Nemzetközi hírű víruskutató a HISEC 2003 konferencián

A HISEC 2003 Nemzeti adatvédelmi és adatbiztonsági konferencia második napján a B szekció meghívott előadójaként teltházas előadást tartott Toralv Dirro, a Network Associates vezető rendszermérnöke, egyben a világ legnagyobb víruskutató csapatának az AVERT Labs-nak (Antivirus Emergency Response Team) tagja. Az előadó több mint egy évtizede foglalkozik az információtechnológia biztonságának kutatásával, és számos országban jelentek meg publikációi a rosszindulatú kódokról, titkosításról, tűzfal-technológiákról, illetve behatolások megelőzéséről és felismeréséről.

A "Rosszindulatú (malware) programok elleni védelem - új megoldások" című előadás elején a hallgatók egy rövid áttekintést kaptak a fenyegetés "fejlődéséről", majd az utóbbi évek nagy sajtónyilvánosságot kapott kártevőinek elemző bemutatásán keresztül képet kaphattak arról is, hogy milyen új technikákat és trükköket alkalmaznak a víruskészítők, s milyen trendek figyelhetők meg a fenyegetések jellemző típusainak alakulásában.

Az alábbiakban röviden ismertetjük Toralv Dirro előadását:

A fenyegetések egyre összetettebbekké válnak. A W32/CodeRed egy ismert (de sok esetben javítatlanul hagyott) Windows hibát kihasználva veszi át a hatalmat, csak a memóriában létezik, ezért kizárólag a memóriában, vagy az Internetről bejövő HTTP-folyamban detektálható. Hasonló technikákat alkalmaz – bár az IIS helyett SQL szervereket támad – a W32/Slammer, amely főként, de nem kizárólag az MS SQL szervereket fertőzte végig hihetetlen sebességgel és hatékonysággal. A régi szép időkben amikor egy új vírus megfertőzött egy céget, az AVERT megkapta a mintát, majd kibocsátotta a javítást. A cég telepítette a javítást, és a vírus a következő hónapokban esetleg elterjedt ott, ahol nem védekeztek.

Napjainkban egy új vírus képes akár órák alatt világszerte elterjedni. Ha az AVERT megkapja a mintát (30 perc), kibocsátja a javítást (1 óra). A cég telepíti a javítást (órák/napok) – de ekkor már túl késő...

A fertőzések forrása és támadáspontja az első vírusjárvány óta eltelt évek alatt gyökeresen megváltozott. A fertőzési statisztikákból egyértelműen látszik, hogy a flopi lemezekről bejutó kártevők száma ma már elhanyagolható, mivel a fertőzések szinte kizárólag az Internet felől (mintegy 85 %-ban email üzenetekben, 18-19 %-ban egyéb Internetes csatornákon át) érkeznek. A ’80-as és ’90-es években listavezető bootvírusok ma már csak extrém esetekben fordulnak elő, a makrovírusok és a szkript alapú kártevők az 1996-1999 közötti fertőzési hullámaik lefutása után szintén leszálló ágban vannak.

A mai fenyegetésekre négy dolog jellemző: 1. tömegméretben küldik szét a malware kódot (elsősorban email rendszereken keresztül), 2. az operációs rendszer és az alkalmazói programok ismert, de többnyire javítatlanul hagyott sérülékenységeit használják ki támadásaikhoz és terjedésükhöz, 3. a vírusfejlesztők intenzíven élnek a social engineering eszközeivel, hogy a fertőzött levelek címzettjei maguk is közreműködjenek a fertőzési folyamatban, 4. ma már nem egyszerű kártevőkkel állunk szemben, hanem összetett fenyegetésekkel (blended threats). A biztonságot jelentős mértékben rontja, hogy a hálózatok "lyukacsosak", áteresztik a rosszindulatú kódokat, s hogy egyedül maga a Microsoft több mint 70 sérülékenységet jelentett be 2002-ben, s ez a szám évről évre rohamosan növekszik. A hálózatmenedzselés, és védelmet nehezíti, hogy napi húszmilliárd e-mailt (!) küldenek (IDC), a mobil-PC használat növekszik, s a vezeték nélküli berendezések sokasága világszerte további támadáspontokat teremt.

A ’90-es évek közepe óta a vírusprobléma már nem tisztán technológiai kérdés, hisz készen állnak a hatékony megoldások, csak alkalmazni kell azokat, s a támadások összetettségére reagálva a védelmeket is több rétegben lehet és kell kialakítani: Szerencsére nem vagyunk teljesen védtelenek! Proaktív védekezéssel bezárhatjuk a sérülékenységi ablakot.

Az összetett támadások ellen összetett védelemre van szükség. A támadások sebességét, a sikeres támadások lehetőségét, a támadásoknak kitett felületeket proaktív módszerekkel hatékonyan lehet csökkenteni. Mivel a fenyegetések természete változik, a védekezés módszereinek is változnia kell. Vírusvédelem – sebezhetőségi elemzés, asztali tűzfal, szerver- és kliensoldali antivírus alkalmazások, a levelezés vírusvédelme, spamszűrés, policy Behatolás érzékelés – behatolás megelőzés (IDS, IPS). A cél, amit magunk elé ki kell tűznünk, és el kell érnünk, az a sérülékenységi ablakok zsugorítása vagy bezárása.