Kiedy nawet dobry antywirus Cię zawiedzie?

Opublikował(a) Aleksandra dnia 11 czerwca 2010 w kategorii Komputery, Oprogramowanie | 0 komentarzy

„Wystarczy dobry antywirus, bo to on zapewnia ochronę komputera przez wszelkimi zagrożeniami płynącymi z internetu”. To twierdzenie niestety nie jest zgodne z prawdą.

Uruchomiony program antywirusowy może przepuszczać bez najmniejszego problemu szereg wirusów z sieci do naszego komputera! Okazało się bowiem, że nawet najlepsze oprogramowania antywirusowe bez problemu można obejść.

Udowodniła to ostatnio grupa naukowców z mateousec.com, która testowała renomowane oprogramowania najlepszych marek zabezpieczające przez niechcianymi atakami z internetu. Aplikacji dostarczonej przez badaczy nie odparły programy antywirusowe takich producentów jak: McAfee, Kaspersky Lab, Synemantec, Sophos, Trend Micro itd. Co ciekawe, tylko jeden z testowanych programów nie pozwolił na ingerencję obcych plików – Microsoft Security Essentials.

Metoda obejścia antywirusa zaprezentowana przez specjalistów nosi nazwę KHOBE czyli Kernel Hook Bypassing Engine. Polega ona na podmianie argumentów. KHOBE to mechanizm obejścia z wykorzystaniem punktów zaczepienia w jądrze. Najciekawszy jednak jest fakt, iż nie jest to metoda nowa. Odkryli i zaprezentowali ją bowiem Matt Bishop oraz Michael Dilger już w 1966 roku. Sposób na zamianę argumentów nazwali  TOCTTOU czyli time – of – check – to – time – of – use.

Nieco później, w 2003 Andrey Kolishak opisał tę metodę na seclists.org. To było kilka lat temu… technika poszła do przodu, a obejścia są już niemal codziennością.