Connect with us

technokrata

Kíváncsiságból írt világújdonságot, nyert vele Miamiban

Dotkom

Kíváncsiságból írt világújdonságot, nyert vele Miamiban

Nincs tökéletes védelem, mégis törekedni kell az elérésére.

Barta Csaba
A számítógépes visszaélések vizsgálatának minősített szakértője (Certified Hacking Forensic Investigator – CHFI) tavaly csatlakozott a Deloitte informatikai biztonság és adatvédelem üzletágának csapatához vezető it-biztonsági tanácsadóként. A szakember a Budapesti Műszaki Főiskolán végzett mérnök informatikusként, a főiskolát követően két évig dolgozott az OTP Bank Nyrt. információbiztonsági munkatársaként, majd egy BIG4 tanácsadó cégnél helyezkedett el vezető tanácsadóként. Barta szakterületéhez tartoznak a forensic vizsgálatok, a különféle betörési tesztek, az etikus hacking, illetve az incidensreagálás – több előadást tartott, illetve számos publikációja is megjelent e témákban.
 

A múlt év végén Miamiban megrendezett Hacker Halted konferencián Barta Csaba, a Deloitte Zrt. informatikai biztonság és adatvédelem üzletágának vezető it-biztonsági tanácsadója saját fejlesztésű, világújdonságnak számító rootkitjének bemutatásával legjobb előadó díjat nyert. A rootkit megírásával a szakember bebizonyította, hogy lehetséges olyan rosszindulatú kódot létrehozni, amelyik képes elbújni a legbiztonságosabbnak tekintett operációs rendszereken, s a kártevőket felkutató szoftverek számára is felderíthetetlen.

– Mire szolgálnak a rootkitek?

– A rootkit célja, hogy minél hosszabb ideig biztosítson hozzáférést a megtámadott számítógéphez, anélkül, hogy erről a számítógép használói, üzemeltetői tudnának.

– Az ön által megírt szoftver milyen újdonságokkal rendelkezik?

– Az általam írt rootkit újdonsága, hogy olyan technológiai megoldásokat tartalmaz, amilyeneket még senki nem alkalmazott. Jelenleg semelyik víruskereső nem képes felfedezni, valamint megvalósít egy olyan jelszó-felülírási támadást, amelyre ez idáig csak elméleti lehetőségként tekintettek a szakmában. Az egyik új technológia egyébként a cashed data attacknak nevezett eljáráson alapul. Tudni kell, hogy az operációs rendszerek csak azokkal az adatokkal képesek műveletet végezni, amelyek az operatív memóriába vannak betöltve. Ezt használja ki az említett módszer, amelynek segítségével az általam írt rootkit a fizikai memóriát közvetlenül képes módosítani, anélkül, hogy az operációs rendszer erről tudna, emiatt az eseményt nem is naplózza. A memória közvetlen módosításával az aktuális felhasználó jelszavát ki lehet iktatni, s így át lehet venni a gép irányítását a felhasználó nevében. A másik új technikával úgy lehet ellopni egy bejelentkezett felhasználótól a jogosultságait, hogy azokat egy másik szoftver használatánál is lehet használni. A tavaly megírt szoftver például a legújabb operációs rendszerek, így a Windows 7 és a Windows 2008 legfrissebb, naprakész verziói alatt is fut. Ezt nagyon kevés hasonló program tudja.

– A 64-bites Windowsokon nem működik?

– Azokon nem, mert ott a meghajtóprogramok digitálisan alá vannak írva, és azt nehéz kijátszani. Sajnos nem lehetetlen, mert írtak már olyan kártevőt, ami erre képes.

– Milyen felkészültség, tapasztalat szükséges egy ilyen szoftver megírásához, ha nem hacker próbálkozik ilyesmivel?

– Az it-kriminalisztika legújabb eredményeit is fel lehet használni. Az informatikai nyomszakértők, a computer forensickel foglalkozó szakértők azon munkálkodnak, hogy minél több olyan információt nyerjenek ki, amelyet megpróbáltak elrejteni. Ezeket az ismereteket visszaforgatva lehet olyan programot írni, amelyet nagyon el lehet rejteni.

– Mi volt az indíttatás a rootkit megírására?

– Elsősorban a kíváncsiság, hogy kipróbáljam magam, képes vagyok-e egy ilyen szoftvert írni. Másodsorban pedig az, hogy vizsgálni lehessen, ha egy ilyen szoftver fenn vagy egy gépen, akkor azt hogyan lehet felderíteni. Kíváncsi voltam, milyen jelek utalnak egy ilyen program működésére, hiszen úgy van megírva, hogy még a rendszergazda se vehesse észre. Így további tapasztalatokat gyűjthettem, hogy az esetleges jeleket hogyan lehet mégis eltüntetni.

– A kártevők elleni szoftverek döntően a kártevők jellegzetes kódrészletei, a vírusszignatúrák alapján keresnek, ezért egy ilyen rootkit, amíg fel nem fedezik, felismerhetetlen. Gyakran használnak a számítógép viselkedésén alapuló módszert is ezek a szoftverek. Ezzel a metódussal sem könnyű felfedezni az ön rootkitjét?

– A heurisztikus algoritmusok még mindig elég gyenge eredményt nyújtanak, ezért nagyon kicsi az esélye, hogy ilyen módszerrel felfedezhető lenne a szoftverem. Nem is igazán érdemes a heurisztikus keresésben megbízni. Azt kell mondjam, hogy a szignatúraalapú védelem sem tökéletes, hiszen a kártevő írója nagyon hamar át tud egy kis részt írni a “kis játékszerében”, hogy utána egy ideig megint békésen használhassa, terjeszthesse azt.

– Van tökéletes védelem a károkozókkal szemben?

– Nincs, mégis törekedni kell annak elérésére.

– Mit tanácsol, milyen szabályokat érdemes betartani, betartatni?

– Rengeteg ilyen, már-már követhetetlen szabály van. Alap, hogy ne hagyatkozzunk egyedül az antivírusszoftverekre, mert az csak egy szintje a védekezésnek. A védelmet mélységében, több szinten kell kiépíteni. További szint például a tűzfalak helyes használata. Gyakran nem figyelnek például ara, hogy a vállalat szerverei el legyenek határolva a munkaállomásoktól. Legyenek olyan megoldások, amelyek megakadályoznak egy külső felhasználót abban, hogy egy számítógépet rákössön a hálózatra. A kritikus vállalati adatokat ma már nagyon gyakran mozgatják a telephelyen kívülre, egyre divatosabb például a felhőben tárolni. Ezeket az adatokat a mozgásukkor is védeni kell.



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek