„A tesztelés során egy ún. Metasploit shell_reverse_tcp-t használtam, amely távoli hozzáférést biztosít a támadó részére. Ez egy, az IT biztonsággal foglalkozó közösségek által jól ismert kártevő, amire az antivírusok rendre riasztanak is a teszteken. Ha egy ennyire ismert programot sikerül elrejteni, akkor nagy probléma van, márpedig a vizsgált 46 vírusirtó nem riasztott” – magyarázza Marosi Attila, a konferencia előadója.
Ezt követően a szakember tovább vizsgálódott, és a 9 legnépszerűbb vírusirtó esetében egy futtatási tesztet is végrehajtott. Az eredmények itt sem voltak éppen meggyőzőek: csupán három antivírus riasztott, és közülük is csak kettő blokkolta a tevékenységet.
A szakember szerint annak oka, hogy a legegyszerűbb módszerekkel sikerül megkerülni a vírusirtók többségét az, hogy az antivírus programok nem tartalmazzák azokat a funkciókat, amiket a gyártók állítanak, vagy rendelkeznek ugyan velük, de azok csak „bizonyos csillagállás” mellett működnek, így könnyűszerrel kijátszhatók.
„Volt olyan gyártó, akinek átküldtem a megoldást, amivel megkerültem a vírusirtójukat és a tűzfalukat, a válasz az volt, hogy ez nem hiba, mert tudnak rá szignatúrát írni. Ez azonban nem igaz, hisz ez a minta csupán addig működik, amíg meg nem változtatom a kódot. Persze volt olyan gyártó is, amelyik megdöbbent az eredményen, és igyekszik kiküszöbölni a hibákat” – mondja az IT-biztonsági szakember.
Marosi Attila szerint, aki a vírusirtók megkerülésének módszerét a május 9-i Ethical Hacking konferencián részletesen bemutatja, megoldást a tényleges „szeparálás” jelenthet, és már van is olyan operációs rendszer, amelyben kikapcsolható az ismeretlen forrásból származó vagy aláírással nem rendelkező alkalmazások futtatása. Emellett pedig a szignatúra alapú felismerés mellett még nagyobb figyelmet kellene fordítani a kártékony programok valós idejű detektálására, amiben még bőven van hová fejlődniük a vírusirtóknak. Ugyanakkor a különféle teszteknek is ebbe az irányba kellene elmozdulniuk.
„A legtöbb teszten olyan attribútumok kapnak kiemelt figyelmet, mint például a gyorsaság – magyarázta Marosi Attila. – Ha azonban a számítógépen van egy üzleti terv, aminek az eltulajdonítása több milliós veszteséget jelent, akkor érdemes elgondolkodni, hogy tényleg olyan fontos-e a vírusirtók között meglévő néhány százalékos sebességkülönbség…”
Az Ethical Hacking konferencián nem a fenti lesz az egyetlen előadás ebben a témában. Szintén érdekesnek ígérkezik Buherátor: Derült égből antivírus, avagy a felhőalapú védelem árnyas oldalai című előadása, melyben a Silent Signal IT-biztonsági szakértője körüljárja a szolgáltatásalapú végpontvédelem kulcskérdéseit, és gyakorlati példákat mutat arra, hogy milyen kellemetlen következményei lehetnek a gyártókba vetett túlzott bizalomnak.
A tesztelés menete
A tesztelés során Marosi Attila a Metasploit shell_reverse_tcp-t az interneten könnyen elérhető, viszonylag egyszerű módszerek segítségével „csomagolgatta”, hogy elrejtse az antivírus rendszerek elől. Ezt követően a virustotal.com-on végzett egy online szkennelési tesztet, melyen a 46 tesztelhető vírusirtóból egyetlen egy sem jelezte a problémát.
A teszteket a 9 legnépszerűbb vírusirtó esetében megismételte virtuális gépeken, valós környezetben is, ahol a már futó kártékony programra is csupán három jelezte, hogy gyanús viselkedést észlel. Bár két antivírus blokkolta is a futtatást, meghatározni ezek sem tudták, hogy mi is a kártékony kód.
A végső megoldással ráadásul a tűzfalakat is sikerült kijátszania, ami azt bizonyítja, hogy ezeket az alkalmazásokat egymáshoz képest a legtöbb gyártó nem védi.
