A múlt hónapban a Defcon szervezők egy új műsorszámmal bővítették a Las Vegasban augusztus 8-10. közötti Riviera hotelbeli rendezvényt. Race to Zero néven víruskészítő bajnokságot hirdettek. Ciki vagy cuki? Ártalmatlan móka ez, vagy a feleslegesen növekvő kártevőhad, ami többlet munkát és bosszúságot okoz a vírusvédelmi programok fejlesztőinek?
A verseny persze érdekesen hangzik, lehet, hogy akad, akinek ez még jópofának is tűnhet. De mi is lesz ez pontosan? A résztvevők kapnak egy már kész, meglévő víruskódot, amit addig kell majd pofozgatniuk, amíg a lehető legtöbb antivírus program már nem veszi észre. (A mostani vírusírók is így tesznek, amikor új kártevővel vagy új variánssal akarnak megjelenni.)
Volt egy szavazás a VirusBulletin oldalon is - most azt leszámítva, hogy a részszázalékokat összeadva nem jön ki a 100% - valami zavar van az erőtérben.
Nézzük hát meg az arányokat úgy, hogy az eddigi szavazatok arányát összeadva (35+12+7=54) kivonjuk azt a teljes 100-ból, ez akkor 46%. (Remélem nem követtem el semmilyen lebegőpontos hibát ;-) Nyilvánvaló az lenne, hogy azok, akik idelátogatnak, kevésbbé lelkesednek egy ilyen verseny ötlete iránt. De szemlátomást ennek az ellenkezője történt: az erről beszámoló cikk is azon bosszankodik, hogy milyen nagy rész, sőt a szavazók legnagyobb szelete tartotta mégis jó ötletnek ("Almost half of users think virus-writing contests are a good idea").
De mi a véleménye a szakértőknek? Vírusokban és variánsokban sajnos eddig sem volt hiány, az utóbbi években pedig annyi minta kerül naponta a laborokba - többszáz - amit pusztán kézi módszerekkel, automatizálás nélkül képtelenség visszafejteni, adatbázisfrissíteni. A változtatásoknak, módosításoknak már komoly hagyománya van, legyen az egy-két gépi kódú utasítás felcserélése, extra NOP utasítások beszúrása, összezavart (obfuscated) JavaScriptes kódok írása, stb. A variánsgyártás egy módja a különféle exetömörítőkkel (packer) való becsomagolása a futtatható víruskódnak. A legtöbb esetben ez nem teszi ugyan lehetetlenné a kicsomagolást és elemzést, de erőteljesen lelassítja a visszafejtési munkálatokat. Manapság minden komoly víruslabornak már saját készítésű kicsomagaló (unpacker) rutinjai vannak, ennek ellenére folyamatosan zajlik a két oldal közt a háború, és készülnek igen kellemetlen, polimorfikus (azaz egyedi kódot generáló) tömörítők is, amelyek azért okoznak fejtörést.
Szóval a verseny a biztonsági programok készítői számára enyhén szólva nem igazán tűnik jó ötletnek, első körben biztosan jó pár munkaóra többletet ró majd minden AV csapatra. Szerintük semmi szükség újabb kártevőkre, keletkezik belőlük így is éppen elég. Azt is kifogásolják, hogy a verseny ilyen módja igazából semmi különösre nem tanítja meg a résztvevőket, csak adatbázis növekedést okoz. És ha annyira meg akarják mutatni, mennyire okosak, írjanak ki olyan versenyt, amely a kártevők megtalálásában segít, nem pedig számuk gyarapításában.
Ennek pontosan az ellenkezőjét vallják a másik oldalon: (a linkért köszönet Buherátornak) úgy gondolják, ideje felrázni kicsit a túl mechanikusan játszó, túlzottan a szignatúra alapú védelemre támaszkodó AV fejlesztőket, és más, hatékonyabban működő, például HIPS (host intrusion prevention system), sandboxing és virtualizációs technikákra épülő védelmet kérni tőlük számon. Egyes kommentelők szerint bár újabban igen divatos lett a heurisztika szó, ennek valódi képességei nem igazán látszanak egyes antivírus termékek esetében.
Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2008.05.23. 16:05:38
Maestro 2008.05.23. 17:19:34
másrészt jó móka lenne, hogy oké öcsi, hogy megírtad, most jön az, hogy hatástalanítsd:)
Rwindx 2008.05.23. 17:39:56
Valamikor nagyon régen foglalkoztam virusanalizálással, amibe belefért saját vírus írása is :) Természetesen anélkül hogy szabadjára engedtem volna. Hehe anno fiatalon meg akartam írnia világ legkisebb vírusát, 31 byteos lett és fertőzött, de hallottam egy 26 byteosról, szóval nem sikerült :(
Viszont kb 2 évvel rá már az ezen tudást felhasználva egyedi víruspajzsokat csináltam a BackForm illetve OneHalf ellen, amikor még nem volt Mo-n (legalábbis nem tudtam róla) vírusírtó ami leszedte volna. Az enyém sem szedte le, de nem is engedte fertőzni, meg pl lekódolni a winchestert.
No mindegy, lehet túllihegtem a dolgot, csak arra akartam utalni hogy amit a vírusokkal kapcsolatban meg lehet tanulni azt jóra is fel lehet használni. Nem feltétlenül arra hogy újabb vírusírók tucatjai álljanak hadba.
buherator · http://buhera.blog.hu 2008.05.23. 17:42:16
A böngészőket, levelezőket be kéne rakni a kis homokozójukba, aztán le van a gond (persze ha jó az implementáció), a kedves júzernek meg nem kéne hagyni adminként rombolni mindenütt. Ez persze egy részről nem (csak) az AV vendoron múlik, másrészt a felhasználók sem fogják szeretni a dolgot.
viktor134 2008.05.23. 18:41:24
Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2008.05.30. 09:14:16
www.eset.com/threat-center/blog/?p=123