Вы используете устаревший браузер!

Страница может отображаться некорректно.

Антивирусная неправда

Антивирусная неправда

Другие выпуски этой рубрики (57)
  • добавить в избранное
    Добавить в закладки

О компетенции антивируса

Прочитали: 4123 Комментариев: 62 Рейтинг: 119

4 августа 2017

Продолжим разговор об «обходах» антивирусной защиты, новости о которых появляются достаточно часто.

Новый компьютерный вирус сможет заразить ПК при помощи микрофона и динамика.

Компьютерные специалисты Майкл Гаспач (Michael Hanspach) и Майкл Гетц (Michael Goetz) провели эксперимент, используя пять компьютеров, которые были соединены между собой в скрытую акустическую сеть с помощью встроенных микрофонов и динамиков. Данные передавались с одного компьютера на другой, пока не достигали ПК, соединенного с внешней сетью. В результате им удалось передать данные на расстояние почти 20 метров на частоте 20 кГц со скоростью до 20 бит/с, пишет gizmag.com.

Для защиты данных в будущем можно будет применять специальные акустические фильтрации с полосовым фильтром.

Но где же тут заражение? Если данные передаются, это означает, что на компьютере уже есть вредоносная программа. А то, что пользователь сделал клик и допустил ее запуск, когда антивирус выдавал предупреждение – разве это проблема антивируса?

Вердикт. Описанная проблема к обходу антивируса отношения не имеет и к заражению привести не может.

Радиосигналы FM-диапазона могут использоваться для дистанционного взлома компьютеров

На конференции MALCON 2014, которая проходила на прошедшей неделе в Пуэрто-Рико, израильские исследователи, специалисты по кибербезопасности, продемонстрировали метод взлома изолированных компьютеров и ноутбуков при помощи мобильного телефона, расположенного неподалеку от объекта атаки. Взлом осуществляется при помощи технологии, которая получила название AirHopper, которая была разработана Мордекаи Гурии (Mordechai Guri) и профессором Иувалем Эловичи (Yuval Elovici) из Лаборатории кибербезопасности (Cyber Security Labs) университета Бен-Гуриона (Ben Gurion University), Израиль.

Технология AirHopper не базируется ни на Bluetooth, ни на Wi-Fi, ни на других современных технологиях беспроводной связи. Она позволяет красть данные при помощи радиоволн FM-диапазона. К сожалению или к превеликому счастью, все технические детали технологии AirHopper держатся пока в большом секрете. Но, согласно информации, опубликованной на сайте университета, исследователи уже достаточно давно занимаются вопросами нестандартного использования FM-приемников, имеющихся в большинстве современных мобильных телефонов и смартфонов. При помощи этого приемника и программы, обрабатывающей принимаемые им сигналы, можно перехватывать нажатия клавиш, изображение на дисплее, которое излучается в виде радиоволн как самим дисплеем, так и видеокартой компьютера, и некоторые другие данные с изолированного от внешнего мира компьютера.

http://www.dailytechinfo.org/infotech/6425-radiosignaly-fm-diapazona-mogut-ispolzovatsya-dlya-distancionnogo-vzloma-kompyuterov.html

Вредоносное ПО, способное украсть данные с компьютеров при помощи тепла

Исследователи безопасности обнаружили еще одну лазейку, которая использует более простой вид излучения: тепло. BitWhisper, как исследователи Мордехай Гури и профессор Юваль Эловичи из Университета Бен-Гуриона окрестили свою программу, нацеливается на компьютеры, которые не подключены к сети Интернет. С помощью вредоносных программ, которые могут подключиться к системам охлаждения компьютеров и датчикам температуры, BitWhisper можете передавать информацию обратно и вперед между двумя соседними машинами.

Например, повышение температуры на одном компьютере на один градус в течение определенного периода времени будет обнаружено прилегающим компьютером в виде двоичного бита «1»; возвращение его к температуре исходных было бы истолковано как «0». Достаточно собрать из вместе, и они могут представлять собой команду компьютера или необработанные данные, такие как пароль.

Естественно, есть множество недочетов. Для того, чтобы BitWhisper мог работать, два компьютера должны быть расположены на расстоянии 15 дюймов друг от друга (достаточно близко, чтобы обнаружить изменения в температуре), один из должен быть подключен к Интернету, и они оба должны быть заражены вредоносной программой. А учитывая время, присущее подъему и опусканию температуры, передача данных занимает много времени – и может растянуться на часы.

https://www.engnews.ru/news/vredonosnoe_po__sposobnoe_ukrast_dannye_s_kompyuterov_pri_pomoschi_tepla.html

Так, а где тут взлом? Всего лищь перехват излучения мониторов и прочих звуков. Технологии, о которых предупреждали еще на занятиях по безопасности в Советском Союзе, когда антивирусов с вирусами и в помине не было.

Вердикт. Описанная проблема к обходу антивируса отношения не имеет и к заражению привести не может.

По мнению эксперта Мордехая Гури (Mordechai Guri), изменяя скорость вращения кулера, можно получить хранящиеся на системе данные. Атака под названием Fansmitter будет нужна в случае, если физически изолированный компьютер не имеет динамиков и получить информацию по аудиоканалам невозможно.

Для того, чтобы такая операция прошла успешно, злоумышленник должен установить на целевую систему специальное вредоносное ПО. Такой способ основан на анализе шума, который издается во время работы процессора и кулера. Специальное ПО может регулировать скорость вращения кулера, управлять посылаемыми компьютером звуковыми волнами. Полученные бинарные данные изменяются, потом передаются через радиосигналы на удаленный микрофон, это может быть ближайший телефон.

https://geektimes.ru/company/ua-hosting/blog/277838/

В данном случае злоумышленник должен еще придумать, как эту программу внедрить на защищаемый компьютер.

Вердикт. Описанная проблема к обходу антивируса отношения не имеет и к заражению привести не может.

Приведенные новости имеют одно сходство: злоумышленник передает или перехватывает некие данные. Возможно, с помощью установленной вредоносной программы. Предположим, программа действительно была внедрена. Должен ли антивирус отслеживать передаваемые ею данные?

На данный момент, как правило, вредоносные программы проникают не через уязвимости, а через пользователя – т. е. почтовый и интернет-трафик. Чтобы не допустить запуска вредоносной программы, антивирус контролирует http-протокол (доступ в Интернет), smtp/pop3/imap4 (почта) и протоколы мессенджеров (список неполный, это лишь основное).

Напомним, что проверять трафик нужно, так как не все поступающие объекты являются файлами и впоследствии проверяются файловым монитором. Есть, например, троянцы и вирусы, не имеющие собственных файлов. О необходимости тех или иных модулей антивируса мы не раз писали, не будем повторяться.

Однако вредоносные программы используют куда больше протоколов, чем упомянуто выше. Например:

Хакеры используют Intel AMT для передачи сообщений между зараженными ПК. Его «не видят» и не блокируют файерволы и антивирусное ПО. Это позволяет беспрепятственно извлекать данные с зараженных хостов.

https://habrahabr.ru/company/it-grad/blog/330572

http://www.securitylab.ru/news/486607.php

И это правда. Вредоносные программы используют для связи очень много протоколов. Вышеупомянутый AMT SOL, Tor… Вариантов много. Вот только контроль этих протоколов – не задача антивируса. Дело в том, что протоколы эти предназначены для общения, а не проникновения. По ним никто и не думает проползать в наш стан.

Может ли антивирус перехватить эти данные? Теоретически да. Но вот смысла это не имеет. Так как даже если антивирус перехватит все известные протоколы общения троянцев и вирусов, написать новый не составляет труда. Именно поэтому нужно не допускать проникновение вредоносных программ на компьютер – и именно этим занимается антивирус. Не будет проникшего нового файла – не возникнет и всех описанных выше случаев общения зараженных компьютеров со злоумышленниками.

Кстати, продукты для анализа подозрительной деятельности имеются – это, к примеру, достаточно часто упоминаемые SIEM-системы. Вот только толку от них на компьютере домашних пользователей нет. Почему? Просто представьте реакцию домохозяйки из сериалов на сообщение типа «файл ghgjhghjg.exe обратился по протоколу AMT SOL по адресу хх.хх.хх.хх. Хозяйка, что делать?»

#миф #взлом #антивирус

Антивирусная правДА! рекомендует

Не стоит верить СМИ и паниковать, когда вам сообщают о том, что ваш антивирус ни на что не способен. Прочитайте новость внимательно, допейте кофе – и обновите Dr.Web.

Оцените выпуск

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

Комментарии к другим выпускам | Мои комментарии

 
На страницу: