Co je podle Eset program "Policie ČR, zaplaťte..." ?

[habanr]

Dobrý den,
synův notebook byl zaplevelen sw "Policie ČR, zaplaťte...", který totálně převezme kontrolu nad uživatelským rozhraním. Na počítači je aktivní Eset Smart Security 5, který je se stavem notebooku "velmi spokojen" a ani Smart Security 6 s databází z 3.3.2013 spuštěná z WinPE nevidí na notebooku nic špatného. Jak se firma Eset staví k tomuto stavu?

[Johny_ESET]

Dobrý den,
policejní virus využívá zranitelnosti v technologii Java, dostává se tak do počítače zcela nepozorován antivirovým programem. Pokud v danou chvíli ještě neexistuje definice, na základě které by byla havěť detekována, je hotovo. I kdyby definice již existovala, nedokážeme havěti zabránit průniku do počítače. Detekována bude až při své následné činnosti.

V případě děravých aplikací vám bohužel nepomůže prakticky nic. Leda takovou aplikaci nepoužívat - odinstalovat, případně záplatovat. Pokud vím, tak obecně žádný antivirový program Vás před zneužitím těchto zranitelností bohužel neochrání.

Pokud vytvoříte oficiální cestou ESET SysRescue (Záchranné CD) s aktuální virovou databází a provedete kontrolu mimo operační systém, nákaza by měla být odstraněna.

[Tatry03]

"Pokud vím, tak obecně žádný antivirový program Vás před zneužitím těchto zranitelností bohužel neochrání"

To neznie velmi dobre. Neda sa s tym nieco robit? Predsa ked vieme, ze kde je obrana derava, tak vymyslime sposob aku ju zacelit? Samozrejme okrem znameho aktualizovat, aktualizovat, aktualizovat...

Asi hlupa otazka laika, ale moze niekto zrozumitelne vysvetlit, preco je problem aby antivirus (nemyslim len nod, obecne akykolvek, pripadne security balicek) ochranoval pred zneuzitim zranitelnosti?

[Johny_ESET]

Zní to asi tak stejně jako tvrzení, že žádný bezpečnostní software neposkytne 100% ochranu. Samotná otázka není na antivirové společnosti, ale na výrobce samotných děravých aplikací. Proč vůbec uvolňují programy, které jsou tak děravé?

Protože dnešní aplikace včetně operačního systému obsahují obrovské množství kódu, který vytvářejí chybující lidé. Není tak možné, již z principu, u pokročilé aplikace počítat z bezchybným kódem. Když se k tomu přidá nutná spolupráce s ovladači a operačním systémem, které přidávají další tuny kódu s potenciální zranitelnosti, nemůže prostě být vše bezpečné. Samotné vyhledávání zranitelností a jejich záplatování je pak velmi nákladnou záležitostí.

Bezpečnostní aplikace tak mohou obsahovat ochranu před veřejně známými zranitelnostmi, ale proti novým jsou krátké. No a, když je navíc k dispozici jen děravá verze konkrétní aplikace a neexistuje alternativa, máte na výběr jen dvě možnosti: používat nebo nepoužívat.

[Mc_Murphy]

Suprově vysvětleno, Johny_ESET!

[Tatry03]

Myslim, ze rozumiem. V programoch su chyby, ktore sa daju vyuzit na prepasovanie a spustenie virusu.
Ked je chyba odhalena, mala by sa stiahnut oprava, alebo/a niektore AV ju zaradia k sledovanym a vedia zachytit virus, ked sa ju snazi pouzit. Spravne?
Lenze, ked o chybe vedia len utocnici, neda sa proti jej zneuzitiu branit?
Naozaj neexistuje ani teoreticke riesenie?

Samozrejme inde na fore sa riesilo spustanie systemu z live cd, sandbox a ine veci, ale myslim z pohladu AV spolocnosti.
Aka funkcionalita v AV/security baliku by mohla tejto veci pomoct.

Ak spravne na to pozeram, tak napr. Avast zaviedol funkciu aktualizovania ostatneho softwaru v pc, iny maju funkciu spustania prehliadaca v sandboxe a podobne. Su to pokusy riesit tuto problematiku, alebo som uplne mimo?

[Laco_ESET]

Dobrý den,

zde je ale problém trošku složitější. Vir Win32/Ransom (policejní virus) existuje ve stovkách mutací a každý den vznikají nové. Jediné co zůstává téměř neměnné je pak zobrazená podoba. Proto si uživatelé myslí, že se jedná o stejný vir. Drtivou většinu těchto mutací detekujeme a léčíme.

Druhým problémem je způsob šíření. Bohužel, tento vir se šíří všemi možnými kanály: Odkaz v emailu, Skype, Facebook a jiné sociální sítě, bezpečnostní díry v prohlížečích (většinu pokrýváme), bezpečnostní díry v dalších aplikací (java, flash player, atd), bezpečnostní díry v samotném systému, může být "dotáhnut" jiným virem, a další.

Každý výrobce AV řešení přistupuje k prevenci/detekci/léčení trošku odlišným způsobem. Jak jsem již naspal, např. většinu bezpečnostních děr v internetových prohlížečích (a jiných aplikací) pokrýváme. Jak ale již psal kolega, toto by měl primárně řešit výrobce dané aplikace.

Nakonec největší slabinou zůstává sám uživatel. Např. účet administratora bez hesla, uživatel pracuje pod účtem, který má práva administrátora, atd…


S pozdravem,
Ladislav Jukl
Specialista technické podpory