Támadható vírusirtók világvége nélkül

2010. május 13. 18:50 - Csizmazia Darab István [Rambo]

Kétségtelenül kellenek a blikkfangos címek, ez teszi eladhatóvá a cikkeket. Viszont a "Leégtek a népszerű vírusirtók", meg a "Minden vírusirtó kijátszására alkalmas támadást fedeztek fel" - itt a földrengés - kissé túlzásnak tűnik.

Ha most mi vagyunk az Elzett Művek, vagy a Mul-T-Lock, és valaki cikket ír: "Leégtek a népszerű zárgyártók, mert fejszével és csákánnyal lám mégis bejutottunk", akkor ezt az információt azért érdemes értékén kezelni. Nyilván nem az lesz a hatása, hogy ezentúl egyáltalán nem használunk zárat, vagy nyitva hagyjuk a lakásajtót.

Mindjárt az elején rögtön megadhatjuk a pontot a versenyzőknek, az elismerést a  szakértőknek, ez viszi előre a világot, hajrá örökös kísérletezés. Erről szól a szakma, a támadás és védekezés örökös macska-egér harca.

A kipécézett Kernel Hook Bypassing Engine mód egyébként - amely a többszálú végrehajtással kapcsolatosan azon alapul, hogy a vírusvédelmi program már leellenőrizte, de még éppen nem adta át a Windowsnak, és ekkor ki lehet cserélni egy kártékony kódra - elv egyáltalán nem újkeletű, már többször felvetődött hasonló dolog. Sőt egész pontosan ez a mostani "vadonatúj" megközelítés is konkrétan napvilágot látott már 2003-ban.

Az ilyen ITW (In the Wild) kódtól azonban nem igen kell tartani, mert egyrészt elég speciális (lám ennek a csapatnak is három évbe tellett a dolog). David Harley szerint a támadás kizárólag a NOD32 és ESS önvédelmi mechanizmusát veszélyeztetheti elvileg, nem pedig magának vírusvédelemnek a működését. Másrészt ahhoz hogy egyáltalán egy ilyen támadás megvalósulhasson, sok dolog kell, például már eleve fertőzöttnek kell lennie előzetesen a rendszernek. Víruslaborunk tájékoztatására támaszkodva kijelenthetjük: bár a módszer 1996, illetve 2003 óta ismert, de eddig ilyen típusú kártékony kóddal egyáltalán nem találkoztak.

Persze nem szabad az esetet bagatellizálni sem, hiszen valós veszélyt és kockázatot jelent, csak nem akkorát, mint a hírverés. Az F-Secure weblogja is "KHOBE Not So High On The Richter Scale" címmel jelent meg (However, this attack does not "break" all antivirus systems forever. Far from it.).

Nyilván amit az antivírus gyártóknak (és nem csak a népszerűeknek, hanem mindnek ;-) tenni kell, hogy ezt a megkerülést mihamarabb befoltozzák - ahogy tették ezt eddig is a fejlesztés folyamán minden hasonló esetben.

8 komment

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

atko 2010.05.13. 21:52:09

A pc fórum-os Sting mindig érdekfeszítő cikkeket tud írni.
Az rss olvasómból régen töröltem az egész pc fórumos csatornámat. Győzött az it café.

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2010.05.14. 13:07:15

A való életben nehezen használható ki a bonyolult időzítési sebezhetőség:
www.virushirado.hu/hirek_tart.php?id=1636

gothmog 2010.05.14. 21:51:59

A pcfórumra stingen kívül ki ír még?

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2010.05.17. 10:11:27

A Matousec tesztek "objektivitásáról" meg annyit, hogy már nem ez az első húzásuk, 2008 év végén is volt egy tűzfal leak tesztjük, amit nem az AMTSO elvek szerint végeztek, egy kiragadott tulajdonsága a tűzfalnak még nem minősíti komplexen annak egészét, sőt a pártatlanság is hibádzott, mert a győztes programot a weblapjukon közben ők maguk reklámozták és árulták.

Egy kis adalék a témáról:
antivirus.blog.hu/media/image/pdf/pcw200901.pdf

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2010.05.17. 13:31:39

Ezt már tényleg csak az utókornak csinálom, mindenki aki számít *.* vélemények összegyűjtve az AMTSO lapon. Remélem, majd a 2111-ben dolgozó internet könyvtáros, aki ezt a posztot épp begyűjti, megdícsér majd, hogy alapos voltam ;-)

amtso.wordpress.com/2010/05/15/khobe-not-a-test-issue-but/

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2010.05.17. 13:49:02

Na nem ígérem meg, hogy az utolsó kommentem, mert lehet, hogy nem tudom mégse betartani :-D (Rockmonitor Final Version)

Cimbora hívta fel a figyelmet az alábbi igen érdekes linkre az előbbeik közül:
blog.gdatasoftware.com/overview/article/1654-khobe-no-problem.html

Ez a Gdata blogja, még csak nem is a miénk. :) Ebből a lényeg:

1. A Matousec szenzációra vadászik.

2. A Matousec ezután a felfújt botrányból megpróbál profitálni. A média
segítségével éri el a Matousec azt, hogy az antivírus gyártók ne engedhessék
meg maguknak, hogy nem veszik meg a "kutatását". Ha médiabotrány nélkül
próbálná ugyanezt, az antivírus gyártók simán elküldenék a fenébe.

3. Mindeközben a Matousec segítséget nyújt a vírusok készítői számára az
információk nyilvánosságra hozatalával, de megnehezíti az antivírus gyártók
munkáját az információk elzárásával.

4. Végül a Matousec felajánlja az antivírus gyártók számára, hogy analizálja
a forráskódjaikat, ha szeretnék. :)

Nem véletlen, hogy a Matousec nem tagja az AMTSO-nak... :-)

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2010.05.18. 21:44:52

@gothmog:
Passzolok, hébe-hóba olvasom őket.

De talán ennyire nem is mehet mindenki a hírek után, ezért nem haragudhatunk. Inkább az lenne a lényeg, ha valami egy újságírónak már egyből nagyon gyanús, büdös, hihetetlen, akkor ne kezdjen reflexből kopipasztázni az 5 perc hírnévért, a szenzációszagra gyűlik az éji vad, elsőzzön itt cikkíróként :-).

Aztán ha meg valami kiderül így szanzsén menet közben, akkor haladéktalanul frissítsen és helyesbítsen utólag is, hiszen nem mindenki real time olvas cikket a neten. Meg tanuljon is az esetből. Lásd fejbe lőtték a nem létező orosz spammert, még hónapok múlva is láttam pár helyen a cikket.
süti beállítások módosítása