Má smysl bránit spuštění souborů přidáním kódu do jeho hlavičky?
Britská firma Qinetiq přišla s následující myšlenkou boje proti trikům s posíláním souborů typu virus.doc.exe. Do každé přílohy e-mailu by se na začátek souboru, do hlavičky, přidával ukončovací kód. Pokud by uživatel soubor otevřel aplikací, kód v hlavičce by nedával smysl (nešlo by o žádná metadata) a aplikace by ho ignorovala. Naopak při samostatném spuštění souboru […]
Sdílet
Britská firma Qinetiq přišla s následující myšlenkou boje proti trikům s posíláním souborů typu virus.doc.exe. Do každé přílohy e-mailu by se na začátek souboru, do hlavičky, přidával ukončovací kód. Pokud by uživatel soubor otevřel aplikací, kód v hlavičce by nedával smysl (nešlo by o žádná metadata) a aplikace by ho ignorovala. Naopak při samostatném spuštění souboru jako programu by se vložený kód spustil jako první, vyvolal by například smyčku nebo program ukončil. Na vlastní škodlivý kód by se pak už procesor vůbec nedostal.
Výhodou je, že k tomuto postupu není vůbec třeba sledovat nějaké definice malwaru, aktuální hrozby či zranitelnosti zero day. Šla by tato idea nějak rozšířit z mailserveru i na další vektory hrozeb, jaké jsou její výhody a nevýhody? Podrobnosti přináší článek na SecurityWorldu: Injekce kódu do přílohy e-mailu.
Komentáře
Napsat vlastní komentář
Pro přidání příspěvku do diskuze se prosím přihlašte v pravém horním rohu, nebo se prosím nejprve registrujte.