SG.hu
Könnyen kijátszható az összes vírusirtó
Ha egy unatkozó informatikus néhány óra alatt képes egyszerű technikákkal kijátszani közel félszáz ismert vírusirtót, az aggasztó az adatvédelemre nézve. Ha erre van olyan gyártó, amelyik csak legyint, az már elég ijesztő.
Bár a legtöbb informatikus tisztában van azzal, hogy az antivírus szoftverek nem tökéletesek, de hogy mekkora energiával játszhatók ki, eddig nem igazán vizsgálták. Marosi Attila IT-biztonsági szakértő azonban egyszerű, az interneten is könnyedén fellelhető technikák segítségével 10-12 óra alatt kijátszott 46 vírusirtót és nem mellesleg a tűzfalakat is. "A tesztelés során egy ún. Metasploit shell_reverse_tcp-t használtam, amely távoli hozzáférést biztosít a támadó részére. Ez egy, az IT biztonsággal foglalkozó közösségek által jól ismert kártevő, amire az antivírusok rendre riasztanak is a teszteken. Ha egy ennyire ismert programot sikerül elrejteni, akkor nagy probléma van, márpedig a vizsgált 46 vírusirtó nem riasztott” – magyarázta Marosi Attila, a konferencia előadója.
Ezt követően a szakember tovább vizsgálódott, és a 9 legnépszerűbb vírusirtó esetében egy futtatási tesztet is végrehajtott. Az eredmények azonban itt sem voltak éppen meggyőzőek: csupán három antivírus riasztott, és közülük is csak kettő blokkolta a tevékenységet. A szakember szerint annak oka, hogy a legegyszerűbb módszerekkel sikerül megkerülni a vírusirtók többségét az, hogy az antivírus programok nem tartalmazzák azokat a funkciókat, amiket a gyártók állítanak, vagy rendelkeznek ugyan velük, de azok csak „bizonyos csillagállás” mellett működnek, így könnyen kijátszhatók.
"Volt olyan gyártó, akinek átküldtem a megoldást, amivel megkerültem a vírusirtójukat és a tűzfalukat, a válasz azonban az volt, hogy ez nem hiba, mert tudnak rá szignatúrát írni. Ez azonban nem igaz, hisz ez a minta csupán addig működik, amíg meg nem változtatom a kódot. Persze volt olyan gyártó is, aki megdöbbent az eredményen, és igyekszik kiküszöbölni a hibákat” – mondta az IT-biztonsági szakember.
Marosi Attila szerint megoldást a tényleges elszeparálás jelenthet, és már van is olyan operációs rendszer, amelyben kikapcsolható az ismeretlen forrásból származó vagy aláírással nem rendelkező alkalmazások futtatása. Emellett pedig a szignatúra alapú felismerés mellett még nagyobb figyelmet kellene fordítani a kártékony programok valós idejű detektálására, amiben még bőven van hová fejlődniük a vírusirtóknak. Ugyanakkor a különféle teszteknek is ebbe az irányba kellene elmozdulniuk. „A legtöbb teszten olyan attribútumok kapnak kiemelt figyelmet, mint például a gyorsaság – magyarázta Marosi Attila. – Ha azonban a számítógépen van egy üzleti terv, aminek az eltulajdonítása több milliós veszteséget jelent, akkor érdemes elgondolkodni, hogy tényleg olyan fontos-e a vírusirtók között meglévő néhány százalékos sebességkülönbség.”
A tesztelés során Marosi Attila a Metasploit shell_reverse_tcp-t az interneten könnyen elérhető, viszonylag egyszerű módszerek segítségével „csomagolgatta”, hogy elrejtse az antivírus rendszerek elől. Ezt követően a virustotal.com-on végzett egy online szkennelési tesztet, melyen a 46 tesztelhető vírusirtóból egyetlen egy sem jelezte a problémát. A teszteket a 9 legnépszerűbb vírusirtó esetében megismételte virtuális gépeken, valós környezetben is, ahol a már futó kártékony programra is csupán három jelezte, hogy gyanús viselkedést észlel. Bár két antivírus blokkolta is a futtatást, meghatározni ezek sem tudták, hogy mi is a kártékony kód. A végső megoldással ráadásul a tűzfalakat is sikerült kijátszania, ami azt bizonyítja, hogy ezeket az alkalmazásokat egymáshoz képest a legtöbb gyártó nem védi.
Bár a legtöbb informatikus tisztában van azzal, hogy az antivírus szoftverek nem tökéletesek, de hogy mekkora energiával játszhatók ki, eddig nem igazán vizsgálták. Marosi Attila IT-biztonsági szakértő azonban egyszerű, az interneten is könnyedén fellelhető technikák segítségével 10-12 óra alatt kijátszott 46 vírusirtót és nem mellesleg a tűzfalakat is. "A tesztelés során egy ún. Metasploit shell_reverse_tcp-t használtam, amely távoli hozzáférést biztosít a támadó részére. Ez egy, az IT biztonsággal foglalkozó közösségek által jól ismert kártevő, amire az antivírusok rendre riasztanak is a teszteken. Ha egy ennyire ismert programot sikerül elrejteni, akkor nagy probléma van, márpedig a vizsgált 46 vírusirtó nem riasztott” – magyarázta Marosi Attila, a konferencia előadója.
Ezt követően a szakember tovább vizsgálódott, és a 9 legnépszerűbb vírusirtó esetében egy futtatási tesztet is végrehajtott. Az eredmények azonban itt sem voltak éppen meggyőzőek: csupán három antivírus riasztott, és közülük is csak kettő blokkolta a tevékenységet. A szakember szerint annak oka, hogy a legegyszerűbb módszerekkel sikerül megkerülni a vírusirtók többségét az, hogy az antivírus programok nem tartalmazzák azokat a funkciókat, amiket a gyártók állítanak, vagy rendelkeznek ugyan velük, de azok csak „bizonyos csillagállás” mellett működnek, így könnyen kijátszhatók.
"Volt olyan gyártó, akinek átküldtem a megoldást, amivel megkerültem a vírusirtójukat és a tűzfalukat, a válasz azonban az volt, hogy ez nem hiba, mert tudnak rá szignatúrát írni. Ez azonban nem igaz, hisz ez a minta csupán addig működik, amíg meg nem változtatom a kódot. Persze volt olyan gyártó is, aki megdöbbent az eredményen, és igyekszik kiküszöbölni a hibákat” – mondta az IT-biztonsági szakember.
Marosi Attila szerint megoldást a tényleges elszeparálás jelenthet, és már van is olyan operációs rendszer, amelyben kikapcsolható az ismeretlen forrásból származó vagy aláírással nem rendelkező alkalmazások futtatása. Emellett pedig a szignatúra alapú felismerés mellett még nagyobb figyelmet kellene fordítani a kártékony programok valós idejű detektálására, amiben még bőven van hová fejlődniük a vírusirtóknak. Ugyanakkor a különféle teszteknek is ebbe az irányba kellene elmozdulniuk. „A legtöbb teszten olyan attribútumok kapnak kiemelt figyelmet, mint például a gyorsaság – magyarázta Marosi Attila. – Ha azonban a számítógépen van egy üzleti terv, aminek az eltulajdonítása több milliós veszteséget jelent, akkor érdemes elgondolkodni, hogy tényleg olyan fontos-e a vírusirtók között meglévő néhány százalékos sebességkülönbség.”
A tesztelés során Marosi Attila a Metasploit shell_reverse_tcp-t az interneten könnyen elérhető, viszonylag egyszerű módszerek segítségével „csomagolgatta”, hogy elrejtse az antivírus rendszerek elől. Ezt követően a virustotal.com-on végzett egy online szkennelési tesztet, melyen a 46 tesztelhető vírusirtóból egyetlen egy sem jelezte a problémát. A teszteket a 9 legnépszerűbb vírusirtó esetében megismételte virtuális gépeken, valós környezetben is, ahol a már futó kártékony programra is csupán három jelezte, hogy gyanús viselkedést észlel. Bár két antivírus blokkolta is a futtatást, meghatározni ezek sem tudták, hogy mi is a kártékony kód. A végső megoldással ráadásul a tűzfalakat is sikerült kijátszania, ami azt bizonyítja, hogy ezeket az alkalmazásokat egymáshoz képest a legtöbb gyártó nem védi.