Vírusok jönnek a vírusdefiníciós adatbázissal?

Talán még emlékszel, nemrégiben írtam egy cikket a DNS gyorsítótár-mérgezéses, világméretű problémát érintve. Abban a cikkben nem konkrétan a probléma magyarázata volt a célom (ezt megtették már kismilliónyian), hanem az a momentum sarkallt írásra, hogy a hónapokig tartó titkolózásnak véletlenül kiszivárogtatás lett a vége (filmben se lehetne a drámai feszültséget jobban fokozni…).

Azóta már megvolt a naaaaagy konferencia, amin a jó hacker tájékoztatta a jó hacker kollégáit és IT szakembereket a probléma pontos mivoltjáról, illetve megmutatták a hiba javítását is.

A hiba javítását úgy kell elképzelni, hogy minden internet szolgáltatónak és minden tárhelyszolgáltatónak, és minden nagy cégnek, akik saját hálózatot használnak a neten, frissíteniük kell a szoftvereiket, amik a DNS (Domain Name Server)-hez kapcsolódnak. Javítások kiadva, már csak frissíteni kell (ugye ez ismerős? Nagyban is az zajlik, mint otthon, Nálad, kicsiben.)

Na, a konferencia után igyekeztek a szakértők továbbra is képben maradni, ezért most folyamatosan az a hír, hogy vajh’, kik frissítették és kik nem!

Hát, ez húzós kérdés, mert csak úgy ránézésre nem lehet eldönteni.

A nagy portálok is igyekeznek naprakészek lenni az információ átadásban, ezért buzgón közlik, hogy az érintettek kb. 30%-a már frissítette a szoftvereket (itthon). Hát, ez igen karcsú, ha hozzávesszük, hogy a kerek egész az 100% szokott lenni.

De ez engem még nem zavar. Egyrészt ezek a számok igen csak nem mondanak semmit, másrészt ezek a számok tutira nem is valósak, úgyhogy nem is érdemes számokkal dobálózni.

Viszont! Már megint olyanokat írtak, hogy kinyílt a bicskám. (mindig tartok magamnál egyet, hiszen bármikor összeakadhatok a vírusmaffiával, egy sötét sikátorban… Mondjuk az mellékes, hogy nem járok sötét sikátorokban, és ez pont a vírusmaffiára sem jellemző:))

Idézem a szuperkörültekintő cikket az Indexről:

A hibát kihasználó hackerek a hamisított, adathalász weboldalak, illetve a felhasználók levelezésének eltérítése után mostanában az automatikus szoftverfrissítéseken (például a vírusirtók naponta frissülő adatbázisa) keresztül támadnak: a böngészőt a frissítés letöltése helyett a saját vírusaik és kémprogramjaik letöltésére utasítják.
Forrás: http://index.hu/tech/biztonsag/dnsh110808/

Elolvastam ezt a cikket, és végigfutott a hátamon a hideg.
Arra gondoltam, hogy ezek most vagy nagyon hülyék, vagy nagyon nagy baj van…

Mi az, hogy “automatikus szoftverfrissítéseken (például a vírusirtók naponta frissülő adatbázisa) keresztül támadnak” ???

Tessék? Ezek szerint vírus jön és eltérítés, a napi vírusdefiníciós adatbázisokkal? Na, akkor vége lenne a világnak.

Ráadásul az Index-es cikkíró egy korrekt tanulmányból szedte ezt az infót:

http://www.crysys.hu/publications/files/BencsathB08DNS.pdf

Ebben is leírják:

Hasonlóan súlyos gond, ha egyes felhasználók számára automatikus frissítési szolgáltatásokat hamisítanak (pl. szoftverfrissítés, vagy vírusadatbázis, stb.) Elképzelhető, hogy egy támadó a saját (támadó) programját tudja telepíteni egy jól konstruált támadással számítógépünkre, noha gépünkön a legkorszerűbb védelmi rendszerek, vírusirtó stb. futnak.

De ebben legalább már ott van egy HA. Ha az egyes felhasználók számára automatikus frissítési szolgáltatásokat hamisítanak.

Emberek! Ezt eddig is megtehették! Ennek semmi köze a hiba javításához, ugyanis a hiba eddig is létezett! Jó reggelt kívánok!

Viszont, nem hiába van ekkora orrom, szeretek saját magam utána szagolni a dolgoknak. Még jó, hogy van a tarsolyomban néhány kedves ember, akik komolyan értenek a vírusirtó szoftverekhez, úgyhogy meg is kérdeztem Kiss Zoltánt a Sicontact-tól, hogy mi a véleménye a vírusirtók adatbázisával letöltődő, esetleges vírusokról, és eltérítésekről.

Kiss Zoltán válasza:

Az ESET termékek vírusadatbázis fájljai digitálisan alá vannak írva, és hogyha ez az aláírás nem valódi vagy sérült, a program jelez. Ilyenkor tehát nem a kapcsolat titkosított, hanem maguk a letöltődő fájlok – ezt nem tudja meghamisítani semmi.
Személy szerint nem tartom valós veszélynek, hogy ezen keresztül történjen támadás, egyszerűen túl bonyolult lenne kivitelezni. Sokkal valószínűbb, hogy valami egyszerűbb, és szélesebb körben „fertőző” támadással fog foglalkozni, aki már egyszer erre adta a fejét.

Ezen kívül az ESET Smart Security-ben van egy védelmi funkció, ami képes felismerni az ilyen támadást. DNS gyorsítótár mérgezésnek hívjuk ezt a programban.

Akkor a végén, megnyugtatásul, és összegzésül:

A nagynevű vírusirtók vírusdefiníciós adatbázisával nem kerülhet a gépre kártevő, és nem is téríthetik el a gépedet, hogy aztán valami mást tölts le, vírusadatbázis helyett.

Más lesz majd a kedvenc támadási felületük, de erről majd akkor beszélünk, ha valós lesz, addig

1.Nem festjük az ördögöt a falra
2.Nem adunk tippeket
3.Nem élünk örökös és irracionális félelemben.

Észen kell lenni, de attól még lehet nyugodtan élni, és örülni a számítógépezés adta előnyöknek.

Nos, erről mi a véleményed?

Itt iratkozhatsz fel a blogértesítőre, ha szeretnél első kézben értesülni az új bejegyzésekről>>