A Mindentudás Egyeteme

2008. február 13. 12:40 - Csizmazia Darab István [Rambo]

Mai hírként olvasom, hogy megjelentek a január eleje óta várt hibafrissítések a ClamAV víruskeresőhöz. A kártevőkészítők számos esetben előszeretettel intéznek támadást, keresnek gyenge pontot a védelmi eszközökben, szinte minden vírusvédelmi szoftvernél kellett már rendkivüli programfrissítés keretében - zömmel puffertúlcsordulási hibák miatt - javítást kibocsátani.



Szóval nem csak a kártevőkészítés, hanem a kihasználható hibák keresése is gőzerővel zajlik, legyen az operációs rendszer, elterjedt alkalmazás vagy akár éppen vírusvédelmi alkalmazás. A ClamAV - mint az közismert - egy ingyenes és nyíltforráskódú csomag, amit nem csak mindenki használhat, hanem még a forráskódját is letöltheti.



Azt maximálisan méltányolom, hogy ingyenesen (az AVAST és az AVG mellett) adják a programjukat. De itt jönne a logikus kérdés: bár tisztelem és földig emelem a kalapom a GPL előtt, sőt valamilyen szinten híve is vagyok (még Windowsos koromban is igyekeztem kizárólag legális vagy ingyenes programokat használni): jó dolog-e, hogy egy ilyen forráskód mindenkihez eljut?


Ha valaki ilyen módon részleteiben közzéteszi a munkáját, azért sok minden történhet. Ha valaki éppen egyetemista és vírusirtóprogramot szeretne készíteni, annak egy nagy lehetőség és remek adalék, tanulási lehetőség, ez kétségtelenül mellette szól. De nézzük, mi szólhat ellene?  Lehet, hogy könnyebb túlcsordulási hibát keresni benne, hiszen látni a belsejét. De jöhetnek a "keselyűk" is, vélt vagy valós szabadalombitorlással vádolják meg (persze közben saját zárt forráskódjukat hét lakat őrzik). Ilyen perrekkel - még ha esetleg teljesen alaptalanok is - gazdaságilag és erkölcsileg könnyen tönkre lehet tenni egy céget.



Állítólag ennek a szobornak az áthelyezésével kezdődött a konfliktus

Ha egy pillanatra visszaemlékszünk a tavalyi Hacktivity második napján szereplő Dr. Kovács László előadására, amikor az észt-orosz hacker konfrontáció kapcsán az derült ki, nagyon is lehet élni (vagy visszaélni) ilyen jellegű magasan képzett tudással, amit ebben a konkrét esetben hivatalos NATO körök óvakodtak hadviselésnek nevezni, hiszen ez esetben akár háborús konfliktus is könnyen kialakulhatott volna Oroszország, és a NATO tag Észtországot támadás esetén kötelezően megvédő többi tagállam között.


Az összeomlott infrastruktúra következtében az ATM bankautomaták sem működtek

Vagy gondoljunk Angela Merkel kínai látogatására, miközben éppen állítólag kínai eredetű trójai kémprogramokat fedeztek fel több német minisztériumban. Az üzemszerű és kiterjedt kínai kémkedést sokan gyanítják és sejtetik, igaz bizonyítani roppant nehéz dolog - sokféle értelemben is.



Akkor most ezek alapján képzeljük el, milyen minőségi tudás gyűlhetett össze a nagy,  komoly vírusvédelmi cégek fejlesztőinél, hogy csak a heurisztika két nagyágyúját, az ESET-et és a Kaspersky-t említsem. Mi történne, ha az adatbázisszerkezettől kezdve, a felismerés, a munkamódszer, a gyors és hatékony működés minden elemét, részletét kitennék forráskódban a netre? A konkurrensek nyilván pillanatok alatt rácsapnának, az egy dolog. De nyilvánvalóan a rosszfiúk is. Eddig is úgy zajlottak az új kártevővariánsok fejlesztései, hogy szépen le lett töltve minden jelentős AV program, és addig faragták a biteket különféle (NOP, Morphine, stb.) segítségével, amíg egyik se, vagy a legkevesebb vírusvédelmi alkalmazás riasztott rá, akkor már útjára lehetett bocsátani a kártevőt. Igaz, később a fertőzés napvilágra kerülése után minden vírusirtó igyekezett frissített adatbázis kibocsátani, de addigra a vírusírók munkapadján már rég a következő darabokon történtek a finomítások.



Na most ennek fényében vajon használna-e a védelmünknek, ha ilyen kódok közkézre kerülnének? Én úgy vélem, hogy nem, ezért ezen a biztonsági területen nem tartom ezt jó ötletnek. A titkosszolgálatoknál is az a jó állapot, ha minél kevesebb cikk, műsor szól róluk, minél kevesebb direkt közfigyelem irányul rájuk, nem szükséges (sőt káros, és más konkurrens  titkosszolgálatok malmára hajtja a vizet) minden módszerüket részletesen leírni, közszemlére tenni, mert azt a rossz oldal is olvashatja, láthatja, sőt egészen bizonyos hogy olvasni és nézni fogja. Henryt idézve a Csengetett Mylord-ból: "Hová vezetne ez?" ;-) Vannak információk, amiknek csak a szakértők fejében és Pandora szelencéjében vannak a helyük - szerintem.

A fenti írás a magánvéleményemet takarja, de ha akár pro, akár kontra szeretne érvelni valaki, szeretettel várom a kommenteket.
12 komment

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr99337513

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Vidi Rita · http://www.hosnok.hu 2008.02.13. 18:01:17

Nemtom, hogy pro vagy kontra, de érvelek:)

Teljesen igazad van!
A nyílt forráskód (és annak közzététele) úgy hangzik, mint valami karitatív cselekedet.
Gondolom, lényegében az is.

De vírustéma esetében tényleg nincs ok jótékonykodni.

Már az is világosan látszik, hogy az úgynevezett: otthoni felhasználók számára ingyenes verziók közel sem érnek annyit, mint bármi más, ami fizetős. Sorry, de ez van! Ki nem mennék a netre ingyenes avg-vel!

Most meg már egyenesen az a helyzet, hogy 3 terméknél többet nem is mernék ajánlani senkinek! A háromból is inkább csak kettőt:D

Szóval cinkes a helyzet.
Ha belegondolok, mi volt tavaly ilyenkor, mikor kezdtem a cégalapozást...

(Bár itt jegyezném meg, hogy ha én valamibe belekezdek, azon a területen hirtelen felpezsdülés tapasztalható. Ha céget alapítok, épp változik a cégalapítási törvény. Ha boltot nyitok, éppen változik a kereskedelmi törvény, de legalábbis kijön 8 kormányrendelet, ami összekutyul mindent. Ha tanfolyamra járok, minden változik a felnőttoktatással kapcsolatban. Szóval várható volt, hogy a vírusok terén is történik valami:D)

Tavaly még minden olyan kellemesen izgalmasnak tűnt vírustémában (így tél végén), most meg már néha olyan kellemetlenül nyomasztónak tűnik...

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2008.02.13. 19:58:52

Szia Rita!
Üdv a fedélzeten. A nyílt forráskód jó dolog, szeretem, sokkal inkább jó, mint a 10,000 EUR-ért nézhető Windows kód ;-)
Amiben picit vitatkoznék, az az ingyenes AV progikkal kapcsolatos. Abban egyetértünk, hogy a komolyabb és fizetős programok jobban teljesítenek, de a semminél még mindig jobb, ha valaki AVG vagy AVAST-ot használ. Az észrevett fertőzésekkel legalább így is kevésbbé terheli a környezetet, és bár a reakcióidejük sokszor lassabb, mindenkinek ajánlani szoktam, aki nem akar, vagy nincs pénze másra.
Remélem a pechszériádnak vége szakad, végülis ez itt a Patkány éve :-)

zvaragabor 2008.02.13. 20:27:45

Én ki mernék menni a netre avg/avast/avira ingyenes veriójával minden további nélkül, de csak Firefox+NoScript és AdBlock Plus addonokkal. Na jó, azok nélkül is, de akkor csak tényleg azt a pár megbízható, minden nap látogatott oldalt nézném meg. Azért nincs a feature set annyira megtépázva az ingyenes verzióknál, hogy annyira megbízhatatlanok legyenek. Azért CLamAV-val más a helyzet, azzal már lehet, hogy nem kísérleteznék. Bár ez így értelmetlen vona, mert a ClamAv-nak(parancssoros), de még a ClamWin-nek(grafikus felület) sincs on-access scannerja a wines verziónál, így nincs is hol megállnia a helyét, legalábbis valós időben nem tudna nevezni(habár van olyan opensource antivir, amiben clamav motor van, és hozzáheggesztettek még egy realtime scannert is. meg aztán sourceforge.net-en is akad néhány hozzá.). Heurisztikával nem tudom hogy állnak(szerintem nem túl jól) az is lehet, hogy nincs is. Az adatbázis 210ezres, ez heurisztika/viselkedés elemző nélkül nem ér sokat pc-re. De ha mail szervereknél bávált...franc tudja.
Szerencsére tűzfalaknál nem így van, ott ott van pl a Comodo. Erős csomagszűrő megspékelve egy masszív HIPS-szel. matousec féle teszten ugyan még a 2.4-es volt tesztelve (ami még így is top helyezést ért el), de a 3.0 a hivatalos fórum lakói szerint alap beállítások mellett is átmegy minden teszten.

Biztonsági rések, exploitok mindig is lesznek, open source-nál talán hamarabb találnának, de talán hamarabb is reagálnak rá a fejlesztők. Vagy nem. :) Nem tudom. Nem láttam még ilyen közösséget, nem tudnám megbecsülni, hogy kb mekkora lehet pl a clamav fejleszőgárda, és hogy mennyire aktívan fejlesztik, eddig nem kísértem figyelemmel a ClamAv changelogját, meg a vele kapcsolatos híreket. :) Talán azért én se bíznám a rendszert egy nyílt forráskódú biztonsági programra.

Ui.:István megkaptam a pm-et a fórumon, köszi szépen a választ. Nem gond, hogy "késtél", nem volt sietős, még aktuális volt a kérdés.

zvaragabor 2008.02.13. 20:31:04

Lemaradt, ingyenes és jó tűzfalnak még ott van a Jetico, Online Armor is.

ragazzo 2008.02.14. 12:04:17

Sziasztok!

Ha már az ingyenes víruskeresőknél tartunk. Valaki megtudja nekem mondani, hogy miért nem csinál senki egy jó kis összefoglaló tesztet ezekről.Már írtam a PC World-be is, de ott is azt írták nem foglalkoznak vele. Most valami pénzügyi lobbi van amögött, hogy mindenki csak a fizetőset teszteli? Vagy félnek hogy kiderülne az igazság? Arra gondolok amit Rita is írt. Szóval mennyit ér a kereső ha ingyenes?
István! Te nem tudnál csinálni valami tesztet? Belevennéd a Clamavot,Comodo-t, AVG és Avast Free-t.

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2008.02.14. 16:47:35

@Zvaragabor!
Az AVG szerintem sem rossz, gyujtott mar nehány VB100-at is, van heurisztikaja, stb.
A tűzfalaknál az ingyenes Comodo tavaly egy nagyon alapos tűzfal tesztben elverte a teljes mezőnyt, benne több fizetős progit is.

zvaragabor 2008.02.14. 16:57:26

István:

Hát már egy ideje ott tart szerintem az antivírus piac, hogy heurisztika nélkül bizony nem élet az élet. :)

Igen, a matousec.com teszter cég az, amiről beszéltem, ahol a Comodo(v2.4) állva hagyta a mezőnyt. Tavaly február óta a Comodo-t használom, tavaly november óta már a v3.0-t. Bivaly egy szerkentyű, a hips modulja még ráadásul kapott egy heurisztikát is, érdekes volt látni, ahogy egy kártevő.exe elindításakor riasztott, hogy a heurisztika szerint veszélyes.

Én a matousec féle leak testing mellett szívesen látnék még egy DoS attack tesztet. Cégeknek, akiknek van web szerverük, bizonyára szívesen látnának egy átfogó képet, hiszen számukra a dosolás is egy potenciális veszélyforrás.

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2008.02.14. 16:58:25

Szia Ragazzo!
Ha megnézed, bármilyen magazin is maximum a személyes benyomásait, ergonómiát, sebességet tud tesztelni. A komoly teszteléshez nem csak géppark, hanem alapos és aprólékosan megtervezett környezet, vírusgyűjtemény, megfelelő szaktudás és RENGETEG MUNKA ÉS IDŐ szükséges. Ezek szerintem maximálisan megvannak az alábbi helyeken:
www.av-comparatives.org/
www.av-test.org/
www.virusbtn.com/vb100/index
checkvir.hu/
Az ilyen teszteken azoknak az eredményeit látjuk, aki résztvesznek. Ha valaki nem indul el ezeken, akkor maximum a magazinok tesztjeiben kaphat "szép pasztell színű a doboza" jó pontot.

senkisee 2008.02.15. 11:39:56

milyen baj tud érni tűzfal nélkül? vagy mit kell nézni a neten, hogy valami baj érjen? :)
mióta XP létezik azóta csak a beépített tűzfal van.
no persze felraknék egyet, ha tudnám miért kell, mitől kell félni.

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2008.02.15. 13:10:21

Szia Senkisee!
Az XP tűzfalal CSAK a befelé irányuló forgalmat szűri, és ennek hatásosságát is jócskán megkérdőjelezik. Leghelyesebb egy kétirányú, öntanuló szabályrendszerrel illetve policy-val irányítható tűzfalat használni, ami naplózni is tud. Az úgynevezett Internet security komplett biztonsági csomagokban rendre szerepel már a tűzfal is, próbáld ki pl. az ESET Smart 30 napos csomagját.
És hogy mik történhetnek, abból itt egy kis izelítő:
www.virushirado.hu/oldal.php?aid=273&hid=49&print=1

senkisee 2008.02.16. 10:26:31

kipróbálom, csak nem tudom mire kellene nekem? :)
az elmúlt 7 évben miért nem szedtem össze semmit?
jó a cikk, de engem ezek szerint kihagytak ezek a férgek is, vagy itt vannak és velem élnek a gépemen csak nem tudok róluk :) de kizártnak tartom

buherator · http://buhera.blog.hu 2008.02.16. 13:08:51

@senkisee

Ne aggódj, ott vannak a kis okosok, csak nem verik nagy dobra a dolgot ;)
Rendszergazdáknál bevált mondás, hogy ha megkérdezik, hányszor törték fel a rednszeredet az utóbbi egy évben, feleld azt hogy egyszer! Ha azt mondod, egyszer sem, akkor nyilvánvalóvá válik, hogy még a betörés tényét is képtelen vagy észlelni.

"kipróbálom, csak nem tudom mire kellene nekem? :)
az elmúlt 7 évben miért nem szedtem össze semmit?"

Tanúlj egy kis valószínűségszámítást, ha igazad lenne, ez akkor sem jelentene semmit.