Antywirus pod ostrzałem

Subskrybuj RSS A A A
20 października 2009
Marcin Marciniak

Skutki udanego ataku na antywirusa mogą być poważniejsze od przełamania zabezpieczenia stacji roboczej.

78%
organizacji nie chroni informacji o używanych antywirusach.
Pierwszym etapem ataku jest zazwyczaj rozpoznanie stosowanej ochrony. Wbrew pozorom, identyfikacja wykorzystywanego oprogramowania antywirusowego jest bardzo prosta. Ze względów marketingowych, niektóre produkty umieszczają w treści maila informacje o swojej wersji przy domyślnych ustawieniach, podając przy tym stan aktualności bazy sygnatur i programu (robi tak np. ESET NOD32). Jest to jeden z błędów w strategii bezpieczeństwa firmy, dlatego takie "dodatki reklamowe" należy bezwzględnie wyłączać, nie warto chwalić się oprogramowaniem antywirusowym na serwerze poczty.

Nagłówki pod lupą

Wiele mogą powiedzieć o firmie nagłówki wiadomości pocztowych. Aby je poznać, wystarczy wysłać e-mail do nieistniejącego adresata i analizować wiadomość zwrotną. Jeszcze lepsze skutki odnosi prośba o odpowiedź, kierowana do użytkownika wewnątrz firmy, wsparta zarchiwizowaną wiadomością e-mail, znalezioną w Internecie.

Przykładowe fragmenty nagłówka - X-IronPort-AV: E=Sophos;i="4.44,431,1249272000" - mówią o tym, że rozwiązanie IronPort wykorzystuje motor firmy Sophos w podanej wersji, cyfry 1249272000 określają datę aktualizacji w formacie UNIX timestamp (co odpowiada 2009-08-02 23:00:00 -0500). Inne programy, takie jak Avast, podają podobne informacje w nagłówkach X-Antivirus (przykładowo VPS 090614-0, 2009-06-14). Dysponując podatnością konkretnych wersji antywirusa, czasami dostępną online, można już zacieśniać krąg wyboru eksploitów.

Podrzucić przynętę

Gdy obie powyższe metody zawodzą, specjaliści rozpoznają motor za pomocą kolejnych przybliżeń, wysyłając załącznik, który powinien wywołać reakcję antywirusa. Analiza odpowiedzi może ujawnić rodzaj i stan aktualności danego motoru. W ten sposób można się dowiedzieć o tym, że w firmie pracuje Proofpoint z motorem F-Secure (X-Proofpoint-Virus-Version), IronPort (X-IronPort-AV), Trend Micro (X-TM-AS-Product-Ver), McAfee (The WebShield(R) e500 Appliance discovered a virus) czy Barracuda (X-Barracuda-Virus-Scanned).

Jeśli nawet to nie przynosi rozstrzygnięcia, napastnicy wykorzystują specjalnie przygotowane próbki znanego złośliwego oprogramowania. Załącznik ten opracowano w ten sposób, że wywołuje reakcję jedynie konkretnego motoru lub co najwyżej kilku z nich. Kilkukrotne próby przeprowadzane tą drogą umożliwiają ograniczenie wyboru do konkretnego motoru w określonym stanie aktualności baz.

Organizacje mówią o sobie zbyt wiele

Podczas testów, które przeprowadzali Jon Oberheide oraz Farnam Jahanian z Uniwersytetu Michigan, wysłanie wiadomości na nieistniejący adres i analiza e-maila zwrotnego ujawnia informacje o ochronie w 137 przypadkach na 483 (28,4%). Drugi eksperyment, polegający na wysłaniu załącznika z testowym pseudowirusem EICAR, dał rezultat w 77,9% badanych przypadków.

m.computerworld.pl - sprawdź mobilną wersję serwisu Computerworld
w swoim smartfonie.

Oceń artykuł

średnio: 4.7 liczba ocen: 2
1  2  dalej »
Podziel się |

Komentarze (4)

+Dodaj komentarz

~YTvZjNBQbWCE

09-09-2011 11:50
odpowiedz zmoderuj

And to think I was going to talk to someone in preson about this.

~gośc

13-12-2009 19:54
odpowiedz zmoderuj

Ja tam myslie ze oni tak naprawde nigdy nie odpuszcza, poniewaz tutaj rezcz sie kreci wokół piractwa.

glabro

30-11-2009 14:48
odpowiedz zmoderuj

Właśnie, że jest takie słowo obstrzał!!! NIEUKU!!

Robert

20-10-2009 20:10
odpowiedz zmoderuj

NIE MA SŁOWA OBSTRZAŁ!!!! jest słowo ostrzał!!!! proszę zapamiętać!!!!

Najpopularniejsze

Najnowsze

MAC, czyli ministerstwo reformowania rządzenia

MAC, czyli ministerstwo reformowania rządzenia
Premier wspiera lojalnie w kryzysie najbliższego współpracownika, Michała Boniego, przyjmując na siebie atak oburzonych internautów podczas debaty o ACTA.

Nowe, unijne zamówienia publiczne

Nowe, unijne zamówienia publiczne
Komisja Europejska proponuje ważne zmiany prawa wspólnotowego w obszarze zamówień publicznych. Warto im się przyjrzeć bo to jeden z elementów nowej perspektywy finansowej UE. Warto zatem przyjrzeć się owej propozycji bliżej.

Bezpieczeństwo rządowych stron - analiza

Bezpieczeństwo rządowych stron - analiza
Zespół zadaniowy ds. ochrony portali rządowych opublikował wytyczne. Trudno stwierdzić, że to najlepsze rekomendacje, jakie można było przy okazji zaistniałych ataków wypracować.

DEBATA: Kiedy walka polityczna w sieci przemienia się w cyberterroryzm?

DEBATA: Kiedy walka polityczna w sieci przemienia się w cyberterroryzm?
Skuteczny atak cybernetyczny przyniesie opłakane skutki dla państwa i gospodarki. Boleśnie się o tym przekonaliśmy, gdy nie można było dostać się na strony internetowe najważniejszych instytucji w Polsce.

Czy MSW chce unieważnienia przetargu na pl.ID?

Czy MSW chce unieważnienia przetargu na pl.ID?
Rośnie ryzyko całkowitego unieważnienia przetargu na nowe dowody osobiste. Krajowa Izba Odwoławcza odrzuciła odwołanie firmy Sygnity, która nie zgadzała się na wydłużenie o trzy miesiące terminu składania ofert na dostawę blankietów nowych dowodów osobistych. Wydłużenie całego postępowania o trzy miesiące może spowodować skargi uczestniczących w nim firm, a w konsekwencji unieważnienie przetargu.

Garść rad dla roztropnego szefa IT

Garść rad dla roztropnego szefa IT
Trudne czasy w gospodarce to okres, kiedy szczególnego znaczenia nabiera hasło: Jak cię widza, tak cię piszą. Osłabienie rynku przekłada się na oszczędności w przedsiębiorstwie, a oszczędności najłatwiej szukać w działach, które, w opinii zarządu, nie są bezpośrednio związane z prowadzoną działalnością - czyli również w dziale IT.

Sprzeczne wizje e-dowodu

Sprzeczne wizje e-dowodu
Koncepcja elektronicznego dowodu osobistego powstała w Polsce wiele lat temu. Starsze są koncepcje elektronicznego systemu świadczeń ochrony zdrowia. Mimo to, nadal są w trakcie budowy.

Rekomendacje

Serwisy IDG - Warunki obsługi - Kontakt - Redakcja - Regulamin - O nas - Polityka prywatności - Serwis zgodny z ASME
Reklama - Licencjonowanie treści
Computerworld Polska i Computerworld Polska online są znakami towarowymi IDG Poland SA.
 © Copyright 2012 International Data Group Poland S.A. 04-204 Warszawa ul. Jordanowska 12 tel.(+4822)321-78-00 fax(+4822)321-78-88