂a, ko艅 troja艅ski przechodzi do wspomnianego wcze艣niej drugiego etapu ataku - infekcji telefonu kom贸rkowego.


Fa艂szywa strona logowania wygenerowana przez trojana ZeuS. 殴r贸d艂o: ING Bank 艢l膮ski.

Na chwil臋 obecn膮 najlepsz膮 metod膮 infekcji urz膮dze艅 mobilnych jest nak艂onienie posiadacza sprz臋tu do instalacji szkodliwego oprogramowania, kt贸re udaje po偶yteczn膮 aplikacj臋. W przypadku ZeuSa aplikacj膮 t膮 mia艂 by膰 certyfikat, paradoksalnie maj膮cy zwi臋kszy膰 poziom bezpiecze艅stwo operacji takich jak logowanie czy przelewanie pieni臋dzy.


Fa艂szywa strona logowania wygenerowana przez konia troja艅skiego ZeuS. 殴r贸d艂o: ING Bank 艢l膮ski.

Klient banku przekonany o s艂uszno艣ci podejmowanych dzia艂a艅, podaje numer, mark臋 oraz model telefonu i w odpowiedzi otrzymuje SMS-a z adresem strony internetowej, z kt贸rej pobierze certyfikat. Przest臋pcy przygotowali wersje dla najpopularniejszych system贸w operacyjnych, takich jak Android, Windows Mobile, BlackBerry czy Symbian. Osoba, kt贸ra zainstalowa艂a wskazane oprogramowanie, w rzeczywisto艣ci infekowa艂a jedn膮 z wymienionych platform. Od tego momentu wszystkie SMS-y przychodz膮ce do w艂a艣ciciela telefonu by艂y przekierowywane na numer przest臋pcy. Niestety wliczy膰 w to nale偶y SMS-y z kodami jednorazowymi przesy艂ane przez bank.

W ten spos贸b cyberprzest臋pcy wchodzili w posiadanie wszystkich informacji niezb臋dnych do dokonania przelewu na dowolny rachunek. ZeuS wykorzysta艂 zale偶no艣ci mi臋dzy systemami tradycyjnymi i mobilnymi do obej艣cia zabezpiecze艅 banku. W przysz艂o艣ci ataki tego typu mog膮 sta膰 si臋 popularniejsze, poniewa偶 coraz wi臋cej bank贸w decyduje si臋 na zast膮pienie kart zdrapek systemem SMS-owym. Dodatkowo, coraz wi臋cej os贸b korzysta ze smartfon贸w, kt贸re bez ochrony antywirusowej mog膮 zosta膰 u偶yte przeciwko ich posiadaczom.

Podsumowanie

Tradycyjne systemy operacyjne potrzebuj膮 innej ochrony od oprogramowania kontroluj膮cego prac臋 smartfon贸w i tablet贸w. Pecet czy laptop jest najcz臋艣ciej na sta艂e pod艂膮czony do internetu i jest wykorzystywany do innych cel贸w, ni偶 urz膮dzenia mobilne. Sprawdzanie poczty, odwiedzanie portali spo艂eczno艣ciowych, pobieranie plik贸w z r贸偶nych witryn, przegl膮danie zasob贸w internetowych czy te偶 pod艂膮czanie urz膮dze艅 zewn臋trznych, takich jak dyski przeno艣ne, sprawiaj膮, 偶e tradycyjny system wymaga ochrony kompleksowej. Smartfony i tablety s膮 najcz臋艣ciej infekowane podczas pobierania i instalowania aplikacji niewiadomego pochodzenia, ale z racji mobilno艣ci mamy do czynienia z dodatkowym zagro偶eniem - zwi臋kszonym prawdopodobie艅stwem zgubienia lub kradzie偶y sprz臋tu. W takiej sytuacji wszystkie dane w telefonie - wiadomo艣ci e-mail, kontakty, notatki, pliki - mog膮 znale藕膰 si臋 w niepowo艂anych r臋kach. Z tego powodu ochrona antywirusowa musi zosta膰 wzmocniona szyfrowaniem danych, a tak偶e funkcjami odnajdywania sprz臋tu przy u偶yciu modu艂u GPS lub zdalnego blokowania dost臋pu oraz kasowania danych SMS-em wysy艂anym z innego telefonu.

Nale偶y pami臋ta膰, 偶e kompleksowa ochrona dotyczy nie tylko instalacji programu antywirusowego na komputerze, ale tak偶e na zabezpieczeniu urz膮dze艅, kt贸re mog膮 sta膰 si臋 obiektem atak贸w cyberprzest臋pc贸w. Ju偶 nied艂ugo infekcja tabletu czy smartfonu mo偶e by膰 dla cyberprzest臋pc贸w r贸wnie op艂acalna, co infekowanie tradycyjnych komputer贸w.

殴ród艂o:
Kaspersky Lab