brusszel


Döbbenetes eredmény a vírusírtó-teszten

Figyelő Online
2013.04.16  13:34   
mail
nyomtatás
Ha egy unatkozó informatikus néhány óra alatt képes egyszerű technikákkal kijátszani közel félszáz ismert vírusirtót, az aggasztó az adatvédelemre nézve. Ha erre van olyan gyártó, amelyik csak legyint, az már elég ijesztő.
Bár a legtöbb informatikus tisztában van azzal, hogy az antivírus szoftverek nem tökéletesek, de hogy mekkora energiával játszhatók ki, eddig nem igazán vizsgálták. Marosi Attila IT-biztonsági szakértő azonban egyszerű, az interneten is könnyedén fellelhető technikák segítségével 10-12 óra alatt kijátszott 46 vírusirtót és nem mellesleg a tűzfalakat is, mindezt a május 9-ei Ethical Hacking konferencián be is mutatja.

„A tesztelés során egy ún. Metasploit shell_reverse_tcp-t használtam, amely távoli hozzáférést biztosít a támadó részére. Ez egy, az IT biztonsággal foglalkozó közösségek által jól ismert kártevő, amire az antivírusok rendre riasztanak is a teszteken. Ha egy ennyire ismert programot sikerül elrejteni, akkor nagy probléma van, márpedig a vizsgált 46 vírusirtó nem riasztott" - magyarázta Marosi Attila, a konferencia előadója.

Ezt követően a szakember tovább vizsgálódott, és a 9 legnépszerűbb vírusirtó esetében egy futtatási tesztet is végrehajtott. Az eredmények azonban itt sem voltak éppen meggyőzőek: csupán három antivírus riasztott, és közülük is csak kettő blokkolta a tevékenységet.

A szakember szerint annak oka, hogy a legegyszerűbb módszerekkel sikerül megkerülni a vírusirtók többségét az, hogy az antivírus programok nem tartalmazzák azokat a funkciókat, amiket a gyártók állítanak, vagy rendelkeznek ugyan velük, de azok csak „bizonyos csillagállás" mellett működnek, így könnyen kijátszhatók.

„Volt olyan gyártó, akinek átküldtem a megoldást, amivel megkerültem a vírusirtójukat és a tűzfalukat, a válasz azonban az volt, hogy ez nem hiba, mert tudnak rá szignatúrát írni. Ez azonban nem igaz, hisz ez a minta csupán addig működik, amíg meg nem változtatom a kódot. Persze volt olyan gyártó is, aki megdöbbent az eredményen, és igyekszik kiküszöbölni a hibákat" - mondta az IT-biztonsági szakember.

Marosi Attila szerint, aki a vírusirtók megkerülésének módszerét a május 9-i Ethical Hacking Konferencián részletesen bemutatja, megoldást a tényleges elszeparálás jelenthet, és már van is olyan operációs rendszer, amelyben kikapcsolható az ismeretlen forrásból származó vagy aláírással nem rendelkező alkalmazások futtatása. Emellett pedig a szignatúra alapú felismerés mellett még nagyobb figyelmet kellene fordítani a kártékony programok valós idejű detektálására, amiben még bőven van hová fejlődniük a vírusirtóknak. Ugyanakkor a különféle teszteknek is ebbe az irányba kellene elmozdulniuk. „A legtöbb teszten olyan attribútumok kapnak kiemelt figyelmet, mint például a gyorsaság - magyarázta Marosi Attila. - Ha azonban a számítógépen van egy üzleti terv, aminek az eltulajdonítása több milliós veszteséget jelent, akkor érdemes elgondolkodni, hogy tényleg olyan fontos-e a vírusirtók között meglévő néhány százalékos sebességkülönbség..."

Derült égből antivírus
Az Ethical Hacking Konferencián nem a fenti lesz az egyetlen előadás ebben a témában, szintén érdekesnek ígérkezik Buherátor: Derült égből antivírus, avagy a felhő alapú védelem árnyas oldalai c. előadása, melyben a Silent Signal IT-biztonsági szakértője körüljárja a szolgáltatás alapú végpontvédelem kulcskérdéseit, és gyakorlati példákat mutat arra, hogy milyen kellemetlen következményei lehetnek a gyártókba vetett túlzott bizalomnak.

A tesztelés meneteA tesztelés során Marosi Attila a Metasploit shell_reverse_tcp-t az interneten könnyen elérhető, viszonylag egyszerű módszerek segítségével „csomagolgatta", hogy elrejtse az antivírus rendszerek elől. Ezt követően a virustotal.com-on végzett egy online szkennelési tesztet, melyen a 46 tesztelhető vírusirtóból egyetlen egy sem jelezte a problémát. A teszteket a 9 legnépszerűbb vírusirtó esetében megismételte virtuális gépeken, valós környezetben is, ahol a már futó kártékony programra is csupán három jelezte, hogy gyanús viselkedést észlel. Bár két antivírus blokkolta is a futtatást, meghatározni ezek sem tudták, hogy mi is a kártékony kód. A végső megoldással ráadásul a tűzfalakat is sikerült kijátszania, ami azt bizonyítja, hogy ezeket az alkalmazásokat egymáshoz képest a legtöbb gyártó nem védi.
Kapcsolódó cikkek
mail
nyomtatás

Hozzászólások

Le Pen az EU-s népszavazásról

Marine Le Pen államfővé választása esetén megvárja a német és az olasz parlamenti választások eredményét, mielőtt népszavazást ír ki.

Megszavazták a "CEU-törvényt"

A jövőben akkor működhet oklevelet adó külföldi felsőoktatási intézmény Magyarországon, ha működésének elvi támogatásáról államközi szerződés rendelkezik.

Újabb vizsgálat tárgya a Hungast

Mégsem jön létre a menza cégek tervezett fúziója. Egyelőre nem vásárolja meg a Hungast Zrt. a Sodexot, mert nem teheti. A Gazdasági Versenyhivatal közbelépett.

Szíriai fegyveresekkel állt kapcsolatban a szentpétervári merénylő

A felrobbantott pokolgép hasonló volt ahhoz a másikhoz, amelyet később a Ploscsagy Voszsztanyija metróállomáson hatástalanítottak.



Ötvenmilliárd feletti tőke a startupoknak

Az új ciklus első Európai Uniós forrásból finanszírozott kockázati tőkebefektetése a debreceni Insimu Patient volt, amely tőkét kapott a Hiventurestől.

Budapesti konferenciával indul a FabLaBNet

Az Európai Unió által támogatott új projekt, a FabLabNet március 28-án indul a partnerek által közösen, 3D-nyomtatott alkatrészekből épült rakéta jelképes kilövésével..

Kaposváron oktatják a jövő startup vállalkozóit

Európában is egyedülálló digitális oktatási platformmal és a diploma mellett akár befektetési lehetőségekkel is várja a Kaposvári Egyetem 2017-ben hallgatóit.

Másfél milliárd 6 erős nagyprojektre

A Bay Zoltán Kft. másfél milliárd forintnyi magas hozzáadott értékű kutatási, fejlesztési és innovációs projektek fejlesztését kezdi meg.

top200