Dojcsák Dániel
Trend Micro: az aznapi fenyegetések valósággá válnak
Az egykor tudományos-fantasztikus irodalom világába sorolt "aznapi" fenyegetések manapság nagyon is valódiak. A tendencia azt mutatja, hogy egyre kevesebb idő telik el egy-egy új sebezhetőség, illetve a hozzá kiadott javítás nyilvánosságra kerülése, és az azt kihasználó kód megjelenése között. Többek közt erről beszélt Budapesten, a Westend Hilton Hotel Eger termében David Perry, a Trend Micro globális oktatási igazgatója.
Az eredetileg főiskolai szintetizátor-oktató a vidám, közvetlen sajtóbeszélgetést egy szemléletes példával kezdte, ahol először megmutatta saját házát Kaliforniában egy internetes műholdképen keresztül, majd Budapest belvárosát, ahol éppen ültünk. Ezzel az internet határtalan lehetőségeire igyekezett rámutatni, ami ráadásul nem csak a technológiai oldalon jelent forradalmat, hanem az élet minden egyéb területén. Elmondta, hogy az általa vizsgált terület, az internet, a vírusok és a biztonságtechnika problémái az USA-ban több jogi változást eredményeztek, mint amennyit a törvényeik az elmúlt 100 évben összesen változtak.
Sokan féregháborút kiáltanak, és arról beszélnek, hogy az egyre több új féregvírus szép lassan ellehetetleníti az internet működését. Ezzel szemben Perry úgy gondolja, hogy itt nem a férgek háborújáról van szó, hanem ezek evolúciójáról. Manapság a vírusokat olyan gyorsan kell elkészítenie a szerzőknek, hogy nincs idejük mindent teljesen előlről kezdeni, ehelyett csupán a korábban elkészített modulok összefésülése és az új biztonsági résre készült kódrészlet beillesztése a feladat.
David Perry: 16 PC-je van otthon, de biztonságban az Apple G5-je előtt érzi magát
Ezt a feltevést alátámasztja, hogy az összes eddigi féregvírus a Microsoft operációs rendszerének valamilyen buffer túlcsordulás okozta hibáját használta ki a behatolásra. A legújabb járvány a Zotob vírus, mely a korábbi Mytob email modulját, illetve a Hellbot és a MyDoom különböző részeit használja. A megszokotthoz képest viszont a készítő nem mindenféle adatok elküldésére utasította a megszállt gépeket, hanem arra, hogy folyamatosan újrainduljanak a gépek. Mivel a vírus futásához összesen két dolog kell, mégpedig egy patch nélküli Win2K és az internet kapcsolat, ezért elsődlegesen a nagy, sokgépes cégek kerültek veszélybe, olyannyira, hogy az amerikai ABC News kénytelen volt írógépeket használni a fertőzés alatt, mert az egész szerkesztőség megbénult.
A vírusírók csökkenő reakcióidejét kénytelenek követni a vírusírtó cégek is, hiszen így minimalizálható a kár. Míg a régi sláger vírus, a Nimda esetében 366 napra volt szükség, hogy a biztonsági hiba észlelése után vírust írjanak rá, a Zotob esetében ez csupán 4 munkanap volt. Perry viccesen felvázolta a Zotob naptárat, melyben az első dátum az augusztus 9-i "Patch Tuesday", azaz a szokásos Microsoft javítócsomag havi érkezése, majd következő hétfőn már terjedt a vírus A változata, majd kedden a B,C és a D, amik közül volt olyan változat, ami az eredetit eltávolította.
Az ilyen és hasonló történetek elkerülésére fejlesztett ki a Trend Micro két terméket. Az első egy apró hardware, melyet kifejezetten a kis hálózatok megóvására találtak ki. Ez az eszköz routerszerűen kerül be a végpontok elé, majd elvégzi a szűrő feladatokat, illetve a különböző gyanús IP címekről érkező kéréseket is rangsorolja, és adott esetben felhívja a tulajdonos figyelmét a veszélyre. A rendszer lényege, hogy nem kell online szűrést végezni a Trend Micro rendszerén keresztül, hisz az nem lenne költséghatékony, mindössze ezeknek az eszközöknek a memóriája frissul percenként akár többször is. A készüléket főleg nem szokványos PC rendszerekhez tervezték, tehát ATM-ek, publikusan használható gépek mellett hasznosak. A másik termék viszont egy szoftver, amit a felhasználóknak, vállalatoknak indítottak, az úgynevezett House Call, egy webes felületű asszisztens szolgáltatás.
A klasszikus megoldásokon kívül viszont David Perry arra hívja fel a figyelmet, hogy a dolgok mögé is kellene nézni, hiszen az igazi probléma a potenciálban rejlik, amit az úgynevezett botnetek jelentenek. Ez gépek hálózatát jelenti, ami készen áll arra, hogy egy parancs beírásával több ezer vagy millió gép kezdje egyszerre végrehajtani ugyanazt. A legkomolyabb botnet tulajdonos jelenleg 1.6 millió gépet kontrollál.
Kérdésre válaszolva a szakember elmondta, hogy jelenleg csak Microsoft környezetben, sőt csak Internet Explorer alá fejlesztik szolgáltatásukat, aminek oka, hogy szinte kivétel nélkül ezt a platformot érik a vírustámadások. Természetesen a szerver oldali megoldásokban a világ minden részén és a lehető legtöbb platformon jelen vannak. Ugyan a nevesebb cégekkel ellentétben nem rendelkeznek olyan komoly sales részleggel, viszont több, mint 2800 mérnök dolgozik nap mint nap azon, hogy a legújabb támadások ellen is védettek lehessünk.
Az eredetileg főiskolai szintetizátor-oktató a vidám, közvetlen sajtóbeszélgetést egy szemléletes példával kezdte, ahol először megmutatta saját házát Kaliforniában egy internetes műholdképen keresztül, majd Budapest belvárosát, ahol éppen ültünk. Ezzel az internet határtalan lehetőségeire igyekezett rámutatni, ami ráadásul nem csak a technológiai oldalon jelent forradalmat, hanem az élet minden egyéb területén. Elmondta, hogy az általa vizsgált terület, az internet, a vírusok és a biztonságtechnika problémái az USA-ban több jogi változást eredményeztek, mint amennyit a törvényeik az elmúlt 100 évben összesen változtak.
Sokan féregháborút kiáltanak, és arról beszélnek, hogy az egyre több új féregvírus szép lassan ellehetetleníti az internet működését. Ezzel szemben Perry úgy gondolja, hogy itt nem a férgek háborújáról van szó, hanem ezek evolúciójáról. Manapság a vírusokat olyan gyorsan kell elkészítenie a szerzőknek, hogy nincs idejük mindent teljesen előlről kezdeni, ehelyett csupán a korábban elkészített modulok összefésülése és az új biztonsági résre készült kódrészlet beillesztése a feladat.
David Perry: 16 PC-je van otthon, de biztonságban az Apple G5-je előtt érzi magát
Ezt a feltevést alátámasztja, hogy az összes eddigi féregvírus a Microsoft operációs rendszerének valamilyen buffer túlcsordulás okozta hibáját használta ki a behatolásra. A legújabb járvány a Zotob vírus, mely a korábbi Mytob email modulját, illetve a Hellbot és a MyDoom különböző részeit használja. A megszokotthoz képest viszont a készítő nem mindenféle adatok elküldésére utasította a megszállt gépeket, hanem arra, hogy folyamatosan újrainduljanak a gépek. Mivel a vírus futásához összesen két dolog kell, mégpedig egy patch nélküli Win2K és az internet kapcsolat, ezért elsődlegesen a nagy, sokgépes cégek kerültek veszélybe, olyannyira, hogy az amerikai ABC News kénytelen volt írógépeket használni a fertőzés alatt, mert az egész szerkesztőség megbénult.
A vírusírók csökkenő reakcióidejét kénytelenek követni a vírusírtó cégek is, hiszen így minimalizálható a kár. Míg a régi sláger vírus, a Nimda esetében 366 napra volt szükség, hogy a biztonsági hiba észlelése után vírust írjanak rá, a Zotob esetében ez csupán 4 munkanap volt. Perry viccesen felvázolta a Zotob naptárat, melyben az első dátum az augusztus 9-i "Patch Tuesday", azaz a szokásos Microsoft javítócsomag havi érkezése, majd következő hétfőn már terjedt a vírus A változata, majd kedden a B,C és a D, amik közül volt olyan változat, ami az eredetit eltávolította.
Az ilyen és hasonló történetek elkerülésére fejlesztett ki a Trend Micro két terméket. Az első egy apró hardware, melyet kifejezetten a kis hálózatok megóvására találtak ki. Ez az eszköz routerszerűen kerül be a végpontok elé, majd elvégzi a szűrő feladatokat, illetve a különböző gyanús IP címekről érkező kéréseket is rangsorolja, és adott esetben felhívja a tulajdonos figyelmét a veszélyre. A rendszer lényege, hogy nem kell online szűrést végezni a Trend Micro rendszerén keresztül, hisz az nem lenne költséghatékony, mindössze ezeknek az eszközöknek a memóriája frissul percenként akár többször is. A készüléket főleg nem szokványos PC rendszerekhez tervezték, tehát ATM-ek, publikusan használható gépek mellett hasznosak. A másik termék viszont egy szoftver, amit a felhasználóknak, vállalatoknak indítottak, az úgynevezett House Call, egy webes felületű asszisztens szolgáltatás.
A klasszikus megoldásokon kívül viszont David Perry arra hívja fel a figyelmet, hogy a dolgok mögé is kellene nézni, hiszen az igazi probléma a potenciálban rejlik, amit az úgynevezett botnetek jelentenek. Ez gépek hálózatát jelenti, ami készen áll arra, hogy egy parancs beírásával több ezer vagy millió gép kezdje egyszerre végrehajtani ugyanazt. A legkomolyabb botnet tulajdonos jelenleg 1.6 millió gépet kontrollál.
Kérdésre válaszolva a szakember elmondta, hogy jelenleg csak Microsoft környezetben, sőt csak Internet Explorer alá fejlesztik szolgáltatásukat, aminek oka, hogy szinte kivétel nélkül ezt a platformot érik a vírustámadások. Természetesen a szerver oldali megoldásokban a világ minden részén és a lehető legtöbb platformon jelen vannak. Ugyan a nevesebb cégekkel ellentétben nem rendelkeznek olyan komoly sales részleggel, viszont több, mint 2800 mérnök dolgozik nap mint nap azon, hogy a legújabb támadások ellen is védettek lehessünk.