Az amerikai Symantec informatikai biztonsági óriáscég a Security Week szaklapnak eljuttatott 2012. január 6-i nyilatkozatában megerősítette, hogy illetéktelenek részben vagy egészében hozzájutottak a Norton Antivirus 10.2 és az Endpoint Protection 11.0 elnevezésű, régebbi évjáratú vírusvédelmi programok forráskódjához.
A magukat Yamateam / Dharmaraja Urainak nevező hackercsoport tagjai az indiai katonai hírszerzés egyik szerverére törtek be és ott találtak rá olyan szoftverekre és forráskódokra, amelyeket az ázsiai ország a CBI/TANCS állami netlehallgatási rendszer részeként licenszelt – nemcsak a Symantec-től, de a hackerek állítása szerint tucatnyi más gyártótól is. A támadók a megszerzett Norton-fájlok listáját közzétették a Pastebin portálon – ahonnan azóta szerzői jogi okokból törlésre került.
Bizonyítékként a zsákmányuk egy régebbi darabját, a Symantec vírusismereti adatbázis generálását végző szolgáltatás API, vagyis alkalmazás-illesztő felületének 1999-es leírását, dokumentációját is feltöltötték a netre. A hackerek azt ígérik, hogy hamarosan a 8240 fájlból álló teljes forrást is nyilvánosságra hozzák – amint sikerül kijátszaniuk az amerikai és indiai állami szervek által alkalmazott „erős nyomásgyakorlást és cenzúrát”, amely vádjaik szerint az információ közzétételének megakadályozására irányul.
Külső előtt belső lopás
Az infobiztonsági szakértők nem aggódnak túlzottan az új incidens miatt, amelyhez hasonló már korábban is előfordult : az orosz-angol Kaspersky Lab netbiztonsági cégtől egy álnok alkalmazott lopta ki a majdnem kész, 2008-as évjáratú otthoni-kisirodai célú víruskereső termék forráskódját. A tolvaj netes bűnözői köröknek próbálta eladni az információt – amiért 3,5 év börtönnel jutalmazta a bíróság – és végül tavaly a nyilvános netre is utat talált a kb. egy CD-lemeznyi lopott adat.
A bűncselekmény kárt okozott a Kaspersky cégnek, újra kellett írni a következő verziót – de ez módot adott még korszerűbb védelmi megoldások beépítésére, miközben a kiberbűnözők nem látták hasznát az illegális forráskód-hozzáférésnek. A hagyományos fájl-víruskeresés ugyanis „ujjlenyomat” alapon működik és az azonosító sztringeket a céges laborokban állítják elő a víruskutatók – így a végfelhasználó oldalán futó védelem forráskódja nem sok támpontot ad a kártevő-felismerés megkerüléséhez.
Ártalmas felhasználási lehetőségek
Veszélyes lehetne, ha a lopott kód a konkurencia kezébe kerül – az antivírus ipar szereplői azonban ma a piaci verseny és a korábbi pereskedések ellenére is egymásra vannak utalva. A laborok közti együttműködés nélkül nem tudnák tartani a tempót az új kártevőket iparszerűen előállító kiberbűnözőkkel, ezért kizárt, hogy bármely antivírus cég olyan Symantec-technológia felhasználásával próbálkozna, amelyhez nincs licensz-jogosultsága (ez alól talán a kínaiak lehetnek kivétel).
A legreálisabb támadási felületet a lopott forráskód képzett hackerek általi alapos átvizsgálása jelenti – ami kimutathat a vírusvédelem helyes működésének akadályozására vagy akár a helyi operációs rendszer feltörésére alkalmas, néha a nyílt neten is kihasználhatónak bizonyuló programozási hibákat, réseket. Ilyen „pen-testing” tevékenységre azonban a forráskód ismerete nélkül is lehetőség van és az információ rejtegetése, a „security by obscurity” eddig sem növelte érdemben a biztonságot.
A kockázatot az is csökkenti, hogy az illetéktelenül kikerült Symantec-verziók elég régiek, miközben az utóbbi években valóban forradalmi újdonságok (pl. HIPS típusú rendszer-viselkedés figyelés, Cloud avagy hálózati felhő-technológia) jelentek meg a vírusvédelemben – a hackerek így talán a mai, modern víruskeresők képességeinek a felét tudnák kijátszani a korábbi évjáratú forráskódok ismeretében konstruált kártevőikkel – írja a virushirado.hu.
