Научная статья на тему 'Эвристические признаки Bluetooth-вирусов для мобильных устройств'

Эвристические признаки Bluetooth-вирусов для мобильных устройств Текст научной статьи по специальности «Математика»

CC BY
130
92
i Надоели баннеры? Вы всегда можете отключить рекламу.
Область наук

Аннотация научной статьи по математике, автор научной работы — Пихтулов А. А., Михайлов Д. М.

В настоящее время мобильные технологии стремительно развиваются, совершенствуются способы передачи данных, предпочтение среди которых отдаётся беспроводным средствам, к которым относится технология Bluetooth. Данная технология является очень уязвимой, и имеется множество различных вариантов использования этих уязвимостей [1, 4]. Помимо атак, требующих наличия злоумышленника в непосредственной близости от жертвы, существуют мобильные вирусы: программы, действующие автономно от атакующего. В настоящее время известно несколько вирусов, которые используют Bluetooth либо как среду распространения, либо как уязвимое средство обмена данными. Эти вирусы также развиваются и совершенствуются, появляются новые. Стандартные мобильные антивирусы не могут защитить телефоны от этих угроз, так как направлены на поиск уже известных и изученных вирусов. Выделение эвристических признаков мобильных вирусов может лечь в основу разработки мобильных антивирусов с эвристическим анализом. Это позволит защитить телефоны от новых угроз.

i Надоели баннеры? Вы всегда можете отключить рекламу.

Похожие темы научных работ по математике , автор научной работы — Пихтулов А. А., Михайлов Д. М.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Текст научной работы на тему «Эвристические признаки Bluetooth-вирусов для мобильных устройств»

С целью определения возможности применения шариковой очистки для повышения надежности работы оборудования были рассчитаны мероприятия по реконструкции схемы с паровой турбиной типа ПТ-65/75-90/13 ТЭЦ-ПВС АО «МитталСтил Темиртау», конденсационной с регулируемыми отборами пара, производственным и теплофикационным, номинальной мощностью 65 МВт. Конденсационное устройство турбины состоит из конденсатора, воздухоудаляющего устройства, конденсатных насосов, циркуляционных насосов и водяных фильтров. Конденсатор предназначен для конденсации поступающего из турбины пара и создания разряжения в ее выхлопных патрубках, а также для использования тепла вентиляционного пара на режимах работы турбины по тепловому графику для подогрева сетевой или подпиточной воды во встроенных пучках и включает в себя два конденсатора, поверхностью 3100 м2 каждый со встроенными пучками. Конденсаторы выполнены для работы на пресной воде и рассчитаны на пропуск циркуляционной воды в количестве не более 16000 м3/ч. Встроенный пучок с длиной трубок 7160 мм составляет 15 % поверхности и может быть использован для работы на циркуляционной подпиточной и сетевой воде.

В результате гидравлического расчета были определены следующие основные параметры работы системы шариковой очистки: расход циркуляционной воды через систему очистки составляет 4000 м3/час, в систему должно быть запущено 2262 шарика диаметром 24 мм каждый, внутренний диаметр труб системы шариковой очистки составляет 300 мм. Результаты расчета основных показателей конденсатора показали увеличение коэффициента теплопередачи после применения системы шариковой очистки на 234,137 Вт/м2град по сравнению с исходными показателями за счет улучшения качества поверхности трубок. Капитальные затраты на внедрение СШО составляют 33,991 млн. тенге, срок окупаемости - 10 месяцев.

Список литературы:

1. Рябцев В.И. Об опыте повышения экономичности паровых турбин с производственными и теплофикационными отборами // Энергетик. - 1984. - № 12.

2. Бродов Ю.М., Савельев Р.З. Конденсационные установки паровых турбин. - М.: Энергоатомиздат, 1994. - 278 с.

ЭВРИСТИЧЕСКИЕ ПРИЗНАКИ ВШЕТООТН-ВИРУСОВ ДЛЯ МОБИЛЬНЫХ УСТРОЙСТВ

© Пихтулов А.А.*, Михайлов Д.М.*

Национальный исследовательский ядерный университет «МИФИ», г. Москва

В настоящее время мобильные технологии стремительно развиваются, совершенствуются способы передачи данных, предпочтение среди

* Аспирант кафедры N° 12 «Компьютерные системы и технологии».

* Доцент кафедры № 12 «Компьютерные системы и технологии», кандидат технических наук.

которых отдаётся беспроводным средствам, к которым относится технология Bluetooth. Данная технология является очень уязвимой, и имеется множество различных вариантов использования этих уязвимостей [1, 4]. Помимо атак, требующих наличия злоумышленника в непосредственной близости от жертвы, существуют мобильные вирусы: программы, действующие автономно от атакующего. В настоящее время известно несколько вирусов, которые используют Bluetooth либо как среду распространения, либо как уязвимое средство обмена данными. Эти вирусы также развиваются и совершенствуются, появляются новые. Стандартные мобильные антивирусы не могут защитить телефоны от этих угроз, так как направлены на поиск уже известных и изученных вирусов. Выделение эвристических признаков мобильных вирусов может лечь в основу разработки мобильных антивирусов с эвристическим анализом. Это позволит защитить телефоны от новых угроз.

Эвристические признаки вирусов для мобильных телефонов можно выявить, изучив немногочисленные на данный момент вирусы для мобильных телефонов. В качестве примера рассмотрим некоторые из них.

Cabir - это первый сетевой червь, распространяющийся через протокол Bluetooth и заражающий мобильные телефоны, работающие под управлением OS Symbian [5]. Потенциально заражению могут оказаться подвержены все мобильные телефоны, использующие платформу Symbian. При каждом включении заражённого телефона червь получает управление и начинает сканировать список активных Bluetooth-соединений. Затем он выбирает первое доступное соединение из списка и пытается передать туда свой основной файл caribe.sis. В этом случае у пользователя принимающего телефона на экран выводится сообщение о том, что к нему обращается некоторый пользователь и предлагает ему получить какое-либо сообщение. В случае, если пользователь подтвердит прием файла, то его телефон примет зараженный файл и предложит запустить его на исполнение. Более того, червь может и не запросить передачу на заражаемый мобильный телефон какого-либо файла в том случае, если, он обращается к уязвимому каналу телефона.

Commwarrior (Comwar) - это червь для Symbian s60 устройств. Он может распространяться как через Bluetooth, так и по MMS-сообщениям. Commwarrior сканирует адресную книгу устройства и при возможности производит рассылку MMS-сообщений с вложенными SIS файлами [6]. Летом 2007 года в Валенсии (Испания) произошла эпидемия этого вируса, при которой было заражено около 115 тысяч мобильных телефонов. Ущерб от нашествия червя был оценен в 10 млн. евро [3].

Исследование поведения этих и других мобильных вирусов позволили выявить их эвристические признаки. Их можно разделить на несколько категорий.

Создание новых файлов

Операционные системы для мобильных телефонов крайне скудны по набору системных файлов. Зачастую, большую часть памяти телефона занимают

именно файлы, загруженные пользователем, такие как музыка, картинки и другие общие форматы. Системных же файлов, как правило, крайне мало.

Одним из эвристических признаков вируса является тот факт, что на телефоне появляются системные файлы.

Под термином системные файлы понимаются файлы следующих типов:

- файлы приложений с расширением app;

- файлы приложений с расширением sis;

- файлы иконок с расширением aif;

- файлы ресурсов с расширением rsc;

- файлы без расширений;

- файлы с наборами шрифтов.

Такие файлы вирус, как правило, обязан создать с целью вредоносных действий на устройстве атакуемого. Связано это с тем, что вирус нуждается в большем количестве информации, чем можно разместить в одном бинарном файле, не вызвав при этом подозрения у пользователя, а также пройдя передачу через Bluetooth или MMS незаметно.

Именно в этой связи, вирус обычно запаковывает несколько файлов в архив и, передав их через канал заражения (Bluetooth или MMS), распаковывает на устройстве жертвы.

Также многие вирусы самостоятельно создают подобного рода файлы с целью, например, создания различного рода иконок.

Лучший пример такого рода эвристического признака - это действия вируса Cabir, описанные ранее [5].

Перезапись файлов

Вирус, проникнув на телефон атакуемого, зачастую, заменяет системные файлы на свои собственные. Это помогает осуществить как маскировку вируса, так и, в некоторых случаях, нанести вред пользователю.

Обычно перезаписи подвергаются перечисленные выше форматы файлов. Так, скажем, замена системной иконки на иконку с изображением черепа - один из самых часто используемых приёмов создателей мобильных вирусов.

Также вирусы используют подобные методы с целью вывести телефон из строя. Так, например, вирус Trojan.SymbOS.Fontal, подменяет системные файлы шрифтов на другие, работоспособные, но несоответствующие данному языковому дистрибутиву операционной системы файлы шрифтов, в результате чего телефон перестаёт загружаться. Trojan.SymbOS.Dampig перезаписывает системные приложения повреждёнными. Trojan.SymbOS. Hobble заменяет системное приложение File Explorer на повреждённое [2].

Скорость отправки SMS-сообщений

Одним из косвенных признаков того, что мобильный телефон заражен вирусом, является то время, которое проходит между отправкой SMS-со-

общений. Так как пользователь не может отправлять сообщения чаще, например, чем каждые 15-20 секунд, то большая частота отправляемых сообщений - признак того, что телефон заражён вирусом.

Многие вирусы используют SMS-рассылку как приём, позволяющий разорить обладателя зараженного телефона или как возможность поразить телефоны из контакт списка жертвы.

Если создатель вируса не продумал этот момент, то вполне может оказаться, что телефон будет отправлять сообщения с высокой частотой.

Отправка MMS-сообщений

Как правило, один из путей распространения вируса - это пересылка собственного тела при помощи MMS-сообщений. Классический пример такого вируса - Comwar, описанный ранее [6]. Но, также известно, что многие пользователи не умеют или предпочитают не пользоваться MMS-сообщениями. Таким образом, повышение активности отправки MMS-сообщений на телефоне может являться косвенным признаком того, что телефон заражён.

Исходящие Bluetooth-соединения

Ещё одним признаком того, что телефон, возможно, заражён, является тот факт, что количество исходящих Bluetooth-соединений увеличилось. Так как исследуемые вирусы используют канал Bluetooth для распространения, активное использование данной технологии может послужить признаком присутствия вируса.

Повышенный Интернет-трафик

Увеличение Интернет-трафика является одним из значительных аргументов в пользу того, что телефон поражён вирусом. Дело в том, что, проникнув в телефон пользователя, вирус, как правило, инициирует скачивание недостающих фрагментов собственной реализации и один из лучших приемов в данном случае - это доступ к web или wap узлам.

Такой подход позволяет вирусу, миновав защиту сети, закачать на телефон всё необходимое или предать в сеть конфиденциальную информацию.

Автоматические настройки

Иногда, оказавшись на телефоне пользователя, вирусу, как уже было сказано ранее, необходимо получить из сети оставшиеся части собственного тела, либо передать в Интернет обнаруженные конфиденциальные данные.

Для этого ему необходимо подключиться к Интернету или передать MMS-сообщение с файлом с вложением.

Однако, не все телефоны обладают возможностью выходить в Интернет или отправлять MMS-сообщения из-за того, что не были произведены соответствующие настройки.

Вирус может сам автоматически настроить телефон. Кончено, нести с собой базу данных настроек для всех видов мобильных телефонов практически

невозможно, именно поэтому простейший способ реализовать настройку телефона - это отправка SMS-сообщения на соответствующий номер сотового оператора или просто специальной сервисной службы. Настройки, которые придут в ответ на данное SMS, произведут необходимые изменения в телефоне. Вирус получит возможность выйти в Интернет или отправить MMS. Таким образом, получение автоматических настроек в некоторых случаях может служить косвенным признаком заражения устройства вирусом.

Нагрузка на системный процессор

Так как процессор мобильного телефона, как правило, не является достаточно мощным, то выполняемые в фоновом режиме действия, как правило, могут привести к тому, что телефон начинает работать медленнее. Большая нагрузка на процессор в течение некоторого времени может являться косвенным признаком того, что мобильный телефон заражён.

Выявление эвристических признаков присутствия Bluetooth-вирусов в мобильном телефоне может лечь в основу создания принципиально нового для мобильных устройств антивируса - эвристического антивируса. Главным преимуществом данного типа антивирусного ПО является защита от новых угроз. Большинство современных мобильных антивирусов используют для поиска вирусов базы сигнатур, которые постепенно обновляются. Данные антивирусы работают только с существующими вирусами, причём далеко не всеми, а только теми, для которых эти сигнатуры были выявлены. Эвристический антивирус позволит избавиться от этого недостатка. Однако и у этого подхода есть свои минусы. Основным из них является наличие ложных срабатываний. Довольно трудоёмкая задача - найти баланс между надёжной защитой и минимумом ложных срабатываний. И решаться она должна аналогично задаче для компьютерных эвристических антивирусов.

Список литературы:

1. Михайлов Д.М., Жуков И.Ю. Защита мобильных телефонов от атак. - М.: Издательство «ФОИЛИС», 2010.

2. Троянские программы Лаборатория Касперского [Электронный ресурс]. - Режим доступа: www.securelist.com/ru/threats/detect/trojan-programs.

3. Угроза для мобильника: сколько денег можно потерять из-за вируса? [Электронный ресурс]. - Режим доступа: http://oko.kg/int/sotki/7155-ugroza-dlj a-mobilnika-skolko-deneg. html.

4. Finistere K., Zoller T. All you Bluetooth are belong to us. - 2006.

5. Worm.SymbOS.Cabir.a Лаборатория Касперского [Электронный ресурс]. - Режим доступа: www.securelist.com/ru/descriptions/159636/Worm. SymbOS.Cabir.a.

6. Worm.SymbOS.Comwar.a Лаборатория Касперского [Электронный ресурс]. - Режим доступа: www.securelist.com/ru/descriptions/140836/Worm. SymbOS.Comwar.a.

i Надоели баннеры? Вы всегда можете отключить рекламу.