SG.hu

A jelszóval védett .zip fájlokba is belenéz a Microsoft vírusírtója

A cég felhőszolgáltatásába feltöltött tömörített anyagoknál nem számít, hogy az jelszóval van védve.

A Microsoft felhőszolgáltatásai rosszindulatú programok után kutatnak úgy, hogy belekukkantanak a felhasználók zip-fájljaiba, még akkor is, ha azok jelszóval védettek - vette észre több felhasználó. A fájlok tartalmának archivált zip-fájlokba tömörítése régóta alkalmazott taktika az ártó szándékú szereplőknél, hogy elrejtsék az e-mailben vagy letöltéseken keresztül terjedő rosszindulatú szoftvereket. Néhány zsarolóvírust használó szereplő a rosszindulatú zip-fájljait jelszóval is védi, amelyet a végfelhasználónak be kell írnia, amikor a fájlt visszaalakítja eredeti formájára. A Microsoft ezt a lépést azzal próbálja semlegesíteni, hogy megpróbálja megkerülni a zip-fájlok jelszavas védelmét, és ha ez sikerül, átvizsgálja azokat rosszindulatú kódok után.

Míg a Microsoft felhőkörnyezetében történő elemzés egyesek számára jól ismert, Andrew Brandt biztonsági szakembert meglepetésként érte. A kutató már régóta archivál rosszindulatú kódokat jelszóval védett zip-fájlok belsejében, és azokat SharePointon keresztül cseréli ki más kutatókkal. Fórumbejegyzése szerint a Microsoft együttműködési eszköze "fertőzöttnek" jelölt meg egy jelszóval védett zip-fájlt. "Bár a cselekedet célját malware-elemzőként teljesen megértem, de ez a fajta kíváncsiskodás egyben nagy probléma is a hozzám hasonló emberek számára, akiknek rosszindulatú mintákat kell küldeniük a kollégáiknak" - írta Brandt. "Az ehhez rendelkezésre álló módszerek egyre csak szűkülnek, és ez kihatással lesz a rosszindulatú szoftverek kutatóinak munkájára is."

A Microsoft többféle módszerrel is rendelkezik a jelszóval védett zip-fájlok tartalmának átvizsgálására, és ezeket nemcsak a SharePointban tárolt fájlokra, hanem az összes 365 felhőszolgáltatására alkalmazza. Az egyik módszer az, hogy az esetleges jelszavakat az e-mailek szövegéből vagy magából a fájl nevéből szerzik meg. (Tehát ha a .zip fájl neve az, hogy "ZipPasswordIsSoph0S" akkor a Microsoft algoritmusa simán belenéz.) Egy másik lehetőség az, hogy jelszólistával tesztelik a fájlt, hogy kiderüljön, hogy az az ott szereplő kifejezések valamelyikével védett-e. A Microsoft a OneDrive tárhelyen is figyeli a rosszindulatú fájlokat, és azokat akár a csatolt számítógép merevlemezéről is letörlik.

A Google bár nem vizsgálja a jelszóval védett zip-fájlokat, de a Gmail jelzi, ha a felhasználók ilyen fájlt kapnak.

A gyakorlati példa jól szemlélteti, hogy az online szolgáltatások milyen vékony határvonalon mozognak, amikor megpróbálják megvédeni a végfelhasználókat a fenyegetésektől, ugyanakkor tiszteletben kell tartaniuk a magánélet védelmét is. Egy jelszóval védett zip-fájl aktív feltörése agresszív megoldás, de ez a hozzáállás szinte biztosan rengeteg felhasználónál akadályozta meg, hogy azok áldozatul essenek a számítógépüket megfertőzni próbáló támadásoknak. Szintén ki kell emelni a hír kapcsán, hogy a jelszóval védett zip-fájlok minimális védelmet biztosítanak. A ZipCrypto, a zip-fájlok titkosításának alapértelmezett windowsos eszköze könnyedén feltörhető, sokkal megbízhatóbb megoldás a sok archiválóprogramba beépített AES-256 titkosító használata.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • ximix #7
    Amit nem értettem soha a .zip-ben és ezért nem is használtam, az az hogy ha pl egy videót, egy képet, és egy .gif-et beletettem egy mappába, majd tömörítettem TotalComanderrel, bepipálva a titkosítás opciót, majd a jelszót megadva elkészült a .zip fájl, akkor az elkészült jelszóval védett .zip-be beletudtam nézni látom a tartalmát, persze a képeket videót nem tudom megnézni.
    Így elsőre érzésre nem lehet, hogy ez a Miki vírus kereső csak a fájl név alapján keresgél vírusokat ?
  • RJoco #6
    Mit kell itt sírni.
    Ha annyira profi, akkor becsomagolja jelszóval zip-be, aztán azt becsomagolja jelszóval rar-ba, összedarabolva. Aztán ezt rakja össze az MS és fejtse meg a jelszót. Ezen kívül rengeteg más tömörítési eljárás van. Tekintve, hogy nekik nem az ártás számít, ez nem lehet gond.

    Az MS ezen lépésével egyelőre nem tudok mit kezdeni.
    Ha tényleg csak egy program átvizsgálja, de tényleges adatot nem gyűjt és főleg nem tárol a fájlokról és tartalmaikról, akkor különösebben nem érdekel.
  • M0RN1NGST4R #5
    A kvantumszámítógépek az aszimmetrikus kulcsok visszafejtésében jeleskednek. Megfelelő erősségű jelszót használó AES titkosítással szemben nincs számottevő előnyük a feltörésben.
  • Ellaberin #4
    ....ja és nem nem csak az MS; hanem mindenki, akit érdekel az adott adatforgalom.....
  • Ellaberin #3
    " Egy jelszóval védett zip-fájl aktív feltörése agresszív megoldás"
    Igen és, mint harmadik személynek a felhasználó engedélye nélkül egy ilyen cselekedet akár GDPR-be vagy adott eula-ba, vagy akár törvénybe is ütköző lehet.
    Mondhatjuk persze, hogy bűn megelőzés pl., de tudtommal az MS semmilyen nemzetközi bűnüldözői jogkörrel nem rendelkezik.
    Olyat persze megtehet, hogy kizárja az általa nem betekinthető fájlokat, de, akkor kb a felhős szolgáltatása ingyen se kellene.

    Minden esetre használjunk más tömörítőt és titkosítást, no meg ne töltögessünk a tömörítvény nevébe beleírt passwordos cuccokat, mert ott valami sántít. Ha minden áron passwordos tömörítvényeket akarunk letölteni vagy küldeni a hozzájuk tartozó jelszót küldjük egy külön állományban. De mindinkább használjunk nem Windows-os titkosítást.

    Azon azért jót mosolyogtam, hogy pont egy ilyen "szakértő" van vakon, hogy mibe mászik bele az MS. (Suttogva mondom: mindenbe, amibe csak tud :P)
  • kvp #2
    A dictionary attack mellett hasznalhatnak meg brute force-ot is vagy ha a microsoft-nak van egy kis esze, akkor a gyari zip tomorito be is csomagolhatja a megadott jelszot a microsoft digitalis alairasaval titkositva a zip file-ba magaba kiseroinfokent, igy csak a microsoft tudja kinyitni azt.

    Ezt az utobbi megoldast hasznalja az apple felhos rendszere, ahol az adatok ugyan titkositva mozognak, de az apple megkapja a feloldo kulcsot a sajat kulccsaval tiktositva, igy barmelyik file-t fel tudja oldani ha akarja. Hasonlo beepitett backdoor-t szeretett volna anno a 2000-es evek elejen tobb allam is telepiteni (pl. a franciak), de a legtobb termek eseten nem volt eleg hatalmuk hozza. A multinacionalis cegeknek ezzel szemben ez mostanra mar megvan.
  • zola2000 #1
    Na igen, ha egyszerű a jelszó akkor másodpercek alatt feltörik, míg ha aes256os és bonyolult akkor ebben az évszázadban nem törik fel, kivéve ha quantum számítógép jön.