Az igazi vírusirtó teszt: 46 bukás

Ethical Hacking

Bár a legtöbb informatikus tisztában van azzal, hogy az antivírus szoftverek nem tökéletesek, de hogy mekkora energiával játszhatók ki, eddig nem igazán vizsgálták. Marosi Attila IT-biztonsági szakértő azonban egyszerű, az interneten is könnyedén fellelhető technikák segítségével 10-12 óra alatt kijátszott 46 vírusirtót és nem mellesleg a tűzfalakat is, mindezt a május 9-ei Ethical Hacking konferencián be is mutatja.

„A tesztelés során egy ún. Metasploit shell_reverse_tcp-t használtam, amely távoli hozzáférést biztosít a támadó részére. Ez egy, az IT biztonsággal foglalkozó közösségek által jól ismert kártevő, amire az antivírusok rendre riasztanak is a teszteken. Ha egy ennyire ismert programot sikerül elrejteni, akkor nagy probléma van, márpedig a vizsgált 46 vírusirtó nem riasztott” – magyarázta Marosi Attila, a konferencia előadója.

Ezt követően a szakember tovább vizsgálódott, és a 9 legnépszerűbb vírusirtó esetében egy futtatási tesztet is végrehajtott. Az eredmények azonban itt sem voltak éppen meggyőzőek: csupán három antivírus riasztott, és közülük is csak kettő blokkolta a tevékenységet.

A szakember szerint annak oka, hogy a legegyszerűbb módszerekkel sikerül megkerülni a vírusirtók többségét az, hogy az antivírus programok nem tartalmazzák azokat a funkciókat, amiket a gyártók állítanak, vagy rendelkeznek ugyan velük, de azok csak „bizonyos csillagállás” mellett működnek, így könnyen kijátszhatók.

„Volt olyan gyártó, akinek átküldtem a megoldást, amivel megkerültem a vírusirtójukat és a tűzfalukat, a válasz azonban az volt, hogy ez nem hiba, mert tudnak rá szignatúrát írni. Ez azonban nem igaz, hisz ez a minta csupán addig működik, amíg meg nem változtatom a kódot. Persze volt olyan gyártó is, aki megdöbbent az eredményen, és igyekszik kiküszöbölni a hibákat” – mondta az IT-biztonsági szakember.

Marosi Attila szerint, aki a vírusirtók megkerülésének módszerét a május 9-i Ethical Hacking Konferencián részletesen bemutatja, megoldást a tényleges elszeparálás jelenthet, és már van is olyan operációs rendszer, amelyben kikapcsolható az ismeretlen forrásból származó vagy aláírással nem rendelkező alkalmazások futtatása. Emellett pedig a szignatúra alapú felismerés mellett még nagyobb figyelmet kellene fordítani a kártékony programok valós idejű detektálására, amiben még bőven van hová fejlődniük a vírusirtóknak. Ugyanakkor a különféle teszteknek is ebbe az irányba kellene elmozdulniuk.

„A legtöbb teszten olyan attribútumok kapnak kiemelt figyelmet, mint például a gyorsaság – magyarázta Marosi Attila. – Ha azonban a számítógépen van egy üzleti terv, aminek az eltulajdonítása több milliós veszteséget jelent, akkor érdemes elgondolkodni, hogy tényleg olyan fontos-e a vírusirtók között meglévő néhány százalékos sebességkülönbség…”

Derült égből antivírus

Az Ethical Hacking Konferencián nem a fenti lesz az egyetlen előadás ebben a témában, szintén érdekesnek ígérkezik Buherátor: Derült égből antivírus, avagy a felhő alapú védelem árnyas oldalai c. előadása, melyben a Silent Signal IT-biztonsági szakértője körüljárja a szolgáltatás alapú végpontvédelem kulcskérdéseit, és gyakorlati példákat mutat arra, hogy milyen kellemetlen következményei lehetnek a gyártókba vetett túlzott bizalomnak.

A tesztelés menete

A tesztelés során Marosi Attila a Metasploit shell_reverse_tcp-t az interneten könnyen elérhető, viszonylag egyszerű módszerek segítségével „csomagolgatta”, hogy elrejtse az antivírus rendszerek elől. Ezt követően a virustotal.com-on végzett egy online szkennelési tesztet, melyen a 46 tesztelhető vírusirtóból egyetlen egy sem jelezte a problémát. 

A teszteket a 9 legnépszerűbb vírusirtó esetében megismételte virtuális gépeken, valós környezetben is, ahol a már futó kártékony programra is csupán három jelezte, hogy gyanús viselkedést észlel. Bár két antivírus blokkolta is a futtatást, meghatározni ezek sem tudták, hogy mi is a kártékony kód. A végső megoldással ráadásul a tűzfalakat is sikerült kijátszania, ami azt bizonyítja, hogy ezeket az alkalmazásokat egymáshoz képest a legtöbb gyártó nem védi.