DefCon: kontrowersje wokół zawodów na najlepszą modyfikację wirusa

Wśród producentów oprogramowania antywirusowego panuje niepokój. Powodem są zawody hakerskie, które mają się odbyć w ramach konferencji DefCon w dniach od 8 do 10 sierpnia w Las Vegas. Hakerzy biorący udział w zawodach Race to Zero otrzymają próbki istniejących wirusów, które będą musieli tak zmodyfikować, by te nie zostały wykryte przez żaden ze skanerów antywirusowych.

Zgodnie z regulaminem konkursu uczestnik musi tak zmienić kod danego wirusa, aby zachować wszystkie jego funkcje. Zawody te mają sprawdzić skuteczność mechanizmów wykrywania "szkodników" sieciowych polegających na porównywaniu próbek z bazami sygnatur, a także zapewnić dobrą rozrywkę. Jak donoszą amerykańskie media, uczestnicy zostaną wyróżnieni w kilku kategoriach. Nagrody otrzymają twórcy modyfikacji "najelegantszej", "najbrzydszej", "najzabawniejszej" i "najbardziej zasługującej na piwo".

Ominięcie sygnatur stosowanych w skanerach wirusowych to w większości przypadków zadanie dość trywialne. Wystarczy zmienić kilka bajtów w odpowiednim miejscu kodu wirusa albo też wprowadzić wiele instrukcji maszynowych NOOP (No Operation) i przy ich użyciu tak wydłużyć kod, że statyczna sygnatura składająca się z łańcucha znaków po prostu nie zadziała. O wiele trudniej jest znaleźć miejsce w kodzie wirusa, którego modyfikacja pozwoli ominąć każdy ze skanerów. Dodatkowa trudność polega na tym, że w tej chwili praktycznie wszyscy producenci antywirusów używają sygnatur generycznych, które potrafią rozpoznawać większość "szkodników" na podstawie ich charakterystycznych cech. Niemniej skanery polegające wyłącznie na sygnaturach dość łatwo jest wyprowadzić w pole.

I właśnie to budzi największy niepokój producentów antywirusów. Amerykańskie media cytują na przykład wypowiedź Dave'a Marcusa z firmy McAfee: "Tego typu działania, na których skorzystają głównie twórcy wirusów, nie są dobrym pomysłem. Koszty związane z zaginięciem danych użytkowników lub kradzieżą ich tożsamości mogą okazać się zbyt duże. Badania nad bezpieczeństwem powinny koncentrować się na mechanizmach wykrywania, a nie omijania".

"Spowoduje to więcej szkód niż korzyści. Już metoda Responsible Disclosure jest dość sporna, ale organizowanie tego typu zawodów to już przesada" - powiedział Paul Ferguson z firmy Trend Micro w wywiadzie dla amerykańskich mediów. Wtóruje mu Roger Thompson z AVG Technologies: "Trudno dostrzec coś pozytywnego w zachęcaniu ludzi do pisania jeszcze większej liczby wirusów. To głupi pomysł. Nie potrzebujemy dodatkowych próbek wirusów, bo już teraz przetwarzamy około 30 tysięcy sztuk dziennie".

Sens organizowania zawodów Race to Zero wydaje się dość wątpliwy. Niemal wszyscy producenci oprogramowania antywirusowego stosują bowiem oprócz mechanizmów wykrywania bazujących na sygnaturach także metody heurystyczne, a coraz częściej również techniki dynamicznego wykrywania, takie jak choćby emulacja działania w specjalnie wydzielonej przestrzeni emulującej system czy też analiza zachowań na działającym systemie. Sposoby te polegają na sprawdzaniu wejścia i wyjścia (np. stanów rejestrów procesora lub danych na dysku) i wykrywanie anomalii na zasadzie porównania układu odczytanych stanów ze znormalizowanym wzorcem.

Mimo to stosowanie sygnatur jest nieuniknione - są one konieczne choćby do sprawdzania systemu pod kątem występowania wirusów przy użyciu specjalnej, rozruchowej płyty CD z małym systemem operacyjnym i skanerem uruchamiającym się, zanim pracę rozpocznie właściwy system operacyjny.

Zobacz także Race to Zero Race to Zero, strona domowa zawodów