Az új sztárkártevővel kapcsoaltban tegnap megpróbáltam a CrySys által közzétett technikai részletekre koncentrálni, de a száraz tények mellett van néhány gondolat, melyekről talán érdemes szót ejteni.

A tegnapi poszt publikálásakor őszintén szólva hiányérzetem volt: nem láttam azt a momentumot, ami kiemelte volna a Flamert a kémprogramok tengeréből: Az antivírusok kikerülése kétségtelenül érdekes, de hasonló módszerekkel szinte minden kártevő él, ha nem is ilyen jól kidolgozott módon. A stuxnetes exploitokra érdekes egybeesésként tekinthetünk, de a két közösen kihasznált sérülékenységre már létezik publikus exploit is (MS10-046, MS10-061). A Lua-ban írt modulok, és a hatalmasnak számító méret (melynek egyik oka éppen a Lua szkriptmotor és a többi előre gyártott könyvtár) pedig a szofisztikáltság helyett bizonyos értelemben inkább a pofátlanságot támasztják alá - minek kódot optimalizálni, ha egy mai gépet úgysem fog meg jelentősen néhány plusz DLL. 

Méltatlankodásaimat ma némileg megtámogatták Weld Pond (az egykori L0pht tagja) twitteres kirohanásai, melyek lényegében arról szóltak, hogy a BO2K már 2000-ben rendelkezett azzal a funkcionalitással, amitől a Flamer esetében ma a fél világ el van ájulva. 

Átgondolva a dolgokat azonban azt hiszem, a kulcs nem ezekben a részletekben keresendő. Jobban mondva a kulcs valószínűleg nem a nyilvános részletekben keresendő. Hiszen naivitás azt hinni, hogy Irán, vagy akár a közreműködő biztonsági cégek minden információt megosztanak a közönséggel, ezzel ugyanis saját céljaiknak illetve ügyfeleiknek is ártanának (maga a közremúködés ténye is érdekes kérdéseket vet fel). Ahhoz, hogy kapcsolatot találjunk két kártevő között, nem feltétlenül szükséges reverse engineering, sokszor elég összevetni az érintett szervezeteket, vagy bejuttatási módokat. Ezekről a tényezőkről a nyilvánosságnak nincs érdemi információja, a vészharangokat kongatóknak viszont minden valószínűség szerint van, ezért nem gondolom, hogy okos dolog lenne vaklármát kiáltani. A sKyWIper tevékenységét egyesek összefüggésbe hozták azzal az áprilisi incidenssel, melynek eredményeként az iráni Olajipari Minisztérium lekapcsolta egyes internetre csatlakozó termináljait, mivel külső támadók "töröltek bizonyos adatokat" a rendszerből (vö. elnevezés). Hasonló háttér esetén az új kártevőt egyszerűen nem említhetjük egy lapon a hagyományos, kiterjedt fenyegetésekkel.

Végezetül szeretném felhívni a figyelmet Mikko Hypponen blogposztjára, melyben a szakértő egy vezető antivírus gyártó prominens képvisőjeként fogalmazza meg azt, amit már sokan, sokszor próbáltak hangoztatni: a legijesztőbb a Stuxnetben, a DuQu-ban és újabban a Flamerben az, hogy hosszú hónapokon és éveken keresztül voltak képesek működni anélkül, hogy a biztonsági szakértők egyáltalán észrevették volna őket. Ez pedig nem fest túl szép jövőképet.

Akit mélyebben érdekel a sKyWIper belső működése, a malware.lu-n talál mintákat (facecontrolos regisztráció után).