MTI
Az innovatív vírusgenerációé a jövő
A számítógépes vírusok hamarosan képesek lesznek arra, hogy más programok bitjeiből rakják össze magukat. Biológiai társaikhoz hasonlóan a számítógépes vírusok is ki vannak téve az evolúciós - "fegyverkezési" - verseny viszontagságainak. Ezeknek a programoknak, amelyek a korai 80-as évek óta irányítják magukra a szakmai közvélemény figyelmét, közismerten az az alapvető jellemzőjük, hogy saját magukat más gépekre másolva szaporodnak.
Mostanra azonban - más, rosszindulatú szoftverekkel szövetkezve - egy több milliárd dolláros iparág legfőbb "támogatóivá" váltak. A The Economistban megjelent írás szerint a haszonból egyaránt részesednek azok, akik vírusok segítségével lopják el a felhasználók információit, hogy így hajtsák azok gépeit a maguk irányítása alá, illetve azok, akik arra szakosodnak, hogy digitális védelmet fejlesszenek ki - és adjanak el jó pénzért - velük szemben. Nagy tehát a tét: a kártékony programok (malware-ek) egyre ügyesebben siklanak át az akadályokon, vagyis azokat a programokat, amelyeknek az a feladatuk, hogy észleljék őket, folyamatosan fejleszteni kell, hiszen csak így lehetnek képesek tartani a lépést az előbbiekkel.
Augusztus elején egy Bellevue-ben megrendezett konferencián - hogy az üzleti döntéshozók is tisztában legyenek vele, mit jelent ez a fajta "fegyverkezési" verseny - egy olyan tanulmányt ismertettek, amelynek középpontjában a vírusokat még megfoghatatlanabbá tévő innováció állt. A tanulmány szerzői - Vishwath Mohan és Kevin Hamlen a dallasi Texasi Egyetemről - Frankensteinnek nevezték el a programot. A horrorisztikus történet tudósa ugyanis (legalábbis a filmváltozatban) temetőkből és vágóhidakról begyűjtött testrészekből "varrta össze" a maga szörnyetegét - hasonlóan, mint ahogyan ez az "innovatív" vírus működik.
A digitális Frankenstein-verzió ártalmatlan programokat, például szövegszerkesztőket vagy a Windows szerves részét alkotó számológépet szkennelve működik, méghozzá úgy, hogy azok kis darabjaiból állítja össze a maga "játékszerét". Az ilyen programtöredékek kódolnak egy sor olyan alapvető műveletet, amelyeket a számítógép végrehajt: egy szám betöltését a memóriába, majd egy másik szám hozzáadását. Elég ezekből a kóddarabkákból szemezgetni, és a megfelelő sorrendbe rendezve őket máris össze lehet ütni egy olyan szoftvert, amely bármilyen elképzelt feladatot elvégez.
Frankenstein "szemantikai tervrajzzal" indul, vagyis annak az összefoglaló leírásával, hogy milyen feladat elvégzésére szánták a programot. Ezt követően tüzetesen átvizsgálja a gépen fellelhető kódarzenált, amíg össze nem áll belőle a szükséges utasításlista. Tanulmányában Mohan és Hamlen bizonyítja, hogy mindez megvalósítható egy-két egyszerű algoritmust összeállítani képes program birtokában, kizárólag a windows-os Explorer minialkalmazásaiból építkezve (ezek nem teljes értékű vírusok, de olyan eszközök, amelyeket egy víruskészítő hasznosnak fog találni).
Amellett, hogy technikailag tiszta, ez a megközelítés igen komoly előnyöket kínál a malware-ek íróinak. Természetes nyelven képes elkészíteni a maga "mondatait" a számítógépes kódban, amely - ha összetételét tekintve eltérő is - ugyanazt a jelentést közvetíti. Másként fogalmazva: egy programot többféle módon is meg lehet írni. Mivel Frankenstein célja, hogy algoritmusait minden alkalommal, amikor megfertőz egy új gépet, másik eszközkészletből állítsa össze, az eredményül létrejövő program minden korábbi változattól különbözni fog. Viszont a program minden változata pontosan ugyanúgy fog viselkedni.
A váltakozó programok ötlete önmagában nem számít új dolognak. A vírusírók már az 1990-es évek elején is előszeretettel alkalmaztak hasonló, ködösítő célú technikákat. Az úgynevezett polimorf vírusok titkosítást alkalmaznak saját kódolásukhoz. Ha a program ismétlődéseikor minden alkalommal új kulcsot használnak, az eredményül létrejövő halandzsa minden generáció esetében el fog térni az elődöktől. De a víruskereső programoknak sikerült a nyomukra akadniuk: a korszerűbbek arra a kis kódrészletre keresnek rá, amelyre szükség van a vírus visszafejtéséhez, és amelyet nehéz megbütykölni. Az összekevert számítógépes kódban is vannak olyan árulkodó jegyek, amelyeket képes detektálni a statisztikai elemzés.
Hamlenék ezt egy analógiával szemléltetik: képzeljünk el egy bankrablást, korlátlan számú símaszkkal; maga a rabló minden egyes bankrablás esetén más külsőt ölthet magára, de ez mit sem számít: ha valaki egy símaszkban lófrál egy bank körül, az mindig gyanús lesz. A szerzők úgy vélik, hogy a Frankenstein-módszerek ellehetetlenítik az ilyen felderítési stratégiákat. Mivel a program nincs titkosítva, a statisztikai módszerekkel semmi különöset nem lehet majd tapasztalni. Az pedig, hogy létrehozott utódai legitim programok darabkáiból állnak, segít megbolondítani a heurisztikus elven működő - az agyafúrt viselkedés nyomait kutató - víruskeresőket.
Potenciális gyengesége lehet ugyanakkor a szemantikai terv, amely generációkon át változatlan marad. De - magyarázzák Hamlenék - a terv önmagában nem számítógépes kód, csupán annak leírása, hogy mit kell csinálnia a generált kódnak. Hagyományos titkosítással biztonságosan el lehet rejteni a vírusirtó programok elől. Hogy kit érdekelhet ilyesmi? Mind a malware-ek íróit, mind pedig a vírusirtó cégeket. Mindazonáltal Wei Ming Khoo, a Cambridge-i Egyetem biztonsági kutatója - aki nem áll kapcsolatban a tanulmány szerzőivel - arra számít, hogy mivel a Frankenstein az előre telepített szoftverek kódjaira támaszkodik, korlátozott lehet a számítógépek közötti terjedésének képessége. Ez pedig kevésbé teszi majd vonzóvá az internetes bűnözők körében.
Másrészt viszont Khoo úgy gondolja, hogy az új megközelítés jó lehet célzott, rövid idejű támadásokhoz. Ebben az összefüggésben talán nem meglepő, hogy a tanulmány elkészítését részben az amerikai légierő támogatta. A szerzők finoman meg is jegyzik, hogy a program esetleg hasznosítható az "aktív védelem" kialakításakor. Ahogy egy brit rögbiedző fogalmazott: "Először mindig a válaszcsapással készülj el!". A brit hírmagazin szerint a kiberhadviselés mindig is sötét dolog volt, most pedig valamivel még sötétebb lehet.
Mostanra azonban - más, rosszindulatú szoftverekkel szövetkezve - egy több milliárd dolláros iparág legfőbb "támogatóivá" váltak. A The Economistban megjelent írás szerint a haszonból egyaránt részesednek azok, akik vírusok segítségével lopják el a felhasználók információit, hogy így hajtsák azok gépeit a maguk irányítása alá, illetve azok, akik arra szakosodnak, hogy digitális védelmet fejlesszenek ki - és adjanak el jó pénzért - velük szemben. Nagy tehát a tét: a kártékony programok (malware-ek) egyre ügyesebben siklanak át az akadályokon, vagyis azokat a programokat, amelyeknek az a feladatuk, hogy észleljék őket, folyamatosan fejleszteni kell, hiszen csak így lehetnek képesek tartani a lépést az előbbiekkel.
Augusztus elején egy Bellevue-ben megrendezett konferencián - hogy az üzleti döntéshozók is tisztában legyenek vele, mit jelent ez a fajta "fegyverkezési" verseny - egy olyan tanulmányt ismertettek, amelynek középpontjában a vírusokat még megfoghatatlanabbá tévő innováció állt. A tanulmány szerzői - Vishwath Mohan és Kevin Hamlen a dallasi Texasi Egyetemről - Frankensteinnek nevezték el a programot. A horrorisztikus történet tudósa ugyanis (legalábbis a filmváltozatban) temetőkből és vágóhidakról begyűjtött testrészekből "varrta össze" a maga szörnyetegét - hasonlóan, mint ahogyan ez az "innovatív" vírus működik.
A digitális Frankenstein-verzió ártalmatlan programokat, például szövegszerkesztőket vagy a Windows szerves részét alkotó számológépet szkennelve működik, méghozzá úgy, hogy azok kis darabjaiból állítja össze a maga "játékszerét". Az ilyen programtöredékek kódolnak egy sor olyan alapvető műveletet, amelyeket a számítógép végrehajt: egy szám betöltését a memóriába, majd egy másik szám hozzáadását. Elég ezekből a kóddarabkákból szemezgetni, és a megfelelő sorrendbe rendezve őket máris össze lehet ütni egy olyan szoftvert, amely bármilyen elképzelt feladatot elvégez.
Frankenstein "szemantikai tervrajzzal" indul, vagyis annak az összefoglaló leírásával, hogy milyen feladat elvégzésére szánták a programot. Ezt követően tüzetesen átvizsgálja a gépen fellelhető kódarzenált, amíg össze nem áll belőle a szükséges utasításlista. Tanulmányában Mohan és Hamlen bizonyítja, hogy mindez megvalósítható egy-két egyszerű algoritmust összeállítani képes program birtokában, kizárólag a windows-os Explorer minialkalmazásaiból építkezve (ezek nem teljes értékű vírusok, de olyan eszközök, amelyeket egy víruskészítő hasznosnak fog találni).
Amellett, hogy technikailag tiszta, ez a megközelítés igen komoly előnyöket kínál a malware-ek íróinak. Természetes nyelven képes elkészíteni a maga "mondatait" a számítógépes kódban, amely - ha összetételét tekintve eltérő is - ugyanazt a jelentést közvetíti. Másként fogalmazva: egy programot többféle módon is meg lehet írni. Mivel Frankenstein célja, hogy algoritmusait minden alkalommal, amikor megfertőz egy új gépet, másik eszközkészletből állítsa össze, az eredményül létrejövő program minden korábbi változattól különbözni fog. Viszont a program minden változata pontosan ugyanúgy fog viselkedni.
A váltakozó programok ötlete önmagában nem számít új dolognak. A vírusírók már az 1990-es évek elején is előszeretettel alkalmaztak hasonló, ködösítő célú technikákat. Az úgynevezett polimorf vírusok titkosítást alkalmaznak saját kódolásukhoz. Ha a program ismétlődéseikor minden alkalommal új kulcsot használnak, az eredményül létrejövő halandzsa minden generáció esetében el fog térni az elődöktől. De a víruskereső programoknak sikerült a nyomukra akadniuk: a korszerűbbek arra a kis kódrészletre keresnek rá, amelyre szükség van a vírus visszafejtéséhez, és amelyet nehéz megbütykölni. Az összekevert számítógépes kódban is vannak olyan árulkodó jegyek, amelyeket képes detektálni a statisztikai elemzés.
Hamlenék ezt egy analógiával szemléltetik: képzeljünk el egy bankrablást, korlátlan számú símaszkkal; maga a rabló minden egyes bankrablás esetén más külsőt ölthet magára, de ez mit sem számít: ha valaki egy símaszkban lófrál egy bank körül, az mindig gyanús lesz. A szerzők úgy vélik, hogy a Frankenstein-módszerek ellehetetlenítik az ilyen felderítési stratégiákat. Mivel a program nincs titkosítva, a statisztikai módszerekkel semmi különöset nem lehet majd tapasztalni. Az pedig, hogy létrehozott utódai legitim programok darabkáiból állnak, segít megbolondítani a heurisztikus elven működő - az agyafúrt viselkedés nyomait kutató - víruskeresőket.
Potenciális gyengesége lehet ugyanakkor a szemantikai terv, amely generációkon át változatlan marad. De - magyarázzák Hamlenék - a terv önmagában nem számítógépes kód, csupán annak leírása, hogy mit kell csinálnia a generált kódnak. Hagyományos titkosítással biztonságosan el lehet rejteni a vírusirtó programok elől. Hogy kit érdekelhet ilyesmi? Mind a malware-ek íróit, mind pedig a vírusirtó cégeket. Mindazonáltal Wei Ming Khoo, a Cambridge-i Egyetem biztonsági kutatója - aki nem áll kapcsolatban a tanulmány szerzőivel - arra számít, hogy mivel a Frankenstein az előre telepített szoftverek kódjaira támaszkodik, korlátozott lehet a számítógépek közötti terjedésének képessége. Ez pedig kevésbé teszi majd vonzóvá az internetes bűnözők körében.
Másrészt viszont Khoo úgy gondolja, hogy az új megközelítés jó lehet célzott, rövid idejű támadásokhoz. Ebben az összefüggésben talán nem meglepő, hogy a tanulmány elkészítését részben az amerikai légierő támogatta. A szerzők finoman meg is jegyzik, hogy a program esetleg hasznosítható az "aktív védelem" kialakításakor. Ahogy egy brit rögbiedző fogalmazott: "Először mindig a válaszcsapással készülj el!". A brit hírmagazin szerint a kiberhadviselés mindig is sötét dolog volt, most pedig valamivel még sötétebb lehet.