Gyurkity Péter

Ismét rootkitet használ a Sony?

A Sonyt ismét azzal vádolják, hogy egyes termékeiben rootkit-szerű szoftver lapul, amely rejtett könyvtárakon és fájlokon keresztül azonosítja a felhasználót. A könyvtárhoz csak a Sony és a potenciális támadók férnek hozzá.

A vádló ezúttal az F-Secure, amely egy véletlen teszt során figyelt fel a MicroVault USM-F sorozatba tartozó memóriakártyákra. A biztonsági cég több ilyen terméket rendelt és kiderült, hogy mindegyiknél azonos riasztást kapnak, ami további vizsgálódásra sarkallta a szakértőket. Rövid időn belül világossá vált, hogy a beépített ujjlenyomat-olvasóval érkező USB-s kártyák szoftvere kissé furcsa módon telepíti önmagát a vásárlók számítógépeire.

Az akár 10 különböző ujjlenyomatot is eltároló eszköz szoftvere ugyanis alapesetben egy rejtett könyvtárat hoz létre a c:\windows\ mappán belül, amelyhez a felhasználó nem férhet hozzá. A könyvtárba kizárólag a parancssoron keresztül léphetünk be, ha tudjuk a nevét, egyébként hiába próbálkozunk a Windows fájlkezelő megoldásaival. Ily módon csak a cég, valamint a támadó szándékkal fellépő profik férhetnek hozzá a könyvtárhoz, amelyet felhasználva hátsó kapukat alakíthatnak ki a rendszerbe történő bejutáshoz. Emlékezhetünk arra, hogy a Sony pont egy ilyen megoldás miatt került bajba a zenei CD-knél is.


Az F-Secure elismeri, hogy a felhasználók azonosítására használt ujjlenyomatokat nyilván nem tárolhatják könnyen olvasható fájlokban, ám ez a rootkit-szerű megoldás nem elfogadható módszer. A könyvtárhoz ugyanis nemcsak az átlagfelhasználó, hanem több vírusirtó sem fér hozzá, így könnyen felhasználható kártevők terjesztéséhez, hátsó kapu kialakításához, pontosan úgy, ahogy ez az XCP-másolásvédelem esetében is történt. Innentől kezdve pedig csak idő kérdése, hogy mikor bukkan fel az első erre épülő kártevő.

A biztonsági cég az eredmények közlése előtt értesítette a Sonyt, ám a gyártó egyelőre nem volt hajlandó kommentálni a felfedezést. Az F-Secure blogjában megjegyezték, hogy régebbi termékről van szó, amelyet talán már nem is gyártanak, ám a boltok polcain még bőven található a sorozat darabjaiból.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • dez #30
    (Például a driverek sem.)
  • dez #29
    Tudtommal csomó minden nem látszik a task managerben.
    Csak az amatőr vírusok okoznak feltűnő lassulásokat.
    Mellesleg itt igazából nem csak a vírusokról beszélünk, hanem az összes nemkívánatos programról.
  • BiroAndras #28
    Ha a task managerben nem látszik, akkor az már rootkit. Nem hallottam olyan vírusról, ami erre képes lenne (de ettől persze még lehet). De még ha nem is látszik, akkor is ott a tűzfal (persze az is kikerülhető, ha már az ember a kernelben csücsül). És ha csinálni is akar valami "hasznosat", akkor az alapján fogok gyanűt, hogy csökken a gép teljesítménye, vagy a lassú a net.
  • dez #27
    Ha pl. egy NOD32 nem ismeri, akkor ügyesebb vírusról kell szó legyen, mint amit simán láthatsz a task managerben..
  • BiroAndras #26
    "Kivéve, amit nem. Tudod, nem minden vírus indít azzal, hogy dadadadaaam, hahó, itt vagyok! :)"

    Azért egy idő után észre lehet venni a vírusokat, ha az ember ismeri a gépét. A legtöbbször pl. a tűzfal beszól amikor megpróbál a nethez hozzáférni. Meg általában látszik a task manager-ben is.
  • BiroAndras #25
    "Windows-ban admin jogokkal simán lehet olyan könyvtárat létrehozni, amit csak te láthatsz (a te usered). Csak le kell szedni a SYSTEM és az Administrators csoportot az file security-jában. Ok az más kérédés, hogy az admin userek egy change owener-el átírhatják, de ha ezt megcsinálod, az admin csoport tagjai oda nem tudnak belépni, és mivel a legtöbb vírusíró SYSTEM-userrel ful, ők sem látják. Jó kis secure MS rendszerek!"

    Nos, ez nem biztonsági probléma. Ugyanis ahhoz, hogy ilyen könyvtárat létrehozzon, a támadónak admin jogokkal kell rendelkeznie, akkor pedig már régen vesztettél. Viszont ez a lehetőség kiválóan alkalmas a vírusok letakarítására, mert ha a fájljairól leveszed a SYSTEM jogokat, akkor nem fog automatikusan elindulni. És ha nem indult el, akkor nem tudja védeni magát, vagyis simán letörölheted.
    Egyébként itt nem erről van szó, mert attól, hogy a win-nek nincs joga az adott könyvtárhoz, a júzer simán láthatja bármelyik fájlkezelővel, mert az a júzer jogaival fut. Nem is egyszerű rejtett könyvtárról van szó, mert az nem zavarná a víruskeresőket.
    Lehet, hogy rendszerfájlnak álcázták a könyvtárat (ez esetben a "show hidden files" bekapcsolása nem elég ahhoz, hogy lássa a júzer), ez lehet, hogy megzavarja a bénább víruskeresőket. Ennél komolyabb elrejtéshez már tényleg rootkit kell.
  • dez #24
    Kivéve, amit nem. Tudod, nem minden vírus indít azzal, hogy dadadadaaam, hahó, itt vagyok! :)
  • BiroAndras #23
    "A NOD32? Ne nevetess. Én a múlt hétig azt használtam, amíg nem vettem észre, hogy egy vírus fut a gépemen"

    A NOD32 minden tesztben az élen szokott végezni, úgyhogy nem lehet annyira rossz. Nálam eddig mindent megfogott.
  • BiroAndras #22
    "Alapvetően az a csúnya, hogy ilyet EGYÁLTALÁN létre lehet hozni, tehát hogy az OS engedi egy koszos szar senkiházi kis programnak az ilyen szintű hozzáférést."

    Nem akárkinek engedi. Nyílván admin jogokkal kell futnia, hogy működjön. Az adminnak meg ugye elvben mindenhez van joga. Na, pont ezért van a Vistában az UAC, és társai.
  • Grifidos #21
    Van néhány jópofa titkosító progi amit, ha pen/flash drive-ra telepítesz a drive-ból csinál "hardware kulcsot" ami nélkül a rendszeren létrehozott könyvtár gyakorlatilag láthatatlan lesz.