SG.hu
A jelszóval védett .zip fájlokba is belenéz a Microsoft vírusírtója
A cég felhőszolgáltatásába feltöltött tömörített anyagoknál nem számít, hogy az jelszóval van védve.
A Microsoft felhőszolgáltatásai rosszindulatú programok után kutatnak úgy, hogy belekukkantanak a felhasználók zip-fájljaiba, még akkor is, ha azok jelszóval védettek - vette észre több felhasználó. A fájlok tartalmának archivált zip-fájlokba tömörítése régóta alkalmazott taktika az ártó szándékú szereplőknél, hogy elrejtsék az e-mailben vagy letöltéseken keresztül terjedő rosszindulatú szoftvereket. Néhány zsarolóvírust használó szereplő a rosszindulatú zip-fájljait jelszóval is védi, amelyet a végfelhasználónak be kell írnia, amikor a fájlt visszaalakítja eredeti formájára. A Microsoft ezt a lépést azzal próbálja semlegesíteni, hogy megpróbálja megkerülni a zip-fájlok jelszavas védelmét, és ha ez sikerül, átvizsgálja azokat rosszindulatú kódok után.
Míg a Microsoft felhőkörnyezetében történő elemzés egyesek számára jól ismert, Andrew Brandt biztonsági szakembert meglepetésként érte. A kutató már régóta archivál rosszindulatú kódokat jelszóval védett zip-fájlok belsejében, és azokat SharePointon keresztül cseréli ki más kutatókkal. Fórumbejegyzése szerint a Microsoft együttműködési eszköze "fertőzöttnek" jelölt meg egy jelszóval védett zip-fájlt. "Bár a cselekedet célját malware-elemzőként teljesen megértem, de ez a fajta kíváncsiskodás egyben nagy probléma is a hozzám hasonló emberek számára, akiknek rosszindulatú mintákat kell küldeniük a kollégáiknak" - írta Brandt. "Az ehhez rendelkezésre álló módszerek egyre csak szűkülnek, és ez kihatással lesz a rosszindulatú szoftverek kutatóinak munkájára is."
A Microsoft többféle módszerrel is rendelkezik a jelszóval védett zip-fájlok tartalmának átvizsgálására, és ezeket nemcsak a SharePointban tárolt fájlokra, hanem az összes 365 felhőszolgáltatására alkalmazza. Az egyik módszer az, hogy az esetleges jelszavakat az e-mailek szövegéből vagy magából a fájl nevéből szerzik meg. (Tehát ha a .zip fájl neve az, hogy "ZipPasswordIsSoph0S" akkor a Microsoft algoritmusa simán belenéz.) Egy másik lehetőség az, hogy jelszólistával tesztelik a fájlt, hogy kiderüljön, hogy az az ott szereplő kifejezések valamelyikével védett-e. A Microsoft a OneDrive tárhelyen is figyeli a rosszindulatú fájlokat, és azokat akár a csatolt számítógép merevlemezéről is letörlik.
A Google bár nem vizsgálja a jelszóval védett zip-fájlokat, de a Gmail jelzi, ha a felhasználók ilyen fájlt kapnak.
A gyakorlati példa jól szemlélteti, hogy az online szolgáltatások milyen vékony határvonalon mozognak, amikor megpróbálják megvédeni a végfelhasználókat a fenyegetésektől, ugyanakkor tiszteletben kell tartaniuk a magánélet védelmét is. Egy jelszóval védett zip-fájl aktív feltörése agresszív megoldás, de ez a hozzáállás szinte biztosan rengeteg felhasználónál akadályozta meg, hogy azok áldozatul essenek a számítógépüket megfertőzni próbáló támadásoknak. Szintén ki kell emelni a hír kapcsán, hogy a jelszóval védett zip-fájlok minimális védelmet biztosítanak. A ZipCrypto, a zip-fájlok titkosításának alapértelmezett windowsos eszköze könnyedén feltörhető, sokkal megbízhatóbb megoldás a sok archiválóprogramba beépített AES-256 titkosító használata.
A Microsoft felhőszolgáltatásai rosszindulatú programok után kutatnak úgy, hogy belekukkantanak a felhasználók zip-fájljaiba, még akkor is, ha azok jelszóval védettek - vette észre több felhasználó. A fájlok tartalmának archivált zip-fájlokba tömörítése régóta alkalmazott taktika az ártó szándékú szereplőknél, hogy elrejtsék az e-mailben vagy letöltéseken keresztül terjedő rosszindulatú szoftvereket. Néhány zsarolóvírust használó szereplő a rosszindulatú zip-fájljait jelszóval is védi, amelyet a végfelhasználónak be kell írnia, amikor a fájlt visszaalakítja eredeti formájára. A Microsoft ezt a lépést azzal próbálja semlegesíteni, hogy megpróbálja megkerülni a zip-fájlok jelszavas védelmét, és ha ez sikerül, átvizsgálja azokat rosszindulatú kódok után.
Míg a Microsoft felhőkörnyezetében történő elemzés egyesek számára jól ismert, Andrew Brandt biztonsági szakembert meglepetésként érte. A kutató már régóta archivál rosszindulatú kódokat jelszóval védett zip-fájlok belsejében, és azokat SharePointon keresztül cseréli ki más kutatókkal. Fórumbejegyzése szerint a Microsoft együttműködési eszköze "fertőzöttnek" jelölt meg egy jelszóval védett zip-fájlt. "Bár a cselekedet célját malware-elemzőként teljesen megértem, de ez a fajta kíváncsiskodás egyben nagy probléma is a hozzám hasonló emberek számára, akiknek rosszindulatú mintákat kell küldeniük a kollégáiknak" - írta Brandt. "Az ehhez rendelkezésre álló módszerek egyre csak szűkülnek, és ez kihatással lesz a rosszindulatú szoftverek kutatóinak munkájára is."
A Microsoft többféle módszerrel is rendelkezik a jelszóval védett zip-fájlok tartalmának átvizsgálására, és ezeket nemcsak a SharePointban tárolt fájlokra, hanem az összes 365 felhőszolgáltatására alkalmazza. Az egyik módszer az, hogy az esetleges jelszavakat az e-mailek szövegéből vagy magából a fájl nevéből szerzik meg. (Tehát ha a .zip fájl neve az, hogy "ZipPasswordIsSoph0S" akkor a Microsoft algoritmusa simán belenéz.) Egy másik lehetőség az, hogy jelszólistával tesztelik a fájlt, hogy kiderüljön, hogy az az ott szereplő kifejezések valamelyikével védett-e. A Microsoft a OneDrive tárhelyen is figyeli a rosszindulatú fájlokat, és azokat akár a csatolt számítógép merevlemezéről is letörlik.
A Google bár nem vizsgálja a jelszóval védett zip-fájlokat, de a Gmail jelzi, ha a felhasználók ilyen fájlt kapnak.
A gyakorlati példa jól szemlélteti, hogy az online szolgáltatások milyen vékony határvonalon mozognak, amikor megpróbálják megvédeni a végfelhasználókat a fenyegetésektől, ugyanakkor tiszteletben kell tartaniuk a magánélet védelmét is. Egy jelszóval védett zip-fájl aktív feltörése agresszív megoldás, de ez a hozzáállás szinte biztosan rengeteg felhasználónál akadályozta meg, hogy azok áldozatul essenek a számítógépüket megfertőzni próbáló támadásoknak. Szintén ki kell emelni a hír kapcsán, hogy a jelszóval védett zip-fájlok minimális védelmet biztosítanak. A ZipCrypto, a zip-fájlok titkosításának alapértelmezett windowsos eszköze könnyedén feltörhető, sokkal megbízhatóbb megoldás a sok archiválóprogramba beépített AES-256 titkosító használata.