Hlavní navigace

Ochrání nás freemaily před viry? (2.)

Vojtěch Bednář

Problematiku antivirové ochrany e-mailů a její řešení na (nejen) českých freemailových serverech jsme si probrali minule. Dnes si uděláme test konkrétních freemailů, nabízejících serverová antivirová řešení, a to jak krátkodobý, tak i dlouhodobý, který by měl odhalit i rychlost aktualizace antivirů. Odolají freemaily pokusu o útok červa?

Antivirem chráněný e-mail lze „prostřelit“ teoreticky ve dvou okamžicích. Prvním z nich je, když se na síti objeví nový škodlivý kód nebo zcela nová varianta stávajícího. Ochranný systém pak není schopen reagovat až do okamžiku, kdy je aktualizován. Rychlost této aktualizace pak závisí výhradně na tom, jak je firma vyrábějící antivirový systém schopna reagovat, v současnosti jde většinou o velmi krátký časový úsek. Druhým případem by teoreticky mohlo být, když je server přetížen – přichází mu příliš velké množství zpráv, z nichž mnoho je infikovaných, a čas od času se stane, že nějaká prostě proklouzne.

Rozhodli jsme se právě toto vyzkoušet a využili k tomu e-mailové schránky použité dříve pro test antispamových filtrů. Konkrétně se jednalo o freemaily na serverech

  • Seznam – NOD32
  • Atlas – NOD32
  • Centrum – NOD32

A přibyly nové:

  • RazDva – VirusBlaster
  • Hotmail – Trend Micro
  • Gmail – pasivní ochrana (?)

Čekat na virus je překvapivě složitější než čekat na nevyžádanou poštu. Spamy totiž začneme dostávat v okamžiku, kdy se naše adresa ocitne na seznamu jeho rozesílatelů. Virus nám ale přijde tehdy, když se počítač obsahující naši adresu nakazí nebo když si nás virus najde. A to je na rozdíl od předchozího spíše věcí náhody. Na druhou stranu si ale červy můžeme mnohem efektivněji než spam sami poslat.

Proto jsme připravili starší počítač s nainstalovaným operačním systémem (Windows 2000) bez antiviru, s připojením k Internetu a s vytvořenými podmínkami k tomu, abychom z něj mohli, pochopitelně jen v rámci testu a na námi specifikované e-mailové adresy, nějaký e-mail s virem odeslat. Nezbytnou proprietou této snahy pak pochopitelně byly vzorky virů, respektive červů. Díky použitému postupu jsme mohli využít jen červy ne nejaktuálnější, nicméně pro základní prověření účinnosti filtrování na serverech se domníváme, že by mohly stačit. Našimi červíky se tak staly tyto varianty:

  • Win32/Bagle.AB
  • Win32/Bagle.AS
  • Win32/Netsky.B
  • Win32/Netsky.C

Všechny škodlivé kódy se nám podařilo ulovit díky poštovnímu serveru, který nám je při příchodu separoval, ale nevymazal, a tak jsme mohli se zachováním veškeré opatrnosti přistoupit k jejich přeposlání. Většinou také patřily do žebříčku nejrozšířenějších virů na počátku roku 2005.

Aby bylo možné s červy manipulovat, ale současně vyloučit možnost, že by se nám „utrhly z řetězu“, mohlo dojít k nepatrným změnám v jejich struktuře, které by neměly mít přímý vliv na identifikaci kódů. Každý červík byl odeslán přes nechráněný a v rámci našeho připojení volně dostupný SMTP server pod hlavičkou dvou jiných e-mailových adres na každou z nich. To znamená, že celkem jsme odeslali čtyři zprávy po dvou kopiích na šest adres, což je 48 různých začervených e-mailů. Následovala dvouhodinová technická přestávka, po které jsme prostřednictvím webmailového rozhraní jednotlivých freemailů zjistili, jak pokus o přenos červů dopadl. Abychom minimalizovali možnost selhání přenosu „po trase“, krátce po odeslání červů jsme z jiného počítače a jiné IP adresy, avšak prostřednictvím stejného SMTP serveru, odeslali na každou ze schránek dva e-maily. Tyto by měly být považovány za důvěryhodné. Sloužily nám jako kontrola (v případě, že dorazí v pořádku, předpokládáme, že cesta k poštovním systémům je volně průchozí. Není přímý důvod domnívat se, že by jí neměl projít některý z nastražených červíků.)

Výsledek

Z hlediska zájmu o otázku antivirové kontroly vykázal nejzajímavější výsledky freemail od Google. Přestože je oficiálně uváděna pouze ochrana před odesíláním a přijímáním spustitelných souborů, a červi by tedy měly končit bez příloh ve spamovém koši, naše pokusy o odeslání jejich spustitelných kódů končily vytrvale nedoručením. Zdá se, že tato metoda je tedy velmi účinná, avšak stále se ještě nedomníváme, že stoprocentně.

České freemaily, které jsou chráněny (slovenským i jiným) antivirem, si se všemi pokusy o proniknutí červíka poradily naprosto brilantně. Pravdou je, že jsme mohli vybrat jiné červy nebo více modifikovat jejich části, a to i při plném zachování funkčnosti. Nicméně do uživatelských schránek se ani v jediném případě nedostalo nic nebezpečného, co by po spuštění mohlo způsobit poškození počítače. Také Hotmail ochrání vaše e-maily v současnosti již velmi dobře, a není proto důvodu si na něj stěžovat.

Dlouhodobý test

Ve druhé fázi našeho testu jsme se rozhodli dlouhodobě vyzkoušet propustnost jednotlivých freemailů na nové červy, a to poněkud netradiční formou. Základem se stala e-mailová adresa, která, ač dnes již není plně využívána, byla několik let určena pro velmi čilou korespondenci s několika desítkami osob i firem jak v ČR, tak na Slovensku a v USA. Adresa se nachází na soukromém poštovním serveru, takže bylo možné zařídit jednak její jednotlivé vyřazení z monitoringu antivirového programu a filtru nevyžádané pošty, jednak přeposlání veškerého obsahu na naše freemaily. Po dobu jednoho měsíce od poloviny ledna do poloviny února jsme průběžně sledovali příchozí viry v očekávání, jak na ně freemaily zareagují. Vzhledem k tomu, že zmíněná vstupní schránka byla dostatečně „profláknutá“, narazili jsme doslova na několik perel (jednou z nich byl červ Klez.E) i na aktuálně se šířící verze červů z rodiny Bagle. Žádná ze zpráv ale nezůstala nepovšimnuta, což je jistě velice pozitivní věc jednak vzhledem k freemailům, které jsme testovali, jednak vzhledem k uživatelům, kteří se na ně tak mohou spolehnout.

Spolehnout se na freemaily?

Jaký je tedy závěr našich pokusů? Na antivirové filtry u freemailů, alespoň u těch českých a největších zahraničních, se lze spolehnout, pokud je ovšem dané služby mají. V případě, že poštu stahujete pomocí tlustých klientů, měli byste určitě jako doplněk zvyšující bezpečnost používat další antivirový program, který dodatečně zkontroluje všechny příchozí zprávy i poté, co již jednou na serveru kontrolou prošly. Ideální by navíc bylo, kdyby tento program byl jiné značky než serverový. Freemail Google svým stylem ochrany zpráv, tedy alespoň tím, který uvádí, přichází s vtipným řešením, ovšem toto řešení mu na mnoho nebude u červů šířících se v netypických souborech. A vsadit na e-mailový server bez antivirové ochrany, případně s vypnutou ochranou, za jejíž aktivaci je třeba si připlatit, by mohl snad vážně jen hazardér. To se pochopitelně netýká uživatelů, kteří již v takovýchto serverech adresu mají a z různých důvodů ji nemohou nebo nechtějí změnit. Spolehnout se tedy lze. Ale také je dobré neusnout.

Anketa

Už jste z chráněného freemailu dostali virus?

Našli jste v článku chybu?

21. 3. 2005 14:05

V.M. (neregistrovaný)
Při zkoumání antivirové ochrany je především důležité se podívat, jakým způsobem jsou v příloze zakódovány.
Při BASE64 to většinou antivirové ochrany serverů zvládnou, v UUENCODE už méně často, a co obvykle nezvládnou vůbec, když je virus nějak uložen v dopise, ale v hlavičkách není žádná informace o existující příloze.
Jakým způsobem tedy byly viry připojeny k dopisům?
P.S.
Neptám-li se autorů na Lupě příliš konkrétně. - Tak jako když celý týden jsem zkoumal Lupu, že Peterka bude honem psát…



Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Měšec.cz: Stavební spoření: alternativa i pro seniory

Stavební spoření: alternativa i pro seniory

DigiZone.cz: Perspektivy TV v roce 1939 podle časopisu Life

Perspektivy TV v roce 1939 podle časopisu Life

Vitalia.cz: Vychytané vály a válečky na vánoční cukroví

Vychytané vály a válečky na vánoční cukroví

Měšec.cz: Vklad na cizí účet je draze zpoplatněn (přehled)

Vklad na cizí účet je draze zpoplatněn (přehled)

Vitalia.cz: Když přijdete o oko, přijdete na rok o řidičák

Když přijdete o oko, přijdete na rok o řidičák

Vitalia.cz: Analýza letáků: Na co lákají do prodejen?

Analýza letáků: Na co lákají do prodejen?

Vitalia.cz: To nejhorší při horečce u dětí: Febrilní křeče

To nejhorší při horečce u dětí: Febrilní křeče

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

Root.cz: 250 Mbit/s po telefonní lince, když máte štěstí

250 Mbit/s po telefonní lince, když máte štěstí

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

DigiZone.cz: Co chtějí operátoři při přechodu na DVB-T2?

Co chtějí operátoři při přechodu na DVB-T2?

120na80.cz: Co všechno ovlivňuje ženskou plodnost?

Co všechno ovlivňuje ženskou plodnost?

120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují

DigiZone.cz: Česká televize mění schéma ČT :D

Česká televize mění schéma ČT :D

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

Vitalia.cz: Nahradí sluch, ale zvuk je zcela jiný

Nahradí sluch, ale zvuk je zcela jiný

Podnikatel.cz: Chtějte údaje k dani z nemovitostí do mailu

Chtějte údaje k dani z nemovitostí do mailu

Měšec.cz: Jak levně odeslat balík přímo z domu?

Jak levně odeslat balík přímo z domu?