Nedávno mi Petr Košec říkal, že se mu WCE (jak jsem tuhle o něm psal) zdá nějaký podezřelý a že mu to vygenerovalo nějaký CAB. Tak jestli prý jsem si jistý, že to je bezpečný program, nebo jestli se jedná o něco zlého, co vykrádá počítače. Má pravdu. Dobrá otázka.
Obecně ke spouštění cizích programů
Cokoliv najdete někde na webu, nikdy tomu nevěřte. Nevíte, kdo to ve skutečnosti vyrábí a co si do toho programu ve skutečnosti vložil. A tím myslím i legitimní programy. Já třeba používám MagicISO na výrobu ISO DVDček. Je to dokonce placené a i já jsem si to koupil.
Podívejte se ale k nim na web. Ne že bych věřil textům někde na webu, ale oni tam dokonce ani žádné kontaktní údaje, kromě mailu nemají. Můžet se zkusti podívat, kdo vlastní tu jejich doménu, ale to není opět nijak vůbec ověřená informace. Pokud si kupujete doménu, prostě uvedete cokoliv a je to. Nemají ani HTTPS, takže certifikát, který by mooožná mohl být alespoň zelený (enhanced validation, EV), tam taky neuvidíte.
Takže kdo to je? NSA, Mosad, MOIS, FSB, SVR, nebo MSS vyrobí vcelku užitečný program, který budou dokonce prodávat, aby to vypadalo legitimně. Program nebude nic zavirovávat. Buď jenom potichounku opatrně sbírá informace, a pomalinku je odesílá, nebo jen čeká, až dostane ty správné příkazy. A nebo odesílá jen to, co vypadá, že to stojí za to. Nebo to do vytvořených ISO souborů vkládá něco, co tam není na první pohled vidět.
Takže tak. Nidky nevíte.
Mám svůj notebook, na který mi nic nesmí. Dobře, věřím Microsoftu. Takže mám Windows, Office a Visual Studio, možná Skype. Už tak mě štve, že tu musím mít iTunes a Adobe Reader, protože bych nemohl nejspíš pracovat. Počítač nemám v doméně, je zašifrování BitLockerem. Mám tu EMET a Defender. Pracuju pod UAC. Aktualizuju se docela často. Ralativně často (tak dvakrát ročně) si z bezpečnostních důvodů mašinu přeinstaluju. To považuju za jednu z nejlepších možností čistění - přenášíte jenom data, která budou zavirována relativně těžko. Nedělám to jenom kvůli sobě, ale i kvůli zákazníkům. Napadený bezpečák, to není moc dobrá reference :-)
Výsledek výzkumu ohledně WCE nástroje
Je to značně nedůvěryhodný nástroj, samozřejmě. Stejně jako všechno. Podle mých výzkumů ve virtuálním počítači to ale nedělá nic, co by to dělat nemělo. ALE to je samozřejmě jenom jednorázové zkoumání. Stejně tomu nevěřte a v produkci to nespouštějte. Proč jsem o tom psal, abyste si to mohli vyzkoušet někde ve virtuálce a prostě chápali, co vám mohou ti zlí hackeři udělat, když budou oni chtít.
Co jsem zjišťoval:
- když se podíváte na jejich web, tak se to tváří jako firemní prezentace. Jenže opět žádné kontakty, kromě anonymního mailu.
- na jejich webu opět žádný HTTPS enhanced validation certificate v zeleném, takže nulová informace.
- ve virtuálním počítači jsem sledoval spuštění WCE s několika různými parametry. Síťovou komunikaci jsem měřil pomocí Network Monitoru. Neudělalo to vůbec žádné pakety. Ale co když WCE pozná, že máte zrovna spuštěný nějaký sniffer?
- lokální akce jsem sledoval pomocí Process Monitoru (procmon) od SysInternals. Čtení mě nezajímalo, to jsem si odfiltroval. Zápisy do souborů ani registrů to nedělalo. To je ovšem dost nejisté. Program si přirozeně mapoval do paměti množství DLL knihoven. Zápisy do namapovaného souboru nejsou v procmonu vidět. Takže kdybych já osobně chtěl ukrývat svůj výstupní soubor, asi bych si vytvořil nové DLL, namapoval ho a sypal ty informace do něho. Druhak stejně jako v případě Network Monitoru, co když WCE ví, na co by někdo mohl ten procmon použít?
Závěr. Nezdá se mi na první pohled, že by to dělalo něco jiného, než to co, co to reklamuje, ale nikdy nevěřte. Na svém vlastním produkčním stroji bych to raději nespouštěl. Je dobré vědět, co hackeři mohou, ale dělat to nemusím.