A Duqu trójai ellen nincs csodaszer

Kristóf Csaba
2011. november 10., 08:50
Nyomtatás
Az NSS Labs néhány nappal ezelőtt adott ki egy olyan kis ellenőrzőeszközt, amely képes a Duqu trójai felismerésére. Azonban egyre több biztonsági szakértő hangoztatja, hogy a helyzet korántsem olyan egyszerű, hogy egyetlen eszközzel csodákat lehetne művelni.

Az NSS Labs kutatói a múlt héten számoltak be arról az ellenőrzőeszközükről, amelyet kifejezetten a Duqu trójai felismeréséhez alakítottak ki. A szakemberek hangsúlyozták, hogy a fejlesztés során nagy segítségükre voltak azok az információk, melyeket a budapesti CrySyS munkatársai tettek elérhetővé.

Az NSS Labs szerint a python alapú megoldásuk képes a Duqu jelenlegi variánsai által használt összes driver felismerésére. "Ezt az eszközt abban a reményben fejlesztettük ki, hogy további érdekességeket fedeztünk fel, és ezáltal még jobban megismerhetjük a Duqu funkcionalitását, jellemzőit" - vélekedtek a fejlesztők az amúgy nyílt forráskódú megoldásukról. Az eszközben rejlő lehetőségeket nyilvánvalóan célszerű kihasználni, ugyanakkor egyre több biztonsági szakértő hívja fel a figyelmet arra, hogy az NSS Labs kódja hamis biztonságérzetet kelthet.

"Ez egy valóban hasznos eszköz, de úgy gondolom, hogy a heurisztikus képességei meglehetősen korlátozottak" - mondta Costin Raiu, a Kaspersky Lab kutatási igazgatója. A szakember szerint ahhoz, hogy a Duqu megbízhatóan legyen felismerhető, olyan heurisztikára is szükség van, amely képes kimutatni a Stuxnet jelenlétét, ugyanis a két károkozó között nagyon sok a hasonlóság. Raiu úgy véli, hogy ennek a követelménynek az NSS Labs eszköze nem felel meg maradéktalanul.

A Kaspersky Lab - sok más biztonsági vállalathoz hasonlóan - eddig nem adott ki olyan eszközt, amely kifejezetten a Duqu elleni küzdelmet segítené. Ezt a cég azzal indokolja, hogy a trójai olyan komplexitású, hogy egyetlen egyszerű eszközzel nem lehet hatékonyan fellépni ellene. Ehelyett teljes körű forensic vizsgálatok elvégzését javasolja, amik során azok a kiegészítő összetevők is kimutathatóvá válhatnak, melyeket a Duqu telepít, illetve hagy hátra. Raiu arra is felhívta a figyelmet, hogy az NSS Labs megoldását - különösen mivel az nyílt forráskódú - a Duqu készítői a jövőben könnyedén kijátszhatják.

Mikko Hypponen, az F-Secure kutatási vezetője is óvatosságra intett: "A Duqu készítői profik, és nem fog számukra problémát jelenteni a védelmi megoldások megkerülése, legyen szó bármilyen ellenőrzőeszközről".

A Duqu egy Windows kernelben lévő sérülékenységet igyekszik kihasználni, amelyhez egyelőre nem érhető el hibajavítás, de a Microsoft már tett javaslatokat a kockázatok csökkentése érdekében.

 

 

Címkék:
Nyomtatás
Kapcsolódó hírek
A hozzászólások a vonatkozó jogszabályok értelmében felhasználói tartalomnak minősülnek, értük a szerkesztőség és a szolgáltatás üzemeltetője semmilyen felelősséget nem vállal! A moderálási elvekbe ütköző hozzászólásokat szerkesztőségünk bármikor törölheti.

2 hozzászólás

  1. buherator írta:
    2011-11-10 11:33:31

    A CrySys Labor is megjelentetett egy célszoftvert, jobbnak tűnő heurisztikával: http://crysys.hu/duqudetector.html Az a kijátszhatóság szempontjából egyébként teljesen lényegtelen, hogy a kereső szoftver nyílt-forrású vagy sem.

  2. K.CS. írta:
    2011-11-10 11:44:00

    Köszönjük a linket!

ESET Online Vírusirtó
Céginfó hírek (x)

Kiadó
Partnereink
IDG Worldwide

© 1999-2012 IDG Hungary Médiaszolgáltató Kft. Minden jog fenntartva.