Rendszerünk leggyengébb pontjai mi vagyunk

Geza Papp, 2004. január 30. 08:49
Ez a kérdés igen sok szakemberben felmerült. Elméletileg ekkor a MydoomA és B "befejezi ténykedését" - egy kérdés maradt nyitott: mi történik ezután? Az igen jól tudjuk, hogy ha valami felkerül a hálózatra, főleg, ha kártékony ágensről van szó - nem tűnik el nyomtalanul. Így nem tűntek el a DOS vírusok, a BOOT vírusok, melyek az "igazi vírusírás kezdetét jelentették". Ma a kártevők sokkal bonyolultabbak, az írójuk mindent elkövet annak érdekében, hogy "termékét" csak akkor fedezzék fel, amikor már teljes alapossággal, vagy csaknem teljes egészében végrehajtotta a kódolt parancsát. Felmerült az a variáció is, hogy a féreg a rendszer BIOS-ába jut, és ott rejtőzik ismételt aktivizálásáig, ami már várhatóan egy "C" verzió kódjában lévő parancs.

Véleményem előtt idéznék a levéltömegből, amit a vita gerjesztett:

JuB írta le először, ő volt az aki a féreg általános tulajdonságait pontokba szedte:

1. levelezés lebénítása

2. ROT13 scramblin módszer a titkosításra

3. "némán futó" 'SwebSipcSmtxSO'

4. transform és taskmon.exe kiiktatása

4.1 [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]

"TaskMon" = %sysdir%\taskmon.exe

4.2 [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]

"TaskMon" = %sysdir%\taskmon.exe

5. %sysdir%\shimgapi.dll

elhelyezése a 3127/tcp - 3198/tcp portok nyitását elősegítendő,

6. stop február 12 - én

7. KaZaA és E-mail terjedés

8. stb.

Amit leírok az következtetés, de látom reális alapját: ha a vírust kiismerik, védekeznek ellene, akkor kell valamilyen rejtekhely, ahol nem észleli a víruskereső, és várja új aktiválását, vagy a következő mutáns parancsát. Szerintem a legjobb rejtekhely egy ilyen vírusnak a BIOS lenne, ahova a törlése előtti utolsó pillanatban kerülne.

A válasz nem késett sokáig:

Most olvastam ezt az írást - arról, hogy a vírus, a Mydoom a BOS-ban rejtőzik el. Ezt nem értem, és szerintem nem is adtok teljes magyarázatot: az antivírus program átkutatja a BIOS-t, igen. Akkor meg kell találnia, miután minden paraméterét ismeri. Az is érdekelne, hogy hogyan jut a BIOS-ba. Ahogy mondjátok egy backdooron át. Az érdekel, hogy mikor aktiválják a hátsó ajtót - ha a vírus a gépen van, nem lehet, hisz a víruskereső felismeri. Ha nincs a gépen, értelmetlen.

'rta: TIA RF

Az is lehet, hogy az egész az SCO egy reklámfogása: "Tessenek jönni, és nézzék szegény Amerikát, amit egy vírus megtámadott" :) Az elképzelhető, hogy a gyanút megpróbálják a nyílt forráskód támogatóira hárítani - nézze a másik célpontot a Microsoftot.

Jos

Lehet,hogy a BIOS és a hálózati kártya kapcsolatának kódját ismeri a víruskód, de a bejutáshoz nagyon pontos paramétereket kell ismerni, sok drivert kellene tartalmazni a kórokozónak a kártyák különbözősége miatt. Ez szerintem lehetetlen.

Frank

Én sem tartom lehetségesnek - a BIOS PXE rendszerkódja számtalan paramétert tartalmaz, és mindegyik ismeretére szükség van ahhoz, hogy valami a biosba juthasson. A gépre jellemző adatok mellett a kártyák IO portjait, megszakítást, meghajtó... Egyszóval sokkal több információt, sokkal nagyobb helyen kellene a vírusnak hordozni. Számításom szerint legalább 600 KB - nak kellene lenni a malwarenak.

Za

Egy jó programozó adhatna erre esetleg magyarázatot. Nem vagyok programozó, sem BIOS szakértő, de ez az egész nekem gyanús...:)

Kenton

Erre gondolva végeztem egy kísérletet egy 2003 Windows 32 bites szerver hálózati adapterébe tettem egy preparált vírust, ami február 11-én aktiválódna. Lehet, hogy nem sikerül, akkor nincs mitől tartani, de előfordulhat olyan Windows programhiba, amit nem ismerünk, én erre gondolok, amit bizalmas forrásból megerősítettek. Ne adjátok tovább...

Juari

Nem akarok kötekedni, de akkor miért írtad le. Ez egy nyilvános lista, nem lehet titkot tartani. Egyébként én elméletben lehetségesnek tartom, gyakorlatban azonban nem.

NZ

A vita természetesen tart tovább....

Nem vagyok programozó, és nem vagyok BIOS szakértő én sem. Egyet azonban tudok, hogy a gépem részegységei szorosan összefüggenek egymással, és a BIOS - al számtalan változó köti össze azokat. A legtöbb változót a gép működésének biztosításához a BIOS - tartalmazza, "ismeri". Egy ilyen egyszerű esetben is, mint egy hálózati kártya, a BIOS-nak ismerni kell rendkívül sok paramétert, aminek feltétlenül egyezni kell, hogy a már kiépített kapcsolat működjön, ezáltal a kártya is. Ez az információ mennyiség olyan sok, hogy egy vírusba a kódját képtelenség elhelyezni - akkor már nem vírus lenne, hanem segédprogram...:))

Az is elképzelhető, hogy mindezt ismerik, de akkor a gépek, kártyák különbözősége okoz gondot.

Ha ezeket kiküszöbölnék, és egy külön Trójait juttatnának a rendszerre az információkkal, akkor ott lenne a legnagyobb akadály: a vírust ismerik a víruskeresők, tehát elvileg semlegesítik, ha műveletet végez. Ebben az esetben nem juthat be a BIOS-ba. Ha valamilyen perverzió arra sarkalna valakit, hogy egy "steril" gépre, a víruskereső kijátszásával juttatná a BIOS-ba a férget, akkor bejuthatna, de a modern, heurisztikusan pásztázó víruskeresők kiirtanák.

Ez az én véleményem, aminél természetesen lehet sokkal frappánsabb, szakszerűbb, esetleg az ellenkezőjéről meggyőző... Azért írtam mégis le ezeket a sorokat, mert az év úgy kezdődött, hogy több, egyre bonyolultabb vírus került a hálózatra. A "vírusírók" módszere finomodik. Ezt csak akkor követhetjük, akkor vagyunk versenyképesek, he egy ilyen esemény - melynek a vége ismeretlen - az idézett vitákra, mint én tettem saját vélemények kifejtésére ad alkalmat - ami a legfontosabb, mert nem vész el a feledés homályában mindez. Ezzel együtt természetesen a kellő védelemről való gondoskodás remélhetőleg fejlődni fog.

A történetnek nincs vége - nem plagizálom a "Végtelen történet" szókapcsolatot. Bármi történik olvasóink tudni fogják, de ha ezzel a "szinte hisztérikus rohammal" lezajlott volna - annyi emléket írásaim hagytak Önökben, hogy rendszerüket védeni kell, higgadtan átgondoltan, mert másképp nem lehet - ez az a műveletsor, melyben minden lehetséges, csak a meggondolatlanság, a kapkodás mellőzésével. Rendszerünk leggyengébb pontjai mi vagyunk.