Silvestrovský večer jsem strávil s přáteli, jejich laptopem, projektorem a mým předplatným na jedné z videopůjčoven. Když jsem se chtěl přihlásit, překvapila mě v prohlížeči nejprve úvodní stránka nastavená na vyhledávací službu jisté antivirové společnosti a také nainstalovaný doplněk pro permanentní bezpečnostní audit prakticky všeho, co v prohlížeči děláte.
Moderní širokospektrální antivirus je už z principu velký bratr
Ačkoliv bych na jednu stranu podobné nástroje vřele doporučil všem nezodpovědným klikačům na každý odkaz a přílohu v poště, na svém osobním notebooku bych takto pokročilou kontrolu toleroval jen velmi těžce. A to z prostého důvodu.
Každý antivir má totiž už z principu své funkce velmi podobný charakter jako malware, před kterým nás má chránit. Posuďte sami:
- Antivir má na PC práva téměř ke všemu
- Antivir neustále sleduje, jaké programy spouštíte a jaké soubory otevíráte
- Antivir každý takový soubor rychle zkontroluje, takže zná jeho obsah
- Antivir si průběžně stahuje instrukce a do ústředí posílá reporty o dění na PC
- Doplněk v prohlížeči stejným způsobem sleduje veškerou aktivitu na webu
Úplně stejně se ve své podstatě chová každý vysoce sofistikovaný botnet.
Antiviry sledují všechna data. V tomto případě Eset na mém pracovním laptopu zablokoval pokus o stažení našeho vlastního keyloggeru, který jsme si před pár lety vytvořili v seriálu o programování v jazyku C#.
Je s podivem, že zatímco třebas takový Google a Windows 10 považuje v posledních letech kdekdo za velkého bratra, v případě antivirových programů, které toho o nás mohou vědět mnohem více a jsou prakticky samozřejmostí na každém podnikovém i domácím počítači, se podobnými otázkami zabývá jen málokdo.
Události z druhé poloviny roku 2017 by přitom měly být v tomto ohledu poněkud alarmující.
Autoři antivirů dělají také chyby
Leckdo možná nabyl dojmu, že jsou antivirové programy dokonalé. Vždyť nás přeci chrání před havětí z internetu a chybami v ostatních programech, které této havěti otevřou vrátka do systému. Jenže bezpečnostní software také tvoří (jen) lidé z masa a kostí – žádné nadpřirozené a nechybující entity. A přestože lze předpokládat, že mají antivirové společnosti poněkud přísnější kontrolní protokoly než nadšenec z GitHubu, chyby prostě dělají.
Dvacet softwarových výrobců, v jejichž produktech bylo v loňském roce hlášeno nejvíce zranitelností
Ostatně stačí nahlédnout do databáze známých zranitelností CVE Details, do vyhledávacího pole zadat libovolného antivirového výrobce a zjistíte, že se nějaké té bezpečnostní chybky tu a tam dopustili naprosto všichni.
Aféry CCleaner a Kaspersky Lab
Loni v létě Avast koupil britský Piriform, která vyvíjí mimo jiné populární čistidlo CCleaner. Pár týdnů poté se ukázalo, že některé verze CCleaneru na počítačích namísto úklidu spouštěly malware. Nešlo přitom o žádný falešný CCleaner odkudsi z Číny nebo Ruska, ale opravdu o ten z Londýna, neznámí útočníci tedy úřadovali přímo u zdroje a nejspíše se dostali do zdrojových kódů.
Na aféru se už prakticky zapomnělo, ovšem nabízí se otázka, co by se asi stalo, kdyby někdo další útočil rovnou na antivirus. Díky jeho ohromné moci nad systémem by se přitom nemuselo jednat ani o takto drzý a bezprecedentní útok, ale spíše o krádež toho, co bezpečnostní software na našich počítačích sbírá.
Nejde přitom o žádnou hypotetickou situaci, krátce po kauze CCleaner totiž odbornou scénou prolétla aféra Kaspersky Lab, kterou bude ruský výrobce kvůli ztrátě důvěry žehlit nejspíše ještě celé roky. A není vůbec jisté, jestli se mu to podaří.
Už je to pár měsíců, takže jen připomenu, že jej Američané začali podezřívat ze spolupráce s ruskými bezpečnostními agenturami. Částečně se na tom jistě podílel zahraničně-politický spor obou zemí, dílem ovšem také zjištění, že se kdosi z východu dostal k tajným materiálům NSA poté, co jistý analytik ze zámoří porušil bezpečnostní normy, odnesl si dokumenty domů a zpracovával na svém počítači, na kterém měl nainstalovaný právě software od Kaspersky Lab. Program nejspíše vyčmuchal federální soubory na disku a alespoň nějaká data odeslal skrze internet.
Kaspersky Lab byl poté obviňován ze spolupráce s FSB, z amerických federálních počítačů kvůli strachu ze špionáže začal mizet jeho software, a přitom o tom kasperští skutečně nemuseli vědět a stali se obětí toho, co dělá moderní antivir antivirem.
Bezpečnostní expert se zkušenostmi z NSA Patrick Wardle v článku All Your Docs Are Belong Tu Us před časem demonstroval, jak celý útok mohl proběhnout a jak lze antivirový program (zdaleka nejen ten od Kasperskyho) proměnit přinejmenším ve špionážní sondu. Antivir totiž tak trochu špionážní sonda opravdu je. Už z principu jeho činnosti.
Antivirus je špionážní sonda už z principu. Jen ji nesmí nikdo zneužít
Co dělá současný antivir? Monitoruje soubory a spouštěné programy na PC a pomocí heuristické analýzy a databáze škodlivého kódu v nich hledá stopy po malwaru. A když něco podezřelého najde, umístí pochybný soubor do karantény a zpravidla odešle telemetrická data o souboru a systému, vzorek souboru, nebo dokonce celý soubor k další analýze do ústředí.
Odesílání vzorků je sice zpravidla dobrovolné a funkci samozřejmě můžete v každém antiviru zakázat, nicméně ono opravdu pomáhá a o počínající hrozbě se tak může odborná komunita velmi brzy dozvědět a hlavně na ni zareagovat.
Jenže… Jenže podobnou vychytávku lze jako cokoliv jiného zneužít. Míru rizika si tak musí zvážit každý sám.
Wardle prozkoumal, jak se Kaspersky chová, a jelikož je to zkušený hacker, upravil program takovým způsobem, aby za hrozbu označil jakýkoliv soubor, který bude obsahovat třeba text „TS/SCI,“ což je v zámoří obvyklá zkratka citlivých materiálů (sensitive compartmented information).
Hackerem upravený antivirus detekoval dokument s textovým řetězcem „TS/SCI“
Když pak vytvořil soubor, který tento řetězec obsahoval a uložil jej na počítači s upraveným antivirem, ten jej okamžitě označil za hrozbu a mohl odeslat telemetrická data do ústředí. Pokud by kdesi na cestě číhal útočník (odposlech typu MITM), data by získal také.
Bezpečnostní expert tedy relativně jednoduchou úpravou programu proměnil antivirus v dokonalý špionážní nástroj, který by mohl hledat libovolná data na milionech počítačů po celém světě.
Tímto však celá legrace zdaleka nekončí. Případný útočník by totiž mohl pro rozšíření své špionáže zneužít i samotný distribuční systém – definiční databáze virů, které si bezpečnostní programy průběžně stahují, aby věděly, co mají vlastně na počítači hledat za smetí.
Demonstrace popleteného antiviru, který jako virus detekuje to, co bude chtít útočník:
Antivirus by si tedy stáhl novou databázi, přičemž útočníkovi by se podařilo dostat na seznam i to, že je bezpečnostním rizikem třeba právě ono spojení „TS/SCI.“ V takovém případě by mohl být samotný klientský program čistý jako lilie a jednalo by se o bezprecedentní plošný útok.
Ačkoliv si Wardle vzal na paškál Kaspersky Lab, které to nemá v zámoří jednoduché, sám v závěru svého článku upozorňuje, že popisuje principiální slabinu jakéhokoliv antivirového programu, všechny dnes totiž ve své podstatě fungují stejně, jsou neskutečně mocné a my tomu všemu můžeme jen tiše důvěřovat.