A múlt hónapban a Defcon szervezők egy új műsorszámmal bővítették a Las Vegasban augusztus 8-10. közötti Riviera hotelbeli rendezvényt. Race to Zero néven víruskészítő bajnokságot hirdettek. Ciki vagy cuki? Ártalmatlan móka ez, vagy a feleslegesen növekvő kártevőhad, ami többlet munkát és bosszúságot okoz a vírusvédelmi programok fejlesztőinek?


A verseny persze érdekesen hangzik, lehet, hogy akad, akinek ez még jópofának is tűnhet. De mi is lesz ez pontosan? A résztvevők kapnak egy már kész, meglévő víruskódot, amit addig kell majd pofozgatniuk, amíg a lehető legtöbb antivírus program már nem veszi észre. (A mostani vírusírók is így tesznek, amikor új kártevővel vagy új variánssal akarnak megjelenni.)

Volt egy szavazás a VirusBulletin oldalon is - most azt leszámítva, hogy a részszázalékokat összeadva nem jön ki a 100% - valami zavar van az erőtérben.


Nézzük hát meg az arányokat úgy, hogy az eddigi szavazatok arányát összeadva (35+12+7=54) kivonjuk azt a teljes 100-ból, ez akkor 46%. (Remélem nem  követtem el semmilyen lebegőpontos hibát ;-) Nyilvánvaló az lenne, hogy azok, akik idelátogatnak, kevésbbé lelkesednek egy ilyen verseny ötlete iránt. De szemlátomást ennek az ellenkezője történt: az erről beszámoló cikk is azon bosszankodik, hogy milyen nagy rész, sőt a szavazók legnagyobb szelete tartotta mégis jó ötletnek ("Almost half of users think virus-writing contests are a good idea").


De mi a véleménye a szakértőknek? Vírusokban és variánsokban sajnos eddig sem volt hiány, az utóbbi években pedig annyi minta kerül naponta a laborokba - többszáz - amit pusztán kézi módszerekkel, automatizálás nélkül képtelenség visszafejteni, adatbázisfrissíteni. A változtatásoknak, módosításoknak már komoly hagyománya van, legyen az egy-két gépi kódú utasítás felcserélése, extra NOP utasítások beszúrása, összezavart (obfuscated) JavaScriptes kódok írása, stb. A variánsgyártás egy módja a különféle exetömörítőkkel (packer) való becsomagolása a futtatható víruskódnak. A legtöbb esetben ez nem teszi ugyan lehetetlenné a kicsomagolást és elemzést, de erőteljesen lelassítja a visszafejtési munkálatokat. Manapság minden komoly víruslabornak már saját készítésű kicsomagaló (unpacker) rutinjai vannak, ennek ellenére folyamatosan zajlik a két oldal közt a háború, és készülnek igen kellemetlen, polimorfikus (azaz egyedi kódot generáló) tömörítők is, amelyek azért okoznak fejtörést.


Szóval a verseny a biztonsági programok készítői számára enyhén szólva nem igazán tűnik jó ötletnek, első körben biztosan jó pár munkaóra többletet ró majd minden AV csapatra. Szerintük semmi szükség újabb kártevőkre, keletkezik belőlük így is éppen elég. Azt is kifogásolják, hogy a verseny ilyen módja igazából semmi különösre nem tanítja meg a résztvevőket, csak adatbázis növekedést okoz. És ha annyira meg akarják mutatni, mennyire okosak, írjanak ki olyan versenyt, amely a kártevők megtalálásában segít, nem pedig számuk gyarapításában.


Ennek pontosan az ellenkezőjét vallják a másik oldalon: (a linkért köszönet Buherátornak) úgy gondolják, ideje felrázni kicsit a túl mechanikusan játszó, túlzottan a szignatúra alapú védelemre támaszkodó AV fejlesztőket, és más, hatékonyabban működő, például HIPS (host intrusion prevention system), sandboxing és virtualizációs technikákra épülő védelmet kérni tőlük számon. Egyes kommentelők szerint bár újabban igen divatos lett a heurisztika szó, ennek valódi képességei nem igazán látszanak egyes antivírus termékek esetében.