Az idén május 4. és 5. között Budapesten gyűlt össze mintegy 110 profi szakember, hogy a vírusvédelem, a kártevőkkel folytatott harc kapcsán megossza egymással gondolatait, és valóban, az előadások között volt néhány különösen figyelemre méltó is. Mi most egy rövid képes összefoglalóval, egy-két gondolattal szeretnénk megemlékezni a Budapesten tartott CARO (Computer Antivirus Researchers Organization) 2009 konferenciáról.

Kicsit késve, de nem múló lelkesedéssel számolhatok be az eseményről.

Ami most a poszt íráskor kifejezetten vicces, hogy korábbi sajtóközlemények, és azt azt átvevő portálok szerint Jimmy Shah volt a hétfői nyitó nap első előadója.

Lévén, hogy én is ott voltam, és a saját szememnek jobban hiszek, mint a sajtó közleményeknek, továbbá beszélgettem is Jimmyvel, sőt névjegyet is váltottunk, nos nem ő volt a hétfői első előadó, hanem Righard J. Zwienenberg a Normantól. (Már jeleztem e-mailben a dolgot az illetékeseknek, ami után rövidesen kijavították a weboldalon.) Előadásában az exploitok veszélyeiről beszélt, ezek ugyanis egyre nagyobb szerepet játszanak a biztonsággal foglalkozó cégek életében.

Utána következett a román Marian Radu a Microsoft kutatóközpottól, és a PDF állományokkal kapcsolatos sebezhetőségekről volt szó, ami mondhatjuk, napjaink egyik slágere. Igen sok rés van az Adobe termékekben, és rengeteg olyan rosszindulatú weboldal van, ahol pont ilyen preparált PDF állományokat helyeznek el a gyanútlan látogatók megfertőzésére.

A McAfee szineiben Anthony Bettini következett, aki nulladik napi támadásokról tartott előadást. Többek közt arról is szó esett, hogy milyen összefüggések vannak a Patch Thuesday és a részvényárfolyamok mozgása között.

Pierre-Marc Bureau lépett a dobogóra az Esettől, és a híres-hírhedt MS08-067 sebezhetőségről beszélt a Conficker féreg kapcsán. Érdekes volt, látszott, ahogy egyre többet tettek a kártevő fejlesztői, és persze az is vicces volt, hogy néhány résztvevő "I beat the Conficker" feliratú pólóban mulatta az időt a nézőtéren :-)

Ebéd után aztán tényleg ;-) Jimmy Shah következett a McAfeetől, és a mobil platformokra készült újabb kártevőkről mesélt. Álláspontja szerint már azzal kémprogramok telepítését kockáztatja az ember, ha ismeretlen programokat lefuttatva jailbreakeli a iPhone telefonját.

A Microsofttól érkezett Bruce Dang és Cristian Craioveanu, akik a generikus állományformátum felismerés fontosságáról beszéltek a különböző népszerű exploitok kapcsán.

Ezútán következett Cristoph Alme és Dennis Elser (McAfee). Ők a kártevő felismerésben alkalmazott Markov modellről tartottak előadást, ahol is statisztikai módszerekkel vizsgálva az egyes utasítások gyakoriságát, érdekes felismerésekre lehet jutni.

A Kaspersky cégtől érkezett Maksym Schipka, aki az Office állomány típusok sérülékenységeiről beszélt, és előadásában ugyancsak szóba kerültek statisztikai módszerek, az entrópia alapú vizsgálatokkal szintén észlelhető, ha egy állomány nem az, aminek mondja magát, illetve ha saját kódján kívül valamilyen kártékony futtatható kódot is magában hordoz.

A felhő alapú védelmi megoldások kihasználható gyengeségeit ecsetelte a Symantec szakembere, Szőr Péter. Szerinte a felhő alapú szkennelés sebezhető, és néhány példával is igyekezett felhívni erre a figyelmet. Mint ismeretes, ő a szerzője a mai napig is unikumnak számító "Virus Research and Defense" című könyvnek, amely átfogó és részletes kézikönyve a vírusvédelemmel foglalkozó szakembereknek.

A második nap reggelén Andreas Marx kezdett az AV-Test.org-tól. A kártevő ellenes programokba épített exploit megelőző technikákról és azok teszteléséről hallhattunk néhány keresetlen szót.

Tőle ismét a McAfee, pontosabban Ivan Teblin vette át a staféta botot, és a PE (portable Executable) állományformátum gyengeségeit, sajátosságait, illetve a szabályos fejlécszerkezet ellenőrzésének nehézségeit járta körül alaposan. 

Illés József a VirusBustertől érkezett, és az AutoIt végrehajtható, az NSIS telepítő állományokat, valamint az SWF flash fájlokat elemezte egy új szemszögből: bemutatta ezeket az antivírus alapprogram nézőpontjából.

Őt Igor Muttik (McAfee) követte a Conficker féreg alapos elemzésével, nagyon friss és érdekes téma volt.

Abhijit P. Kulkarni és Prakash D. Jagdale (Quick Heal Research and Development Center) úgy tűnik, igen sok ráérő szabadidővel rendelkezett, mert kikisérleteztek egy módszert, amivel eredményesen kerülték meg az antivírus programok valósidejű védelmét 64 bites rendszerek esetén.

Ziv Mador a Microsoft Malware Protection Centertől érkezett, és arról értekezett, hogyan lehetne még hatékonyabban beazonosítani a kártékony programok shellkódjait. Tulajdonképpen ezzel kapcsolatban keletkezett a poszt címe is, ahol a klasszikus viccben a rendőr rászól a feleségére, hogy ne dobja állandóan a szemetet az utcára. Az egyébként háztartásbeliként otthon lévő asszony azonban rendszeresen ezt teszi. Végül megfenyegeti, hogy feljelenti szemetelésért, amit végül meg is tesz. Csak ugye azt felejti el, hogy mikor megérkezik a büntetésről szóló sárga csekk, akkor azt mégiscsak neki, a keresőnek kell majd befizetnie, azaz ki kivel babrált ki? Nos kb. ez volt az érzésem itt is, szofisztikáljuk a detektálást, meg finomítjuk az eztazt, mikor pedig az Office biztonsági frissítésekről van szó, azt ugye csak a legális juzerek tölthetik le. De hogy mindez mekkora kárt okoz, hány botnetes gép lehet a világban, és hogy ez számszerűsítve mekkora kárt okoz, azt mintha nem is gondolnák végig. És mivel sok lopott példányt használót nem is érdekli ez az egész, valójában a bűnöző nevet a végén, aki csak szórja az Office exploitokat a weboldalakon, mint kecske a hegyoldalban :-(

A sérülékenységekről gyűjtött adatairól beszélt a konferencia legszórakoztattóbb előadásában Roel Schouwenberg (Kaspersky), aki összefoglalta a lehetséges módszereket a rendszeres javítások elvégzéséhez, valamint rámutatott az elhanyagolt frissítések leggyakoribb okaira is.

Végül Nick FitzGerald (AVG Technologies) előadása következett, amelyben bemutatott néhány, pár dollárért megvásárolható népszerű, bevetésre kész webes támadó készletet, és azokkal szerzett tapasztalatait.

Összességében sűrű, de nagyon érdekes program volt, sok emberrel sikerül személyesen is beszélgetni - köztük például Randy Abrams-szel is - sőt a végére még egy ereklyét is begyűjtöttem: egy dedikációt a Szőr Péter könyvembe :-)