Наука: Расскажи мне, кто твой враг…

Автор: Дмитрий Шабанов

Вначале — несколько фактов из теории экологии. Чем сильнее перекрываются экологические ниши (спектр потребностей, роль в сообществах) двух видов, тем острее эти виды конкурируют, то есть снижают численность друг друга. Самой сильной зачастую бывает вражда между двумя близкими видами, поэтому они оказываются географически разобщенными. Согласно правилу конкурентного исключения, которое сформулировал российский ученый Г. Ф. Гаузе, длительное сосуществование двух конкурентов с одинаковыми экологическими нишами оказывается неустойчивым. Рано или поздно конкуренция должна привести или к вымиранию одного из видов, или к разделению ниш (то есть приобретению видами отличий друг от друга)...

Применимость правила Гаузе в биологии — предмет многих исследований. Чаще всего оно подтверждается, иногда — не вполне. Так, если виды-конкуренты находятся под прессом хищника или неблагоприятных обстоятельств, конкурентное вытеснение может быть заморожено. Представьте, что вы рассматриваете под микроскопом пробу воды из реки или озера. Возможно, там найдется несколько десятков видов одноклеточных водорослей. Ниши этих видов почти полностью пересекаются, но их численность зависит не от поведения конкурентов, а от влияния хищников (например, мелких рачков-фильтраторов). Но стоит водорослям вырваться из-под гнета хищников (это происходит, в частности, во время цветения воды), часть видов-конкурентов оказывается подавленной. В цветущей воде доминируют два-три наиболее конкурентоспособных вида, отличающиеся спецификой своих ниш.

Еще один пример. Если сделать заповедным какой-то участок степи или луга и прекратить на нем выпас скота, через какое-то время количество видов трав на этом участке уменьшится: сильные конкуренты «додавят» слабых.

Если мы хотим разобраться в особенностях какого-то вида, нам следует выяснить, как и с кем он конкурирует. А применимы ли изложенные закономерности к самому интересному для нас виду — человеческому? С кем конкурирует Homo sapiens Linneus, 1758?

Тысяч пятьдесят лет назад нашими конкурентами были близкие виды — H. erectus (прямоходящий человек), H. neandertalensis (неандерталец), H. floresiensis (человек острова Флорес). Пока численность людей зависела в основном от сочетания благоприятных и неблагоприятных факторов среды, в разных частях ойкумены возникали разные родственные друг другу виды. Когда благодаря гибкому поведению нам и нашим конкурентам удалось выйти за пределы жесткой обусловленности обстоятельствами, с расширением ареалов разных форм людей должно было заработать правило конкурентного исключения. Победить должен был один вид.

Мы знаем, что представители вида-победителя были относительно слабее физически (не считая карликового H. floresiensis), но зато плодовитее, агрессивнее и гибче. Вероятно, шансы сохраниться под нашим владычеством имели лишь карлики с острова Флорес («КТ» уже писала об этих людях, находка останков которых была признана крупнейшей сенсацией 2004 года), поскольку экологическая ниша этого вида существенно отличалась от нашей. Увы, его места обитания оказались разрушены извержением вулкана.

Как долго разные виды людей находились в тесном контакте? Ответить на этот вопрос позволил недавно усовершенствованный палеонтологами из Кембриджа радиоуглеродный метод датировок. Его суть заключается в следующем. Под действием ионизирующего излучения на атмосферу обычный углерод (12С, 13С) в составе углекислого газа переходит в радиоактивный (14C). В ходе фотосинтеза радиоактивный углерод потребляется растениями, а затем передается по пищевым цепям. С течением времени он распадается (период полураспада — примерно пять с половиной тысяч лет). Чем меньше доля радиоактивного углерода в остатках организма, тем больше их возраст. Выбирая для изучения только крупные органические молекулы, явно принадлежащие ископаемым организмам, а не привнесенные со стороны, исследователи снизили ошибку в датировках. С помощью уточненных данных удалось реконструировать динамику изгнания из Европы неандертальцев представителями нашего вида.

Выяснилось, что период близкого сосуществования двух видов занимал лишь около пяти тысяч лет, а для одного региона вряд ли превышал тысячу лет (пятьдесят поколений). Помните давнюю мудрость: в борьбе с врагом волей-неволей перенимаешь его черты? Насколько можно судить по древним остаткам, конкуренты успели чему-то научиться друг у друга. «КТ» уже упоминала, что обычай приносить на могилы родственников венки из хвойных ветвей с цветами, по-видимому, был свойствен обоим нашим видам.

А что же сейчас? Неужели мы остались без конкурентов? Судя по стремительному росту численности населения, можно подумать именно так. Но теперь конкурентами человека стало множество сильно отличающихся от нас видов, которые мы называем «вредителями» (звучит не слишком великодушно). Первый среди них — серая крыса, Rattus norvegicus, давний сожитель и враг человека. Давний, но не извечный: расселение серой крысы по всему миру из Индии (а вовсе не Норвегии, как можно подумать исходя из названия) проходило уже в новое историческое время. Хотя образ жизни (экологические ниши) человека и крысы существенно отличается, ресурсы, которые потребляет человек, может использовать и крыса.

Конечно, можно утешить себя тем, что человек гораздо умнее крысы. Но не все так однозначно. Крысиный ум не приспособлен для человеческой жизни, как и наш с вами — для образа жизни крыс. Нам трудно понять, что творится в черепной коробке у ближнего, а чтобы заглянуть в психику крыс, приходятся ставить нетривиальные эксперименты.

Сотрудники Калифорнийского университета в Лос-Анджелесе опубликовали в журнале Science результаты исследования, позволяющие предположить, что крысы способны различать причину и следствие. Подопытных зверьков приучили к тому, что вспышки света могут сопровождаться звуком (нейтральный раздражитель), а иногда — сладким питьем. Следовало ожидать, что животные установят ассоциацию между этими тремя раздражителями и начнут реагировать и на свет, и на звук, как на предвестники угощения. Крыс, которые привыкли к такому сочетанию, разделили на две группы. Первые могли нажимать на рычаг, вызывая звук. Они понимали, что звук является результатом их усилий, и не проверяли поилку. Вторая группа, которая не могла влиять на события, услышав характерный сигнал, кидалась проверять, нет ли вознаграждения. Они-то не знали, кто включал звук: экспериментатор или соседи!

Напоследок зададимся двумя вопросами. Крысы всегда были такими умными или поумнели от общения и борьбы с нами? И еще: а как скажется борьба с крысами на нас самих?

ТЕХНОЛОГИИ: Априорная подозрительность: Программные средства лечения паранойи

Автор: Родион Насакин

Наиболее динамично развивающимся (хотя далеко не самым крупным) сегментом рынка информационной безопасности сегодня стали системы обнаружения и предотвращения атак. В последнее время быстро растет спрос именно на проактивные приложения, которые не просто обнаруживают угрозы, а работают на опережение — обращая внимание на подозрительное поведение программ в системе и предпринимая необходимые меры еще до возникновения серьезных проблем. 

Наряду с межсетевыми экранами, криптосредствами, антивирусами и решениями в области antispyware системы обнаружения атак (Intrusion Detecting Systems, IDS) по сей день остаются непременной составляющей «защитного поля» большинства локальных сетей и отдельных компьютеров. В ряде случаев IDS поставляется как модуль в составе программно-аппаратного комплекса и специализируется на обнаружении хакерских вторжений, DoS-атак и сетевых червей. Свою работу система выполняет, сравнивая каждое проникновение в защищаемую зону с так называемыми сигнатурами — то есть шаблонами поведения программ, выработанными на основе анализа предыдущих атак.

В зависимости от типа защищаемого объекта IDS подразделяют на host-based (HIDS) и network-based (NIDS), то есть работающие на уровне отдельного узла и сети в целом. HIDS проверяют целостность файловой системы, анализируют лог-файлы, активность ОС и приложений. «Хостовые» системы, по сути, просматривают журналы системы, но в отличие от сисадминов занимаются этим не раз в день, а после появления каждой новой записи, при этом любое зарегистрированное событие сравнивается с имеющейся базой сигнатур. Система проверяет, не привело ли в прошлом аналогичное действие к вторжению. Подобным образом оцениваются модификации файлов. Основные разновидности HIDS — аудиторы ОС (System Integrity Verifiers) и анализаторы лог-файлов (Log Files Monitors). Для Linux существует и ряд расширений системы, реализующих HIDS-функциональность, например продукты LIDS и OpenWall.

В свою очередь, NIDS непрерывно анализируют сетевой трафик, и с сигнатурами (образцами IP-пакетов) сравниваются данные, содержащиеся в проверяемых пакетах. Среди разновидностей NIDS можно отметить соответствующие функции в файрволах, анализирующие протоколы трафика: «антисканеры» портов (Port Scan Detectors) для определения и пресечения попыток просканировать UDP— и TCP-порты; снифферы[Сниффер (от англ. sniff — нюхать, чуять) — программа, позволяющая перехватывать сетевой трафик. Торговая марка компании Network Associates], снабженные модулями анализа. Также на рынке присутствуют «гибриды», объединяющие функциональность HIDS и NIDS. Сетевой модуль такой системы получает данные об активности еще и от хост-агента, что позволяет иметь более полную картину события для сравнения с сигнатурой. Среди крупных мировых вендоров IDS можно назвать Intrusion, Internet Security Systems, McAfee, NFR, Symantec, Radware, Cisco Systems и др.

Системы предотвращения атак (Intrusion Prevention Systems, IPS) считаются эволюционным преемником IDS и призваны решить недостатки своих «предков», проявляющиеся в последнее время все острее. Слишком много стало случаться неизвестных ранее атак, сигнатуры для которых отсутствуют в принципе. Если десять лет назад для относительно безопасной работы достаточно было пополнять базу сигнатур десятью-двенадцатью шаблонами ежемесячно, то пять лет спустя для достижения аналогичного уровня безопасности требовалось шесть ежедневных сигнатур. Сегодня их количество исчисляется десятками, а то и сотнями.

Поэтому как грибы после дождя последние пару лет появляются системы защиты, в которых от сигнатурного анализа либо отказываются вовсе, либо совмещают его с более «интеллектуальными» методами выявления потенциально опасной активности: детекторами аномалий протоколов, контролем поведения трафика и, наконец, базами поведенческих профилей (наиболее востребованного для защиты рабочих станций и серверов [хостов] решения). Существует еще такой метод, как эвристический анализ кода, но он не получил широкого распространения из-за обилия ложных срабатываний. Впрочем, в комбинации с другими алгоритмами его эффективность достаточно высока.

Если одна сигнатура описывает одну атаку, то поведенческий профиль дает системе представление о целом типе подобных вторжений. Если IDS может опознать одну разновидность червя, но пропустить другую из-за различий в коде, то IPS пресечет активность любой модификации, так как будет ориентироваться на общую схему враждебных действий — например, несанкционированное создание новой учетной записи.

Новые веяния в сфере обнаружения атак и переход от пассивной регистрации вторжений к проактивному предотвращению и являются отличительными чертами IPS. При обнаружении подозрительных действий система принимает те или иные меры в соответствии с настройками администратора. Например, через файрвол блокирует опасный трафик.

Вендоры IPS в основном те же, что и у IDS; правда, переход к новым системам изменил рыночную диспозицию. Классификация на хостовые и сетевые системы тоже сохранилась. Однако если продукты для защиты отдельных рабочих станций так и называют — HIPS, то для сетевых аналогичная аббревиатура NIPS применяется редко. Более распространено название «сетевые IDS/IPS-системы» (системы обнаружения и предотвращения вторжений), поскольку в них наряду с другими методами сохранился сигнатурный анализ. IPS обычно используют для защиты периметра сети, важнейших его сегментов. В остальных случаях довольствуются IDS-функциональностью.

Системы HIPS-класса (локальные сенсоры) дополняют сетевую «линию обороны» защитой рабочих станций. Широкое (для решений подобного класса) распространение получили Cisco Security Agent, Prevx Pro, SecureHost IPS (Intruision), Safe’n’Sec (StarForce), TruPrevent (Panda) и McAfee Entercept. Эти системы можно рассматривать в качестве профилактического дополнения к существующим «классическим» антивирусам и прочему защитному софту (см. таблицу), а также как подушку безопасности, расположенную между ядром ОС и запущенными приложениями, которые потенциально могут нести угрозу. Особенно актуально такое ПО в период вирусных эпидемий, которые, увы, вспыхивают в Сети все чаще. Ведь HIPS постоянно отслеживают запуск или остановку сервисов, работу всех приложений и прочую активность, обращая особое внимание на то, в какой последовательности выполняются системные действия. Большая часть HIPS позволяет коррелировать данные о событиях, поступающие из разных источников: от антивирусов, журналов ОС и пр. Помимо оперативности реагирования корреляция сводит к минимуму количество ложных срабатываний (см. врезку).

Чтобы обеспечить согласованную работу разномастных средств информационной безопасности, используются так называемые SIM-системы (Security Information Management). Применительно к IDS/IPS-средствам они упоминаются преимущественно как возможность заметно снизить количество ошибочных предупреждений. SIM-системы обрабатывают массивы данных, поступающих от антивирусов, маршрутизаторов, межсетевых экранов, а также IDS/IPS, и результатом их трудов является корреляционный анализ и визуализация полученной информации. Одна из ключевых особенностей систем — возможность представления итоговых данных в унифицированном виде для принятия решений. Ведь источники от разных вендоров поставляют данные в разных форматах, и порой их очень непросто «привести к общему знаменателю».

Но в контексте статьи нас больше интересует проблема ложных вызовов. Вопреки распространенной точке зрения о том, что чрезмерная бдительность лучше недостаточной, на практике оказывается, что ошибочные уведомления могут крайне негативно влиять на безопасность. Непрерывный поток однотипных сообщений, появляющихся на консоли, часто приводит к тому, что администратор перестает не только проверять каждое, но и просто читать их. Десятки, а то и сотни тысяч уведомлений в день — обычное дело в любой крупной корпоративной сети.

SIM-система накапливает сигналы от разных источников в одной консоли, удаляя избыточную информацию (например, данные об одном и том же событии, полученные разными сенсорами). Следующий этап — агрегирование событий по типу. И наконец, собственно корреляция, в рамках которой система сопоставляет полученные от разных источников сообщения и делает вывод о возможности успеха атаки. Если риск минимален или вообще отсутствует (Windows-вирус пробирается в сеть, работающую под Unix), то администратор не получит никакого уведомления.

От пользователя требуется только указать политику контроля, определяющую алгоритм работы интеллектуального анализатора. Отмечу, что подробно освещать методы работы своих анализаторов компании по понятным причинам не хотят, так что выбор политики фактически сводится к дотошности контроля.

В частности, в Safe’n’Sec предусмотрены такие режимы работы, как жесткая, строгая, и доверительная политики. «Жесткий» вариант разработчики рекомендуют включать только во время хакерских атак и уже упоминаемых вирусных обострений. В этом режиме программа подвергает анализу всю активность в системе, вплоть до действий пользователя. Естественно, что ресурсы компьютера такая бдительность нагружает весьма существенно. «Строгий» вариант — компромиссный, именно он используется по умолчанию. Наконец, при «доверительной» политике приложение исследует только самые подозрительные действия, вроде записи в реестр или изменения системных файлов. Интересно, что софт, запускаясь одновременно с операционной системой, блокирует враждебные действия, направленные против загрузки ОС, а во время работы программа оберегает пользователя даже от него самого, что, по мнению разработчиков, позволяет предотвратить случайное повреждение или потерю данных.

В SecureHost IPS алгоритм работы анализатора был разработан на основе исследований иммунной системы человека. Так называемая технология адаптивного профилирования (APT) определяет агрессивные воздействия на «организм», наблюдая за исполнением кода в работающих программах. Система вылавливает аномалии, проявляющиеся в неожиданных вариантах выполнения кода из-за программных ошибок, некорректной конфигурации и пр., и блокирует вызовы от подозрительного источника. Минимизация числа ложных срабатываний в Secure Host IPS реализована за счет внедренного в APT механизма обучения. Система со временем учится различать обыденные некритичные изменения приложений и перестает «бить в набат» по любому поводу.

Сетевые системы обнаружения и предотвращения атак работают как минимум по двум алгоритмам анализа трафика. Первый — это рассмотренное выше сравнение битовой последовательности потока данных с эталонной сигнатурой. Второй — выявление аномальной сетевой активности (Protocol Anomaly Detection, PAD). Это довольно удачное сочетание методов. Сигнатурный анализ позволяет установить и обезвредить уже известную угрозу, а PAD специализируется на атаках, не имеющих соответствующих сигнатур.

Принцип работы первого метода уже ясен, так что перейдем сразу ко второму. В процессе проверки средствами PAD система исследует использование сетевых протоколов на соответствие заложенным требованиям (это могут быть как общие спецификации RFC, так и специфические критерии разработчиков). Детекторы PAD особенно эффективны при атаках с переполнением буфера ОС, потому что даже в случае использования хакером этого древнего механизма вторжения сразу выявить характерный признак атаки для сравнения с сигнатурой невозможно.

Помимо наблюдения и перехвата в режиме реального времени системы используются для анализа сетевых событий и оперативного розыска злоумышленника. Как правило, подобные системы не имеют в сети ни МАС-, ни IP-адреса, что мешает хакеру точно определить их «месторасположение». Среди популярных продуктов такого типа можно отметить Cisco IDS/IPS, StoneGate IPS, Radware Defense Pro, Juniper Networks Tap, Intrusion SecureNet, XSGuard IPS и TippingPoint.

Программно-аппаратное решение Cisco остается одним из самых востребованных — в первую очередь благодаря широкой функциональности. Система идентифицирует и блокирует червей, вирусы, троянцев, spyware и adware, используя неплохую подборку алгоритмов в своем анализаторе, причем проверка производится на скорости до 1 Гбайт/с. И еще Cisco IPS/IDS ориентирована на интеграцию с другими средствами сетевой безопасности от того же разработчика. В компании подобную ориентацию на связную работу нескольких своих продуктов именуют концепцией адаптивной защищенной сети (Self-Defending Network), а для управления группой устройств используется специализированная система центрального управления Cisco Works VMS.

В последней версии IPS поддерживается анализ аномалий (отклонений от RFC) таких протоколов, как ICMP, TCP, UDP, FTP, SMTP, HTTP, DNS, RPC, NetBIOS, NNTP, GRE и Telnet. Этот метод комбинируется с нормализацией трафика для перекрывания хакерам «обходных путей» и анализом изменений самого трафика. Среди особенностей Cisco IDS/IPS отметим обнаружение атак через VoIP-сервисы и интеграцию с системами корреляции событий.

Другой игрок на рынке сетевых IPS, компания Intrusion, прилагает к своему основному продукту SecureNet системы Provider (для сбора статистики с возможностями регрессионного анализа) и Nexus (для распространения обновлений). SecureNet работает на шести уровнях OSI: от канального до уровня приложений, поддерживая фильтры по MAC— и IP-адресам (для мониторинга виртуальных локальных сетей) и корреляцию данных по событиям, полученным от разных источников. В систему включен специализированный скриптовый язык для создания собственных сигнатур, средства совместной работы с системами управления сетями от других разработчиков (в том числе HP OpenView) и функции HoneyPot.

На последних хотелось бы остановиться подробнее, так как концепцию HoneyPot («горшок меда») без преувеличения можно назвать отдельной главой в истории противостояния хакеров и сисадминов. Впрочем, главная идея HoneyPot стара как мир — это ловля на живца. Программы, созданные в рамках этой концепции, имитируют работу сетевых систем. Хакер, «взламывающий» фальшивую сеть, автоматически становится объектом наблюдения службы безопасности, подсунувших ему «пустышку». Таким образом, HoneyPot-системы отводят удар от охраняемого объекта и попутно собирают всю возможную информацию о злоумышленнике[Подробно о HoneyPot писал Александр Красоткин в статье «Беспроводные сети. Взлом и защита» (спецвыпуск «КТ» от 15.01.04)].

Если в SecureNet используется «промышленный» вариант HoneyPot-системы, при котором основная цель — сбить хакера с пути, то компания TippingPoint применяет «мышеловки» в исследовательских целях. Помимо стандартных путей получения информации о новых уязвимостях и типах атак, вроде тесных контактов с крупными софтверными корпорациями, мониторинга хакерских форумов и пр., в компании используют обширную сеть HoneyPot-объектов. Механизм атаки, проводимой каждым «попавшимся» подопытным, изучается, проигрываются различные модификации обнаруженного метода вторжения и в итоге формируются обновления сигнатур и поведенческих профилей для «цифровой вакцины» (TippingPoint Digital Vaccine), которая автоматически загружается на системы клиентов.

И все же IPS далеки от совершенства. Сетевой криминалитет оперативно осваивает методы и средства противодействия новинкам в сфере компьютерной безопасности (бытует мнение, что хакеры всегда на шаг впереди). В частности, в Сети уже сейчас можно найти множество рецептов по обходу барьеров той или иной системы предотвращения вторжений.

Но по-настоящему опасны не столько множащиеся «отмычки», сколько свойственная людям безалаберность. Увы, далеко не всегда злоумышленникам приходится ломать голову над усыплением внимания анализатора IPS — по той простой причине, что распространенной практикой остается включение мультифункциональных сетевых систем в «усеченном» IDS-режиме. И это не специфика использования отдельно взятого типа ПО. Тех, кто инсталлирует антивирусы после заражения, гораздо больше, чем тех, кто держит софт запущенным в трее непрерывно. Главным оружием хакеров был и остается пресловутый «человеческий фактор». Ведь даже сисадминам ничто человеческое не чуждо…

Если завтра война…

Автор: Дмитрий Гуц

Все чаще мы убеждаемся, что развитие вредоносных программ для мобильных устройств идет одновременно с эволюцией самих устройств. И это неудивительно: чем сложнее устройство, тем труднее обеспечить его безопасность. А удивительно вот что: почему до сих пор не найдены надежные методы противодействия, почему антивирусная индустрия с многомиллионными оборотами всякий раз оказывается не готова к новой напасти и действует лишь по факту? Да и производители самих устройств явно не спешат исправить допущенные промахи. Множатся вирусы и трояны для мобильных устройств. Похоже, эту войну не выиграть, более того, она уже почти проиграна. Хуже всего дело обстоит со смартфонами под управлением Symbian.

Дмитрий Гуц — кандидат технических наук, ведущий программист отечественной фирмы MPulze (подразделения датской компании Daxx), занимающейся продвижением в Европе российских программных разработок. Одной из них является антивирус для мобильных телефонов, основанных на платформе Series 60 для операционной системы Symbian. Эта операционная система примечательна и сама по себе. Задуманная изначально как абсолютно защищенная, она, тем не менее, подверглась как минимум трем крупным вирусным атакам, и теперь многие владельцы телефонов опасаются доверять ей свои личные данные. В статье автор постарался объяснить, почему, по его мнению, несмотря на архитектурное «совершенство» системы, никто из ее пользователей не может чувствовать себя защищенным. — К.К.

Операционная система Symbian была разработана специально для мобильных устройств. Ее создание началось еще в 1998 году в одноименной компании, организованной крупнейшими производителями — Ericsson, Nokia, Motorola и Psion. Symbian, имеет совершенную концепцию и изящное внутреннее строение, в корне отличающиеся от того, что предлагает Microsoft в своей операционной системе для этого рынка.

К сожалению, реализация Symbian оставляет желать лучшего. Код ядра имеет множество трудно обнаруживаемых ошибок и «странностей». API, реализованный в виде классов C++, изобилует ошибками и неточностями; стиль программирования, культивируемый Symbian, напоминает гибрид скриптового языка и худших возможностей C++. При изучении ОС создается впечатление, что команда программистов неоднократно менялась, и всякий раз разработку продолжали все менее квалифицированные люди, но непременно в сжатые сроки.

Перечисленные особенности сильно затрудняют разработку программ для Symbian, тем самым поднимая стоимость минимального набора программ для продвинутого пользователя до 200—300 долларов, что практически равно стоимости самого аппарата. Это обстоятельство готовит хорошую почву для нелегального программного обеспечения, давно распространяющегося через множество интернет-сайтов. Среди взломанных копий часто встречаются дистрибутивы, содержащие вирусы и/или троянские программы, которые нарушают нормальную работу смартфона.

Как средство борьбы с вредоносным софтом и пиратством Symbian предлагает свою программу Symbian Signed [ www.symbiansigned.com/app/page], суть которой сводится к подписи всего легального ПО цифровой подписью самой Symbian. С виду это кажется панацеей, поскольку в новых версиях ОС, начиная с 9.0, неподписанное ПО будет запускаться с серьезными ограничениями, такими как запрещение использования SMS, MMS, GPRS и др. Это значит, что создать функциональное приложение без подписи станет невозможно.

Если копнуть глубже, мы увидим, что за пышными словами о Symbian Signed скрывается совсем иная суть. Чтобы получить цифровую подпись Symbian, разработчику сначала нужно за приличную сумму (порядка 300 евро) купить удостоверяющий личность сертификат. Затем послать свое подписанное приложение одной из фирм-тестеров, список которых предоставляет Symbian. Тестирование заключается в проверке определенных условий, и надо заметить, не всегда обоснованных. Эти условия могут с переменным успехом либо выполняться, либо не выполняться на Symbian OS, которая и сама по себе изобилует ошибками. Одно тестирование обходится в 200—500 евро, при отрицательном результате их может быть множество. Если тестирование в конце концов пройдено, Symbian ставит подпись, и на этом выпуск версии заканчивается. Существует также множество промежуточных шагов, о которых тут не упомянуто. И когда версия выпущена, то при необходимости внести любое изменение процесс повторяется.

Программа Symbian Signed не способна реально повлиять на что-либо в сфере безопасности смартфонов и является, по сути, средством выколачивания денег из производителей софта. Поэтому, как только будет найдено средство отключить навязчивые функции ОС, это немедленно будет сделано подавляющим большинством пользователей смартфонов, уставших от необоснованно высоких цен на программы. Многие будут готовы рискнуть безопасностью смартфона ради сбережения кошелька и удобства использования.

Каждый желает знать, где сидит троян

Возвращаясь к зловредным программам, от которых якобы должна обезопасить Symbian Signed, отметим, что среди таковых для смартфонов Series 60 доминируют не вирусы, а трояны. Если исключить явный плагиат и многочисленные мелкие модификации, то на сегодня существуют всего два основных и полноценных вируса для этой платформы — Cabir и CommWarrior. В обоих случаях, чтобы вирус действительно инфицировал телефон, пользователь должен принять сообщение с копией вируса и запустить процесс инсталляции, подтвердив желание установить неизвестное приложение.

Парадокс человеческой психики: сообщения MMS, пришедшие с телефона известного отправителя, воспринимаются с очень высоким уровнем доверия. Соответственно приложение из такого сообщения, в том числе и вирус, часто бывает инсталлировано. Таким образом, практически любая конфиденциальная информация, имеющаяся на смартфоне, может быть получена и передана злоумышленнику.

Существующие вирусы можно обнаружить лишь по косвенным признакам, так как они действуют в фоновом режиме и не мешают работе смартфона. CommWarrior не виден даже в списке запущенных приложений, а в списке процессов выдает себя за часть ОС. Троянские же программы обычно сразу вызывают явное нарушение функционирования смартфона.