Hacknutý antivirus: Nejnebezpečnější program v počítači

  • Antivirus chrání počítač před malwarem
  • Aby to uměl, má ohromnou moc a práva
  • Hacknutý antivirus by se proměnil v ultimátní zbraň
Hacknutý antivirus: Nejnebezpečnější program v počítači

Silvestrovský večer jsem strávil s přáteli, jejich laptopem, projektorem a mým předplatným na jedné z videopůjčoven. Když jsem se chtěl přihlásit, překvapila mě v prohlížeči nejprve úvodní stránka nastavená na vyhledávací službu jisté antivirové společnosti a také nainstalovaný doplněk pro permanentní bezpečnostní audit prakticky všeho, co v prohlížeči děláte.

Moderní širokospektrální antivirus je už z principu velký bratr

Ačkoliv bych na jednu stranu podobné nástroje vřele doporučil všem nezodpovědným klikačům na každý odkaz a přílohu v poště, na svém osobním notebooku bych takto pokročilou kontrolu toleroval jen velmi těžce. A to z prostého důvodu.

Každý antivir má totiž už z principu své funkce velmi podobný charakter jako malware, před kterým nás má chránit. Posuďte sami:

  • Antivir má na PC práva téměř ke všemu
  • Antivir neustále sleduje, jaké programy spouštíte a jaké soubory otevíráte
  • Antivir každý takový soubor rychle zkontroluje, takže zná jeho obsah
  • Antivir si průběžně stahuje instrukce a do ústředí posílá reporty o dění na PC
  • Doplněk v prohlížeči stejným způsobem sleduje veškerou aktivitu na webu

Úplně stejně se ve své podstatě chová každý vysoce sofistikovaný botnet.

Klepněte pro větší obrázek
Antiviry sledují všechna data. V tomto případě Eset na mém pracovním laptopu zablokoval pokus o stažení našeho vlastního keyloggeru, který jsme si před pár lety vytvořili v seriálu o programování v jazyku C#.

Je s podivem, že zatímco třebas takový Google a Windows 10 považuje v posledních letech kdekdo za velkého bratra, v případě antivirových programů, které toho o nás mohou vědět mnohem více a jsou prakticky samozřejmostí na každém podnikovém i domácím počítači, se podobnými otázkami zabývá jen málokdo.

Události z druhé poloviny roku 2017 by přitom měly být v tomto ohledu poněkud alarmující.

Autoři antivirů dělají také chyby

Leckdo možná nabyl dojmu, že jsou antivirové programy dokonalé. Vždyť nás přeci chrání před havětí z internetu a chybami v ostatních programech, které této havěti otevřou vrátka do systému. Jenže bezpečnostní software také tvoří (jen) lidé z masa a kostí – žádné nadpřirozené a nechybující entity. A přestože lze předpokládat, že mají antivirové společnosti poněkud přísnější kontrolní protokoly než nadšenec z GitHubu, chyby prostě dělají.

Klepněte pro větší obrázek
Dvacet softwarových výrobců, v jejichž produktech bylo v loňském roce hlášeno nejvíce zranitelností

Ostatně stačí nahlédnout do databáze známých zranitelností CVE Details, do vyhledávacího pole zadat libovolného antivirového výrobce a zjistíte, že se nějaké té bezpečnostní chybky tu a tam dopustili naprosto všichni.

Aféry CCleaner a Kaspersky Lab

Loni v létě Avast koupil britský Piriform, která vyvíjí mimo jiné populární čistidlo CCleaner. Pár týdnů poté se ukázalo, že některé verze CCleaneru na počítačích namísto úklidu spouštěly malware. Nešlo přitom o žádný falešný CCleaner odkudsi z Číny nebo Ruska, ale opravdu o ten z Londýna, neznámí útočníci tedy úřadovali přímo u zdroje a nejspíše se dostali do zdrojových kódů.

Na aféru se už prakticky zapomnělo, ovšem nabízí se otázka, co by se asi stalo, kdyby někdo další útočil rovnou na antivirus. Díky jeho ohromné moci nad systémem by se přitom nemuselo jednat ani o takto drzý a bezprecedentní útok, ale spíše o krádež toho, co bezpečnostní software na našich počítačích sbírá.

Nejde přitom o žádnou hypotetickou situaci, krátce po kauze CCleaner totiž odbornou scénou prolétla aféra Kaspersky Lab, kterou bude ruský výrobce kvůli ztrátě důvěry žehlit nejspíše ještě celé roky. A není vůbec jisté, jestli se mu to podaří.

Už je to pár měsíců, takže jen připomenu, že jej Američané začali podezřívat ze spolupráce s ruskými bezpečnostními agenturami. Částečně se na tom jistě podílel zahraničně-politický spor obou zemí, dílem ovšem také zjištění, že se kdosi z východu dostal k tajným materiálům NSA poté, co jistý analytik ze zámoří porušil bezpečnostní normy, odnesl si dokumenty domů a zpracovával na svém počítači, na kterém měl nainstalovaný právě software od Kaspersky Lab. Program nejspíše vyčmuchal federální soubory na disku a alespoň nějaká data odeslal skrze internet.

Kaspersky Lab byl poté obviňován ze spolupráce s FSB, z amerických federálních počítačů kvůli strachu ze špionáže začal mizet jeho software, a přitom o tom kasperští skutečně nemuseli vědět a stali se obětí toho, co dělá moderní antivir antivirem.

Bezpečnostní expert se zkušenostmi z NSA Patrick Wardle v článku All Your Docs Are Belong Tu Us před časem demonstroval, jak celý útok mohl proběhnout a jak lze antivirový program (zdaleka nejen ten od Kasperskyho) proměnit přinejmenším ve špionážní sondu. Antivir totiž tak trochu špionážní sonda opravdu je. Už z principu jeho činnosti.

Antivirus je špionážní sonda už z principu. Jen ji nesmí nikdo zneužít

Co dělá současný antivir? Monitoruje soubory a spouštěné programy na PC a pomocí heuristické analýzy a databáze škodlivého kódu v nich hledá stopy po malwaru. A když něco podezřelého najde, umístí pochybný soubor do karantény a zpravidla odešle telemetrická data o souboru a systému, vzorek souboru, nebo dokonce celý soubor k další analýze do ústředí.

Odesílání vzorků je sice zpravidla dobrovolné a funkci samozřejmě můžete v každém antiviru zakázat, nicméně ono opravdu pomáhá a o počínající hrozbě se tak může odborná komunita velmi brzy dozvědět a hlavně na ni zareagovat.

Jenže… Jenže podobnou vychytávku lze jako cokoliv jiného zneužít. Míru rizika si tak musí zvážit každý sám.

Wardle prozkoumal, jak se Kaspersky chová, a jelikož je to zkušený hacker, upravil program takovým způsobem, aby za hrozbu označil jakýkoliv soubor, který bude obsahovat třeba text „TS/SCI,“ což je v zámoří obvyklá zkratka citlivých materiálů (sensitive compartmented information).

Klepněte pro větší obrázek
Hackerem upravený antivirus detekoval dokument s textovým řetězcem „TS/SCI“

Když pak vytvořil soubor, který tento řetězec obsahoval a uložil jej na počítači s upraveným antivirem, ten jej okamžitě označil za hrozbu a mohl odeslat telemetrická data do ústředí. Pokud by kdesi na cestě číhal útočník (odposlech typu MITM), data by získal také.

Bezpečnostní expert tedy relativně jednoduchou úpravou programu proměnil antivirus v dokonalý špionážní nástroj, který by mohl hledat libovolná data na milionech počítačů po celém světě.

Tímto však celá legrace zdaleka nekončí. Případný útočník by totiž mohl pro rozšíření své špionáže zneužít i samotný distribuční systém – definiční databáze virů, které si bezpečnostní programy průběžně stahují, aby věděly, co mají vlastně na počítači hledat za smetí.

Demonstrace popleteného antiviru, který jako virus detekuje to, co bude chtít útočník:

Flagging Classified Documents via AV Signatures from patrick wardle on Vimeo.

Antivirus by si tedy stáhl novou databázi, přičemž útočníkovi by se podařilo dostat na seznam i to, že je bezpečnostním rizikem třeba právě ono spojení „TS/SCI.“ V takovém případě by mohl být samotný klientský program čistý jako lilie a jednalo by se o bezprecedentní plošný útok.

Ačkoliv si Wardle vzal na paškál Kaspersky Lab, které to nemá v zámoří jednoduché, sám v závěru svého článku upozorňuje, že popisuje principiální slabinu jakéhokoliv antivirového programu, všechny dnes totiž ve své podstatě fungují stejně, jsou neskutečně mocné a my tomu všemu můžeme jen tiše důvěřovat.

Diskuze (39) Další článek: Microsoft změřil prohlížeče a Edge opět porazil konkurenci. Rozjíždí kampaň proti Chromu

Témata článku: Google, Software, Bezpečnost, Čína, Antivirus, Malware, Avast, NSA, Rusko, GitHub, ESET, Kaspersky Lab, Odposlech, Ruska, Pracovní laptop, Libovolné data, Odborná komunita, Vyhledávací pole, Heuristická analýza, Jednoduchá úprava, Známá zranitelnost, Zkušený hacker, Citlivý materiál, Antivirový program, Ruský výrobce


Určitě si přečtěte

Kde se bere elektřina v zásuvce? Poznejte 10 tajemství venkovních stožárů s dráty

Kde se bere elektřina v zásuvce? Poznejte 10 tajemství venkovních stožárů s dráty

Elektřina se vyrábí v elektrárnách, ale do zásuvek v našich domovech to pak má ještě hodně daleko. Dnes se na tuhle dlouhou cestu podíváme.

David Polesný | 83

Vyzkoušeli jsme eObčanku a přihlásili se s ní na weby úřadů. Vážně to funguje!

Vyzkoušeli jsme eObčanku a přihlásili se s ní na weby úřadů. Vážně to funguje!

** Máme eObčanku, máme čtečku, vyzkoušeli jsme přihlášení na weby úřadů. ** Objevily se drobné problémy, podařilo se nám je vyřešit. ** Používání eObčanky pro online identifikaci je velmi pohodlné.

Marek Lutonský | 28

Temný režim a spousta vychytávek. Vyzkoušeli jsme nový macOS 10.14 Mojave

Temný režim a spousta vychytávek. Vyzkoušeli jsme nový macOS 10.14 Mojave

** Vyzkoušeli jsme veřejnou betu macOS 10.14 Mojave ** Hlavní novinkou je temný režim a velký důraz na soukromí ** Jako první beta je systém překvapivě rychlý a dobře použitelný.

Martin Miksa | 35


Aktuální číslo časopisu Computer

Jak mobily určují svoji polohu?

Velký test notebooků pro studenty

Nejlepší reproduktory na párty

Služby a aplikace pro výuku angličtiny