Niesamowite, jak po tylu latach korzystania z antywirusów okazuje się, że produkty te mogą wprowadzać do naszych komputerów więcej zagrożeń niż usuwać. A wystarczyło, że jeden inżynier zaczął testować ich bezpieczeństwo.
Tavis Ormandy, pracownik elitarnego zespołu Google Project Zero, kilka miesięcy temu ruszył na małą cyberkrucjatę. Za cel swoich badań obrał programy antywirusowe i chyba nie było jeszcze takiego, nad którego poziomem bezpieczeństwa by nie zapłakał. Tym razem pochylił się nad silnikiem Symanteca.
Matka wszystkich dziur
Tavis po analizie kodu Symanteca, występującego w prawie wszystkich produktach tej firmy (w tym także pod marką Nortona) znalazł w nim błąd bijący wszystkie błędy. Przepełnienie bufora w module analizy plików spakowanych starszą wersją aspack nie brzmi może strasznie, ale niestety Symantec uznał za dobry pomysł zaimplementowanie odpakowywania złośliwego oprogramowania na poziomie jądra systemu a do tego jego mechanizmy analizują wszystkie pliki w locie. W praktyce oznacza to, że wystarczy wysłać użytkownikowi Symanteca odpowiedni plik by uzyskać automatycznie, bez żadnej interakcji (odbiorca nie musi odczytywać poczty) maksymalne uprawnienia w systemie (root dla Linuksa czy OS X, ring0 NT Authority\SYSTEM w Windows). Gorzej być nie może.
To nie był dobry pomysł
Poziom znaczenia błędu najlepiej może zilustrować fakt, że pierwsze zgłoszenie Tavisa do Symanteca nie dotarło. Bramka pocztowa (oczywiście produkcji Symanteca) odgadła domyślne hasło archiwum ZIP (infected) i przeskanowała jego zawartość – i padła, bo Tavis przesłał przykładowy plik na dowód tego, ze błąd faktycznie istnieje… Symantec ten błąd już naprawił (jeśli macie licencję to dostaliście poprawkę), lecz jeszcze sporo poprawek przed Wami – Tavis nie ograniczył się do znalezienia jednego błędu.
Nie tylko Symantec
Niestety fatalny poziom bezpieczeństwa kodu nie jest tylko problemem Symanteca – Tavis pokazał już podobne luki w produktach firm takich jak ESET, Kaspersky, Avast, AVG, TrendMicro, Comodo, MalwareBytes, Avira oraz McAfee. Jeśli jakiegoś antywirusa nie ma na tej liście to nie dlatego, ze oparł się urokowi Tavisa – ale dlatego, że jego misja jeszcze trwa i nie zajrzał do każdego produktu. Warto także zaznaczyć, że jego przegląd jest dość powierzchowny – nie trwa jeszcze nawet roku i choć Tavisowi talentu nie brakuje, to można sobie tylko wybrazić, ile błędów może znaleźć zespół 100 chińskich ekspertów w tym samym czasie.
Komentarze
A Autor ma chyba Avirkę i zarzekał się, że nie słyszał o atakach poprzez antywiry. Czas zweryfikować swoje stanowisko i wywalić z kompa badziew. Jak sam Autor pisał, odsiewa tylko znane zagrożenia i jest bezradny przy tych mniej znanych.
Ja po wpadce Comodo zamieniłem na Păndziorka i czekam na swoją kolej z duszą na ramieniu… ;v
Zainstaluj sobie linuxa będziesz bezpieczny !
Pozdrawiam
Mądrość Internetu.
Ale tam też są antywiry xD
No właśnie. Jak właściwie zabezpieczyć się przed wirusami? Nie da się.
Obraz systemu po instalacji z podstawowymi programami i aktualizacjami a potem odtwarzanie z bakupu co miesiąc? :D
Czyli co miesiąc stary system? :D
Dokładnie tak, ale można do tego wykorzystać wirtualne maszyny i migawki. Z internetu korzystać przez maszyny zdalne lub wirtualne (RDP, SSH) lub pójść w QubesOS, gdzie to wszystko masz out of the box
Ale piszecie chyba o jakichś biurach z adminami, bo żeby prywatnie sobie robić obrazy całego dysku, wirtualki, migawki i bawić się w takie odtwarzanie, to… :>
Nie wierzę w wirusy, dawno żadnego nie widziałem. Atakowanie wirusami w e-mailach wydaje mi się bezsensowne. Przecież żeby taki program był groźny muszę zapisać go do pliku, nadać mu uprawnienia do wykonywania i uruchomić. Tylko po co? Można wprowadzić jakieś ułatwienia w strzelaniu sobie w głowę, ale wykonanie wszystkich tych działań automatycznie nie ma sensu.
Przeglądarka jest zazwyczaj pierwszą linią przed wirusami. Jeśli jest choć odrobinę nieaktualna, wirus może wykorzystać dziurę i wejść do systemu bez wiedzy użytkownika. Tak samo, dziurawy system – są błędy w miejscach i interfejsach o jakich filozofom się nie śniło, istnieje możliwość zawirusowania bez wiedzy usera.
Aktualna przeglądarka, aktualny system (najlepiej Linux), trochę oleju w głowie, i zgadzam się – można się obejść bez antywirusa. W innym przypadku, nie jest to mądre.
Chyba nie zrozumiałeś idei błędu… Opisywany bug w nortonie wymagał TYLKO „przeskanowania” pliku antywirusem (co dzieje się automatycznie) aby ukryty w nim kod wykonał się z uprawnieniami root/admina.
„Nie wierzę w wirusy, dawno żadnego nie widziałem.”
Obecne malware jest czasami tak dobre, że zwykłymi metodami go nie zobaczysz… Szczególnie to dotyczy ataku „targetowanego”…
A po polsku – „spersonalizowanego”.
+1
A nie bardziej po polsku byłoby „celowanego”?
„Przecież żeby taki program był groźny muszę zapisać go do pliku, nadać mu uprawnienia do wykonywania i uruchomić. ”
Jest malware bezplikowe i je też chcesz zapisywać na dysku?
W realnym świecie głupich ludzi eliminuje tzw. prawo selekcji naturalnej. W cyberprzestrzeni podobną rolę pełnią wirusy i ich twórcy :)
Klasyk się sprawdza:
http://images-cdn.9gag.com/photo/aBQbyoP_700b_v1.jpg
„to można sobie tylko wybrazić, ile błędów może znaleźć zespół 100 chińskich ekspertów w tym samym czasie”
100 chińskich ekspertów z NSA
> Root w linux, ring0 w Windows
A to niby na Linuxach ( i dowolnym innym systemie ) na x86 nie ma ring0? xD
A czy mając tę wiedzę nie wystarczy po prostu wyłączyć funkcję odpakowywania plików?
–
Adamie, czy mógłbyś streścić (lub zalinkować), jakie luki znaleziono w tych produktach AV innych firm?
…jeśli będą linki, to można je dorzucić do weekendowej listy, bo nie wszyscy czytają moje komentarze… :>
Lista tu: https://bugs.chromium.org/p/project-zero/issues/list?can=1&q=reporter%3ATaviso
Za dużo do streszczania ;)
Bardzo dziękuję za szybką i konkretną odpowiedź.
„Co robić, jak żyć?”..
…aaa nie, to nie ten serwis :-)
Hmm… około tygodnia temu Tumblr pewnej znanej mi osobie powiedział „zmień sobie hasło”, bez żadnego wyjaśnienia. Przynajmniej teraz znam wyjaśnienie :)
„(root dla Linuksa czy OS X, ring0 w Windows)”
Gdzie jak gdzie, ale tutaj takich głupot nie powinniście pisać :)
Co jest głupota? Jest duża różnica między ring0 i root/Administrator.
Zadziwiające, poświęciłeś 30 sekund na napisanie tego komentarza zamiast wpisać w google ring0 :)
Cos sie te backdoory NSA sypia! A to pech! :)
PS
Sadze, ze to dopiero poczatek.
Kilka lat temu niebezpiecznik.pl pisał że programy antywirusowe są nic warte ponieważ można je spokojnie obejść zabezpieczenia. Muszę dodać że niestety ale wszystkie programy antywirusowe nic nie są warte i nie warto ich użyć, bo zamiast chronić tylko szkodzą. Proszę także pamiętać że wiele osób jeszcze za nie płaci. Z puntu czasu nic się nie zmieniło w tej branży. Dlatego warto się zastanowić czy wato w ogóle używać takich programów.
Programy antywirusowe są warte używania. Chyba wszyscy je instalucją, oprócz Linuksiarzy. Choć wtopa Nortona koszmarna i w zasadzie za głupotę powinno się zrezygnować z ich oprogramowania, jeżeli ktoś jeszcze tego nie zrobił.