О компетенции антивируса
4 августа 2017
Продолжим разговор об «обходах» антивирусной защиты, новости о которых появляются достаточно часто.
Новый компьютерный вирус сможет заразить ПК при помощи микрофона и динамика.
Компьютерные специалисты Майкл Гаспач (Michael Hanspach) и Майкл Гетц (Michael Goetz) провели эксперимент, используя пять компьютеров, которые были соединены между собой в скрытую акустическую сеть с помощью встроенных микрофонов и динамиков. Данные передавались с одного компьютера на другой, пока не достигали ПК, соединенного с внешней сетью. В результате им удалось передать данные на расстояние почти 20 метров на частоте 20 кГц со скоростью до 20 бит/с, пишет gizmag.com.
Для защиты данных в будущем можно будет применять специальные акустические фильтрации с полосовым фильтром.
Но где же тут заражение? Если данные передаются, это означает, что на компьютере уже есть вредоносная программа. А то, что пользователь сделал клик и допустил ее запуск, когда антивирус выдавал предупреждение – разве это проблема антивируса?
Вердикт. Описанная проблема к обходу антивируса отношения не имеет и к заражению привести не может.
Радиосигналы FM-диапазона могут использоваться для дистанционного взлома компьютеров
На конференции MALCON 2014, которая проходила на прошедшей неделе в Пуэрто-Рико, израильские исследователи, специалисты по кибербезопасности, продемонстрировали метод взлома изолированных компьютеров и ноутбуков при помощи мобильного телефона, расположенного неподалеку от объекта атаки. Взлом осуществляется при помощи технологии, которая получила название AirHopper, которая была разработана Мордекаи Гурии (Mordechai Guri) и профессором Иувалем Эловичи (Yuval Elovici) из Лаборатории кибербезопасности (Cyber Security Labs) университета Бен-Гуриона (Ben Gurion University), Израиль.
Технология AirHopper не базируется ни на Bluetooth, ни на Wi-Fi, ни на других современных технологиях беспроводной связи. Она позволяет красть данные при помощи радиоволн FM-диапазона. К сожалению или к превеликому счастью, все технические детали технологии AirHopper держатся пока в большом секрете. Но, согласно информации, опубликованной на сайте университета, исследователи уже достаточно давно занимаются вопросами нестандартного использования FM-приемников, имеющихся в большинстве современных мобильных телефонов и смартфонов. При помощи этого приемника и программы, обрабатывающей принимаемые им сигналы, можно перехватывать нажатия клавиш, изображение на дисплее, которое излучается в виде радиоволн как самим дисплеем, так и видеокартой компьютера, и некоторые другие данные с изолированного от внешнего мира компьютера.
Вредоносное ПО, способное украсть данные с компьютеров при помощи тепла
Исследователи безопасности обнаружили еще одну лазейку, которая использует более простой вид излучения: тепло. BitWhisper, как исследователи Мордехай Гури и профессор Юваль Эловичи из Университета Бен-Гуриона окрестили свою программу, нацеливается на компьютеры, которые не подключены к сети Интернет. С помощью вредоносных программ, которые могут подключиться к системам охлаждения компьютеров и датчикам температуры, BitWhisper можете передавать информацию обратно и вперед между двумя соседними машинами.
Например, повышение температуры на одном компьютере на один градус в течение определенного периода времени будет обнаружено прилегающим компьютером в виде двоичного бита «1»; возвращение его к температуре исходных было бы истолковано как «0». Достаточно собрать из вместе, и они могут представлять собой команду компьютера или необработанные данные, такие как пароль.
Естественно, есть множество недочетов. Для того, чтобы BitWhisper мог работать, два компьютера должны быть расположены на расстоянии 15 дюймов друг от друга (достаточно близко, чтобы обнаружить изменения в температуре), один из должен быть подключен к Интернету, и они оба должны быть заражены вредоносной программой. А учитывая время, присущее подъему и опусканию температуры, передача данных занимает много времени – и может растянуться на часы.
Так, а где тут взлом? Всего лищь перехват излучения мониторов и прочих звуков. Технологии, о которых предупреждали еще на занятиях по безопасности в Советском Союзе, когда антивирусов с вирусами и в помине не было.
Вердикт. Описанная проблема к обходу антивируса отношения не имеет и к заражению привести не может.
По мнению эксперта Мордехая Гури (Mordechai Guri), изменяя скорость вращения кулера, можно получить хранящиеся на системе данные. Атака под названием Fansmitter будет нужна в случае, если физически изолированный компьютер не имеет динамиков и получить информацию по аудиоканалам невозможно.
Для того, чтобы такая операция прошла успешно, злоумышленник должен установить на целевую систему специальное вредоносное ПО. Такой способ основан на анализе шума, который издается во время работы процессора и кулера. Специальное ПО может регулировать скорость вращения кулера, управлять посылаемыми компьютером звуковыми волнами. Полученные бинарные данные изменяются, потом передаются через радиосигналы на удаленный микрофон, это может быть ближайший телефон.
В данном случае злоумышленник должен еще придумать, как эту программу внедрить на защищаемый компьютер.
Вердикт. Описанная проблема к обходу антивируса отношения не имеет и к заражению привести не может.
Приведенные новости имеют одно сходство: злоумышленник передает или перехватывает некие данные. Возможно, с помощью установленной вредоносной программы. Предположим, программа действительно была внедрена. Должен ли антивирус отслеживать передаваемые ею данные?
На данный момент, как правило, вредоносные программы проникают не через уязвимости, а через пользователя – т. е. почтовый и интернет-трафик. Чтобы не допустить запуска вредоносной программы, антивирус контролирует http-протокол (доступ в Интернет), smtp/pop3/imap4 (почта) и протоколы мессенджеров (список неполный, это лишь основное).
Напомним, что проверять трафик нужно, так как не все поступающие объекты являются файлами и впоследствии проверяются файловым монитором. Есть, например, троянцы и вирусы, не имеющие собственных файлов. О необходимости тех или иных модулей антивируса мы не раз писали, не будем повторяться.
Однако вредоносные программы используют куда больше протоколов, чем упомянуто выше. Например:
Хакеры используют Intel AMT для передачи сообщений между зараженными ПК. Его «не видят» и не блокируют файерволы и антивирусное ПО. Это позволяет беспрепятственно извлекать данные с зараженных хостов.
И это правда. Вредоносные программы используют для связи очень много протоколов. Вышеупомянутый AMT SOL, Tor… Вариантов много. Вот только контроль этих протоколов – не задача антивируса. Дело в том, что протоколы эти предназначены для общения, а не проникновения. По ним никто и не думает проползать в наш стан.
Может ли антивирус перехватить эти данные? Теоретически да. Но вот смысла это не имеет. Так как даже если антивирус перехватит все известные протоколы общения троянцев и вирусов, написать новый не составляет труда. Именно поэтому нужно не допускать проникновение вредоносных программ на компьютер – и именно этим занимается антивирус. Не будет проникшего нового файла – не возникнет и всех описанных выше случаев общения зараженных компьютеров со злоумышленниками.
Кстати, продукты для анализа подозрительной деятельности имеются – это, к примеру, достаточно часто упоминаемые SIEM-системы. Вот только толку от них на компьютере домашних пользователей нет. Почему? Просто представьте реакцию домохозяйки из сериалов на сообщение типа «файл ghgjhghjg.exe обратился по протоколу AMT SOL по адресу хх.хх.хх.хх. Хозяйка, что делать?»
#миф #взлом #антивирусАнтивирусная правДА! рекомендует
Не стоит верить СМИ и паниковать, когда вам сообщают о том, что ваш антивирус ни на что не способен. Прочитайте новость внимательно, допейте кофе – и обновите Dr.Web.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Денисенко Павел Андреевич
21:24:30 2018-08-04
Неуёмный Обыватель
23:55:31 2018-06-28
vasvet
20:17:40 2018-04-20
Toma
18:44:56 2017-12-04
сергей
18:56:18 2017-08-20
kozinka.ru
22:08:41 2017-08-16
Вячeслaв
08:46:38 2017-08-07
Littlefish
11:18:32 2017-08-06
Вячeслaв
08:23:10 2017-08-06
Вячeслaв
08:20:55 2017-08-06
Natalya_2017
22:12:15 2017-08-04
но выпуск, по-своему, интересен. Спасибо!
В...а
22:10:49 2017-08-04
vla_va
22:07:10 2017-08-04
НинаК
21:49:13 2017-08-04
Dvakota
21:38:46 2017-08-04
ek
21:24:16 2017-08-04
a13x
21:20:04 2017-08-04
Шалтай Александр Болтай
21:04:36 2017-08-04
kva-kva
20:59:37 2017-08-04
GREII
20:17:04 2017-08-04
mk.insta
19:51:28 2017-08-04
orw_mikle
19:46:11 2017-08-04
Littlefish
19:30:30 2017-08-04
Littlefish
19:19:12 2017-08-04
Littlefish
19:12:29 2017-08-04
B0RIS
19:08:05 2017-08-04
MiguSan
18:54:57 2017-08-04
Безусловно, контролировать все - не это задача антивируса. Предотвращение проникновения вредоносных программ - вот передовая миссия антивируса.
TV
18:28:54 2017-08-04
duduka
18:05:19 2017-08-04
Геральт
16:35:28 2017-08-04
AxooxA
16:29:12 2017-08-04
Марина
15:25:35 2017-08-04
С получением информации от шума кулера парни, конечно, заморочились знатно. На очереди - перехват квантов. Наверняка такие перехватчики уже существуют как минимум в теории. С их помощью можно получить вообще любое изображение или звук. Для этого даже компьютер не нужен - можно считать информацию прям с листа (секретный документ какой-нибудь).
Татьяна
15:05:21 2017-08-04
Анатолий
14:56:30 2017-08-04
Damir
14:30:06 2017-08-04
SGES
14:19:22 2017-08-04
Родриго
14:10:42 2017-08-04
sapfira
13:17:17 2017-08-04
Alexander
12:02:09 2017-08-04
Движение электронов в "железе" компьютера проявляет себя очень многообразно, - и теплом, и звуком, и светом, и разночастотным излучением, и много еще чем, как уже известным, так и ожидающим своего "открытия". Эти "проявления" могут быть, как выявлены, так и инициированы сторонним наблюдателем, в т.ч. и злоумышленником. Может быть найдена некая закономерность или внедрен специальный алгоритм или программа (не обязательно вирус) для получения интересующей информации.
Об этом, но чаще около этого, и появляются разнообразные страшилки в массовой прессе.
К работе антивирусных программ это в 99,9% случаев отношения никакого не имеет. Гротеск потенциальной возможности съема информации используется для повышения продаж своих околонаучных и околокомпьютерных изданий. Очень образно написала @kapitansha73, мне понравилось.
Компетентность антивируса, а проще говоря, объем власти, возможности и контроля ситуации, - обеспечивают достаточную защиту от реальных зловредов, а не туманных болотных химер.
Полностью поддерживаю рекомендации автора статьи. Прочитав околокомпьютерную новость, включите мозги, улыбнитесь, допейте кофе – и обновите Dr.Web. Кстати, вышла обновленная версия DrWeb LiveDisk, попробовал, понравилось.
kapitansha73
11:13:29 2017-08-04
dyadya_Sasha
10:49:45 2017-08-04
Влад
10:29:12 2017-08-04
Вячeслaв
09:40:40 2017-08-04
Вячeслaв
09:39:13 2017-08-04
Во времена оны в момент эпидемии народ ломанулся за антивирусом (а распределеной системы обновлений тогда не было). Провайдер лег и во избежание - отключил антивирусную компанию от интернета
Не Доктор Веб. История реальная
Пaвeл
09:13:28 2017-08-04
Littlefish
09:06:28 2017-08-04
Как дополнительный вариант к уже имеющимся, добавить опцию обновления антивирусных баз моментально после их выпуска, если компьютер имеет в этот момент доступ в интернет (то есть не только по принципу периодичности - каждые пол часа, час и т.д., а сразу же как только обновление выпустили). Т.е. используя функционал Dr.Web Cloud по принципу обратной связи инициировать обновление антивирусных баз как только появилось обновление для этих баз. Т.к. если даже настроена периодичность обновления каждые 30 минут, а через эти 30 минут возникла проблема с интернет соединением и обновления не произошло, то следующая попытка обновления будет опять через 30 минут (получается уже через час от предыдущего обновления), а за этот час как раз и можно "подхватить" новую вредоносную программу, причем если бы произошло обновление, то заражения бы не было, т.к. этот "штамм" уже известен аналитикам и добавлен в антивирусную базу.
npzarikov
09:05:05 2017-08-04
Rinat_64
09:00:22 2017-08-04
Вячeслaв
08:40:33 2017-08-04
Littlefish
08:35:11 2017-08-04
Во вчерашнем утреннем анонсе на сегодня вместо текущего выпуска под рубрикой Антивирусная неправда был анонс выпуска под рубрикой Тёмная кухня.