Kontrowersyjne omijanie na Race to Zero DEFCON

Możliwość przerobienia kodu wirusów tak aby były niewykrywalne jest dobrze znana. Jednak organizatorzy konkursu twierdzą, że wiedza o tym ile atakujący musi zainwestować przerabiając kod aby ominąć zabezpieczenia programów antywirusowych jest przydatna. I mają nadzieję, że konkurs skłoni ludzi do refleksji nad zagadnieniem.

Paul Ferguson z TrendMicro twierdzi, że konkurs wyrządza więcej szkód niż pożytku. Inni twierdzili, że konkurs pozwoli złym charakterom po prostu nauczyć się nowych trików. “Twórcy oprogramowania antywirusowego już przetwarzają około 30 tys przypadków dziennie i nie ma potrzeby dla nowych próbek” powiedział Roger Thompson, główny kierownik badań AVG ,”ciężko znaleźć usprawiedliwienie do zachęcania większej ilości ludzi do pisania wirusów”.Dave Marcus,badacz zabezpieczeń i manager komunikacyjny w McAfee Avert Labs powiedział, że “popieranie badań ,których wynikiem są lepsze techniki unikania skanerów nie jest dobrym pomysłem. Ile danych zostanie ukradzionych od użytkowników jako efekt nowych technik? Badania powinny rozwijać się wokół poprawiania wykrywalności,a nie unikania skanerów”.

Trzy trzy osobowe drużyny przerobiły w Las Vegas kod dziewięciu dobrze znanych wirusów aby były niewykrywalne dla głównych skanerów antywirusowych w rekordowym czasie. Do przerobienia mieli 7 wirusów i 2 exploity. Zaczynając od archaicznego virusa Stoned do Slammer worma exploitującego lukę w “Microsoft SQL database engine” czy exploita na “animowany kursor” w Microsoft Word.

Race to Zero DEFCON

Najszybsza drużyna potrzebowała na skuteczne zamglenie “obfuscate” wszystkich kodów 2 godziny i 25 min, druga trochę ponad 5 godzin.

Lekcja zdająca się z tego wynikać jest taka, że najwyraźniej tworzenie mutacji wirusów przez zaciemnienie ich kodu nie jest zbyt trudne, a wykrywanie ich sygnatur zdecydowanie nie wystarcza.

Organizator podsumowując konkurs stwierdził, że lekcja jest bardziej dla firm i użytkowników domowych. Ma nadzieję,że komentarze konkursu dostarczą do nich wiadomość i jeżeli “Mama i Tata” przeczytają artykuł i zdecydują się włączyć behawioralne wykrywanie wirusów to było warto.

Realizacja: SIPLEX Studio