Antywirus pod ostrzałem

Subskrybuj RSS A A A
20 października 2009
Marcin Marciniak

Skutki udanego ataku na antywirusa mogą być poważniejsze od przełamania zabezpieczenia stacji roboczej.

78%
organizacji nie chroni informacji o używanych antywirusach.
Pierwszym etapem ataku jest zazwyczaj rozpoznanie stosowanej ochrony. Wbrew pozorom, identyfikacja wykorzystywanego oprogramowania antywirusowego jest bardzo prosta. Ze względów marketingowych, niektóre produkty umieszczają w treści maila informacje o swojej wersji przy domyślnych ustawieniach, podając przy tym stan aktualności bazy sygnatur i programu (robi tak np. ESET NOD32). Jest to jeden z błędów w strategii bezpieczeństwa firmy, dlatego takie "dodatki reklamowe" należy bezwzględnie wyłączać, nie warto chwalić się oprogramowaniem antywirusowym na serwerze poczty.

Nagłówki pod lupą

Wiele mogą powiedzieć o firmie nagłówki wiadomości pocztowych. Aby je poznać, wystarczy wysłać e-mail do nieistniejącego adresata i analizować wiadomość zwrotną. Jeszcze lepsze skutki odnosi prośba o odpowiedź, kierowana do użytkownika wewnątrz firmy, wsparta zarchiwizowaną wiadomością e-mail, znalezioną w Internecie.

Przykładowe fragmenty nagłówka - X-IronPort-AV: E=Sophos;i="4.44,431,1249272000" - mówią o tym, że rozwiązanie IronPort wykorzystuje motor firmy Sophos w podanej wersji, cyfry 1249272000 określają datę aktualizacji w formacie UNIX timestamp (co odpowiada 2009-08-02 23:00:00 -0500). Inne programy, takie jak Avast, podają podobne informacje w nagłówkach X-Antivirus (przykładowo VPS 090614-0, 2009-06-14). Dysponując podatnością konkretnych wersji antywirusa, czasami dostępną online, można już zacieśniać krąg wyboru eksploitów.

Podrzucić przynętę

Gdy obie powyższe metody zawodzą, specjaliści rozpoznają motor za pomocą kolejnych przybliżeń, wysyłając załącznik, który powinien wywołać reakcję antywirusa. Analiza odpowiedzi może ujawnić rodzaj i stan aktualności danego motoru. W ten sposób można się dowiedzieć o tym, że w firmie pracuje Proofpoint z motorem F-Secure (X-Proofpoint-Virus-Version), IronPort (X-IronPort-AV), Trend Micro (X-TM-AS-Product-Ver), McAfee (The WebShield(R) e500 Appliance discovered a virus) czy Barracuda (X-Barracuda-Virus-Scanned).

Jeśli nawet to nie przynosi rozstrzygnięcia, napastnicy wykorzystują specjalnie przygotowane próbki znanego złośliwego oprogramowania. Załącznik ten opracowano w ten sposób, że wywołuje reakcję jedynie konkretnego motoru lub co najwyżej kilku z nich. Kilkukrotne próby przeprowadzane tą drogą umożliwiają ograniczenie wyboru do konkretnego motoru w określonym stanie aktualności baz.

Organizacje mówią o sobie zbyt wiele

Podczas testów, które przeprowadzali Jon Oberheide oraz Farnam Jahanian z Uniwersytetu Michigan, wysłanie wiadomości na nieistniejący adres i analiza e-maila zwrotnego ujawnia informacje o ochronie w 137 przypadkach na 483 (28,4%). Drugi eksperyment, polegający na wysłaniu załącznika z testowym pseudowirusem EICAR, dał rezultat w 77,9% badanych przypadków.

m.computerworld.pl - sprawdź mobilną wersję serwisu Computerworld
w swoim smartfonie.

Oceń artykuł

średnio: 4.7 liczba ocen: 2
1  2  dalej »
Podziel się |

Komentarze (4)

+Dodaj komentarz

~YTvZjNBQbWCE

09-09-2011 11:50
odpowiedz zmoderuj

And to think I was going to talk to someone in preson about this.

~gośc

13-12-2009 19:54
odpowiedz zmoderuj

Ja tam myslie ze oni tak naprawde nigdy nie odpuszcza, poniewaz tutaj rezcz sie kreci wokół piractwa.

glabro

30-11-2009 14:48
odpowiedz zmoderuj

Właśnie, że jest takie słowo obstrzał!!! NIEUKU!!

Robert

20-10-2009 20:10
odpowiedz zmoderuj

NIE MA SŁOWA OBSTRZAŁ!!!! jest słowo ostrzał!!!! proszę zapamiętać!!!!

Najpopularniejsze

Najnowsze

Państwo do konsolidacji

Państwo do konsolidacji
Obywatele uważają administrację publiczną za jeden organizm. W rzeczywistości jest to kilka tysięcy oddzielnych struktur, obrosłych biurokratycznymi naroślami. Czy można zracjonalizować działanie państwa? Jak w tym może pomóc informatyka?

Zarządzanie po japońsku

Zarządzanie po japońsku
W praktyce przemysłowej wypracowano szereg skutecznych metod zarządzania. Wiele powstało w Japonii. Dlaczego, mimo ich efektywności, nie zawsze są stosowane w biznesie?

e-Sąd z odsieczą sprawiedliwości

e-Sąd z odsieczą sprawiedliwości
Polski wymiar sprawiedliwości postrzegany jest jako skostniały i opieszały. Tymczasem kolejne e-usługi udostępniane przez Ministerstwo Sprawiedliwości ułatwiają życie przedsiębiorcom i usprawniają pracę sądów.

e-Zdrowie w Polsce i na świecie

e-Zdrowie w Polsce i na świecie
Projekty informatyzacji służby zdrowia realizowane są na świecie z różnym powodzeniem. Skąd Polska mogłaby czerpać wzorce? A może jesteśmy skazani na własne rozwiązania?

Raport Państwo 2.0, czyli nowa wizja informatyzacji państwa

Raport Państwo 2.0, czyli nowa wizja informatyzacji państwa
Michał Boni, minister administracji i cyfryzacji, zaprezentował raport "Polska 2.0. Nowy start dla e-administracji". Przedstawia on informacje na temat stanu realizacji projektów będących w gestii nowo utworzonego ministerstwa oraz prezentuje kierunki dalszych działań związanych z informatyzacją i cyfryzacją administracji publicznej w naszym kraju.

Cyberprzestępcy podążają za użytkownikami

Cyberprzestępcy podążają za użytkownikami
Już dwie na trzy polskie firmy odnotowały ataki lub awarie, które spowodowały spadek produkcji. Co trzecia firma utraciła dane. Liczba takich przypadków będzie rosła, bo hakerzy biorą na cel najbardziej masowe technologie. Szybko reagują też na zmiany w firmowej architekturze.

Jak zaplanować karierę w branży IT

Jak zaplanować karierę w branży IT
Doświadczenia łączone na różnych stanowiskach w firmach o odmiennych profilach są szczególnie cenione przez pracodawców. Dlatego warto głęboko przeanalizować możliwości rozwoju kariery, które obecnie stwarza rynek IT.

Rekomendacje



Serwisy IDG - Warunki obsługi - Kontakt - Redakcja - Regulamin - O nas - Polityka prywatności - Serwis zgodny z ASME
Reklama - Licencjonowanie treści - Prenumerata: Computerworld, Networld, PC World
Computerworld Polska i Computerworld Polska online są znakami towarowymi IDG Poland SA.
 © Copyright 2012 International Data Group Poland S.A. 04-204 Warszawa ul. Jordanowska 12 tel.(+4822)321-78-00 fax(+4822)321-78-88