Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

AV hazugságok

2013.10.18. 13:37 | buherator | 8 komment

A Hacktivity előadásom témája röviden összefoglalva a különböző antivírus termékekhez kapcsolódó állítások és a valóság ütköztetése volt - nem feltétlenül kellett ott lenni a MOM-ban ahhoz, hogy az ember kitalálja a konklúziót. Az előadás előtt és után is alkalmam volt beszélni néhány emberrel mind az offenzív, mind a defenzív oldalról, és elmondhatom, hogy a szakmán belül a tényeket illetően végül is nagy az egyetértés, a tények értelmezésekor viszont sokszor külön dimenziókban mozgunk.

Mivel amúgy is hiányolom a blogról a régről megszokott, konstruktív hozzászólásokat, az alábbiakban a Hacktivity előadásom followup-ját vegyítettem egy kis flamebait-tel, hátha kaput tudunk nyitni a Vendor Világba!

0. Aranypecsét, tízcsillag, 100%

Ahogy azt az előadásomban is említettem, a kártevőkkel vívott küzdelem szélmalomharc, erre hozhatunk utazó ügynökös, megállási problémás, és egyéb matematikai analógiákat, de a legjobb, ha elkezdünk malware elemzéssel foglalkozni, hogy belássuk: rendkívül nehéz megállapítani tetszőleges adatállomány célját vagy előrejelezni a viselkedését egy adott rendszerben. 

Ennek ellenére minden egyes antivírus termékhez jár egy plecsni, amivel X "független" "szakértő" tanúsítja, hogy az adott termék tökéletes védelmet nyújt az ismert kártevőkkel szemben, és manapság már az sem ritka, hogy az ismeretlen támadásokkal szemben is szinte 100%-os védelmet ígérnek. 

Ezen állítások abszurditásának belátásához elég becsomagolnunk tetszőleges őskövületet valamilyen egyedi packerrel (vagy még ennyire sincs szükség), vagy vetni egy pillantást a Matousec eredményeire (akik - mint utólag kiderült - pár évvel megelőztek az általam bemutatott kutatással...).

Amíg az ilyen félrevezető eredményeket produkáló tesztlaborok általános elismertségnek örvendenek, esély sincs arra, hogy érdemi változás történjen ezen a fronton. 

1. "Security"

Ma már nem "Antivirus"-okkal (meg "vírusölőkkel") dolgozunk, hanem minden féle "Internet Security", "Client Security", "Endpoint Security" és még ki tudja milyen csomagokkal, melyek nevükben és sales kommunikációjukban is teljeskörű védelmet ígérnek, miközben számtalan alkalommal megmutatták, hogy nem csak, hogy nem teljeskörű ez a védelem, de adott esetben éppen a tartományban korlátlan hatalommal felruházott biztonsági szoftver jelentheti a támadók legvonzóbb belépési pontját.

2. "Telepíted, működik"

Nincs pofám ezerháromszázharminchetedszerre is idézni ezt az esszét, de felhívnám a figyelmet, hogy a biztonságot nem csak makro, de mikro szinten sem szabad önjáró termékként kezelni. Az elmúlt hónapokban kezem közé akadt több tucat termék jelentős részben ugyanakkor nagyjából akkora mozgásteret adott az adminisztrátornak, mint egy egybillentyűs írógép - nehogy szegény júzer összezavarodjon. Ez egy otthoni felhasználásra szánt terméknél még csak-csak elfogadható lehet (bár a gondolkodásról lenevelést soha sem tartottam jó stratégiának), de vállalati kategóriában ez a megközelítés szerény véleményem szerint elfogadhatatlan.

3. "Nekünk arra kell koncentrálni, hogy a kártevő be se jusson a rendszerbe, ha bent van, már úgyis mindegy"

A fenti érvet, amit egy vodkagőzös estén szegezett nekem egy vírusipari munkás, mint a termékpolicyjük sarokkövét sokszor szoktam emlegetni a szemellenzős gondolkodás ékes példájaként. Az elmút évek számtalan példát hoztak arra, hogy mindig lesznek olyan fenyegetések, melyekre nem vagyunk felkészülve, és amelyek a legnagyobb igyekezet mellett is át fognak hatolni az elsődleges védelmi vonalainkon. Ha nem cselekszünk proaktívan, csak a szerencsén fog múlni, hogy átvészeljük-e a következő támadási hullámot. 

4. "Az AV még mindig jobb mint a semmi"

Ezzel az állítással nagyon nehéz vitatkozni, és általában ez a konklúzió szokott a nyugvó pontja lenni az éjszakába nyúló vitáknak is. Valójában azonban ez a kijelentés éppen hogy a probléma lényegéről tereli el a figyelmet: 

A piacon lévő megoldásokat kritizálóknak általában nem az a baja, hogy a rendelkezésre álló termékek nem nyújtanak tökéletes védelmet, hiszen tudjuk, hogy ilyen védelem nem létezik, és jelen állás szerint nem is létezhet. A kritikusok problémája az, hogy úgy tűnik, az AV ipar meg sem próbál tenni azért, hogy ez a helyzet változzon. Ahogy többen megfogalmazták: amíg el lehet adni a havi szignatúra feliratkozást, mi a francért kéne többet költeni az alapvető újításokra? 

Címkék: hacktivity gondolat flame malware antivírus

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben.

Laca@blog 2013.10.19. 20:48:49

cool cikk. eléggé egyet értek, hogy a "vírusirtók" vagy "endpoint akármik", főleg marketinges bullshitek. tipikusan csak loholnak a vírusok stb. után. mégis, mit ajánlanál otthoni felhasználóknak? :)
azon felül, hogy 3 cm-es darabokra vágja fel az UTP kábelt, égesse el, sózza be a hamuját :)

buherator · http://buhera.blog.hu 2013.10.20. 11:16:03

@Laca@blog: Nem azt mondom, hogy ne használjunk víruskergetőt. Azt mondom, hogy ezek a termékek jelentős adósságot halmoztak fel a proaktív védelem területén, amit be kell pótolni. Ha te, mint vásárló odafigyelsz ezekre a szempontokra, máris tettél valamit az ügy érdekében.

MGS 2013.10.21. 22:28:27

@buherator: A FireEye és a Bromium termékeit ismered?

www.fireeye.com/oculus/why-dont-traditional-defenses-work.html
www.bromium.com/products.html

Ha nem tévedek, itt a blogon még említés szintjén sem kerültek képbe, de más magyar fórumon sem nagyon olvashattunk róluk (viszont úgy láttam a Fireeye idén már nálunk a hacktivityn is nyomult). Amennyiben hinni lehet a saját állításaiknak és a róluk szóló függetlennek véleményeknek (sajnos nem túl sok ilyen van, köszönhető valószínűleg annak, hogy viszonylag fiatal cégek és vállalati szférában tevékenyek) ők más oldalról és új szögből közelítik meg a malware problémát.

buherator · http://buhera.blog.hu 2013.10.21. 22:33:33

@MGS: Igen, ismerem mindkét terméket, FireEye-al Hacktivity-n rögtönöztünk is egy mini demót :) Én is hasznosnak tartom az ilyen kutatási/fejlesztési irányokat, de nem kell sokat matekolni, hogy az ember belássa ezeknek a technológiáknak a korlátait.

Egy gyors példa egy harmadik termékről: a napokban az El Jefe-t teszteltem, és kiderült, hogy nem látja a hálózati share-ről indított binárisokat :P

A felvetés remek, igyekszem összeszedni egy posztra való anyagot a témában!

iQwerty 2013.10.21. 22:59:09

Kicsit egysíkú a dolog. Mert bár AV vagy Endpoint security-ről szól, és hogy az kevés. Igen, ez igaz. De nem szól arról, hogy kéne határvédelem, (FW, WebGW, SPAM filter, stb), meg kis Device Control, meg értelemsen restrict AD domain (win környezet), meg hamár gyüjtjük azt a log-ot, akkor tán olvassa már el legyen szíves valaki. Banki pályafutásom 6 éve alatt egyetlen vírus nem volt, ami bejött volna. Mert arra is figyeltünk, hogy ne egy gyártó legyen a teljes vertikumban. Ja, és kb 30-40.000 telepített végpont gyakorlattal a hátam mögött a legnagyobb kihívást az üzemeltetők hozzá nem értése jelenti. Ahol visítanak, hogy a policáj bemegy, és nem fogja meg semmi, és nem veszik észre, hogy központi kivételnek van felvéve a dat file, nem is scan-eli semmi. Nem kell bonyolult vírusokat írni. A legjobb vírus maga az ember.
Nem értek egyet a vírusirtók fikázásával, mert ezzel azt a pici renomét is elkaszálják, márpedig igen is szükség van rájuk. Kritizálni természetesen kell, de egyenlőre nincs jobb. (most hajuk a linux, osx, stb vonalat) Sajnos a tudatosság még így sincs meg az átlag emberekben. Ha azt mantárzzuk, hogy ilyan-olyan szar az összes, ennek csak az lesz a következménye, hogy még aki esetleg hajlandó lenne AV telepítésére, az sem fog, mert minek. Úgy sem ér semmit Nah ez egy valóban olyan téma, ami nem is ide tartozik, inkább valami tudatosságra neveleő portálra. Jah, hogy ilyen nincs? Tán kéne egy. Amit hasonlóan authentikus jó szakemberek csinálnak.

MGS 2013.10.21. 23:21:15

@buherator: Hasonló kétségek merültek fel bennem is. Én mondjuk a Bromium koncepciójába ástam kicsit bele magam, mert szerintem kimondottan érdekes irányba indultak (ők ugye a Intel vPro CPUk hardveres virtualizációs képességeire építették a vSentryt - amúgy a termék fejlesztőinek volt egy igen érdekes előadása az idei BlackHat EU-n "The Sandbox Roulette: Are you ready to gamble?" címmel, ami egyben burkolt promo is volt :) Ha lesz ezzel kapcsolatos írás annak nagyon örülök!

buherator · http://buhera.blog.hu 2013.10.21. 23:25:52

@iQwerty:

Nem azt akarom mondani, hogy kevés, mert ez evidencia (kéne hogy legyen). Arra próbálom rávezetni a kedves olvasókat, hogy legyenek szkeptikusak ezekkel a termékekkel kapcsolatban, és lehetőleg olyan megoldást válasszanak, ami releváns szempontok alapján többet nyújt mint a vetélytársak - ezzel talán egy egészen kicsit lehet formálni a piacot.

Az a baj, hogy sokan sok ideje próbálnak építő kritikával élni, de a vendorok _szóba sem állnak_ ezekkel a szakemberekkel (ha nem világsztár itsec guru az illető a Google-nél...), jelenleg az egyetlen járható útnak emiatt a provokációt látom, ami eddig bizonyos szinten be is jött.

És lehet, hogy igazad van abban, hogy nincs jobb (erről lehet vitatkozni), de abban biztos vagyok, hogy lehetne mindezt jobban csinálni, ha meg lenne rá az akarat.

|Z| 2013.10.22. 10:09:26

A másik nagy baj a mai endpoint protection implementációkkal, hogy a terméket megveszik a cégek, de az oktatást és implementációt/minőségbiztosítást lehúzzák. Szerencsétlen AV rendszergazda próbál IQ-ból beállítani valamit egyik-másik modulban, ezzel néhány dolog elromlik/nem működik, emiatt lecseszik és inkább feladja. Nem hiszem hogy bárkinek, aki egy enterprise endpoint protection system-et default módban futtat, nyugodtan kellene aludnia... De van esély arra, hogy jól testre legyen szabva, és ez persze idő/pénz.

Azért egy jobb endpoint protection rendszert ma már elég jól be lehet konfigolni, ami szignatúra nélkül is megfoghatja a common malware-ek döntő többségét. Aki meg azt állítja hogy eddig ismeretlen technológián alapuló, jövőbeli támadás ellen tuti védelme van, az hazudik... Azt hogy észrevegye, arra még van esélye - és ez is az a terület amire arányosan keveset költenek a cégek.