具有可移动特性的终端设备被应用于越来越广泛的环境中,为用户访问本地/网络信息以及收集、处理和转交数据提供了极大便利。与此同时,移动终端设备的安全问题日益凸显,根据全球反病毒机构所提供的数据,目前感染移动终端的病毒已经超过二百种,并且很有可能在2006年突破千种。面对来势凶凶的安全威胁,你准备好了吗?
PART1 移动终端发展迅速,安全问题凸显
移动终端设备,即我们通常所说的PDA、智能手机。由于用户开始在移动终端中存储大量诸如个人帐号、财务信息、照片等敏感资料,而且移动终端联网的比率越来越高,移动终端平台已经成为信息犯罪的新目标。与个人计算机一样,病毒以及间谍程序等恶意软件将成为移动终端平台的首要安全威胁。根据全球反病毒机构所提供的数据,目前感染移动终端的病毒已经超过二百种,并且很有可能在2006年突破千种。PDA和智能手机这两种最主要的移动终端都基于PDA操作系统,目前占据主流的是Palm、Windows Mobile、Symbian和Linux等系统。正是由于这些操作系统具有趋近于个人电脑操作系统的软件层功能,所以为病毒的滋生繁殖提供了可能。下面便以操作系统作为主线,带领大家了解移动终端平台上的病毒问题。
Palm——最早发现病毒的移动终端平台
作为史上第一个移动终端操作系统,Palm形成了大量的移动终端用户群和资深玩家群体。现在Palm还在智能手机领域取得了不错的成绩,事实上除了PalmOne公司将该系统用于自己的移动终端之外,Sony等厂商也在自己的产品中应用了Palm操作系统。
在移动终端领域的超然地位也使得Palm成为了最早发现病毒的移动终端系统。由Gambit工作室制作的Palm.Liberty木马程序在2000年8月下旬被发现。该病毒伪装成Liberty Gameboy模拟器的破解程序,但它的真实目的却是删除现有系统上的文件。但由于Liberty缺乏使其广泛传播的机制,因此只有那些尝试下载非法软件的用户才有可能感染该病毒。
图1 第一个Palm木马Liberty
在2000年9月另一种Palm病毒被发现,这种病毒被命名为Palm.Phage。Phage会以.PRC文件的形式不断地复制自己,这个过程直到所有的程序被破坏才会终止。这也是Plam上发现的第一个具有传播能力的病毒程序,好在该病毒并不破坏数据文件而只会对应用程序造成影响。2001年1月,一个恶意软件在Palm系统上被发现,从运作机制上来说这并不是一个病毒而更象一个玩笑程序。被感染的Palm系统会出现一条奇怪的名为Santa的记录并包含一个通常是0的数字,这个病毒通常被称为Palm.Santa。最有趣的一点是尽管Palm平台的病毒问题由来已久,但却始终没有引起大范围的影响。Palm病毒无论在传播能力还是在破坏能力方面都比较有限,而且截止到目前所出现的Palm病毒仍旧十分稀少,至少与Palm在移动终端领域巨大的市场占有率相比,这说明Palm系统在设计上确实非常出色。
Windows Mobile——病毒威胁正在快速增长
这是微软现在主推的移动终端操作系统平台,Windows Mobile整合了大量的先进功能以提供良好的用户体验,更加重要的是它与我们常用的Windows操作系统具有较高的兼容性。不过这个移动版的Windows操作系统同样也继承了PC版操作系统的很多缺点,例如占用资源大导致运行速度不理想。更重要的是,微软在PC平台上为用户所诟病的系统漏洞和病毒问题在Windows Mobile平台可能被重演。已经有大量的病毒作者正在致力于开发针对微软移动终端平台的病毒。在WinCE平台上被发现的第一个病毒是Dust,这是著名的病毒编写组织29A所公布的概念验证性病毒。这个病毒只是证明了微软的手持设备平台可能受到这类问题的影响,所以该病毒并没有向互联网上传播,而是递交给了反病毒机构。Dust病毒没有任何破坏性作用,只是弹出一个提示框询问用户是否传播该文件。
图2 温和的Dust病毒
[1] [2] [3] [4]
而紧接着出现的Brador病毒则没有这么温和了,这种带有后门性质的病毒可以远程感染并具有远程控制功能。Brador使用ARM处理器的汇编语言写成,长度为5632字节,感染之后会将自己拷贝到\Windows\StartUp目录并命名为svchost.exe,这可以让Brador随系统启动而被激活。Brador会将被感染设备的IP地址通过电子邮件等方式发送给远程的恶意用户,同时开放2989端口等待远程的控制命令,例如列入目录中的内容、传输文件以及执行特定的指令等等。通常Brador会将自己包含在Web内容中,对于没有任何保护而任意下载东西的移动终端用户来说Brador是非常危险的。目前在移动版Windows系统下发现的病毒有很大一部分是这两种病毒的变种,在这两种病毒出现之后,针对Windows移动终端平台的病毒正在呈现快速增长的态势。
具有可移动特性的终端设备被应用于越来越广泛的环境中,为用户访问本地/网络信息以及收集、处理和转交数据提供了极大便利。与此同时,移动终端设备的安全问题日益凸显,根据全球反病毒机构所提供的数据,目前感染移动终端的病毒已经超过二百种,并且很有可能在2006年突破千种。面对来势凶凶的安全威胁,你准备好了吗?
PART2 严防死守,移动终端固若金汤
兵法有云:“知己知彼,百战不殆”,对自己的敌人有何种程度的认识将在很大程度上决定战斗的结果。认知的第一个目标是“认”,这主要是指要拥有对移动终端病毒问题的正确态度,过激或者过缓的态度都不利于应对和防范移动终端病毒。如果轻视手持设备病毒的影响,很可能会带来严重的信息资产损失;而如果过分的强调移动终端病毒的风险,又会阻碍正常的移动终端应用。事实上,目前不应该对移动终端病毒草木皆兵。尽管这类病毒已经较前几年有了很大的发展,但是由于移动终端的联网环境并不是特别成熟,而且移动终端的系统平台和设备型号非常复杂,所以移动终端病毒暂时还不会象PC平台上的网络蠕虫那样在全球范围快速传播。只要正确的认识这类病毒可能造成的风险,是可以做到成功防范的。这也引出了认知的第二个目标“知”,这个目标是指拥有移动终端病毒领域的足够知识。知识通常可以划分为两个部分,首先是关于移动终端病毒的知识,丰富的知识可以帮助使用者更好的完成抵御移动终端病毒的工作。除了有关移动终端病毒本身的知识之外,充分了解自己使用的设备和设备的弱点、问题往往更加重要。尽管现在利用移动终端系统本身的弱点进行传播的病毒并没有占据主流地位,但是PC平台的病毒发展史很可能就是移动终端病毒的未来。在不具备系统弱点的移动终端病毒往往要更多的依赖带有欺骗性的社交工程手段进行传播。而如果有可供利用的漏洞,移动终端病毒会获得隐蔽而高效的传播能力,其影响能力将远超现在。
一、掐断移动终端病毒传播的源头
阻断病毒传播要注意控制所有可能的传播途径,将系统的所有门窗保护好就可以有效的抑制病毒的侵入。目前移动终端交换数据的主要方式包括数据线、存储卡、红外线、蓝牙和Wi-Fi等等。其中数据线、红外线和存储卡基本都属于非无线传输,尽管红外线可以在不接触设备的情况下传输,但是也必须在极近的距离才能完成。对于这些数据交换方式来说,需要注意的问题主要是数据来源的可信性。从移动终端病毒的介绍性内容中我们已经看到很多病毒都需要引诱用户下载才能被传送到目标设备中,所以注意验证文件下载源的可信性是非常重要的。蓝牙连接已经成为了移动终端的标准配置,而Wi-Fi连接也被应用到很多高端的移动终端当中,事实上几乎所有的PDA产品和不少型号的智能手机产品都可以通过扩展卡支持802.11协议族的Wi-Fi无线传输。蓝牙功能目前较多的被应用于移动终端的数据管理,例如与PC进行数据同步以及与其它蓝牙移动终端进行联系人信息交换。一个基本的建议是只在需要执行这些工作的时候才开启蓝牙连接,而在平时应该将蓝牙连接关闭。另外,蓝牙和Wi-Fi都有一些安全保护措施可用,尽量严格的限制这些无线连接可以有效的防范病毒在未授权的情况下进入移动终端。蓝牙可以设置用于连接认证的PIN码,这个PIN码应该尽量强壮,设置成4位数字的PIN码被破解的可能性很大;而Wi-Fi也可以通过设置更复杂的访问密码来执行更高强度的保护。使用者应该注意自己的Wi-Fi是否支持WPA标准,这是一种通过软件实现的安全机制;相对于最早的WEP加密,WPA提供更强大的加密和认证机制,由于使用动态密钥,所以猜解WPA密码是非常困难的。有很多移动终端供应商提供升级软件以使相对较旧的移动终端支持WPA标准,在需要更高安全性的时候应该考虑进行升级。此外,一个容易被忽视的问题是每个用户都有可能是病毒传播的源头。在注意防止病毒被加载到自己设备的同时,用户也要注意监管好自己设备的情况,不要让自己设备上的恶意软件传播到其它设备上去。
二、有目的性的制定安全策略
也许绝大多数人都会认为安全策略这个词是企业用户专有的,这样说未尝不可,但是个人用户同样应该制订自己的安全策略,更贴切地,我们将这称之为“使用守则”。安全策略包含的内容指导我们如何使用移动终端、需要遵循哪些规范、在遇到特定问题时应该如何处理。在拥有了安全策略之后就避免了随意性和无目的性,而我们知道随意性和无目的性是造成安全问题的主要因素之一。尽管安全策略会在很大程度上抵消移动终端设备为我们带来的便利性,但对包含了重要信息的移动终端来说是非常值得的。而且,针对设备中数据的实际价值,可以制订严谨程度与之相适应的安全策略。这里提供了是一个安全策略的可应用版本,这个策略中的绝大部分内容都有助于应对移动终端病毒问题,同时也提供较高的手持设备整体安全性。该策略内容针对Windows Mobile系统的PDA,如果读者使用其它类型的设备,可以修改和扩展该策略供自己使用,也可基于此内容修订出专门针对病毒问题的版本。
表2
三、养成良好的使用习惯
优秀的方法能够成功还有赖于实施中的努力,防范移动终端病毒的过程中有很多问题值得注意,也有很多良好的习惯应该养成。
1、尽可能调高安全设置所有的手持系统都包含有一定的安全防护能力,这些功能限制了对设备的访问和存取,有助于防范病毒的破坏。例如PocketPC提供了密码验证和个人证书等多个安全功能,而很多智能手机提供了设备密码和锁定设备的机制。在允许的条件下将安全性设置得更高,微小的便利性牺牲能够换回巨大的安全性提升。考虑如果数据被病毒破坏自己需要花多少时间才能够恢复以及会对工作造成多大程度的影响,不时的这样想一下可以客观的认识到需要施行什么等级的安全配置。
2、张大眼睛!保持警惕性!收到来源不明的短信、有奇怪的连接申请、出现莫名其妙的程序或文件、设备运行变得粘滞、电量消耗速度明显加快……这种种现象可能代表病毒已经感染了移动终端。尽管有一些病毒非常隐蔽,甚至不使用专门的工具和方法就无法发现,但是大部分的手持设备病毒还是有一些表征能够为用户察觉。有很多证据表明病毒的破坏作用随着感染时间的加长而成倍增长,这也意味着尽早发现病毒感染可以极大的降低损失。使用者应该在应用自己移动终端的过程中保持足够的警惕性,至少不应该低于防备设备丢失的程度。
表3
3、先冷静分析再进行处理一般用户在发现有病毒感染迹象时通常都会有一些恐慌的情绪,但是这个时候恐慌并不会给事情带来任何好转,大多数时候只能使事情变得更糟。在发现问题时比较通用的处理步骤是在发现问题后断开所有的数据传输通道,例如连接着的数据线、开启的Internet连接等;之后应首先根据自己所掌握的知识对问题进行判断,也可以通过其它手段联入互联网对所发现的现象进行查询或请教更加专业的人以明确问题的性质;在确认了问题之后就可以根据相关的资讯进行处理了。有步骤有顺序的处理才能妥善的解决问题,特别是针对移动终端病毒而言。此外,经常遇到一些用户在发现病毒迹象时贸然的关机或进行删除文件等处理,这是非常危险的。以是否应该关机,对于不同的病毒选择通常是不同的。例如一些发作在传统手机上的通过短信传播的病毒就应该尽快关机,然后对SIM卡中的内容进行处理。而对于将内容存储在独立存储器的移动终端来说这种方法就不适用。大部分感染智能手机的病毒都是在被感染设备重启后才被激活的。
四、应用移动终端反病毒软件
针对移动终端病毒的日趋发展,安全厂商都推出了针对移动终端平台的安全软件产品,特别是反病毒厂商。现在全球的主流反病毒厂商几乎都提供了自己的移动终端反病毒软件,还有不少厂商是免费提供的,例如国内的金山和日月光华。下表列出了一些主要的移动终端反病毒产品。
表4
PART3 移动终端反病毒软件效能测试
为了实际检验移动终端反病毒产品的效能,我们执行了一些基本的检测。整个测试包括两个部分,分别针对PDA和智能手机两种设备。这些测试更加侧重于展示反病毒产品本身的特征,但同时也进行了一些横向的比较,希望大家能够正确的认识每个产品的特点,选择适合自己的产品。
一、PDA反病毒产品测试部分 在这次测试中我们选择的产品是两款国外反病毒软件的试用版和可以免费获得的金山毒霸手机版。这三种产品基本在同一时间下载,在测试过程中没有进行更新。下表是测试环境的一些基本信息。
表5
性能测试我们针对软件的病毒扫描能力安排了一组测试,其中包含了三组病毒样本。第一组包含了3个EICAR测试文件;第二组包含了针对PocketPC平台的10个病毒样本;第三组包含了50个2005年出现的PC平台的病毒样本。在执行每个产品测试之后我们都会将PDA的软件环境恢复成初始状态以尽量保证每个软件在相同的环境下完成测试。
表6
只有AVAST!检测出了EICAR测试文件,不过对于zip压缩格式的EICAR测试文件AVAST!并没有检测出来,这说明AVAST!无法对PC平台的zip压缩文件进行检测。而Airscanner和金山的情况应该属于没有设定对EICAR进行识别。事实上EICAR测试文件并不是病毒,不对EICAR测试文件进行病毒报警只是代表了反病毒引擎的工作方式而并不能代表反病毒软件无法检测出病毒。在PocketPC病毒样本检测中,AVAST!的成绩令人满意,而金山毒霸并没有检测出该平台的病毒样本,这可能与该产品更侧重手机平台有关。在最后一组测试中,所有的产品都无法检测出PC平台下的病毒样本。
[1] [2] [3] [4]
总体来看,在该测试中AVAST!展现出其反病毒引擎更强的能力,而Airscanner与资深大厂还有一定的差距,由于版本问题,对金山产品的测试更多出于参考和实验的目的。
功能测试
表7
在基本的病毒防护功能中所有产品都做的较好,但Airscanner没有实时监控功能,AVAST!可以启动和关闭一个独立的实时监控组件,而金山毒霸的监控功能可以在配置界面进行开关。Airscanner具备非常贴心的隔离区功能,用户可以将可疑的文件放置在该区域中,之后再决定对其进行删除和恢复等操作。总体来看,在功能特性上AVAST!显得比较简单,而金山毒霸延续了在PC产品上功能方面的优越性并且非常用户的使用习惯,而Airscanner由于提供了很多独特的功能也给人留下了非常深刻的印象。
表8
在可配置能力方面,AVAST!只提供了基本的扫描、升级和日志查看功能。金山毒霸可以选择扫描所有文件还是扫描程序及文档文件。而最重要的是金山毒霸可以选择在发现病毒后如何处理。除此之外,金山在更新和日志方面的调整也相当详细,其它两个产品基本没有这方面的配置能力。总体来看,金山毒霸在可配置能力上要领先其它产品,而Airscanner在扫描定制能力上非常强大。
PDA反病毒产品测试总结 国际厂商在性能和病毒扫描能力上还是占据着领先的地位,而且从扫描测试的时间数据来看,AVAST!的扫描要比其它产品细致很多。而从功能角度来看,则是国内的反病毒厂商金山的天下。对于用户来说,金山的产品可以提供相当不错的反病毒功能,而且该产品可以免费从金山的网站下载。不过该产品虽然支持PDA平台,但是在运行中还是会出现一些小问题,希望金山能够推出专门针对PDA的版本。
二、智能手机反病毒产品测试部分我们针对智能手机的测试项目大致与PDA部分一致,对于在PDA部分已经做过说明而没有重复说明意义的内容将被省却。参加智能手机部分测试的产品是两款国内厂商的产品,分别由日月光华和金山提供,这两个公司的智能手机反病毒产品都是免费供用户使用的。参测的软件都是专门针对于Symbian平台的,下表提供了这两种软件的下载地址和测试环境相关的一些信息。
表9
性能测试该部分测试与PDA部分基本相同,同样对三组病毒样本进行了扫描测试。唯一不同的是在智能手机部分测试的第二组样本是针对Symbian平台的20个病毒样本。
表10
在总共20个病毒样本的检测过程中,光华反病毒手机版检测出了全部的样本,其引擎能力确实出众,而金山毒霸手机版也检测出了大部分样本。与PDA测试部分类似,没有产品能够检测出PC平台的病毒样本。
在整机扫描测试部分光华反病毒手机版与金山毒霸手机版的表现有很大的不同。光华对系统文件的检测非常细致,相应的也耗费了更长的时间;而金山只是检测了正常情况下的系统文件,没有对大量隐含的操作系统文件进行检测,在这项测试中我们已经将两个产品的扫描范围开到了最大。在该部分的测试当中,光华反病毒手机版向我们展现了强大的病毒检测能力。金山的产品虽然在检测粒度上要逊色于光华,但是基于手机病毒数量的有限,只进行特定范围的检测可以让金山的产品获得更好的执行速度。对于性能要求较高的用户,金山快速的扫描能力是一个比较值得关注的特性。
功能测试
表11
值得一提的是两款产品所提供的日志系统。光华反病毒手机版的日志系统划分的非常细致,针对病毒检测结果、实时监控报告以及升级工作的完成情况都有独立的日志可供使用。而金山毒霸手机版提供的日志查看功能是整合在一个用户界面中的,并没有进行分类。同时金山提供一个有层次的日志浏览结构,用户可以概要的查看日志条目,点击日志标题之后可以查看更详细的日志信息。
表12
在可配置能力方面,光华反病毒手机版的优势比较明显,可以实现对整机、特定存储目录以及存储卡的扫描。在病毒库更新方面,光华反病毒手机版可以选择更新服务器。光华反病毒手机版提供的另一组比较有用的特性是计划任务的定制,可以定时完成扫描和更新工作。而金山毒霸手机版提供的配置选项则非常有限,这一点与拥有强大配置能力的金山毒霸手机版 for PocketPC有着很大的反差,让人颇觉失望。
智能手机反病毒产品测试总结 尽管国内厂商在手机防病毒产品的推出上相对滞后,但是从测试的情况来看产品素质还是相当优秀的。光华的产品无论在检测能力还是功能特性上都非常优秀,而金山虽然在功能性上有所差距,但仍具有较高的应用价值。另外,国内厂商所选择的免费路线是非常值得赞赏的,因为在手机病毒并没有大规模泛滥的今天,国外厂商动辄十几美金的许可证费用无疑对消费者是很大的负担。
编辑点评:优秀的方法能够成功还有赖于实施中的努力,如果没有强有力的实施,那么,再优秀的方法也只能是空谈。防范移动终端病毒的过程中有很多问题值得注意,也有很多良好的习惯应该养成。优秀的方法,附之以良好的习惯,才能真正让移动终端的固若金汤。
是不是做到了以上三点便能让移动终端固若金汤?很显然,这还远远不够。实际上,这仅仅是三个比较重要的方面而已,这只是针对目前已有的情况而作出的概括总结,更多的习惯还有待于我们在实际的使用过程中逐步养成。犹如台式电脑的安全防范方法、经验,不也是在无数次实际使用中获取的吗?
(出处:http://www.sheup.com)