Napi Online

A vírusvédelem új kihívásai

Míg korábban a vírusok írói többnyire magányos, tudásukat e módon megvillantani szándékozó programozók voltak, s a minél látványosabb és szélesebb körű fertőzés volt a cél, napjainkra a helyzet teljesen megváltozott. Ma már a számítógépes fertőzések kifejlesztése mögött sokszor bűnügyi tevékenységet végző egyének és szervezetek állnak.

A vírusfronton jelentkező új kihívásokról és a megoldásról Miroslav Trnka, a NOD32 antivírus rendszert fejlesztő ESET alapító tagja és technológiai igazgatója nyilatkozott lapunknak.

Milyen tendenciák figyelhetők meg az új vírusokkal kapcsolatban?

Miroslav Trnka
- A tendencia egyértelműen az, hogy a klasszikus vírusokról vagy férgekről a hangsúly más támadásokra helyeződik át. Már elmúlt az az idő, amikor a kórokozókat magánemberek írták - többé-kevésbé szórakozás vagy hobbi gyanánt. Míg a múltban az volt a cél, hogy minél nagyobb mértékű legyen a fertőzés foka - a warholi 15 perc hírnevet megszerezve alkotójának -, ma ez teljesen másképp van. A jelenlegi ártó kódok a megfertőzött számítógépekből több tízezres hálózatot - úgynevezett botnetet - hoznak létre, amelyet távolról lehet irányítani.

Egy ilyen hálózatot fel lehet használni DDoS típusú (egy hálózat erőforrásait teljesen leterhelő) támadásokhoz, kéretlen reklámlevelek küldésére vagy akár új fertőzések terjesztésére is. A megtámadott számítógépek IP-címeit később el lehet adni, és azokat az előbb említett célokra szintén fel lehet felhasználni.

Milyen konkrét veszélyforrásokra kell számítani napjainkban?
- Jelenleg a legnagyobb veszélyt a betárcsázó programok, a trójai letöltő szoftverek, a kémprogramok és a kéretlen reklámokat megjelenítő kódok jelentik. Ezek szerzői igyekeznek elkerülni a "lebukást", főleg a kód gyakori módosításával. Figyelmet érdemel az a tény is, hogy az ilyen fertőzések tömeges terjedése azok gyorsabb felismeréséhez vezet. E jellegzetességek következménye, hogy egyre gyakoribbak a kis- és lokalizált járványok, amelyek háttérben sokszor a social engineeringnek elnevezett (valakinek az átverésén alapuló) módszerek állnak. Így a fertőzés megfelelő elterjedését még azelőtt biztosítani lehet, hogy a biztonsági szoftverek többsége felismerné a kártékony kódot. Ezekben az esetekben a fertőzést irányító személynek elegendő idő áll rendelkezésére céljai eléréséhez, még mielőtt az ártó kód "lebukna".

Ez még nehezebbé teszi az ilyen és ehhez hasonló vírusok felismerését és azonnali blokkolását. Mi a válaszuk erre a kihívásra?
- Valóban így van, ráadásul ezeket a modern fertőzéseket úgy tervezik meg, hogy blokkolják az antivírus- vagy más biztonsági szoftverek frissítését, miközben igyekeznek előkészíteni a terepet a saját frissített verzióik számára, melyeket gyakran képesek "kérés alapján" az internetről letölteni. Egyre gyakoribb a rootkit technológiák alkalmazása is - itt álcázzák az ártó kód jelenlétét a megtámadott számítógépeken. Léteznek továbbá olyan fertőzések, amelyek automatikusan újra generálódnak. Ezzel magyarázható például a Win32/TrojanDownloader.Swizzor trójai 30 ezer különböző változata. Ez a kórokozó két-három percenként kisebb változtatásokat végezve újra generálja magát a fertőzött rendszeren. Így elméletileg lehetséges az is, hogy minden számítógépet a trójai egy új variánsa támad meg.

De hogy a kérdésére is válaszoljak, kialakítottunk egy rendszert, a ThreatSense-t, amelybe a NOD32 antivírusrendszerünk által védett számítógépeket támadó fenyegetésekről 80 millió anonim jelentés érkezik naponta. Az adatokból kitűnik, hogy leggyakoribbak az olyan fertőzések, amelyek egyszerű böngészés közben kerülnek a felhasználók számítógépére. Ez azt is jelenti, hogy az interneten történő szörfözés egyre kevésbé biztonságos. Ezzel egyidejűleg csökkenő tendenciát mutat "az egyetlen" féreg vagy vírus által okozott járványok előfordulása.

Az ismeretlen károkozók elleni védelem egyik régi kulcseleme a heurisztikus keresés. Az önök megoldása mire képes?
- A védelmi rendszereknél egyre nagyobb fontossággal bír a fejlett heurisztikus keresést az úgynevezett generikus kereséssel egybekötő védelmi forma. Csak a heurisztika bevezetése teszi lehetővé, hogy az antivírusrendszerek a fertőzések bizonyos részét felismerjék anélkül, hogy a rendszer gyártója a vírusminta megszerzésével és a vírusdefiníciós adatbázis frissítésével felkészítené termékét a védelemre. Ma az egyedül elfogadható védelem az, amely áthatolhatatlan pajzsként működik a fertőzések túlnyomó többsége esetén, méghozzá a terjedés első pillanatától kezdődően!

Az ESET már a megalakulása óta nagy erőfeszítéseket tett a kórokozók generikus és heurisztikus felismerése érdekében. Megközelítésünk helyességéről tanúskodik, hogy NOD32 antivírusrendszerünk a fertőzések - kémprogramok, betárcsázó programok, trójai letöltők és más vírusok, illetve kórokozók - túlnyomó részét felismeri anélkül is, hogy szükség lenne a vírusadatbázis frissítésére.

Fontos, hogy a károkozók ellen harcolók összefogjanak. Önök részt vesznek ilyen együttműködésben?
- Az ESET Software 2006 márciusában csatlakozott a Microsoft vezető antivírusgyártókat tömörítő vírusinformációs szervezetéhez (Virus Information Alliance - VIA). A VIA tagjai a frissen felfedezett vírusokról részletes információt nyújtanak a Microsoft biztonságért felelős terméktámogatási részlegének, így biztosítva a gyors reagálást az újonnan megjelenő kórokozók ellen. Ez utóbbi kulcsfontosságú, hiszen míg pár éve elég volt viszonylag rendszeresen frissíteni az antivírusszoftvereket, addig manapság már pár óra alatt körbejárják a világot az új kórokozók - ezzel esélyt sem hagyva a hagyományos adatbázis-frissítéses módszer szerint működő víruskeresőknek a védekezésre.

A VIA-tagság egyébként a ThreatSense.Net technológia, valamint az ESET kutatási és fejlesztési eredményeinek elismerését jelenti. Vállalatunk a Microsofttal 2001-óta működik szorosan együtt, a szövetséghez történt csatlakozásunk révén pedig világszerte több millió Microsoft-felhasználó védelmében működünk közre.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • pemga #4
    Hmm, magánemberként ez megoldható. De egy nagyobb cégnél pont azért van _egy_ eszköz kitűzve (ld. company policy), hogy ha valakinek hasfájása van, akkor bárkit oda lehessen küldeni meggyógyítani. Ugyanolyan (értsd: csereszabatos) emberből párat tartani olcsóbb, mint sok különfélét... Ennek meg ez a hátránya.

    Az más kérdés, hogy ha valaki ért hozzá, akkor úgy lövi be a dolgokat ahogy neki tetszik és mindent csak hátráltató akadálynak lát, de ilyenkor ez saját szakállra történik.
  • NEXUS6 #3
    Amúgy ha senki nem használná azt a szájbarúgott ótlukkot, vagy legalább 30 különböző levelező progit használnánk, akkor valszeg nem lenne ilyen gondja a világnak.

    Így elég 1 db makróvírust megírni és mindenki tüsszög a fertőzéstől. Hát ez a monokultúrák átka, jön a krumplibigár és egész földrészek éheznek.

    Én kicsit erősítenék a monopólium ellenes törvények alkalmazásán és életednek ez a nagy problémája meg is oldódna.
  • NEXUS6 #2
    Mér?
    Hány ember halt meg eddig súlyos spamtámadások miatt?

    Legközelebb meg a szórólaposfiút is elkapod a sarkon mert telenyomatja a postaládádat ingyenes reklámújsággal?

    Nálunk a kuka a postaládák mellett van 1,5 méterre, és ha a számítógépet nézzük még annál is közelebb.
  • irkab1rka #1
    Az internet lényege (DARPA), hogy egy olyan számítóhgépes hálózatot hozzanak létre, amely részeinek kiesése esetén is működik. Hellyel közzel sikerült.
    Olvastam, hogy pár "kutató" azt mondogatta, hogy bezzeg régen más volt a hozzáállás (ja, email cim heleytt elroutoltad te magad a levelet :) de ez nem igaz. Az egész egy katonai fejlesztés, ellenségképpel, ahogy kell. A baj az, hogy a katonai oldala elsatnyult.
    Úgy kéne kezelni a vírusírókat, akik botnetet csinálnak, mintha anthraxot szórnának a város víztározójába...