iPon Hírek

Kíváncsiságból írt világújdonságot, nyert vele Miamiban

Dátum | 2011. 01. 18.
Szerző | napi.hu
Csoport | IT VILÁG

- Mire szolgálnak a rootkitek? - A rootkit célja, hogy minél hosszabb ideig biztosítson hozzáférést a megtámadott számítógéphez, anélkül, hogy erről a számítógép használói, üzemeltetői tudnának.

- Az ön által megírt szoftver milyen újdonságokkal rendelkezik? - Az általam írt rootkit újdonsága, hogy olyan technológiai megoldásokat tartalmaz, amilyeneket még senki nem alkalmazott. Jelenleg semelyik víruskereső nem képes felfedezni, valamint megvalósít egy olyan jelszó-felülírási támadást, amelyre ez idáig csak elméleti lehetőségként tekintettek a szakmában. Az egyik új technológia egyébként a cashed data attacknak nevezett eljáráson alapul. Tudni kell, hogy az operációs rendszerek csak azokkal az adatokkal képesek műveletet végezni, amelyek az operatív memóriába vannak betöltve. Ezt használja ki az említett módszer, amelynek segítségével az általam írt rootkit a fizikai memóriát közvetlenül képes módosítani, anélkül, hogy az operációs rendszer erről tudna, emiatt az eseményt nem is naplózza. A memória közvetlen módosításával az aktuális felhasználó jelszavát ki lehet iktatni, s így át lehet venni a gép irányítását a felhasználó nevében. A másik új technikával úgy lehet ellopni egy bejelentkezett felhasználótól a jogosultságait, hogy azokat egy másik szoftver használatánál is lehet használni. A tavaly megírt szoftver például a legújabb operációs rendszerek, így a Windows 7 és a Windows 2008 legfrissebb, naprakész verziói alatt is fut. Ezt nagyon kevés hasonló program tudja.

- A 64-bites Windowsokon nem működik? - Azokon nem, mert ott a meghajtóprogramok digitálisan alá vannak írva, és azt nehéz kijátszani. Sajnos nem lehetetlen, mert írtak már olyan kártevőt, ami erre képes.

- Milyen felkészültség, tapasztalat szükséges egy ilyen szoftver megírásához, ha nem hacker próbálkozik ilyesmivel? - Az it-kriminalisztika legújabb eredményeit is fel lehet használni. Az informatikai nyomszakértők, a computer forensickel foglalkozó szakértők azon munkálkodnak, hogy minél több olyan információt nyerjenek ki, amelyet megpróbáltak elrejteni. Ezeket az ismereteket visszaforgatva lehet olyan programot írni, amelyet nagyon el lehet rejteni.

- Mi volt az indíttatás a rootkit megírására? - Elsősorban a kíváncsiság, hogy kipróbáljam magam, képes vagyok-e egy ilyen szoftvert írni. Másodsorban pedig az, hogy vizsgálni lehessen, ha egy ilyen szoftver fenn vagy egy gépen, akkor azt hogyan lehet felderíteni. Kíváncsi voltam, milyen jelek utalnak egy ilyen program működésére, hiszen úgy van megírva, hogy még a rendszergazda se vehesse észre. Így további tapasztalatokat gyűjthettem, hogy az esetleges jeleket hogyan lehet mégis eltüntetni.

- A kártevők elleni szoftverek döntően a kártevők jellegzetes kódrészletei, a vírusszignatúrák alapján keresnek, ezért egy ilyen rootkit, amíg fel nem fedezik, felismerhetetlen. Gyakran használnak a számítógép viselkedésén alapuló módszert is ezek a szoftverek. Ezzel a metódussal sem könnyű felfedezni az ön rootkitjét? - A heurisztikus algoritmusok még mindig elég gyenge eredményt nyújtanak, ezért nagyon kicsi az esélye, hogy ilyen módszerrel felfedezhető lenne a szoftverem. Nem is igazán érdemes a heurisztikus keresésben megbízni. Azt kell mondjam, hogy a szignatúraalapú védelem sem tökéletes, hiszen a kártevő írója nagyon hamar át tud egy kis részt írni a "kis játékszerében", hogy utána egy ideig megint békésen használhassa, terjeszthesse azt.

- Van tökéletes védelem a károkozókkal szemben? - Nincs, mégis törekedni kell annak elérésére. - Mit tanácsol, milyen szabályokat érdemes betartani, betartatni? - Rengeteg ilyen, már-már követhetetlen szabály van. Alap, hogy ne hagyatkozzunk egyedül az antivírusszoftverekre, mert az csak egy szintje a védekezésnek. A védelmet mélységében, több szinten kell kiépíteni. További szint például a tűzfalak helyes használata. Gyakran nem figyelnek például ara, hogy a vállalat szerverei el legyenek határolva a munkaállomásoktól. Legyenek olyan megoldások, amelyek megakadályoznak egy külső felhasználót abban, hogy egy számítógépet rákössön a hálózatra. A kritikus vállalati adatokat ma már nagyon gyakran mozgatják a telephelyen kívülre, egyre divatosabb például a felhőben tárolni. Ezeket az adatokat a mozgásukkor is védeni kell.
Új hozzászólás írásához előbb jelentkezz be!