Szerző: Gálffy Csaba

2015. június 11. 09:30

ESET: szintet kell lépnie a biztonságnak

Az iparág régen túllépett a víruskergetőkön, azonban a jelenlegi kombinált termékeknél is komplexebb megoldásokra lesz szükség a jövőben. Ezt az teszi szükségessé, hogy még az átlagos felhasználó is sok eszközt kezdett használni - a PC már régen nem a személyi számítástechnika egyetlen eleme.

Criptolocker, androidos kártevők, botnetek - a "népi" internetes biztonság problémaköre nem változott az elmúlt időszakban, szűrhettük le az ESET által szervezett sajtóbeszélgetés nyomán. Az új irányok azonban már látszanak, az otthoni routerek biztonsága például olyan új terület, amelynek feltérképezésével a biztonsági cégek és a támadók is csak most kezdtek el igazán foglalkozni. Utóbbiak most kezdtek a fertőzött routerek monetizálásába, ha sikerül megtalálni az ütős üzleti modellt, akkor igazán kezdhetünk aggódni ezek biztonságáért.

Moose, az új irány?

Egy izgalmas (pontosabban ijesztő) új irányt jelent a Moose worm. Erről korábban írtunk már, a lényeg, hogy külső támadók a felhasználók otthoni routereit veszik célba és igyekeznek arra rosszindulatú szoftvert telepíteni. Mivel ezen hálózati eszközök túlnyomó többsége egy egyszerű Linuxot használ, amelyet egy menedzsment-felület és egy-két alkalmazás egészít ki, a rendszergazda-jogosultság megszerzésével a routerre is ugyanúgy lehet kártevő telepíteni, mint egy PC-re vagy szerverre.

Fejlesztő vagy? Segíts! Hack the Crisis. Gyere hétvégén fejleszteni, csatlakozz a hazai fejlesztői közösséghez!

A problémát az jelenti, hogy ezek az eszközök a PC-ről nézve "fekete dobozok", vagyis a számítógépre telepített biztonsági szoftver egyáltalán nem lát bele a router működésébe, így lehetetlen egy ilyen fertőzést a hagyományos szoftverekkel detektálni. Erre amúgy akkor van a legnagyobb esély, ha a támadók saját szervereik felé térítik el a hálózati forgalmat (a DNS lecserélésével) - magyarázta Juraj Malcho, az ESET kutatási igazgatója. A direkt megoldás, ha a felhasználó töri fel a saját routerét és nézi meg az ott futó folyamatok listáját, ez azonban komolyabb műszaki felkészültséget feltételez, mint amivel az átlagos user rendelkezik.

A router fölötti hatalomátvétel nagy lehetőségeket tartogat a támadó számára - szerencsére ezzel egyelőre nem éltek. Az ESET saját kutatása szerint jelenleg inkább a közösségi oldalak buherálására, hamis like-ok és Instagram-fiókok létrehozására, működtetésére használták a zombivá tett routereket, sem DDoS, sem egyéb más támadásnak nem volt még nyoma. Védekezés egyébként egyelőre nem nagyon van a Moose ellen, csupán annyi tanácsot tudnak adni az ESET képviselői, hogy igyekezzünk olyan routert vásárolni, amelynek gyártója megbízható és automatikus szoftverfrissítéseket küld az eszközökre.

Hol a vonal?

A beszélgetés végén előkerült a nem kívánt szoftverek problémája is. A 90-es évek óta folyamatosan jelen lévő gond, hogy a PC-gyártók illetve a szoftvertelepítők olyan alkalmazásokat is telepítenek, amelyeket a felhasználó nem érez szükségesnek. Csupán az elmúlt időszak terméséből: ezt az utat járja az Oracle, a SourceForge és a uTorrent is, sőt az ESET-Viber vita is botránnyá dagadt. Nem véletlenül: a felhasználók ilyen átverése könnyű pénzt jelent a fejlesztőnek, miközben védekezhet azzal, hogy ezeket az alkalmazásokat bármikor el lehet távolítani, telepítésük pedig amúgy sem kötelező.

Az ilyen adware elleni harcban az ESET az egyik zászlóvivő, amely igyekszik az ilyen szoftvereket, potentially unwanted application-ként bélyegezni, majd automatikusan felkínálni az eltávolítást. A cég ebben hajthatatlan, a kérés nélkül telepített eszköztárakat, adatgyűjtő és reklámokat megjelenítő alkalmazásokat egyaránt "bünteti", és igyekszik ezeket minden alkalommal kijelezni. Malcho elmondása szerint volt ebből már rengeteg nézeteltérés, a cég irányelveit még a biztonsági szoftveres iparág sem mindig fogadja el (lásd AVG toolbar), de az ESET hajthatatlan a kérdésben. A jogászoknak azért annyit sikerült elérniük, hogy az ESET telepítője már nem alapértelmezésben kínálja e szoftverek detektálását, hanem azt a felhasználónak kell bekapcsolnia.

A merev álláspont és a NOD32 népszerűsége miatt különösen érdekes, hogy hol van a határ a "potenciálisan nem kívánt alkalmazás" és az elfogadott szoftverek között. Malcho szerint a cég erre nem rendelkezik nyilvános döntési mátrixszal, amelynek alapján felpontozzák az egyes termékeket (ez egyébként kijátszható is lenne), maga az elv azonban világos: ha felmerül a lehetősége, hogy az alkalmazás a felhasználó kifejezett szándéka nélkül települt, akkor kijelzi azt a víruskergető.

a címlapról