Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Itt jön a Maszk - Csikcsikibumm!

2014.02.12. 18:26 | buherator | 1 komment

Sokat gondolkoztam azon, hogy mit is írjak a legújabb "szuperkártevőről" és a Kaspersky vonatkozó jelentéséről [62 oldal PDF], az érzelmeim ugyanis elég vegyesek. 

Egyrészt nincs kétségem afelől, hogy valóban egy jelentős erőforrásokkal rendelkező csoport, jó eséllyel valamilyen állami hírszerző szervezet áll a Maszk mögött. Ezt támasztja alá a célpontok köre, a (feltehetően) többplatformos payload készlet, a felhasznált nem-biztos-hogy-0-day Flash exploit és még biztos egy sor más dolog amit a Kaspersky nem tett közzé a nyomozás érdekében. 

Ugyanakkor nem tudok szó nélkül elmenni néhány dolog mellett, ami nem kifejezetten a "The Mask" kutatását, inkább a biztonsági ipar egészének működését érinti.

A biztonsági cégek nagyjából a Stuxnet óta néhány havonta iszonyatos marketing csinnadrattával ünneplik egy-egy új "APT" kártevő felfedezését, elemzéseket, sajtóközleményeket adnak ki, konferenciát szerveznek, a marketing osztálynak meg kiadják, hogy a legújabb "csodafegyver" márkanevétől ihletten rajzoljanak vagány illusztrációkat - így végül saját sikerükként adják el azt, hogy éveken keresztül nem voltak képesek elvégezni azt a feladatot, amiért az ügyfeleik fizettek nekik.

Persze lehet azzal érvelni, hogy ilyen "rendkívül kifinomult" malware-eket nagyon nehéz elkapni, de ha áttekintjük pl. a Maskról közzétett információkat, akkor láthatjuk, hogy a rejtőzködő funkciók nem elsősorban a biztonsági termékek kijátszásához, hanem a manuális elemzés megnehezítésére lettek kitalálva - a szoftveres detektálás elkerülése láthatóan nem okozott komoly problémát.

kaspersky_signature_mask.png

És ez még mindig nem a tudomány teteje. Nem kell elmenni az CIA-ig, hogy az ember a Stuxnetéhez hasonló információ-kitalicskázó P2P infrastruktúrát és teljesen aszinkron C&C kommunikációt vagy a diszket nem érintő payloadokat lásson. Ha a maszkos fejlesztők kicsit dolgoztak volna még a kódjaikon, a Gausshoz hasonlóan használhattak volna dinamikusan változó titkosítási kulcsokat, és akkor a Kaspersky riportja is minden bizonnyal jóval soványabb lenne. De spanyol ajkú barátainknak nem kell megerőltetniük magukat, nyugodtan dolgozhatnak akár nyílt-forrású backdoor kódokkal, Metasploittal, vagy akár PoisonIvy-val is, és az sam baj, ha benne hagynak némi debug adatot a kódban.

Végül érdemes megnézni, hogy milyen megoldásokat kaphatunk ezekre a problémákra. Érdekes módon a világraszóló elemzések jellemzően nem tartalmaznak fejezeteket arról, hogy az adott gyártó milyen kritikai tanulságokat vont le a saját védelmi megoldásaival kapcsolatban, vagy hogy a jövőbeni termékek hogyan fognak jobb minőséget nyújtani a felhasználóik számára. Mivel az előremutató technológiákat felvonultató, a modern igényeket kielégíteni hivatott biztonsági rendszerek ára a legtöbb felhasználó számára a felfoghatatlan nagyságrendbe esik, technológiai értelemben valójában nincs is kivel versenyezni a felhasználók kegyeiért. 

A virtuális világ kémei pedig kényelmesen hátradőlhetnek: a "legkifinomultabb" hátsó kapuk most is ott ketyegnek a célpontok gépein, és várhatóan ott is maradnak, amíg az operátor a dolga végeztével ki nem adja a "SEFDESTRUCT" parancsot.

Címkék: gondolat kaspersky flamebait the mask careto

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Alter Egon 2014.02.12. 18:37:13

Egyetértek a véleménnyel.
Konklúzió: eddig sem volt szerencsés nagyfokú bizalmat helyezni a különböző biztonsági cégek termékeibe (legalábbis megváltóként tekinteni 1-1 célszoftverre): még inkább felértékelődik a júzerek biztonság--tudatosságra nevelése, a megfelelően szigorú csoportházirend, a net szűrése, és a hasonló védelmi intézkedések.
süti beállítások módosítása