În urmă cu două săptămâni am avut norocul să îl prind pe Costin Raiu (Director, Global Research & Analysis Team la Kaspersky Labs) în țară și l-am provocat la o discuție foarte interesantă despre malware (focus pe Duqu 2.0) și în special despre malware-ul pe smartphone și ce ar trebui să știe utilizatorul obișnuit despre pericolele ce îl pândesc când folosește un smartphone.
În lumina atacului Duqu 2 care a arătat lumii că dacă cineva (mai exact un guvern cu resurse practic nelimitate) dorește cu adevărat să spargă sistemele unei persoane sau ale unei organizații, o poate face, care e probabilitatea ca tot ce s-a intamplat pe PC în anii 2000 (XP) să apară acum pe smartphone?
Mult mai periculos: mereu conectat la internet!
Costin Raiu este de părere că ”potențialul poate să fie mult mai rău” pentru că orice smartphone e conectat la Internet (pe când XP-ul nu era) și riscul expunerii e infinit mai are: ai o portiță pentru atacator deschisă mereu prin care el poate intra în viața ta privată.
Ce înseamnă portița asta? Audio, video?
Înseamnă că prin folosirea unui smartphone avem mereu cu noi un instrument extrem de complex de monitorizare permanentă pentru ascultarea convorbirilor (prin microfonul smartphone-ului) extragere de poze (deja făcute sau obținute la cerere prin camera principală sau frontală) sau stream-uri video, informații legate de locația curentă obținute în timp real, prietenii și contactele lor, traseele folosite, emailuri etc.
Citându-l pe Costin Raiu ”e poate cea mai eficientă metodă de spionaj care s-a imaginat vreodată. Niciodată în istoria omenirii nu s-a inventat ceva mai fain pentru cei ce doresc să spioneze”.
E ușor să îți vină în minte o întrebare simplă: de ce e nevoie de malware pentru spionaj? Nu e Facebook-ul suficient sau oricare altă platformă simlară folosită pentru socializare? Oricum oamenii își pun voluntar acolo informații, locație etc. De ce să își mai bată capul cineva să facă malware?
Facebook și tehnologia din spate e de fapt o capcană inteligentă. Facebook este un concept futuristic pentru care oamenii nu sunt încă pregătiți – extrem de mulți nu pot face diferența dintre viața personală, reală și cea socială. Generația tânără, mare consumatoare de social media nu e pregătită pentru așa ceva, nu are mentalitatea corespunzătoare pentru a folosi existenta tehnologie.
Costin Raiu ”Pe Facebook ajungi să spui orice, inclusiv lucruri pe care nu le-ai spune în public dacă ai fi față în față cu oamenii. Mulți nu înțeleg diferența dintre viața normală și cea din platformele de socializare.”
Pe de altă parte este adevărat că pe Facebook nu trimiți chiar orice locație, în fiecare secundă/minut nu trimiți tot ce vorbești zilnic, nu te apuci să urci mailuri. Cine e interesat să spioneze vrea mai mult.
Și atunci, cum ar veni un atac pe smartphone? Va fi el țintit? Cât de ușor va fi pentru criminalul de rând să își facă simțită prezența.
Trei mari categorii de amenințări
Costin e de părere că pentru smartphone-uri malware-ul și pericolele ar putea veni din trei mari direcții. Primul și cel mai important, cu impact devastator este cel care poate fi băgat în categoria Duqu – adică un atac coordonat și creat de un stat (cu acces la resurse nelimitate). În acest caz cel ce pornește un atac nu are absolut nicio jenă să infecteze orice, de la producător la cel ce construiește efectiv hardware-ul. Gândiți-vă așa: vine un stat care și-a pus în minte să spioneze (asta dacă nu o face deja) prin intermediul unui smartphone. El va putea să spargă rețeaua celor ce produc fizic aparatele (știți că atacul Duqu 2.0 a avut vector un certificat digital ce aparținea Foxconn, adică fabrica ce produce iPhone, iPad, Xbox etc.?) și de acolo să infecteze software-ul (ROM-ul) care se scrie pe smartphone?
Șansele să fie descoperit un astfel de atac sunt infime și chiar dacă e descoperit, cum te protejezi? Nu poți face update când ai tu chef, ești la mâna producătorului. Și cum demonstrezi că e infecție malware, cine a făcut-o, când, cum?
Vă dați seama că brusc o să fie posibil (încă o dată, dacă nu cumva este deja real) ca oricine să poată să spioneze pe oricine, oricând (asta era visul tovarășului Ceaușescu și a urmașilor săi) cu un aparat pe care îl purtăm voluntar și pe care mai dăm și bani din propriul buget?
O a doua categorie de malware este cel ce vine din partea infractorilor cibernetici care umblă după bani. Îți infectează telefonul, trimit SMS-uri sau fac apeluri de voce cu suprataxă, interceptează convorbiri, fură lista de prieteni, email-uri etc. ”Mă aștept ca acestea să devină tot mai populare” spune Costin Raiu.
Aici există o zonă extrem de interesantă, să zicem greyware: malware-ul pus ca addon în aplicațiile adware. E un joc instalat voluntar, el aduce cod extern (sau nu) care deghizat într-o reclamă încearcă să îți fure lista de prieteni, le trimite SMS în numele tău etc. Nu fură direct mai nimic, nu poți spune 100% că e ceva rău, doar ți-ai dat acceptul când ai făcut instalarea. Atâta doar că modulul respectiv nu e chiar ceea ce ai vrut tu să instalezi când ai ales aplicația/jocul respectiv.
Și mai e o a treia categorie de malware/pericol – este cel ce vine din partea hackerilor, hacktiviștilor care urmăresc să fure poze, filme cu și ale celebrităților. Și această categorie va exista întotdeauna și nu prea o să avem mijloace eficiente să îi oprim pentru că ei nu sunt motivați direct de câștig financiar.
Paralelă între epoca smartphone (anii 2015+) versus cea PC (anii 2000+)
Sunt printre noi utilizatori care au prins epoca de început a PC-ului cu toate problemele generate de Windows 95, marile infecții din era Windows XP. Acum, trăind aceiași perioadă a smartphone-urilor nu putem să nu observăm similaritățile dintre ecosistemele Windows XP și Android: diversitate de configurații, versiuni, găuri de securitate, ușurință de piratare, instalare de aplicații neverificate, oamenii ce le folosesc nu sunt tocmai specialiști și nu înțeleg pericolele, lipsa de update-uri rapide și eficiente etc.
Din această perspectivă, care dintre cele două ere este mai vulnerabilă și cu impact mai important?
”Zona de smartphone are un potential mult mai mare de a genera probleme decât a avut piața de PC-uri de acum 20 de ani, riscurile sunt mult mai mari. Fragmentarea (Android 2.0 de ex) care face imposibilă trimiterea de update-uri, diversitatea de configurații etc. sunt factori care înlesnesc viața unui atacator. Chiar și pe iOS – nu poti aduce latest pe toate aparatele.” zice Costin Raiu.
La PC-uri toți utilizatorii au putut fi aduși la un nivel de bază antivirus, firewall. Mai devreme sau mai târziu majoritatea a avut așa ceva. Soluțiile antimalware de pe PC au evoluat în ani buni și au apărut instrumente de protecție tot mai sofisticate: antirootkit, IDS, antivirus, white list, black list, semnături etc.
Costin Raiu: ”Pe smartphone nu poți avea antivirus (Apple, MS nu permit instalarea unor astfel de soluții) iar pe Android antivirușii mai au încă multe de învățat – genul de amenințări posibile nu sunt încă detectate într-un volum mare și prin urmare nu există un antidot funcțional și eficient. Cum identifici malware în baseband, în kernel?”
Cu toate astea sunt mai bine de 4 ani de când discutam cu Denis Maslennikov (researcher pe mobile la Kaspersky Labs la vremea respectivă) pe aceiași temă și îmi spunea că eram aproape de izbucnirea de epidemii. Au trecut iată 4-5 ani și tot nu s-au înregistrat atacuri majore. Oare nu sunt criminalii interesați de smartphone-uri? Nu au tehnologia pregătită?
”Tot mai multe atacuri vor fi greyware – de exemplu o reclamă într-un joc de smartphone care iți fură chestii. Atacuri tradițonale ca cele de pe PC nu cred că o să vedem pe smartphone, deși e posibil. Ce o să vedem sunt cele trei tipuri discutate deja. Atacurile conduse de guverne (nation state wide) vor fi cele mai periculoase și sunt cele cu potențialul de detecție cel mai mic – rootkit, malware în baseband etc. De astea nu vom ști iar cei ce ne vor ataca nu au nicio jenă să te asculte.” zice Costin.
Să ne fie frică de atacuri de guvern sau de cele financiare?
”Și/și cred. Supravegherea de guvern nu se va opri și niciodată nu vei avea cum să îi oprești legal. E imposibil, inevitabil pentru ei (guverne). Gândește-te că e borcanul cu miere deschis în fața lor: ai ceva super atractiv, il porti cu tine (smartphone-ul) cum să nu te infecteze când ai devenit interesant pentru ei?” e părerea lui Costin Raiu.
Ca și soluție de protecție chestiile neconvenționale par a fi o variantă. Să pui ROM-uri terțe, gen Cyanogen mod ar putea să te ajute într-un fel. Chestiile extra, generate de comunitate, pe care ei (guvernele) nu le pot controla ar putea fi un răspuns, spre deosebire să zicem de telefoanele chinezesti care la pornire descărcă zeci de MB de informație și trimit alți câțiva MB cu date interesante despre utilizator și locație.
Pe smartphone, ce șanse reale are o aplicație de securitate să aibă un comportament ok și să țină omul obișnuit în siguranță?
Lucrurile nu trebuie privite simplist. Mulți vin și zic: ”nu descarc nimic depe internet, nu folosesc aplicații pe smartphone, doar mă dau pe net. Ce pot păți?”
Pentru această zonă de utilizatori Costin Raiu ne spune că ”pentru ei valoarea vine din opțiunile de criptare și recuperare de la distanță/ștergere de date de la distanță”. Pe de altă parte aici e și o mare amenințare: soluții de acest gen devin implicite mai nou, chiar reglementate prin lege.
”Așa este, dar la un moment dat asta poate deveni chiar ținta atacului. Am un exemplu de o persoană care s-a conectat în iCloud de pe un sistem infectat, atacatorii i-au luat datele și i-au blocat remote aparatul și i-au cerut bani ca să îl deblocheze”. Atacatorii s-au folosit de soluții de protecție implicite oferite de Apple pentru protecție drept armă de atac.
În aceste situații cum poți demonstra că de fapt ești victimă? Normal că nu s-a rezolvat nimic … că e greu să demonstrezi că de fapt blocarea s-a realizat în urma unui hack. La treburi de acest gen ar trebui să ne așteptăm atunci când decidem că merită să folosim soluțiile de blocare / ștergere de la distanță a smartphone-urilor.
Tot ce e inclus implicit în hardware atrage după sine un risc major – ”dacă ți-au luat mailul, te blochează. E o situație nasoală rău de tot, nu ai ce să ii mai faci.” spune Costin Raiu.
Dar pentru restul de oameni, cei care au jocuri, reclame, aplicații puse manual pe smartphone ar exista o șansă reală ca soluțiile de protecție să detecteze adware, cai troieni. Realitatea este că în anumite țări atacurile aste asunt mult mai populare și unele ar putea să fie prevenite.
De ce?
Pentru că masa de utilizatori e mai puțin educată – descarcă orice, oricând, din orice magazin de aplicații și nu neapărat pentru că nu ar fi dispuși să plătească pentru respectivele programe. Mulți încă nu își iau în serios ideea de protecție. ”Ce conteaza dacă mă virusează? Trimite niște SMS-uri, ok, asta e, ajung să plătesc”. Dar tocmai aici e marea problemă de care atacatorii profită: oamenii nu iau suficient în serios problema securității.
Dar poate că ar trebui să o facem. Nu zic neapărat să dăm bani sau să instalăm orice progrămel care spune că ne protejează. Măcar să înțelegem care este impactul și riscul.
Iar ”unde riscul e mare, exista o șansă să te protejezi. Dacă tot trăiești riscant poate e bine să ai și o parașută care să te ajute” încheie Costin.
E prima data cand citesc un articol de acest ge si nu mi se baga pe gat vreo solutie antivirus. felicitari pentru abordare!