Metody testování antivirů
Rozdělávání ohně pod detektorem kouře
Používání libovolného antivirového programu s sebou nese zásadní problém: jak ověřit, zda je program funkční, zda dělá to, co má, a jestli je nastaven tak, jak předpokládáme. To se totiž velice špatně zkouší a testuje...
Text: Pavel Baudiš, Alwil Software
Je jasné, že k vyzkoušení funkčnosti či správného nastavení není možné používat opravdové viry. Pokud by bylo něco špatně, virus by se mohl spustit a začít vykonávat svoji činnost. Tudy proto cesta rozhodně nevede. Jak tedy tuto situaci řešit? Jak opravdu bezpečně a spolehlivě otestovat skutečné chování antivirového programu?
Řešení jménem EICAR
Odpověď zní: Velice těžko. Antiviroví odborníci už v roce 1992 "vymysleli" neškodný textový testovací soubor, známý pod jménem EICAR. COM, který sloužil právě k tomuto účelu - ostatně tímto souborem se zabýval i antivirový koutek časopisu Chip v říjnu roku 2002. Dnes jej detekují snad všechny antivirové firmy. Jeho koncept je jednoduchý - jde o textový soubor, který je možné zadat z klávesnice či jednoduše vytvořit přes schránku, programy typu COM mají jediný vstupní bod, který nelze "obejít", a po spuštění jen vypíše informaci o sobě a skončí. Je vhodný k testování ochrany spouštěných souborů, ale i ke zkoušení archivů, zálohování, elektronické pošty a podobně. I u tohoto jednoduchého programu se však objevily problémy, a tak musela být po deseti letech jeho definice zpřísněna (zneužitelný byl například u škodlivých dávek). Přesto se tento koncept osvědčil a uživatelé volali po dalších podobných souborech, které by šly dále a pokryly i další potřebné oblasti: makra, programy pro Windows a podobně. Zde by však použití takových souborů přineslo tolik problémů, že je nemožné takový "testovací program" vytvořit - neexistuje jediný vstupní bod programu, není možno vytvořit textovou formu takového souboru (a například binární nulu, kterou tyto soubory často obsahují, nelze zadat z klávesnice), navíc nebezpečí jejich zneužití je neúměrně veliké. Proto dodnes existuje pouze onen starý dobrý EICAR. COM.
Obrana proti spywaru?
A proč o tom vlastně hovořím? Nedávno se na internetu objevila iniciativa Spycar Project (www.spycar.org), jež nabízí "řadu nástrojů, které mají předstírat chování programů typu spyware, ale v neškodné formě". Autoři hovoří o obecném způsobu testování a nejen v názvu celého projektu se odvolávají právě na soubor EICAR. COM. Jejich produkty však spíše připomínají jiný projekt, který na začátku devadesátých let vytvořil Doren Rosenthal a který byl nazván "Rosenthalův virový simulátor". Jednalo se o sadu jednoduchých dosových programů, které nic nedělaly, ale které obsahovaly podobné instrukce jako tehdejší viry. Svému simulátoru dělal Doren Rosenthal velkou publicitu a snažil se tlačit na antivirové firmy, aby jeho programy detekovaly. Ty mu oponovaly, že jeho programy nic nedělají, a tedy není důvod je označovat za škodlivé. Objevilo se i několik testů založených na těchto souborech. Některé firmy poté podlehly, Rosenthalovy soubory začaly označovat za škodlivé a celá tahanice pokračovala několik let. Pravda je, že testování schopností antivirového programu pomocí těchto souborů je zcela nesmyslné.
Riziková cesta
Bohužel nástroje projektu Spycar spadají přesně do stejné kategorie -i ony se snaží předstírat škodlivé chování tam, kde žádné není, a přitom jsou podle autorů navrženy "ke zjištění, zda váš antispyware je schopen blokovat či zjistit jejich činnost". Smutným faktem je to, že tuto "činnost" mohou využívat reálné škodlivé programy, a pokud by ochranný program označil přítomnost "nevinného testovacího" kódu, umožnil by tím pravděpodobně i práci škodlivého programu (tak jako tomu bylo i u programu EICAR. COM). V konceptu těchto dvou programů je přitom zcela zásadní rozdíl, který přiznávají i autoři, když je na svých stránkách přirovnávají k testování detektoru kouře. Zatímco EICAR. COM testuje, zda je detektor funkční, Spycar se podobá rozdělání ohně pod detektorem. Myslím si, že tento projekt nemá šanci uspět. Jeho autor se koncem června setká na jedné konferenci se zástupci antivirových firem a jsem opravdu zvědav, jaká diskuse na tomto setkání vznikne a jak se celá situace vyvine. Do té doby opravdu nezbývá než používat klasický test pomocí EICAR. COM, případně se na nějaký speciální soubor zeptat přímo dodavatele konkrétního programu. Obecně platné řešení však v našem reálném světě neexistuje!
KRÁTCE
Bezpečné bankovní maily s digitálním podpisem
Zákazníci německé poštovní banky Postbank patří k nejčastějším obětem phishingu. Nyní však budou moci lépe rozlišit pravé bankovní zprávy od falešných. Důvěryhodnost zpráv od banky bude nyní potvrzovat digitální podpis.
Zdroj: www.postbank.de
Phishing po telefonu
Při svém lovu na čísla PIN a TAN nasadili phishingoví podvodníci novou taktiku. V podvržených "bankovních" e-mailech uvedou telefonní číslo, na němž po klientově zavolání falešný automatický "telefonní bankéř" vyžaduje sdělení údajů z kreditních karet a dalších informací.
Zdroj: www.antiviruslab.com
Stahování sudoku instaluje spyware
Osudná hra s čísílky: "Yazzle-Sudoku", šířené mailem i po webu, obsahuje adware, který v počítači zobrazuje reklamní zprávy. Chcete-li se podobným postižením vyhnout, vyplatí se pravidelně sledovat seznam skrytého adwaru a spywaru.
Info: www.spywarewarrior.com/rogue_anti-spyware.htm
TISKÁRNY HP
Děravá tiskárna
Software Toolbox pro HP tiskárny Color LaserJet 2500 a Color LaserJet 4600 umožňuje hackerům přístup k počítači po síti. Bezpečnostní mezera dovoluje načíst jakýkoliv soubor z pevného disku a dostat se tak i k citlivým datům. HP již uveřejnil aktualizaci pro Toolbox verze 3.1, která je ke stažení připravena na http://h2000.www2.hp.com/bizsupport/TechSupport/Home.jsp.
Infekce napříč platformami
Pandemie: Virus napadá Windows a Linux
To, čeho se bezpečnostní experti již dlouho obávali, se stalo skutečností: hackeři zveřejnili kód pro virus, jemuž je lhostejné, v kterém operačním systému se ocitne. Ochromí prostě všechny. Přívrženci Linuxu a "maců" měli až dosud pro uživatele Windows spíše útrpné posměšky - ve světle virové statistiky (viz graf) ostatně docela pochopitelné. Smích je však asi brzy přejde...
Základní princip tohoto prvního "multiplatformního" viru nazvaného Virus. Linux. Bi.a/Virus. Win 32. Bi.a ani není příliš komplikovaný. Kód je naprogramován v assembleru a pod Linuxem i pod Windows vždy infikuje spustitelné soubory: ELF (Executable and Linking Format) v Linuxu a PE (Portable Executable) ve Windows. V obou těchto souborových formátech se vždy usadí mezi hlavičku souboru a vlastní instrukční kód a přepíše startovací adresu. Výsledkem je, že operační systém nespustí originální program, nýbrž podvržený kód.
Jediný předpoklad, který virus pro svou činnost potřebuje, je procesor typu x86, jenž rozumí použitým příkazům assembleru. A poněvadž se takovými intelskými procesory nedávno začaly osazovat i počítače firmy Apple, dá se v nepříliš vzdálené době očekávat i první útok na "macy". Ušetřeny zůstanou jen jejich starší modely s procesory od IBM.
Přibyl tedy další důvod ke starostem, zatím však nikoli k panice: u zmíněného škůdce se totiž jedná jen o "Proof of Concept", který pouze dokumentuje realizovatelnost takového viru. Ten ještě žádný škodlivý kód neobsahuje, a opravdové nebezpečí u něj tedy nehrozí. Ale bezpečnostní laboratoře po celém světě vědí své a novinku už chápou jako jasné varování. "Takovéto pokusné kódy obvykle autoři virů velmi rychle adaptují pro své účely," říká bezpečnostní expert Eugene Kaspersky. Což neznamená nic jiného, než že první útok napříč platformami je na spadnutí.
Takovýto multiplatformní "supervirus" by mohl jediným úderem napadnout 99,9 % všech PC - a v horším případě je zcela ochromit. Před bezpečnostními firmami tak vyvstala nová povinnost: vyvinout první multiplatformní antivirový nástroj.
Info: www.viruslist.com
Neslavné prvenství
Většina virů je stále ještě psána pro Windows. Ale multiplatformní viry znamenají velké potenciální nebezpečí i pro Linux a Mac OS.
Virová databanka společnosti Kaspersky Labs zaznamenává mnohem více virových signatur pro Windows než pro Linux nebo Mac OS.
INTERNET EXPLORER 6
Problémy s JavaScriptem
Hned několik mezer se objevilo v IE6.
Mimořádně kritický je problém s JavaScript funkcí createTextRange(), jejímž prostřednictvím lze do paměti zapsat i programový kód a spustit jej. Přes další mezeru zase mohou HTML aplikace číst a zapisovat soubory -a infikovat tak počítač škodlivými programy. Řešením je nedávno zveřejněná aktualizace IE, která tyto (a osm dalších!) bezpečnostní díry odstraňuje.
Info: www.microsoft.com
SPYWARE
Podvodný "bezpečnostní" prostředek
Nástroj "UnSpyPC" slibuje, že počítač osvobodí od spywaru - místo toho však vyřadí z činnosti jeho antivirový software. Nástroj, který je znám už několik měsíců a který se nyní vyskytuje v nové agresivní variantě, nejprve působí dojmem programu pro analýzu prostředků obsažených v systému. Skenuje počítač a pak navrhuje deaktivovat, či dokonce odstranit údajně škodlivé programy. I zkušeným uživatelům se pak může stát, že nabídnutou výmazovou rutinou svůj systém ve vteřině znehodnotí. A i když na tento trik nenaletíte, UnSpyPC vám bude svévolně zobrazovat reklamní bannery. Nejlepší ochranou před takovými podvodnickými programy je udržovat virové signatury v aktuálním stavu.
Info: www.surfcontrol.com
SUSE LINUX
Linux pod DoS útoky
Vešlo ve známost několik bezpečnostních mezer v SuSE Linuxu nebo v programech běžících pod ním. Postiženy jsou verze 9.1 až 9.3 a 10. Tato slabá místa mohou být využita k propašování cizího kódu do počítače nebo k útokům typu DoS. Řešením jsou aktualizace pro všechny postižené verze. SuSE je dává k dispozici na http://support.novell.com/linux/psdb/Service%20Pack.html
OUTLOOK EXPRESS
Pošta v ohrožení
Slabé místo v MS Outlook Express 5.5 a 6 mohou útočníci využít k vyvolání přetečení bufferu. Takové napadení lze provést přes zmanipulovaný soubor adres (.wab).
Řešením jsou záplaty pro různé varianty Outlook Expressu, které jsou připraveny ke stažení na adrese www.microsoft.com/download/Search.aspx?displaylang=en
KERNEL ROOTKIT
Neviditelný útočí
Jistý italský hacker zveřejnil na internetu "stavebnici" pro prakticky neviditelný rootkit. Zpočátku se tento škůdce chová stejně jako mnozí z jeho vrstevníků - uhnízdí se v jádru operačního systému. Pak se však nevěnuje rozvracení systémové knihovny nebo některého z ovladačů, ale ovladači vlastnímu, který si "přinesl" s sebou. V nyní zveřejněném případě to byl síťový ovladač, jehož prostřednictvím se zřizovalo internetové spojení. Nebezpečí spočívá v tom, že poněvadž rootkit pracuje v prostředí systémových ovladačů, běžné ochranné mechanismy, jako jsou virové skenery nebo firewally, si ho nepovšimnou. Využívá prakticky zadní vrátka, o nichž systém vůbec neví, že existují.
Info: www.rootkit.com
CHYBA V ANTIVIRU
Avast! Antivirus
Avast! Antivirus Home Edition verze 4.7.827 a starší a Professional Edition verze 4.7.827 a starší obsahují zranitelnost, která umožní útočníkovi převzít úplnou kontrolu nad napadeným strojem (www.avast.com/eng/av4_revision_history.html). Příčinou je přetečení bufferu, které vznikne při zpracování speciálně upraveného CHM (Microsoft's HTML Help format) souboru. Útočníkovi tak stačí poslat uživateli speciálně upravený CHM soubor, například pomocí e-mailu. Řešením je upgrade na verzi 4.7.844, která dočasně vypíná CHM unpacker.
Info: zpravy.actinet.cz
WINGATE
Přetečení zásobníku
V programu WinGate verze 6.1.2 (build 1094) a 6.1.1 (build 1077) byla objevena zranitelnost (http://secunia.com/advisories/20483), kterou může útočník zneužít ke způsobení DoS (Denial of Service), potenciálně ke spuštění cizího kódu. Na vině je okrajová chyba ve WWW proxy serveru, která se projeví přetečením zásobníku, je-li na postižený systém poslán HTTP požadavek s příliš dlouhou URL. Ostatní verze mohou být též postiženy. Výrobce (www.wingate.com) prozatím nevydal opravenou verzi, proto je vhodné používat WinGate jen na důvěryhodných sítích.
Info: zpravy.actinet.cz
BUFFER OVERFLOW
F-Secure Anti-Virus Web console
Web console produktu F-Secure Anti-Virus pro MS Exchange 6. X a F-Secure Internet Gatekeeper 6. obsahují zranitelnost, kterou lze ještě před provedením autentizace uživatele zneužít k provedení útoku způsobujícího pád aplikace. Je zde možné riziko, že by útočník mohl spouštět kód na zranitelném systému (www.f-secure.com/security/fsc-2006-3.shtml). Výrobce připomíná, že aplikace má po instalaci povoleno připojení pouze z lokálního počítače, proto se tato zranitelnost projeví hlavně při povoleném vzdáleném připojení. V původním oznámení naleznete odkaz na hotfix zranitelnosti.
Info: zpravy.actinet.cz
SPUŠTĚNÍ KÓDU
SpamAssassin
Antispamový nástroj SpamAssassin ve verzích 3.1.3 a 3.0.6 a starší obsahuje zranitelnost (http://isc.sans.org/diary.php?storyid=1385), která umožní vzdálenému útočníkovi spustit na cílovém stroji libovolný kód s právy démona spamd. Chyba vznikne při spuštění spamd s přepínači "-v"/"-vpopmail" a "-P"/"-paranoid".
Info: zpravy.actinet.cz
TESTY ANTIVIRŮ
Proaktivní detekce
Mezinárodně uznávané nezávislé testy významných antivirových řešení v rámci projektu AV-Comparatives. org (www.av-comparatives.org) se konají čtyřikrát ročně. Květnové porovnávací testy se zaměřily na úroveň proaktivní detekce (vyhledávání dosud neznámých virů). Testu se zúčastnil také NOD32 s technologii ThreatSense a získal pro společnost Eset nejvyšší ocenění Advanced+.
Co je to proaktivní a reaktivní detekce?
Antivirové programy obvykle kombinují dva typy ochrany před infiltracemi: proaktivní a reaktivní. Proaktivní detekce funguje na bázi heuristických metod, dokáže sama vyhodnotit kód jako škodlivý a znemožní mu přístup k souborům na pevném disku. Důležitá je především v době po vzniku nové infiltrace, kdy ještě antivirové společnosti nezareagovaly konkrétním vzorkem viru nové infiltrace, která dokáže poté reagovat na nový virus přímo a konkrétně. Autoři tohoto testu zjišťovali účinnost proaktivní ochrany před novými infiltracemi nebo jejich mutacemi i tak, že po dobu tří měsíců zamezili testovaným produktům přístup k aktualizacím virových bází.
Tou přímou a konkrétní reakcí je druhý vzpomínaný typ detekce, reaktivní detekce. Jde o aktualizace antivirového systému, připravovaného přímo ve virových laboratořích jednotlivých společností. Vždy určitou dobu trvá, než antivirové společnosti připraví aktualizace, a ještě delší dobu trvá distribuce ke všem uživatelům celosvětově. V době tohoto časového úseku jsou uživatelé odkázáni "jen" na ochranu pomocí proaktivní detekce.
Info: www.av-comparatives.org
ANTIVIROVÁ OCHRANA
Antivir pro Windows Vista zdarma
Společnost Trend Micro Incorporated oznámila spuštění řešení PC-cillin Internet Security, které poskytne antivirovou a další ochranu systému Windows Vista, nové generaci klientského operačního systému Windows. Trend Micro PC-cillin pro beta verzi operačního systému Windows Vista je připraven ke stažení na webové stránce "Security at Home" společnosti Microsoft (www.microsoft.com/athome/security/viruses/wsc/en-us/windowsvistabeta2.mspx). Trend Micro PC-cillin Internet Security nabídne uživatelům Windows Vista rozšířené funkce, které přesahují standardní antivirovou ochranu. Pomáhá například chránit uživatelské počítače před novými hrozbami, jako je phishing, síťové viry, nevyžádaná pošta, nevhodný webový obsah nebo spyware. Beta verze antiviru bude fungovat do 31. října 2006.
Info: www.trendmicro-europe.com
SYMANTEC SECURITY INFORMATION MANAGER
Lokální povýšení práv
Symantec Security Information Manager 4.0.2 obsahuje zranitelnosti v ověření uživatelem zadaných parametrů, které dovolují lokálním útočníkům spustit příkazy shellu s právy uživatele sesuser. Odkaz na aktualizaci verze 4.0.2.29 HOTFIX 1 naleznete na webu Symantecu (securityresponse.symantec.com).
Info: zpravy.actinet.cz
MAKROVIRY
OpenOffice v ohrožení
Společnost Kaspersky Lab odhalila zřejmě první makrovirus naprogramovaný ve Star Basicu (http://news.com.com/Stardust+virus+lands+on+OpenOffice/2100-7349_3-6078475.html), který je implementován v kancelářských balících OpenOffice a StarOffice. Virus stáhne z internetu obrázek s obsahem pro dospělé a zobrazí jej v novém dokumentu. Tento virus se nešíří mezi uživateli masivně a je spíše ukázkou, že i pro alternativní kancelářské aplikace lze vytvořit zákeřný kód.
Info: zpravy.actinet.cz
MICROSOFT
Masivní aktualizace produktů
Microsoft vydal v polovině června 12 aktualizací svých produktů. Aktualizace kritických chyb umožňujících vzdálené spouštění kódu: kumulativní update pro Internet Explorer 5.01 a 6, oprava Media Playeru 7.1, 9 a 10 v práci s PNG obrázky, aktualizace Wordu a PowerPointu z Office 2000, XP a 2003, oprava renderovacího enginu Windows a vzdáleného přístupu. Opravy důležitých chyb řeší zranitelnosti v MS Exchange, ve zpracování TCP/IP protokolu a v Server Message Block. Microsoft zároveň oznámil, že nehodlá vydat záplatu na kritickou zranitelnost (MS06-015) pro systémy Windows 98, 98 Second Edition a Millenium Edition. Podpora Microsoftu pro tyto systémy skončí dne 11. července 2006.
Info: zpravy.actinet.cz
PRŮMYSLOVÁ ŠPIONÁŽ
Trojský kůň šitý na míru
Richard Stiennon poukazuje v příspěvku Custom Trojans: The Next Big Thing na darkreading.com (www.dark-reading.com/document.asp?doc_id=95283) na nebezpečí na zakázku vyvíjeného škodlivého kódu. Stačí vzít již existující kód např. trojského koně a ten modifikovat tak dlouho, až ho antiviry nedetekují. Ideální příležitostí pro takového trojského koně je průmyslová špionáž. Pokud bude vypuštěn jen do jedné či několika málo organizací, není velká pravděpodobnost, že antiviroví výrobci včas zareagují. Příkladem budiž již rok stará kauza Michaela Haephratiho (www.computerweekly.com/Articles/Article.aspx?liArticleID=210245). Jakou obranu proti takovému malwaru Stiennon doporučuje?
1. Dobře konfigurované firewally významně omezí možnost zpětné komunikace trojského koně s útočníkem.
2. Systémy detekce a prevence průniku dokáží rozpoznat nestandardní jednání trojského koně.
3. Používání white listů aneb uplatňování principu "Co není povoleno, je zakázáno".
Info: zpravy.actinet.cz
- Aktuality - Bezpečnost (367.43 kB) - Staženo 0x