2000 устройств в видимом для всех режиме. Наконец, такие же по сути исследования проводила и финская компания F-Secure – на весенней выставке CeBIT 2006 в Ганновере.
Судя по отчетному документу «Лаборатории Касперского», исследователи этой компании стараются постичь специфику распространения Bluetooth-инфекций как можно глубже. Для того чтобы оценить вероятность массового распространения мобильных вирусов, здесь изучают медицинские данные об эпидемиях, вызываемых биологическими вирусами, а также некоторые математические модели ученых- эпидемиологов. Пользуясь этим научным аппаратом, в K-Lab рассчитали, используя среднее число мобильных устройств на квадратный метр, что в принципе червь для мобильных устройств смог бы заразить почти все уязвимые устройства в Москве за время порядка 15 дней.
Поскольку в жизни нашей ничего подобного не происходит, эксперты компании предполагают, что на самом деле для всеобщего Bluetooth-заражения времени потребуется больше. Однако, подчеркивают они, совершенно ясно, что угроза локальной мобильно-вирусной эпидемии – это опасная реальность. Тем более, напоминает нам K-Lab, что это действительно уже происходило – в августе прошлого года в Хельсинки, на Чемпонате мира по легкой атлетике 2005.
Почему-то первое, что приходит на ум при таком напоминании – это штаб-квартира компании F- Secure, признанного лидера в борьбе с Bluetooth-угрозами, которая по случайному стечению обстоятельств тоже находится в Хельсинки. И почему-то не кажется бредовой идея, что следующая локальная Bluetooth- эпидемия разразится в какой-нибудь мировой столице, принимающей очередную конференцию, посвященную компьютерам или инфобезопасности…
У «Лаборатории Касперского», кстати говоря, недавно появилась еще одна, непреднамеренная и несколько комичная, связь с Финляндией. Точнее говоря, лично с небезызвестным финном Линусом Торвальдсом – отцом ядра ОС Linux (давно уже работающим в США). Суть истории такова. В апреле этого года K-Lab опубликовала информацию о полученном ею в анализ новом «кросс-платформенном» вирусе, способном заражать файлы как в Windows, так и в Linux. Вирус, впрочем, довольно-таки безвредный – просто «подтверждающий концепцию», как это называется, – но интересный именно своей природой, позволяющей ему работать в условиях существенно различных операционных систем. Правда, в Linux- сообществе быстро выяснили, что «новый» вирус написан, скорее всего, довольно давно, поскольку работать способен лишь со старыми версиями ядра. Линуса Торвальдса, однако, универсальный код «вредителя» заинтересовал настолько, что он вник в проблему, нашел причину и лично написал патч к текущей версии ядра, чтобы и современная версия ОС корректно работала с этим кодом…
После этой странноватой истории один из довольно известных (во всяком случае, голосистых) деятелей Linux-сообщества, американец Джон Барр, решил поподробнее изучить активность «Лаборатории Касперского» на поприще антивирусной борьбы в среде Linux. Причина его интереса в том, что K-Lab по меньшей мере с 2001 года то и дело объявляет о выявленных ею угрозах для ОС Linux. Барр же работает – причем весьма интенсивно – исключительно под Linux с 1999 года, но при этом НИ РАЗУ за прошедшее время не сталкивался с Linux-вирусами «вживую» (а не в виде чисто лабораторных образцов, «подтверждающих концепцию»).
Отправившись на веб-сайт K-Lab, Барр нашел там наиболее свежий аналитический отчет специалистов фирмы, посвященный «эволюции вредоносных программ под ОС *nix в 2005 году». Конкретно для Linux, в частности, там приведены данные о крутейшем росте числа вирусов – всего за год, с 2004 по 2005, их количество по оценкам «Лаборатории Касперского» подскочило с 4 до 91 штуки!
Если человек ни разу в жизни не видел ни одного реального Linux-вируса, а известные специалисты за год обнаружили их целых 87, то вполне естественным выглядит желание узнать поподробнее о столь неуловимых бестиях. Поэтому Барр послал в K-Lab запрос относительно какой-либо документации, подтверждающей их заявления. Для начала Барра отправили в «Энциклопедию вирусов», которая ведется на сайте Лаборатории.
Поиск вредителей для Linux в этой энциклопедии принес поражающие воображение 972 позиции. Правда, если взглянуть на всю эту жуть чуть внимательнее, то ситуация оказывается далеко не столь тревожной. Скорее даже – искусственно раздутой. Вот лишь несколько характерных особенностей, выявленных Барром в этом длиннющем списке.
Первые 256 позиций оказались вообще никак не задокументированы. Собственно вирусы в остальных позициях гипотетических угроз почти не присутствовали, а мало-мальски вразумительное описание обнаружилось лишь у 21 вируса – то есть примерно для 2% списка. Из этих 21 два оказались дубликатами. Еще один из 21 оказался вирусом Windows, а не Linux. Наконец, практически все из 21 известной «вредоносной программы» модифицируют файлы в соответствии со стандартными разрешениями, принятыми в операционных системах семейства Unix, где принципиально отличаются полномочия пользователя и администратора.
Поскольку все это даже близко не походило на «91 выявленный Linux-вирус», Джон Барр более настойчиво запросил конкретную документацию. Через несколько дней ему прислали список на 91 позицию, но в перечне этом не было абсолютно ничего, кроме голых названий. Для первого же номера данного списка в «энциклопедии» Касперского не оказалось вообще никакого упоминания. Это название удалось найти на сайте другой антивирусной компании, McAfee, однако и там не было никакой содержательной информации о вирусе. Дополнительные изыскания лишь подтвердили истину, давно известную для всей антивирусной индустрии. Единой системы классификации вирусов и прочих компьютерных вредителей здесь не существует, так что каждая компания дает им собственные имена. Таблицы соответствий для наиболее распространенных угроз по мере сил ведут лишь одиночки-энтузиасты, а в целом информация о любом новом «вредоносном коде» просто автоматически размножается без анализа и описаний, поскольку для бизнеса антивирусных компаний элементарно выгодно плодить число всевозможных угроз.
Тогда, любопытства ради, Барр решил сверить названия 21 документированного вируса в общем списке «Linux-вредителей» из 972 позиций энциклопедии и свежеполученного списка «Linux-вирусов» из 91 позиции. Таких пересечений оказалось 10. Из этих десяти два были обнаружены в 2000 году, четыре в 2001 году, три в 2002 и один в 2003… При переводе этой арифметики в обычные слова получается, что ни на один из «выявленных в 2005 году 87 Linux-вирусов» у K-Lab для въедливого запроса со стороны не обнаружилось ни документации, ни вообще хоть какого-то описания.
Подводя итог своему исследованию, Джон Барр имел, как видим, все основания констатировать, что «Лаборатория Касперского» делает крайне сильные заявления о вредоносных кодах в Linux, однако не имеет абсолютно ничего реального в подтверждение своих слов. Справедливости ради, Барр тут же делает оговорку, что подобными вещами занимается вовсе не только K-Lab, но и остальные антивирусные компании. Просто российская фирма наиболее заметна на рынке в своих энергичных попытках продвигать антивирусное ПО для Linux. А кому нужно такое ПО, если нет вирусов?
Находчивые слуги
Автор: Дмитрий Смирнов.
© 2003-2006, Издательский дом | http://www.computerra.ru/
Журнал «Домашний компьютер» | http://www.homepc.ru/
Этот материал Вы всегда сможете найти по его постоянному адресу: /2006/122/284569/
