среда, 23. август 2017.

Kako antivirus proizvodi mogu ugroziti privatnost


Pre 20-tak godina veliki broj korisnika na svojim tada popularnim desktop računarima uopšte nije imalo instalirano nikakvo antivirusno rešenje. Tada je internet još uvek bio retkost a i nije bilo toliko različitih vrsta virusa koji su napadali tadašnje operativne sisteme. U ovom postu ću pokušati da dam kratak istorijat antivirusa i da ukažem na problem curenje osetljivih podataka.

Kako je sve počelo?
Ako se pitate kada je sve počelo i kada je nastao prvi računarski virus to je bilo još početkom 80-tih godina. Naime zabeleženo je da je prvi virus koji je ikada napisan nastao 1981 godine. Zanimljivo je da je ovaj virus napisan za Apple II računar i poznat je pod imenom Elk Cloner a njegov autor je bio Richard Skrenta. Međutim ovaj virus nikada nije bio "na slobodi". Pod ovim pojmom se podrazumeva da je on bio isključivo testiran u laboratorijskim uslovima i nikada nije pušten van tog okruženja. Prvi virus koji je bio "na slobodi" odnosno koji se nije testirao samo u kontrolisanom okruženju jeste napisan 1986 godine. Ovaj virus je poznat po nazivom Brain a poznat je još i pod imenom  “Brain boot sector” i napisan je za IBM kompatibilne računare a napisala su ga dva brata iz Pakistana sa prezimenom Alvi. Sve što danas imamo nastalo je iz ovako skromnih početaka a kako je reagovala antivirus zajednica videćemo u nastavku.

Kada je nastao prvi antivirus?
Vrlo brzo posle pojave prvih virusa pojavio se i prvi program za uklanjanje 1987 godine pod nazivom Bernd Fix. Takođe ove iste godine pojavio se i G Data antivirus za Atari ST računare. Prvi antivirusi imali su isključivo mogućnost da rade detekciju i uklanjnje poznatih virusa. To znači da on zapravo ima bazu sa potpisima (singature) poznatih virusa i ukoliko se određeni fajl poklapa sa potpisom softver pretpostavlja da je fajl inficiran i o tome obaveštava korisnika. Međutim dešavalo se da određenim tehnikama pisci virusa mogu da prevare ovakav mehanizam prevare pa je sam antivirus softver evoluirao u nešto što se bazira na heuristici. To znači da iako se ne poklapa fajl sa postojećim poznatim virusima u bazi softver može na osnovu nekih ponašanja samog fajla koji odstupa od normalnog da ga proglasi virusom i detekciju prikaže korisniku. Prvi ovakvi antivirusi nastali su već 1987 godine a to su Flushot Plus koji je napisao Ross Greenberg i Anti4us koji je napisao Erwin Lanting. Odmah nakon toga 1988 godine startovala je mail lista VIRUS-L gde se diskutovalo o virusima i načinima uklanjanja. Neki od istaknutih članova iz ove liste uskoro su lansirali svoja komercijalna rešenja a prvi su bili John McAfee i Eugene Kaspersky. Tek nekoliko godina posle navedenih događaja a ako hoćemo baš precizno 1990 godine Symantec je na tržište plasirao svoj prvi antivirus pod nazivom Norton Antivirus koji je stekao veliku popularnost među korisnicima.

Kako su se dalje razvijali antivirusi?
Pojavom interneta sve se promenilo od načina širenja virusa pa do načina rada antivirus softvera. Pojavili su se online skeneri koji su omogućili da se bez instalacije antivirus softvera izvrši provera fajla ili foldera. Takođe još jedna stvar koja je nešto novijeg datuma jesu cloud-based antivirus rešenja koja koriste napredne tennike koje zapravo i jesu najveći problem za privatnost podataka korisnika i o tome ću detaljnije u nastavku posta.

Gde se zapravo krije problem?
Problem se javio upravo korišćenjem cloud-based antivirus rešenja. Zapravo i malo pre toga. Jedan od veoma poznatih sajtova VirusTotal gde možete zapravo da proverite bilo koji fajl je predstavnik multiskener rešenja. Ovaj projekat je pokrenut 2004 godine od strane Španske security kompanije Hispasec Sistemas. Zapravo kada odete na ovaj sajt prvo što morate uraditi jeste da uradite upload fajla koji želite da proverite a onda se taj fajl testira kroz nekoliko različitih antivirusnih skenera. Upravo tu se krije najveći poblem jer se postavlja pitanje šta se dalje dešava sa tim fajlom. VirusTotal kaže da se ovaj fajl deli isključivo sa njihovim partnerskim security kompanijama i to isključivo u cilju povećanja opšteg stanja bezbednosti. Međutim da li je to tako videćemo u nastavku kao i to da li je ovo potpuno besplatan servis. Ovde želim da naglasim da cilj teksta nije na bilo koji način umanjivaje značaja ovog servisa koji stvarno može biti veoma koristan.


Slučaj Carbon Black
Početkom avgusta meseca ove godine security istraživači kompanije DirectDefense napisali su blog o detaljima vezanim za curenje podataka kroz rešenje Cb Response kompanije Carbon Black. Naime radi se o tome da ovaj alat koji se instalira na računar automatski deli informacije sa sajtom VirusTotal kako bi unapredio zaštitu. Međutim istraživači su uspeli da pronađu veliki broj Cloud ključeva, App store ključeva, internih korisničkih imena i lozinki, korisničkih podataka i interno razvijenih aplikacije uključujući razvijene algoritme i poslovne tajne nekoliko kompanija sa Fortune 1000 liste. Za većinu nađenih stvari po njihovim tvrdnjama jeste kriv mehanizam koji sumnjive fajlove šalje u snadbox rešenje odnosno razmenjuje sa sajtom VirusTotal. Ono o čemu ovde izuzetno treba voditi računa pogotovo u poslovnom okruženju jeste koji su to podaci koji se šalji i o kojoj količini podataka je zapravo reč.

Preporuka za zaštitu poverljivih podataka
Ukoliko koristite CB Response ili neki slično bilo bi dobro pokušati utvrditi koji se tačno podaci prikupljaju i šta se sa njima dalje radi, pogotovo ako za to nije potrebna dozvola korisnika. Druga stvar koja je bitna jeste isključiti opciju cloud uploada ako je to moguće u samom softveru. Nadam se da sam ovim postom uspeo da bar malo skrenem pažnju poslovnih korisnika na opasnost koja nije dovoljno poznata širem krugu i da će ovo biti bar od neke koristi.

0 коментара:

Постави коментар