Вирусы RIAA не помогут, или почему MP3-файлы неуязвимы для заразы

14 января 2003 года издание The Register опубликовало материал, в котором говорилось, что некая группа Gobbles Security создала средство, заражающее то ли MP3-файлы, то ли узлы файлообменных сетей — по прямому заказу RIAA.

К сожалению, автор заметки в этом отношении оказался крайне невнятен. Поэтому мы обратились за комментариями по поводу этой информации к компании "Лаборатория Касперского", которая в дополнительных представлениях явно не нуждается. Руководитель информационной службы "Лаборатории" Денис Зенкин любезно согласился ответить на наши вопросы

— Что это может быть? The Register говорит о гибриде резидентного вируса и червя, который якобы отправляет информацию о записях, вращающихся в пиринговых сетях в штаб-квартиру RIAA.

 

 

Более того, автор заметки говорит о "заражении MP3-файлов", хотя до сих пор считалось, что MP3-файлы неуязвимы. Как это может быть?

Денис Зенкин: — Наши вирусологи считают, что Gobbles просто подготавливают специальный MP3-файл, который при проигрывании с помощью mpg123 будет через эксплоит исполнять какой-то код. Тут проблема не в формате MP3, а в используемом софте. Такого рода атаки возможны на любой софт и любой формат файлов.

— А сам формат MP3 — может ли он быть уязвимым для заразы принципе? И если нет, то почему именно?

Денис Зенкин: — Чтобы формат был универсально уязвим, нужно, чтобы в нём были фрагменты исполняемого кода. В MP3 такого просто нет.

Однако в MP3, как и в любой другой формат, можно запихнуть некий код (при сохранении функциональности файла), который будет выполняться определёнными обработчиками. Как раз в данном случае мы имеем дело с этим: ребята взяли некий MP3-плеер, нашли там дыру и сделали эксплоит.

Объявлять из-за этого весь формат уязвимым будет неправильно. Пример: кто-то пишет обработчик TXT-файлов, который выдёргивает из них некий предварительно "зашитый" код и выполняет его. И тут же TXT-формат объявляется уязвимым. Бред, не правда ли?

Хиллари Розен, RIAA. Извести p2p-сети — давняя сладкая мечта руководителей Ассоциации. Они бы с удовольствием воспользовались любыми средствами...

Так что вердикт такой: MP3-формат безопасен. Опасность может появиться при модификации этого формата для обработки дыросодержащими MP3-плеерами.

— Плеер mpg123 на самом деле весьма распространён. Характерно, что удар (если можно так выразиться) был нанесён именно по Linux/OpenBSD.

Денис Зенкин: — Ну, посмотрим. Пока что есть только слова этих ребят и ни единого доказательства. В специализированных эхах вроде AVED (антивирусные специалисты мирового уровня) тоже пока что весьма скептически относятся к этому заявлению и, особенно, к описанным перспективам.

---

"Мембрана" также связалась с хакером Nostalg1c, который заявил по этом поводу буквально следующее:

— Забавно видеть, как СМИ напрыгнули на эту историю: можно подумать, там всё — чистая правда... Сообщения от Gobbles всегда заправлены изрядной порцией юмора, сплетен и вранья. Они просто хотят всех надурить, и у них это хорошо получается, по крайней мере, на первый взгляд.

	...даже такими (кадр из фильма "Матрица").

Самохвальства и ерунды, в их письме в рассылку Bugtraq хватает.

Например, Gobbles упоминают о том, что их система слежки, сделанная для RIAA (они называют её "гидра"), разработана отнюдь не только для mpg123, но и для WinAMP, Windows Media Player и ещё нескольких подобных программ.

Никаких деталей, кроме эксплоита для mpg123, они не расскрывают, ссылаясь на соглашение с RIAA.

Зато не скупятся на угрозы:

"Имейте в виду:

1) Если вы принимаете участие в нелегальном обмене файлами, ваш компьютер теперь принадлежит RIAA.

2) Ваш брандмауэр BlackIce Defender вас не спасёт.

3) Snort, RealSecure, Dragon, NFR и прочая ерунда не позволит обнаружить атаку подобного рода.

4) Больше не снош...сь с RIAA, хакерята.

5) У нас есть своя собственная версия гидры, которая активно заражает пользователей p2p-сетей, создавая колоссальную сеть для организации DDoS-атак".

Как пел Высоцкий — "страшно, аж жуть".

И при всём при этом никаких подтверждений, кроме одного-единственного эксплоита для одной отдельно взятой "дыры" в mpg123. Остаётся вопрос: а этот червь носит с собой, грубо говоря, целый "вагон" эксплоитов для каждого плеера?

Кстати, в тексте прилагаемого в к письму эксплоита наличествуют строчки "prepare evil mp3 for..." — и дальше версия дистрибутива Linux. Так что речь действительно идёт о подготовке "специальных" мультимедийных файлов.

Идея эта совсем не оригинальна.

В 2002 году большое внимание СМИ привлекло известие о том, что некие злоумышленники нашли способ атаковать веб-браузеры (вернее, веб-браузер, и все прекрасно знают, какой именно) при помощи MP3-файлов.

Та самая невинно пострадавшая группа Lifehouse.

Однако тут использовалась одна большая хитрость. Это были не настоящие MP3, а мультимедийные файлы в формате для плееров Real Networks (.rm) и Microsoft (.wma).

Эти плееры узнают "свои" файлы, даже если им поменять расширение — и воспроизводят их, ничего не спрашивая у владельца. А поскольку файлы MP3, как уже сказано, не подвержены заразе, то и никаких подозрений у пользователей они не вызывают.

Чем и воспользовались спамеры и порнодельцы, умудрившиеся впихнуть в один файл с аудиозаписью песни группы Lifehouse видеоролик порнографического содержания, дополнив его ещё и скриптом, открывавшим бесчисленное множество рекламных окошек в браузере.

Естественно, файл MP3 в этом случае вырастает в размере, но для пользователей скоростных соединений это не так заметно.

Статья получена: Membrana.ru