Вирусы riaa не помогут, или почему mp3-файлы неуязвимы для заразы
14 января 2003 года издание The Register опубликовало материал, в котором говорилось, что некая несколько Gobbles Security создала средство, передающее то ли MP3-файлы, то ли узлы файлообменных сетей — по прямому заказу RIAA.
К сожалению, создатель заметки в этом отношении был очень невнятен. Исходя из этого мы обратились за комментариями по поводу данной информации к компании Лаборатория Касперского, которая в дополнительных представлениях очевидно не испытывает недостаток. Начальник информационной работы «Лаборатории» Денис Зенкин любезно дал согласие ответить на отечественные вопросы
— Что это возможно? The Register говорит о гибриде червя и резидентного вируса, что якобы отправляет данные о записях, вращающихся в пиринговых сетях в штаб-квартиру RIAA.
Более того, создатель заметки говорит о «заражении MP3-файлов», не смотря на то, что до сих пор считалось, что MP3-файлы неуязвимы. Как это возможно?
Денис Зенкин: — Отечественные вирусологи уверены в том, что Gobbles особый MP3-файл, что при проигрывании посредством mpg123 будет через эксплоит выполнять какой-то код. Тут неприятность не в формате MP3, а в применяемом софте.
Для того чтобы рода атаки вероятны на любой софт и любой формат файлов.
— А сам формат MP3 — может ли он быть уязвимым для заразы принципе? И в случае если нет, то из-за чего как раз?
Денис Зенкин: — Дабы формат был универсально уязвим, необходимо, дабы в нём были фрагменты исполняемого кода. В MP3 для того чтобы нет.
Но в MP3, как и в каждый формат, возможно запихнуть некоторый код (при сохранении функциональности файла), что будет выполняться определёнными обработчиками. Именно в этом случае мы имеем дело с этим: парни забрали некоторый MP3-плеер, нашли в том месте дыру и сделали эксплоит.
Объявлять вследствие этого целый формат уязвимым будет неправильно. Пример: кто-то пишет обработчик TXT-файлов, что выдёргивает из них некоторый предварительно «зашитый» код и делает его. В этот самый момент же TXT-формат объявляется уязвимым.
Абсурд, не правда ли?
Хиллари Розен, RIAA. Извести p2p-сети — давешняя сладкая мечта начальников Ассоциации.
Они бы с наслаждением воспользовались любыми средствами…
Так что вердикт таковой: MP3-формат надёжен. Опасность может показаться при модификации этого формата для обработки дыросодержащими MP3-плеерами.
— Плеер mpg123 в действительности очень распространён. Характерно, что удар (в случае если возможно так выразиться) был нанесён как раз по Linux/OpenBSD.
Денис Зенкин: — Ну, посмотрим. До тех пор пока что имеется лишь слова этих ребят и ни единого доказательства.
В специальных эхах наподобие AVED (противовирусные эксперты мирового уровня) также до тех пор пока что очень скептически относятся к этому заявлению и, в особенности, к обрисованным возможностям.
«Мембрана» кроме этого связалась с хакером Nostalg1c, что заявил по этом предлогу практически следующее:
— Забавно видеть, как СМИ напрыгнули на эту историю: возможно поразмыслить, в том месте всё — чистая правда… Сообщения от Gobbles неизменно заправлены изрядной порцией юмора, вранья и сплетен.
Они просто хотят всех надурить, и у них это прекрасно получается, по крайней мере, на первый взгляд.
…кроме того такими (кадр из фильма «Матрица»).
ерунды и Самохвальства, в их письме в рассылку Bugtraq хватает.
К примеру, Gobbles упоминают о том, что их совокупность слежки, сделанная для RIAA (они именуют её «гидра»), создана отнюдь не только для mpg123, но и для WinAMP, Windows Media Player и ещё нескольких аналогичных программ.
Никаких подробностей, не считая эксплоита для mpg123, они не расскрывают, ссылаясь на соглашение с RIAA.
Но не скупятся на угрозы:
«Имейте в виду:
1) Если вы принимаете участие в нелегальном обмене файлами, ваш компьютер сейчас в собственности RIAA.
2) Ваш брандмауэр BlackIce Defender вас не спасёт.
3) Snort, RealSecure, Dragon, NFR и другая ерунда не разрешит найти атаку подобного рода.
4) Больше не снош…сь с RIAA, хакерята.
5) У нас имеется собственная версия гидры, которая деятельно передаёт пользователей p2p-сетей, создавая большую сеть для организации DDoS-атак».
Как пел Высоцкий — «страшно, аж жуть».
И при всём наряду с этим никаких подтверждений, не считая одного-единственного эксплоита для одной раздельно забранной «дыры» в mpg123. Остаётся вопрос: а данный червь носит с собой, грубо говоря, целый «вагон» эксплоитов для каждого плеера?
Кстати, в тексте прилагаемого в к письму эксплоита наличествуют строки «prepare evil mp3 for…» — и дальше версия дистрибутива Linux. Так что обращение вправду идёт о подготовке «особых» мультимедийных файлов.
Мысль эта совсем не уникальна.
В 2002 году громадное внимание СМИ привлекло известие о том, что некие преступники нашли метод атаковать веб-браузеры (вернее, веб-браузер, и все замечательно знают, какой как раз) при помощи MP3-файлов.
Та самая невинно пострадавшая несколько Lifehouse.
Однако тут употреблялась одна громадная хитрость. Это были не настоящие MP3, а мультимедийные файлы в формате для плееров Real Networks (.rm) и Микрософт (.wma).
Эти плееры определят «собственные» файлы, даже в том случае, если им поменять расширение — и воспроизводят их, ничего не задавая вопросы у обладателя. А потому, что файлы MP3, как уже сообщено, не подвержены заразе, то и никаких подозрений у пользователей они не вызывают.
Чем и воспользовались спамеры и порнодельцы, умудрившиеся впихнуть в один файл с аудиозаписью песни группы Lifehouse видеоролик порнографического содержания, дополнив его ещё и скриптом, открывавшим очень много рекламных окон в браузере.
Конечно, файл MP3 в этом случае вырастает в размере, но для пользователей скоростных соединений это не верно заметно.
