Perry guru újra Budapesten

Kovács Attila, 2005. szeptember 1. 14:16
Másodszor tartott Budapesten sajtótájékoztatót a Trend Micro vírusvédélmi és tartalombiztonsági vállalat globális oktatási igazgatója, David Perry.

A ma délelőtti eseményen a világ talán legismertebb informatikabiztonsági szakembere a ZOTOB ("patch Tuesday") hálózati féregről, általában a bot férgek jövőjéről, a férgek által várhatóan alkalmazott új technológiákról, egy új jövőbeni technikáról: a polimorf kódtámadásokról, illetve az ellenük való felkészülésről, a biztonsági szakemberek új férgek elleni védekezéssel kapcsolatos tanácsairól adott tájékoztatást. A Trend Micro Housecall távoli víruskereső és -elhárító szolgáltatásáról is szólt.

Perry felhívta a figyelmet, hogy az egykor a tudományos-fantasztikus irodalom világába sorolt "aznapi" fenyegetések manapság nagyon is valódiak. Tendencia, hogy egyre kevesebb idő telik el egy-egy új sebezhetőség, illetve a hozzá kiadott javítás nyilvánosságra kerülése és az azt kihasználó kód megjelenése között. Ez az idő hihetetlenül lerövidült a Zotob féreg esetén, hiszen a Microsoft 2005. augusztus 9-i "Plug-and-Play" (MS05-039) biztonsági javításainak kiadása óta a Trend Micro biztonsági kutatói már augusztus 15-én azonosították az első botférget.

Íme egy lista bemutatja, hogy mennyi idő is telt el egy adott szoftverhibához kiadott javítás publikálása és a foltozatlan rendszereket megtámadó féreg megjelenése között:

WORM_NIMDA: 366 nap
WORM_SLAMMER: 185 nap
WORM_BLASTER: 26 nap
WORM_SASSER: 18 nap
WORM_ZOTOB: 5 nap

David Perry szerint az efféle kártékony kódok egyre gyakoribbak lesznek. "Nagyon hasznos dolog, hogy egy gyártó elismeri termékének hibáit, és javítócsomagokat készít az adott folyamatban felfedezett biztonsági rések lezárására - támogatunk minden erőfeszítést, melynek célja, hogy a világ egy biztonságosabb hely legyen" - mondta Perry. "Bár az értesítések hasznosak a nyilvánosság számára, káros mellékhatásuk, hogy a kártevők íróit is tájékoztatják. Mivel a biztonsági hirdetmények részletes információkat közölnek a sebezhetőségről, egy kellően képzett programozó gyorsan és könnyedén készítheti el az eredeti hibát kihasználó kódot vagy akár férget is" - tette hozzá Perry.

A biztonsági rést veszélyessé teheti:

Egy támadó létrehozhat egy kártékony weboldalt a biztonsági rés kihasználásához, ami potenciálisan lehetővé teszi kártékony kódok távoli futtatását a weboldal meglátogatásakor.

A távoli támadók ezután további kódokat futtathatnak a jelenleg bejelentkezett felhasználó nevében. Ha a felhasználó "rendszergazda“ jogosultságokkal rendelkezik, a támadó akár a számítógép teljes irányítását is átveheti - lehetővé válik számára, hogy alkalmazásokat, többek között kémprogramokat, vírusokat és más rosszindulatú programokat telepítsen, adatokat tekintsen meg, módosítson vagy töröljön, illetve teljes körű felhasználói jogokkal rendelkező új fiókokat hozzon létre.

A támadók a felhasználó gépét "zombiként“ használhatják, kéretlen reklámleveleket küldhetnek róla, elosztott szolgálatmegtagadási (DoS) támadásokat indíthatnak, vagy újabb kártevők terjedését segíthetik elő.

Egy e-mail megnyitása egyes esetekben elegendő lehet egy kártevő sikeres elindításához: E sebezhetőségek talán legfélelmetesebb aspektusa, hogy a legtöbb felhasználó engedélyezi a HTML formátumú levelek megjelenítését, és számos levelezőprogram alapértelmezetten azonnal megnyitja a kiválasztott e-maileket. Így mire a felhasználó törölhetné az üzenetet, már túl késő.

Bár a hackerek számos módszert használnak arra, hogy a felhasználókat fertőzött weboldalak meglátogatására buzdítsák, a kutatók szerint mégis az e-mail és a már hatékonynak bizonyult, a felhasználók hiszékenységét kihasználó technikák lesznek a legáltalánosabbak.

Az ilyen fenyegetések elleni védekezés:

az e-mail beállítások módosítása:

az automatikus letöltés letiltása az üzenet előnézetének megtekintésekor
képek és más internetes tartalom (például HTML kód) automatikus letöltésének letiltása.


Az elektronikus levelezés során a biztonság szem előtt tartása (például ne kattintsunk semmilyen, az e-mailekben található hivatkozásra).
Ne indítsuk el az ismeretlen forrásból származó, vagy ismert emberektől váratlanul érkező képnek vagy más fájlnak tűnő csatolt állományokat! Amikor kétségeink vannak, kérdezzük meg az adott személyt, hogy küldött-e ilyen állományokat bármilyen csatolt állomány elindítása előtt.

A mai fenyegetések elleni harc lehetséges módjai Perry szerint a következők:

Javítócsomagok azonnali telepítése az otthoni rendszereken, a Microsoft weboldalán történt közzétételt követően. Az automatikus frissítés már nem megoldás. Az otthoni rendszerek biztonsága már az internetre történő kapcsolódással veszélybe kerül.

A vállalati összeállításoknál olyan szoftver- és hardverrendszerek telepítése, amelyek kifejezetten ezen fenyegetések ellen nyújtanak védelmet. A féreg által a sebezhetőség kihasználására használt hálózati csomagok észlelése és megállítása a leghatékonyabb megelőzési mód az efféle rosszindulatú kódokkal szemben. Ezek a rendszerek IDS (intrusion detection systems - behatolásfigyelő rendszerek) és speciális hálózati vírusvédelmi rendszereket tartalmaznak, például a Trend Micro Network VirusWall vagy a Trend Micro Personal Firewall, amelyek megakadályozhatják a kódcsomagok beérkezését még akkor is, ha az alaprendszer sebezhető.

A jövőbeni lehetséges polimorf kódtámadásokról. Egyes kutatók úgy gondolják, hogy az ilyen botok készítői képesek lesznek egy olyan modul elkészítésére, ami módosítja a kódot, így az minden alkalommal máshogy jelenik meg, de mindig ugyanúgy működik. A legtöbb IDS és sebezhetőség-észlelés azon alapul, hogy a rosszindulatú alkalmazások mindig ugyanazt a kódot használják, így ha a kód minden alkalommal más, a keresők elől elrejtőzve messzire juthat. Bár elméletileg lehetséges egy ilyen modul létrehozása, ehhez a támadóknak meg kell érteniük, hogy hogyan működik a sebezhetőség kódja, és az hogyan módosítható. Ezek az elképzelések ellentmondanak a korábban említett irányvonalnak, mely szerint az új sebezhetőséget a lehető legrövidebb idő alatt ki kell használni, ezáltal lassabbá válik a féreg elkészítése is. A készítőknek választaniuk kellene a gyors és a rejtett támadás között. Remélhetőleg ez a lehetőség elméleti síkon marad, mindazonáltal nagy veszélyeket rejt magában.

Az ilyen botok elleni harcban a vírusvédelmi cégek régóta felismerték, hogy egyazon féreg számos variánsai csak tömörítési módjukban térnek el egymástól. A víruskészítők lefordítják a férget, majd az újonnan létrehozott futtatható állományt egy eltérően tömörített .EXE fájlba helyezik. Amikor az antivírus cégek bővítik vírusadatbázisaikat az új mintával, a készítők csak újratömörítik az állományokat egy másik algoritmus segítségével, és az így létrejövő következő variánst már nem tudják észlelni a víruskereső alkalmazások. Különböző tömörítési algoritmusok százait használhatják, az ilyen módon generált kártevők észlelése nem könnyű feladat.

A törekvés természetesen az, hogy a különböző tömörítési módszerek még a specifikus észlelési mintázatok elkülönítése előtt észrevehetők legyenek. Az elkövetkező hónapokban e téren nagy előrelépések várhatók. A Trend Micro már dolgozik egy keresőmotoron, amely képes tömörített mintákat észlelni. A Trend Micro 7.7 verziójú keresőmotorja a jövő év elejére várható. Az új észlelési technológiának köszönhetően ez a motor már a kiadásuk idején észleli a bot férgeket.

A bot férgek a jelenleg elterjedt legveszélyesebb rosszindulatú kódok. A felhasználóknak tisztában kell lenniük létezésükkel és fertőzési módszereikkel ahhoz, hogy megelőzhessék hatásaikat. Ez a háttéranyag kísérletet tesz arra, hogy rámutasson a jövő támadási módszereire, és ezáltal felhívja a figyelmet az új technológiákra, valamint azok lehetséges rosszindulatú alkalmazására.