Hlavní navigace

Budou botnety zítřka složeny z chytrých telefonů?

 Autor: 29
Pavel Houser 21. 10. 2008

Sítě zneužitých počítačů – botnety - jsou už dnes nejspíš všude kolem nás, a tak je zajímavé zkusit předpovědět, jak mohou vypadat ty zítřejší. Budou složené také z chytrých telefonů, a pokud ano, jak se budou lišit od těch dnešních, kde jsou oběťmi uživatelé obyčejných počítačů?

Úvahu na toto téma přináší americký Computerworld. Zajímavé je, že text vychází z prognózy Georgia Tech Information Security Center pro rok 2009. Rizika chytrých telefonů měla být přitom podle jiných prognóz již horkým tématem roku letošního. V prognózách pro rok 2008 se na tom shodovali prakticky všichni dodavatelé zabezpečení; pouze CA považovala obavy za přehnané:

Mobilní zařízení zůstanou i nadále bezpečná. Smartphony a další mobilní zařízení nebudou v roce 2008 představovat pro zločince významnou příležitost. Koncepty malware pro mobilní zařízení se ještě nevyvinuly do významných útoků.“ (zdroj: Securityworld.cz)

Georgia Tech Information Security Center jakoby dává za pravdu právě CA, když trend hrozeb pro chytré telefony posunuje do budoucnosti.

Dříve či později to přijde

V této souvislosti samozřejmě stojí za to se zamyslet nad tím, kdo měl tedy pravdu. Na jednu stranu se bezpečnostních chyb se v souvislosti s mobilními přístroji objevila hromada, od známých iPhonů přes Blackberry, ale třeba i komunikátory Nokia. Trocha podrobností: chyba ve zpracování Javy na platformě Nokia 40 měla být kritická, protože zlovolný kód mělo být možné podstrčit tak, že bude poslán jako SMS. Nicméně podrobnosti nebyly nikdy zveřejněny a autor údajné bezpečnostní díry za ně požadoval 20 000 euro. Nokia sice určité problémy potvrdila, ale podle ní nepředstavují reálné riziko zneužití.

U BlackBerry byla chyba ještě vážnější, protože kvůli chybě při zpracování PDF dokumentu poslaného jako příloha e-mailu mohlo dojít k ovládnutí ne komunikátoru, ale přímo firemního serveru. Šlo tedy o chybu v infrastruktuře spíše než o problém mobilních zařízení a opět není známo, že by se jí někdo pokusil úspěšně zneužít.

U iPhonu byly bezpečnostní chyby medializovány zřejmě nejčastěji (viz např. článek Díra i pro váš iPhone?, podrobněji se zabývající také přístupem firmy Apple k opravám chyb). Obavy z bezpečnosti a nutnost plnit všemožné shody s předpisy měly být dokonce příčinou, proč tento telefon nenajde cestu do firemního prostředí. Nezdá se ale, že by došlo k nějakým škodám a iPhone si na nedostatek zájemců také rozhodně nemůže stěžovat. Nicméně již v současnosti by mohly být nástroje pro zneužití chyb Apple iPhone reálně k dispozici. Nakonec pro minulou verzi iPhonu se objevily už loni.

Kam směřuje mobilní Internet a jaká jsou jeho specifika v České republice? Čtivou analýzu Jiřího Peterky, vydanou při příležitosti konference Mobile Internet Forum 2008, si můžete přečíst v článcích Mobil a Internet: přátelé nebo protivníci? a Co vlastně můžeme očekávat od mobilního Internetu?.

Zdá se ale, že k reálným škodám letos přece jen nedošlo. Největším rizikem se tak zdají být ani ne tak konkrétní softwarové zranitelnosti, jako spíše phishing. Prohlížeče pro mobilní zařízení se musí nějak vypořádat s velikostí, respektive malostí displejů. Z toho pak vyplývá, že do adresního řádku se nevejde celá adresa nebo je vůbec zobrazována ve zkráceném tvaru, uživatel pak pořádně neví, na jaké stránce se nachází. Adresa banka.domena a banka.domena.pod­vodnadomena se dá snadno zaměnit. Zde mohlo ke škodám snadno dojít, ale a sotva se kdy přijde na to, zda si to uživatelé způsobili na mobilních přístrojích a ne při práci na PC. Tento problém je už de facto „v návrhu“, prohlížeče lze sice upravit, ale podstata zranitelností tohoto druhu nejspíš zůstane.

Trh se záškodnickým kódem

Proč tedy v rozporu s prognózami dosud mobilní telefony nepředstavují pro útočníky lákavější cíl? Zdá se, že i kybernetická kriminalita funguje jako určitý ekosystém, kde se různě vyměňují a prodávají kódy pro zneužití a metody útoků. Nejprve se toho všeho musí objevit nějaké kritické množství, aby se to pak dalo různě modifikovat a skládat. U mobilních zařízení k tomu letos ještě nedošlo.

Tip: zajímá vás, co je to phishing či botnet a jak se do vašeho počítače dostane škodlivý kód? Čtěte v článcích Jak se dělá phishing a Botnet: armáda phishingových otroků.

Pokud k tomu dojde příští rok, co z toho vyplyne? Jak se bude botnet z chytrých telefonů lišit od sítě PC? V první řadě je zde fakt, že na rozdíl od Internetu z PC se mobilní telefony používají k řadě placených služeb, které uživatel nemusí nijak potvrzovat (na rozdíl třeba od internetového bankovnictví; ono je to ale logické, kdo by chtěl před zavoláním autorizovat, že to opravdu chce?). Lze tedy očekávat, že se v pozměněné podobě vrátí čas dialerů se všemi spory, kdo za to může a kdo by to měl zaplatit.

Kdo ponese odpovědnost?

Zde mimochodem vyvstává otázka: pokud je uživatel odpovědný za dialer, neměl by být ale odpovědný i za to, že jeho PC je útočníkem zneužíváno k páchání jiných škod, rozesílání spamu či útokům DDoS? Nikdo ale s podobným návrhem pokud vím nepřišel, ačkoliv by to bylo vlastně logické; pokud je uživatel v případě dialeru odpovědný za škodu, kterou způsobí sám sobě, proč by měl být z obliga u škody způsobené někomu jinému?

U mobilních telefonů vyvstává vůbec otázka, jak bude celý ekosystém zabezpečení fungovat. Budou si nástroje a služby kupovat a instalovat a aktualizovat uživatelé, nebo provozovatelé služby či výrobci zařízení? Uživatelé se v tuto chvíli samozřejmě domnívají, že by to jejich starostí být nemělo, ale jak to nakonec dopadne, lze těžko říct.

Nakonec by tento problém mohl skončit tak, že by se třeba SMS zprávy přestaly platit a byly by účtovány paušálně, podobně jako dnes e-mail je v ceně připojení k Internetu a poskytovatel za každou poslanou zprávu také neúčtuje zvláštní poplatky. Pro operátora by to mohlo být jednodušší než řešit neustálé reklamace „to jsem neposlal já, to botnet“. Třeba k něčemu podobnému nakonec dojde i u hlasových služeb. V opačném případě hrozí vysátí peněženky uživateli ovládnutého telefonu mnohem více než u PC.

Anketa

Obáváte se, že by váš mobilní telefon mohl být na dálku zneužit a být zapojen do sítě botnetů?

Našli jste v článku chybu?

21. 10. 2008 12:47

Flasi (neregistrovaný)
Šťourale, vaše příspěvky mi často připadají tak, že soutěžíte o nejblbější příspěvek na Lupě. A dneska mi připadá, že jste vyhrál první cenu.

22. 10. 2008 21:24

vlabra (neregistrovaný)
Hmm, vy asi budete inteligent. A proč by nějaký program nemohl chtít nainstalovat Javu. Pokud vm to vadí tak ho nepoužívejte. A co aplikace co vyžadují .NET? Ty vám nevadí? Některé potřebují i třeba nějakou databázi, webový serverm komponenty třetích stran. Třeba takový jakýsi soubor s příponou xls co mi poslali z úřadu dokonce potřebuje jakýsi 400MB MS Ofiice. A věřil by ste tomu, že spusta programů potřebuje k běhu Windows?
Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Vitalia.cz: Pravda o přibírání na zimu

Pravda o přibírání na zimu

DigiZone.cz: Mňam TV splnila slib a odešla z DVB-T

Mňam TV splnila slib a odešla z DVB-T

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Měšec.cz: Vklad na cizí účet je draze zpoplatněn (přehled)

Vklad na cizí účet je draze zpoplatněn (přehled)

120na80.cz: Bojíte se encefalitidy?

Bojíte se encefalitidy?

Lupa.cz: Babiš: E-shopů se EET možná nebude týkat

Babiš: E-shopů se EET možná nebude týkat

Vitalia.cz: Vláknina: Rozpustná, nebo nerozpustná?

Vláknina: Rozpustná, nebo nerozpustná?

Vitalia.cz: Manželka je bio, ale na sex moc není

Manželka je bio, ale na sex moc není

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!

DigiZone.cz: Digi CZ výrazně zlevnila balíček HBO

Digi CZ výrazně zlevnila balíček HBO

Vitalia.cz: Tesco: Chudá rodina si koupí levné polské kuře

Tesco: Chudá rodina si koupí levné polské kuře

120na80.cz: Rakovina oka. Jak ji poznáte?

Rakovina oka. Jak ji poznáte?

Podnikatel.cz: EET zvládneme, budou horší zákony

EET zvládneme, budou horší zákony

Podnikatel.cz: Na poslední chvíli šokuje vyjímkami v EET

Na poslední chvíli šokuje vyjímkami v EET

Podnikatel.cz: 3, 2, 1..EET startuje. Na co nezapomenout?

3, 2, 1..EET startuje. Na co nezapomenout?