Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Co można, a czego nie można powiedzieć

Aleksander Gostiew
Kaspersky Lab Expert
Dodany 19 lipca 2007, 12:01 CEST
Tagi:

W poniedziałek jako jedni z pierwszych poinformowaliśmy o pojawieniu się Gpcode.ai, najnowszego warianta niesławnego trojana-szantażysty.

Wszystkie największe firmy antywirusowe są już świadome tego problemu i piszą o nim, podając szczegółowe opisy. I słusznie.

Jednak informacje opublikowane przez różnych producentów antywirusowych mogą rozbawić. Firmy te, nie chcąc wyjawić potencjalnie niebezpiecznych danych, w rzeczywistości wyświadczyły sobie i innym niedźwiedzią przysługę. Nasza branża nie wykształciła standardu odnośnie tego, jakie informacje należy publikować.

Przyjrzyjmy się kilku przykładom:

Opis Symanteca zawiera informacje o stronie, którą Gpcode wykorzystuje w celu wymiany danych.

Dlaczego nie pokazano całego adresu URL? Firmy antywirusowe nigdy nie podają pełnych adresów stron, które mogą zawierać szkodliwe programy lub poufne dane. Dlatego w miejsce usuniętego fragmentu widzimy w odsyłaczu [REMOVED].

Przyjrzyjmy się teraz opisowi firmy Trend Micro:

Analitycy firmy Trend postanowili nie publikować pełnego adresu URL, co jest oczywiście słuszne. Niestety usunęli jedną część odnośnika, a Symantec inną.

Tak więc dwie różne firmy ze słusznych powodów chciały utajnić tą informację, jednak wspólnie "udało im się" ją upublicznić...

Sprawdza się tu przysłowie, że piekło jest dobrymi chęciami wybrukowane. W tym przypadku winę za całą sytuację ponosi brak wspólnego dla całej branży standardu.

Jeśli przyjrzymy się innym przykładom, zobaczymy, jakie rodzaje danych próbują zamaskować niektóre firmy antywirusowe, podczas gdy inne - najwyraźniej nie przejmują się tym.

Kolejny przykład, dostarczony również przez firmę Trend, dotyczy tekstu zawartego w pliku "read_me.txt", który Gpcode umieszcza na zaatakowanym komputerze. Adres e-mail autora oraz kod osobisty ofiary zostały zastąpione znakami %s i %d.

Dokładnie to samo zrobiliśmy, gdy tworzyliśmy nasz opis Gpcode.ai:


"To buy our software please contact us at: xxxxxxx@xxxxx.com and provide us your 
personal code -xxxxxxxxx."

Najwyraźniej ani firma Trend Micro, ani Kaspersky Lab nie chciały publikować tych danych.

A co zrobiła firma Panda Software?

Firma ta nie tylko zdecydowała się nie usuwać istotnych danych, ale wręcz wyeksponowała je!

Symantec postanowił zamaskować dane wstawiając w ich miejsce [MAIL ADDRESS] oraz [PERSONAL CODE], po czym opublikował je niżej: 4 adresy e-mail, na które mają skontaktować się ofiary.

Innymi słowy, straszny bałagan. Na koniec jeszcze przykład firmy Symantec, której analitycy, jak pokazuje powyższy zrzut ekranu, uznali z jakiegoś powodu, że odsyłacz do artykułu w Wikipeidii o RSA należy wyciąć!

Bez komentarza.