A NetAcademia által szervezett, május elején tartandó Ethical Hacking konferencia egyik slágerelőadása lehet Marosi Attila IT-biztonsági szakértő bemutatója, aki saját állítása szerint egy eddig a maga konkrétumában meg nem vizsgált problémára hívja fel a figyelmet. A szakember azt állítja, hogy egyszerű, az interneten is könnyedén fellelhető technikák segítségével 10-12 óra alatt kijátszott 46 vírusirtót – és nem mellesleg a tűzfalakat is –, és ezt prezentálni is fogja a konferencián.

„A tesztelés során egy ún. Metasploit shell_reverse_tcp-t használtam, amely távoli hozzáférést biztosít a támadó részére. Ez egy, az IT-biztonsággal foglalkozó közösségek által jól ismert kártevő, amire az antivírusok rendre riasztanak is a teszteken. Ha egy ennyire ismert programot sikerül elrejteni, akkor nagy probléma van, márpedig a vizsgált 46 vírusirtó nem riasztott” – mondta el előzetesen Marosi Attila.

Ezt követően a szakember tovább vizsgálódott, és a kilenc legnépszerűbb vírusirtó esetében egy futtatási tesztet is végrehajtott. Az eredmények azonban itt sem voltak éppen meggyőzőek: csupán három antivírus riasztott, és közülük is csak kettő blokkolta a tevékenységet.

Kamu és hanyagság

A szakember szerint annak oka, hogy a legegyszerűbb módszerekkel sikerül megkerülni a vírusirtók többségét, az, hogy az antivírus programok nem tartalmazzák azokat a funkciókat, amiket a gyártók állítanak, vagy rendelkeznek ugyan velük, de azok csak „bizonyos csillagállás” mellett működnek, így könnyen kijátszhatók.

„Volt olyan gyártó, akinek átküldtem a megoldást, amivel megkerültem a vírusirtójukat és a tűzfalukat, a válasz azonban az volt, hogy ez nem hiba, mert tudnak rá szignatúrát írni. Ez azonban nem igaz, hisz ez a minta csupán addig működik, amíg meg nem változtatom a kódot. Persze volt olyan gyártó is, aki megdöbbent az eredményen, és igyekszik kiküszöbölni a hibákat” – mondta az IT-biztonsági szakember.

Marosi Attila szerint megoldást a tényleges elszeparálás jelenthet, és már van is olyan operációs rendszer, amelyben kikapcsolható az ismeretlen forrásból származó vagy aláírással nem rendelkező alkalmazások futtatása. Emellett pedig a szignatúraalapú felismerés mellett még nagyobb figyelmet kellene fordítani a kártékony programok valós idejű detektálására, amiben még bőven van hová fejlődniük a vírusirtóknak. Ugyanakkor a különféle teszteknek is ebbe az irányba kellene elmozdulniuk. „A legtöbb teszten olyan attribútumok kapnak kiemelt figyelmet, mint például a gyorsaság, Ha azonban a számítógépen van egy üzleti terv, aminek az eltulajdonítása több milliós veszteséget jelent, akkor érdemes elgondolkodni, hogy tényleg olyan fontos-e a vírusirtók között meglévő néhány százalékos sebességkülönbség…” – magyarázta Marosi Attila.

Az Ethical Hacking Konferencián nem a fenti lesz az egyetlen előadás ebben a témában, szintén érdekesnek ígérkezik Buherator: Derült égből antivírus, avagy a felhőalapú védelem árnyas oldalai c. előadása, melyben a Silent Signal IT-biztonsági szakértője körüljárja a szolgáltatásalapú végpontvédelem kulcskérdéseit, és gyakorlati példákat mutat arra, hogy milyen kellemetlen következményei lehetnek a gyártókba vetett túlzott bizalomnak.