Zdravím, nejprve díky za pěkný a zajímavý článek.
Zhruba před rokem jsem si koupil knihu Bezpečnost v Linuxu, kde v kapitole o špionážních programech (mám na mysly např. spyware) byl popsán triviální prográmek v jazyce C na několik řádků. Byl schopný získat informace jako např. jméno a IP počítače, seznam aktivních uživatelů, včetně jejich UID, GID a domovské složky, o systému a pod., vše zabalil do úhledného mailu a odeslal na určenou adresu…
Ze zvědavosti jsem si program přeložil, vyzkoušel a nechal jej prověřit baterii antivirů (nejprve Avast, potom AVG a nakonec Clam AntiVirus) a byl jsem nemile překvapen tím, že žádný na něj ani neupozornil…
Zajímavé na tomto prográmku je že, – o proti běžně vžité představě – téměř nic nedělal přímo on sám. Opravdu, žádné složité vlámání do systému. Buď využíval běžně dostupných (= nepotřebuje k jejich volání práva roota) funkcí ze systémových knihoven, nebo programů, které jsou dostupné na drtivé většině distribucí, popř. se automaticky instalují základem systému. pravděpodobně proto se antivirům asi nezdál nijak podezřelý…
Nejsem žádný odborník takže mě osobně z této zkušenosti vyplynuly alespoň tři (jednoduše pouze vypadající) pravidla, která by mohla alespoň snížit pravděpodobnost úspěchu takového útoku :
1) Snažit se zabránit tomu, aby se takový program dostal do počítače
2) Pokud možno, co nejvíce minimalizovat mrtvý kód a programy které nejsou nijak využívány.
3) Sledovat co a od koho odchází z počítače ven.
Na tenhle pokus jsem si vzpomněl, když jsem četl výrok pana Pikáleka „Jakmile je schopen antivir takový kód odhalit, ten už dávno svou úlohu splnil…“ a napadlo mě zda existují (a jak jsou úspěšné) metody, které takovýto zlovolný program umějí odhalit, nebo se na ně přijde většinou tak, že jej nahlásí nešťastný uživatel/správce?
