Hírek - IKT hírek röviden

Bukás a vírusírtó és tűzfal tesztenBár a legtöbb informatikus tisztában van azzal hogy az antivírus szoftverek nem tökéletesek de hogy mekkora energiával játszhatók ki eddig nem igazán vizsgálták. Marosi Attila IT-biztonsági szakértő azonban egyszerű az interneten is könnyedén fellelhető technikák segítségével 10-12 óra alatt kijátszott 46 vírusirtót és nem mellesleg a tűzfalakat is mindezt a május 9-ei Ethical Hacking konferencián be is mutatja.

 



Ezt követően a szakember tovább vizsgálódott és a 9 legnépszerűbb vírusirtó esetében egy futtatási tesztet is végrehajtott. Az eredmények azonban itt sem voltak éppen meggyőzőek: csupán három antivírus riasztott és közülük is csak kettő blokkolta a tevékenységet.

A szakember szerint annak oka hogy a legegyszerűbb módszerekkel sikerül megkerülni a vírusirtók többségét az hogy az antivírus programok nem tartalmazzák azokat a funkciókat amiket a gyártók állítanak vagy rendelkeznek ugyan velük de azok csak „bizonyos csillagállás” mellett működnek így könnyen kijátszhatók.

„Volt olyan gyártó akinek átküldtem a megoldást amivel megkerültem a vírusirtójukat és a tűzfalukat a válasz azonban az volt hogy ez nem hiba mert tudnak rá szignatúrát írni. Ez azonban nem igaz hisz ez a minta csupán addig működik amíg meg nem változtatom a kódot. Persze volt olyan gyártó is aki megdöbbent az eredményen és igyekszik kiküszöbölni a hibákat” – mondta az IT-biztonsági szakember.

Marosi Attila szerint aki a vírusirtók megkerülésének módszerét a május 9-i Ethical Hacking Konferencián részletesen bemutatja megoldást a tényleges elszeparálás jelenthet és már van is olyan operációs rendszer amelyben kikapcsolható az ismeretlen forrásból származó vagy aláírással nem rendelkező alkalmazások futtatása. Emellett pedig a szignatúra alapú felismerés mellett még nagyobb figyelmet kellene fordítani a kártékony programok valós idejű detektálására amiben még bőven van hová fejlődniük a vírusirtóknak. Ugyanakkor a különféle teszteknek is ebbe az irányba kellene elmozdulniuk. „A legtöbb teszten olyan attribútumok kapnak kiemelt figyelmet mint például a gyorsaság – magyarázta Marosi Attila. – Ha azonban a számítógépen van egy üzleti terv aminek az eltulajdonítása több milliós veszteséget jelent akkor érdemes elgondolkodni hogy tényleg olyan fontos-e a vírusirtók között meglévő néhány százalékos sebességkülönbség…”


Derült égből antivírus


Az Ethical Hacking Konferencián nem a fenti lesz az egyetlen előadás ebben a témában szintén érdekesnek ígérkezik Buherátor: Derült égből antivírus avagy a felhő alapú védelem árnyas oldalai c. előadása melyben a Silent Signal IT-biztonsági szakértője körüljárja a szolgáltatás alapú végpontvédelem kulcskérdéseit és gyakorlati példákat mutat arra hogy milyen kellemetlen következményei lehetnek a gyártókba vetett túlzott bizalomnak.


A tesztelés menete
A tesztelés során Marosi Attila a Metasploit shell_reverse_tcp-t az interneten könnyen elérhető viszonylag egyszerű módszerek segítségével „csomagolgatta” hogy elrejtse az antivírus rendszerek elől. Ezt követően a virustotal.com-on végzett egy online szkennelési tesztet melyen a 46 tesztelhető vírusirtóból egyetlen egy sem jelezte a problémát.
A teszteket a 9 legnépszerűbb vírusirtó esetében megismételte virtuális gépeken valós környezetben is ahol a már futó kártékony programra is csupán három jelezte hogy gyanús viselkedést észlel. Bár két antivírus blokkolta is a futtatást meghatározni ezek sem tudták hogy mi is a kártékony kód.
A végső megoldással ráadásul a tűzfalakat is sikerült kijátszania ami azt bizonyítja hogy ezeket az alkalmazásokat egymáshoz képest a legtöbb gyártó nem védi.


Kapcsolódó hivatkozás:
http://www.netacademia.hu/konferencia
 

<<< Szóljon hozzá a cikkhez! Ha hasznosnak találja lájkolja, twittelje! Kollégái, ismerősei így könnyebben rátalálnak és szívesen olvassák ezt a cikket. <<< egy kattintást megér!

Tovább a teljes cikkhez ... hirek.prim.hu

***

Kapcsolódó cikkek:

Keresés a portálon


Főszerkesztő +Tarnavölgyi Gábor

 


 

Hozzászólás

Név:
E-mail cím:
Weblap:
Tárgy:
Hozzászólás: