Szerző: Bodnár Ádám

2009. november 20. 15:00

Kártevővédelem a kártevők ismerete nélkül?

Újszerű biztonsági megoldást szabadalmaztatnak a katonai technológiákkal foglalkozó brit Qinetiq fejlesztői. Az elgondolás lényege, hogy bármilyen kártevőt ki lehet szűrni azzal, ha a olyan kódot szúrunk be, amely megakadályozza a program több részének végrehajtását.

Továbbra is sok fejtörést okoznak az e-mailben terjedő kártevők, amelyek csatolt állományokban bújnak meg. A bűnözők mindenféle trükkökkel próbálják rávenni az áldozatokat, hogy nyissák meg ezeket a fájokat, például vicces vagy éppen durva videónak, esetleg egy ismert személytől készült erotikus képnek, vagy akár a céges fizetési listát tartalmazó dokumentumnak álcázva őket. Ezek a fájlok gyakran vagy végrehajtható állományokat rejtenek vagy olyan, előre preparált állományok, amelyek egy-egy sebezhetőséget kihasználva jutnak át a számítógép védelmi vonalain.

A Qinetiq biztonsági szakértői, Simon Wiseman és Richard Oak szerint hatékonyan meg lehetne védeni a felhasználókat, ha a levelezőszerver vagy akár a kliens minden, esetlegesen káros csatolt állományba (pl. XML, RTF) beilleszt egy kódot. Ha a fájlt valaki \"rendeltetés szerint\", azaz dokumentumként nyitja meg, ez a kód nem fogja zavarni az értelmezésben, azonban ha a fájl kártevőt tartalmaz, annak futását ez a kód lehetetlenné fogja tenni, vagy azért mert a bináris kód értelmetlenné válik, vagy mert az elhelyezett pointerek rossz helyre mutatnak. Esetleg közvetlenül beilleszthető olyan kód, aminek végrehajtásakor a program kilép vagy végtelen ciklusba kerül.

Mivel az érintett fájlformátumok ismertek, ezért azt is tudni lehet, hogy hová illeszthetők be ezek a kódon anélkül, hogy a fájlok rendeltetésszerű használatát ne befolyásolja, például egy XML-be kommentként befűzhető tetszőleges karaktersorozat. Ugyanígy akár törölni is lehetne a fájlokból olyan helyeken, amely normális esetbe nem változtatja meg az értelmezhetőségüket, de a bináris kódként történő végrehajtást lehetetlenné teszik. A beillesztést és törlést akár együttesen is lehet használni. Az eljárás részleteit az Egyesült Államok Szabadalmi- és Védjegyhivatalának weboldalán lehet elolvasni.

A megoldás jelentősége, hogy használatához egyáltalán nem szükséges tudni azt, milyen támadó kód is került vagy kerülhetett bele a kérdéses állományokba, azaz a védelem biztosításához nem kell folyamatosan monitorozni a netet a legfrissebb kártevők után és a biztonsági szoftver adatbázisát a lenyomatokkal frissíteni. A Qinetiq tervei szerint a jövőben az eljárást biztonságos levelezőszerverekben fogják majd alkalmazni.

Nagyon széles az a skála, amin az állásinterjú visszajelzések tartalmi minősége mozog: túl rövid, túl hosszú, semmitmondó, értelmetlen vagy semmi. A friss heti kraftie hírlevélben ezt jártuk körül. Ha tetszett a cikk, iratkozz fel, és minden héten elküldjük emailben a legfrissebbet!

a címlapról