Защита коммуникатора

Какие меры следует предпринять для обеспечения безопасности данных, хранящихся в памяти коммуникатора? Мы попытались разобраться в существующих на сегодняшний день антивирусных решениях и средствах антиугона.

Распространенность смартфонов и коммуникаторов для многих аналитиков информационной безопасности уже как минимум два года является обширной темой для обсуждения. Эти устройства очень часто используются для хранения личной информации. Понятно, что на Западе подобные проблемы касаются в основном корпоративных пользователей. Их смартфоны и коммуникаторы часто становятся лакомой приманкой для хакеров, которые могут достаточно легко похитить личные данные для работы в сети организации. В значительной степени это стало актуальным и для украинских пользователей — прежде всего за счет популярности и доступности этих устройств.

В целом все методики краж информации с мобильного устройства можно разделить на два основных класса (антивирусные аналитики используют более обширную классификацию, но в рамках этой статьи она нам ни к чему) — физическая и цифровая кражи. В первом случае владелец теряет свое устройство, и хранящаяся на нем информация оказывается доступной злоумышленнику. Примером второй методики могут послужить ситуации, когда пароли для доступа в корпоративную почту перехватываются при попытке подключения к Wi-Fi или шпионская программа незаметно отсылает через Интернет личные данные. В обоих случаях решить проблему можно посредством установки защитного ПО, о котором и пойдет речь в этой статье. Все описываемые приложения рассчитаны на использование в устройствах под управлением Windows Mobile версии 5 или 6. Кроме того, мы будем говорить только о тех программах, которые можно свободно загрузить из Интернета (то есть не о коробочных решениях).

Антивирусы

Защита от вирусов Мобильные антивирусы — достаточно специфический вид защитного программного обеспечения. Их основная цель — устранить вредоносные программы без ущерба для данных, хранящихся на смартфоне или коммуникаторе. Эти продукты в определенной степени имеют ту же функциональность, что и их аналоги для ПК: в них есть сканер файлов по требованию (обычно сканируется основная память коммуникатора, реже — карта памяти, еще реже можно выбрать конкретные пути для проверки). В ряде антивирусов работает постоянная защита (в реальном времени сканируются оперативная память, приложения, запускаемые со сменной карты памяти, и так далее), а в комплексных продуктах класса Mobile Security к этим модулям добавляются еще и сетевой экран и антиспам-модуль.

AirScanner Antivirus
www.airscanner.com/products/av AirScanner Antivirus — один из наиболее известных западных мобильных антивирусов. Он представляет собой проактивный антивирус, работающий в режиме реального времени. В состав приложения помимо файлового сканера входят планировщик, менеджер процессов, а также редактор системного реестра и менеджер системной информации.

С точки зрения удобства использования данный антивирус нельзя назвать очень удачным: по умолчанию в нем отключен выбор каталога для сканирования, поэтому процесс проверки можно запустить только для всех файлов сразу. В принципе, проверка идет достаточно быстро, особо не загружая процессор (не более 10%). Найденные вирусы могут быть помещены на карантин или удалены. Выше мы уже упоминали о встроенном в программу диспетчере процессов — с его помощью можно попробовать выгрузить из оперативной памяти коммуникатора вредоносную программу, которая может быть недоступна штатной утилите по управлению запущенными процессами.

Предполагается, что при первом запуске программы пользователь загрузит из Интернета базу сигнатур (CAB- архив размером около 640 кбайт), которая должна быть установлена в основную память устройства (сам же антивирус можно установить и на карту памяти). В будущем ее можно загружать и по расписанию — в AirScanner Scheduler есть соответствующие настройки. Там же можно активировать автоматическую проверку устройства на наличие вирусов.

avast! PDA
http://avast.com Многие пользователи домашних компьютеров используют для защиты бесплатную версию чешского антивируса avast! Free Edition. Мы не будем вдаваться в подробности, насколько хорош их выбор, речь сейчас идет об антивирусе для мобильных устройств. avast! PDA предоставляет только возможности сканера по требованию. Он сканирует все папки в основной памяти устройства (опционально — карту памяти), и сразу предлагает удалить найденные вирусы (карантина нет). Программа устанавливается вместе с сигнатурами существующего вредоносного ПО, и в дальнейшем обновления загружаются автоматически (как указывает разработчик, их размер не превышает 1–10 кбайт).

Юзабилити у avast! PDA достаточно высокое: пользователю достаточно только нажать на кнопку «Scan» и дождаться окончания работы сканера. Тем не менее, недоработки в интерфейсе все же имеются — например, свежеустановленный антивирус по умолчанию установил в качестве языка интерфейса чешский. Кроме того, прорисовка кнопок и шрифтов время от времени хромает: элементы разъезжаются, а шрифты не помещаются в границах экрана. Несмотря на заверение производителя относительно того, что антивирус очень слабо расходует мощности процессора, при сканировании диспетчер задач стабильно показывает 32–40%.

Avira AntiVir
www.avira.com Антивирус Avira AntiVir, как и avast!, известен в определенных кругах пользователей, но в отличие от последней мобильная версия этой программы по функциональности сопоставима с десктопным вариантом.

Антивирус состоит из файлового сканера реального времени, сканера по требованию и антиспам-модуля. Настройки достаточно подробные: к примеру, можно указать пути, которые будут исключаться из общего списка проверки, задать проверку не только карт памяти, но и сетевых папок.

Сканер реального времени («Guard») позволяет запустить в фоновом режиме проверку карт памяти при их монтировании в устройство. При этом он контролирует все операции с файловой системой коммуникатора, в том числе при синхронизации. Антиспам-модуль фильтрует все входящие SMS по белым и черным спискам.
Что касается удобства работы с программой, оно на высоте: все настройки распределены по соответствующим разделам, к тому же Avira AntiVir создает ярлык для быстрого доступа к разделам антивируса в системном лотке. При сканировании загрузка процессора составляет 35–39%.

BitDefender Mobile Security
www.bitdefender.com Еще один мобильный антивирус от «десктопного» разработчика — файловый монитор и файловый сканер. BitDefender Mobile Security позволяет определять, какие файлы необходимо сканировать (можно указать проверку только программ и системных библиотек; выбрать проверку архивов). В остальном все достаточно стандартно. Из необычных возможностей — принудительная установка в основную память устройства.

При работе BitDefender Mobile Security очень быстро проверяет даже заполненные до отказа карты памяти, но при этом нагружает процессор на 47–51%. Существует и версия этого антивируса для Symbian OS.

«Антивирус Dr.Web для Windows Mobile»
http://products.drweb.com Отечественная разработка представляет собой сканер файловой системы, а также сканер реального времени (он отслеживает деятельность исполняемых файлов — в частности, CAB- и SIS-инсталляторов). Пользователь может выбрать, что делать с найденными вирусами — удалять или помещать на карантин.

В использовании данная программа довольно удобна. Главный экран содержит три ссылки — для запуска полной или выборочной проверки, а также открытия меню настроек. При сканировании утилита загружает процессор не более чем на 29–30%, скорость проверки при этом достаточно высокая.

Kaspersky Mobile Security
www.kaspersky.ru В состав еще одной отечественной разработки входит сканер файловой системы в реальном времени и антиспам-модуль. Вдобавок к этому прибавляется еще и сетевой экран, и антиугонная система (о ней мы будем говорить во второй части обзора). Сканер позволяет не только удалять вирусы или помещать их на карантин, но и лечить. К тому же он сканирует еще и оперативную память устройства — это актуально для вирусов, «прописывающихся» в автозагрузке. Также по умолчанию включен режим постоянной защиты — антивирус будет автоматически сканировать все загружаемые в устройство файлы в фоновом режиме (или по расписанию).

Сетевой экран имеет встроенную систему правил и работает в четырех режимах: либо ничего не блокирует, либо блокирует все соединения, либо только входящие, либо все входящие соединения, а исходящие разрешаются только по протоколам SSH, HTTP, HTTPS, IMAP, POP3, SMTP. Антиспам-модуль использует пользовательскую базу исключений и «нехороших» слов (можно указать маску номера и/или слова), также с его помощью можно запретить прием SMS и MMS от неизвестных номеров или определенных номеров из контакт-листа.

Общее впечатление от антивируса довольно хорошее: система настроек вполне удобная, а скорость работы программы — высокая. При этом загрузка системы составляет 10–15%.

F-Secure Mobile Security
http://campaigns.f-secure.com/mobile-security Еще один комплексный продукт по защите мобильных устройств, объединяющий в себе антивирусный сканер, брандмауэр и систему антиугона (о ней — во второй части). В принципе, функциональность практически аналогична решению от «Лаборатории Касперского» (не хватает только антиспама), но возможностей для настройки гораздо меньше (так, например, нельзя выбрать только одну определенную папку для сканирования). Есть версия и для смартфонов на базе Symbian OS (в том числе и Nokia 5800).

Антивирус обеспечивает очень высокую скорость сканирования при значении загрузки процессора в 37%.

NetQin Antivirus
www.netqin.com/english NetQin Antivirus — единственная в нашем обзоре бесплатная антивирусная программа для мобильных устройств. Она состоит только из сканера файловой системы (брандмауэр и антиспам-модуль входят в платный продукт разработчика — NetQuin Communication Master). Приложение позволяет проверять как все файлы, так и только исполняемые модули, а также «на лету» распаковывать архивы. Имеется и простой планировщик.

Удобство использования среднее: сказываются слишком высокая загрузка процессора (60%), длительное время сканирования и невозможность указания определенных путей для проверки. К тому же, в процессе тестирования сканирование в некоторых случаях внезапно останавливалось.

Eset NOD32 Mobile Antivirus
www.eset.com Мобильная версия известного антивируса из Словакии состоит из сканера по требованию, сканера оперативной памяти, сканера реального времени, а также антиспам-модуля. Пользователь может выбрать необходимые действия при сканировании и обнаружении вредоносного файла — удаление или пропуск, подключение эвристического анализа кода (для предотвращения заражения незнакомым вирусом), а также отметить типы файлов для проверки. Eset NOD32 Mobile Antivirus позволяет сканировать архивы и контролирует запуск исполняемых файлов. Антиспамерская функция довольно стандартная: используются черный и белый списки.
Работать с программой довольно удобно. Этому способствуют продуманные меню настроек, опрятный интерфейс и простая инсталляция. При сканировании загрузка процессора колеблется на уровне 6–10% — лучший показатель среди протестированных продуктов.

Системы антиугона

Найти и обезвредить Как бы то ни было, не факт, что для кражи информации с коммуникатора злоумышленник воспользуется более сложной методикой и станет подсовывать шпионские программы или перехватывать трафик, передающийся по Wi-Fi.

Гораздо проще просто похитить устройство. Защитить информацию в этом случае все же можно: необязательно прибегать к шифрованию — достаточно удаленно заблокировать устройство. Программы, позволяющие это делать, получили название систем антиугона (anti-theft).

Мы уже говорили о том, что в состав Kaspersky Mobile Security и F-Secure Mobile Security входят подобные компоненты. Общий принцип их работы таков: пользователь создает мастер-пароль для активации данных модулей, после чего указывает в настройках альтернативный номер мобильного телефона. С его помощью можно будет управлять потерянным телефоном: если SIM-карта осталась прежней, то, используя определенные команды, можно заблокировать устройство или удалить данные, а если ее поменяли, то еще и узнать новый номер.

Впрочем, существуют и некоторые вариации на тему антиугона.

Во-первых, удаление данных из основной памяти в большинстве случаев малоэффективно: на сменной карте памяти часто хранятся документы, архив переписки и резервные копии, из которых можно восстановить данные.

Во-вторых, одно дело сразу послать сообщение о блокировке устройства на новый номер SIM-карты, а другое — обнаружить пропажу коммуникатора лишь спустя некоторое время. И, наконец, в-третьих, важно не только узнать новый номер «владельца», но и выяснить его примерное местоположение — сейчас многие коммуникаторы оснащены GPS-модулями.

Программа remotePROTECT (www.scpsoft.com) не только позволяет удалять информацию с коммуникатора и вычислять его новый номер, но и дает прежнему владельцу возможность совершения «жесткой перезагрузки» коммуникатора (команда KILL), полного удаления данных с карты памяти, а также получения информации об уровне оставшегося заряда аккумулятора (на случай затяжного удаления информации). Кроме того, если начать угадывать мастер-код в заблокированном устройстве, то после определенного числа неудачных попыток коммуникатор уйдет в «жесткую перезагрузку».

Другой «антиугонщик», Phone Security System (www.evenbyte.com), позволяет устроить настоящую слежку за похитителем коммуникатора. После неудачных попыток идентификации похитителя программа начинает отсылать на заданный мобильный номер или электронный адрес информацию о совершенных звонках и отправленных сообщениях — это делается многократно через определенные промежутки времени. Самое главное, что вычислить ее деятельность невозможно. В Phone Security System Lite (облегченной версии утилиты) работает только оповещение о новом номере SIM-карты.

Уже упомянутый как разработчик антивирусов вендор NetQin тоже имеет в своей продуктовой линейке систему антиугона — NetQin Anti-Lost. С ее помощью помимо удаления личных данных и блокировки телефона можно получить эти самые личные данные на новый телефон через сервер NetQin.

Последняя стоящая внимания система, Mobile Justice (http://sourceforge.net/projects/mjustice), рассчитана на определение местоположения украденного устройства по GPS-координатам (их получит пользователь, отправивший специальное SMS на потерянное устройство).

Неявная угроза Помимо явного вреда (кражи информации) мобильные вирусы могут стать причиной и другого рода неприятностей. Речь идет о троянских программах, отправляющих с зараженного устройства платные SMS (крайне распространенная практика), а также о червях, создающих препятствия для нормальной работы устройства (например, на платформе Symbian OS червь Skulls «портил» системное меню, подменяя иконки приложений черепами — при этом ни одно из них не работало). Другие вирусы могут специально загружать процессор коммуникатора, быстрее разряжая батареи.
Что же касается брандмауэра, целесообразность его установки определяется исключительно потребностями в защите данных при работе в Интернете. Если коммуникатор подключается к публичной точке доступа Wi-Fi без шифрования, то существует большая вероятность воровства паролей и данных, которые пользователь будет посылать с мобильного устройства.

Кроме того, можно устроить DDoS-атаку на коммуникатор и таким образом внедрить вирус.

Вывод

Программы для антиугона каждый пользователь должен выбирать сам, исходя из того, что ему нужно: возврат аппарата и наказание злоумышленника или же сохранность конфиденциальности данных. В первом случае пригодится утилита, определяющая координаты устройства, во втором — программа, с помощью которой можно гарантированно удалить всю информацию из памяти и карты памяти.

В случае с антивирусным ПО дело обстоит немного по-другому. В некоторых случаях придется выбирать между удобством управления, требованиям к системным ресурсам, количеством функций и ценой.