Несколько дней назад мы писали о Cabir, первом в истории вирусе для смартфона или, скорее, для определенной мобильной программной платформы. Эта платформа была известна как Symbian, и не знаю, к добру или к худу, но она уже стала историей.
Прямо на следующий день всплыла новая история, с Cabir не связанная, зато непосредственно относящаяся к самой Symbian и информационной безопасности в целом. Поэтому, считаю, этот «детективный триллер» стоит пересказа.
Финский телеканал MTV (не путать с глобальным музыкальным телевидением) взорвал эфир, сообщив, что финская полиция ведет расследование дела о шантаже с Nokia в качестве потерпевшей стороны.
Инцидент произошел примерно шесть лет назад — в конце 2007 года. Подробностей довольно мало, но, по-видимому, некто получил доступ к «исходникам части операционной системы», если верить Reuters, или, скорее, ключам шифрования «основной части программного обеспечения Nokia Symbian». Преступник тогда пригрозил обнародовать информацию, если ему не выплатят кругленькую сумму.
В этом месте давайте чуть притормозим. Чем бы обернулось обнародование этого ключа? Если просто и понятно, то вирусописатели должны были получить возможность обходить любую защиту и создавать всякие вредоносные программы и руткиты с доступом к функциям, критичным для обеспечения безопасности. Мечта киберпреступника.
Некто угрожал обнародовать ключ шифрования Symbian, если Nokia не заплатит.
Tweet
В то время текущая версия SymbianSeries 60 3rd Edition (S60v3), улучшенная версия Symbian OS 9.1, разработанной компанией, была оснащена системой PlatformSecurity, впервые представленной в версии 0.91 (в конце 2005 г.).
Как известно, данная система, которая ввела цифровые подписи для некоторых API, была ответом Nokia на зарождающуюся проблему мобильного вредоносного софта. Компания внедрила обязательные подписи кода и запустила программу сертификации, в рамках которой разработчики могли предоставлять свои приложения для тестирования и одобрения компанией. Сертифицированные приложения смогли получить доступ к «более серьезным возможностям» или «API Java для служебного пользования» и отображали меньше предупреждений пользователям, пишет Computerworld.
Злоумышленники с доступом к ключу цифровой подписи Symbian могли бы использовать его для регистрации собственных приложений и обхода средств защиты, так как система принимала бы их за легальные. Проблема еще усугублялась тем, что украденный ключ не так легко было аннулировать после утечки, так как Symbian OS не проверяла цифровые подписи на валидность. А с учетом того, что для Symbian в ту пору не имелось ничего похожего на централизованные магазины приложений вроде iTunes или Google Play, и приложения тогда обычно загружали откуда ни попадя, могло все закончиться очень и очень плохо. В интервью Computerworld Виктор Яблоков, глава мобильного отдела «Лаборатории Касперского», сказал, что если бы такой ключ украли, то два года разработки Symbian 9 пошли бы псу под хвост.
Очевидно, Nokia, доля которой на рынке в то время была еще большой, но уже сокращалась (с 73% в 2006 году до 52,4% в 2008 году), пришлось выбирать между плохим и очень плохим. Решение о выплате выкупа было принято на самом верху.
Преступник немного поиграл в Робина Гуда и потребовал, чтобы половину суммы выкупа отдали на благотворительность, а вторую половину доставили на автостоянку в финском городе Тампере. Nokia выполнила условия, но полиция была предупреждена.
Nokia пришлось выбирать между плохим и очень плохим. Было решено заплатить выкуп.
Tweet
В ночь передачи денег, однако, злоумышленник просто взял сумку с «несколькими миллионами евро» и скрылся: полиция почти сразу потеряла его из вида.
Позднее уже Nokia предполагала, что лицо, ответственное за вымогательство 2008 года было «гражданином Финляндии, участвовавшим в разработке пользовательского интерфейса [Symbian]», что означает, что у полиции есть достаточно четкие приметы подозреваемого по делу. Но до сих пор ни о каких задержаниях неизвестно.
Кроме того, Nokia, должно быть, не единственный раз платила людям, находившим определенные уязвимости в программном обеспечении, аппаратных средствах или сервисах, из опасения, что баги станут достоянием общественности. Эти выплаты, однако, были «менее серьезными», чем тот выкуп вышеупомянутому «неуловимому шантажисту». Тем не менее, похоже, Nokia потратила целое состояние, чтобы данные не предали огласке.
Чем же все закончилось? Все мы хорошо знаем, что Symbian мертв или уж, скорее, станет таковым в 2016 году. Согласно договору аутсорсинга, заключенного в 2011 году, компания Accenture теперь займется разработкой программного обеспечения под Symbian до 2016 года. Но последний Symbian-смартфон был выпущен в 2012 году, и больше их не предвидится.
Nokia перешла на платформу Microsoft Phone и, в конечном счете, продала бизнес мобильных телефонов в Microsoft целиком — сделка была закрыта в начале этого года. В прошлом крупнейший мировой производитель телефонов стал подразделением корпорации, имеющей довольно скромные достижения на мобильном рынке.
Конечно, утверждать, что несчастья Nokia прямо следуют из того инцидента на стоянке в Тампере, будет необоснованно в лучшем случае. Отречение Nokia было вызвано множеством разных факторов. Но эта история является примером явно многократного неправильного обращения с конфиденциальными данными и их плохой защиты. Подобная дурная практика не могла не внести свой вклад в конечный результат.
Кстати, что случилось с тем кодом, которым, предположительно, владел шантажист, неясно. Общее число ориентированных на Symbian вредоносных программ является относительно не велико по сравнению с Android. Притом, что украденный ключ шифрования действительно мог позволить создать внушительный набор вредоносных программ для Symbian, до сих пор ничего подобного не произошло.