A vírusvédelem új kihívásai

Míg korábban a vírusok írói többnyire magányos, tudásukat e módon megvillantani szándékozó programozók voltak, s a minél látványosabb és szélesebb körű fertőzés volt a cél, napjainkra a helyzet teljesen megváltozott. Ma már a számítógépes fertőzések kifejlesztése mögött sokszor bűnügyi tevékenységet végző egyének és szervezetek állnak.

A vírusfronton jelentkező új kihívásokról és a megoldásról Miroslav Trnka, a NOD32 antivírus rendszert fejlesztő ESET alapító tagja és technológiai igazgatója nyilatkozott lapunknak.

Milyen tendenciák figyelhetők meg az új vírusokkal kapcsolatban?

Miroslav Trnka

- A tendencia egyértelműen az, hogy a klasszikus vírusokról vagy férgekről a hangsúly más támadásokra helyeződik át. Már elmúlt az az idő, amikor a kórokozókat magánemberek írták - többé-kevésbé szórakozás vagy hobbi gyanánt. Míg a múltban az volt a cél, hogy minél nagyobb mértékű legyen a fertőzés foka - a warholi 15 perc hírnevet megszerezve alkotójának -, ma ez teljesen másképp van. A jelenlegi ártó kódok a megfertőzött számítógépekből több tízezres hálózatot - úgynevezett botnetet - hoznak létre, amelyet távolról lehet irányítani.

Egy ilyen hálózatot fel lehet használni DDoS típusú (egy hálózat erőforrásait teljesen leterhelő) támadásokhoz, kéretlen reklámlevelek küldésére vagy akár új fertőzések terjesztésére is. A megtámadott számítógépek IP-címeit később el lehet adni, és azokat az előbb említett célokra szintén fel lehet felhasználni.

Milyen konkrét veszélyforrásokra kell számítani napjainkban?
- Jelenleg a legnagyobb veszélyt a betárcsázó programok, a trójai letöltő szoftverek, a kémprogramok és a kéretlen reklámokat megjelenítő kódok jelentik. Ezek szerzői igyekeznek elkerülni a "lebukást", főleg a kód gyakori módosításával. Figyelmet érdemel az a tény is, hogy az ilyen fertőzések tömeges terjedése azok gyorsabb felismeréséhez vezet. E jellegzetességek következménye, hogy egyre gyakoribbak a kis- és lokalizált járványok, amelyek háttérben sokszor a social engineeringnek elnevezett (valakinek az átverésén alapuló) módszerek állnak. Így a fertőzés megfelelő elterjedését még azelőtt biztosítani lehet, hogy a biztonsági szoftverek többsége felismerné a kártékony kódot. Ezekben az esetekben a fertőzést irányító személynek elegendő idő áll rendelkezésére céljai eléréséhez, még mielőtt az ártó kód "lebukna".

Ez még nehezebbé teszi az ilyen és ehhez hasonló vírusok felismerését és azonnali blokkolását. Mi a válaszuk erre a kihívásra?
- Valóban így van, ráadásul ezeket a modern fertőzéseket úgy tervezik meg, hogy blokkolják az antivírus- vagy más biztonsági szoftverek frissítését, miközben igyekeznek előkészíteni a terepet a saját frissített verzióik számára, melyeket gyakran képesek "kérés alapján" az internetről letölteni. Egyre gyakoribb a rootkit technológiák alkalmazása is - itt álcázzák az ártó kód jelenlétét a megtámadott számítógépeken. Léteznek továbbá olyan fertőzések, amelyek automatikusan újra generálódnak. Ezzel magyarázható például a Win32/TrojanDownloader.Swizzor trójai 30 ezer különböző változata. Ez a kórokozó két-három percenként kisebb változtatásokat végezve újra generálja magát a fertőzött rendszeren. Így elméletileg lehetséges az is, hogy minden számítógépet a trójai egy új variánsa támad meg.

De hogy a kérdésére is válaszoljak, kialakítottunk egy rendszert, a ThreatSense-t, amelybe a NOD32 antivírusrendszerünk által védett számítógépeket támadó fenyegetésekről 80 millió anonim jelentés érkezik naponta. Az adatokból kitűnik, hogy leggyakoribbak az olyan fertőzések, amelyek egyszerű böngészés közben kerülnek a felhasználók számítógépére. Ez azt is jelenti, hogy az interneten történő szörfözés egyre kevésbé biztonságos. Ezzel egyidejűleg csökkenő tendenciát mutat "az egyetlen" féreg vagy vírus által okozott járványok előfordulása.

Az ismeretlen károkozók elleni védelem egyik régi kulcseleme a heurisztikus keresés. Az önök megoldása mire képes?
- A védelmi rendszereknél egyre nagyobb fontossággal bír a fejlett heurisztikus keresést az úgynevezett generikus kereséssel egybekötő védelmi forma. Csak a heurisztika bevezetése teszi lehetővé, hogy az antivírusrendszerek a fertőzések bizonyos részét felismerjék anélkül, hogy a rendszer gyártója a vírusminta megszerzésével és a vírusdefiníciós adatbázis frissítésével felkészítené termékét a védelemre. Ma az egyedül elfogadható védelem az, amely áthatolhatatlan pajzsként működik a fertőzések túlnyomó többsége esetén, méghozzá a terjedés első pillanatától kezdődően!

Az ESET már a megalakulása óta nagy erőfeszítéseket tett a kórokozók generikus és heurisztikus felismerése érdekében. Megközelítésünk helyességéről tanúskodik, hogy NOD32 antivírusrendszerünk a fertőzések - kémprogramok, betárcsázó programok, trójai letöltők és más vírusok, illetve kórokozók - túlnyomó részét felismeri anélkül is, hogy szükség lenne a vírusadatbázis frissítésére.

Fontos, hogy a károkozók ellen harcolók összefogjanak. Önök részt vesznek ilyen együttműködésben?
- Az ESET Software 2006 márciusában csatlakozott a Microsoft vezető antivírusgyártókat tömörítő vírusinformációs szervezetéhez (Virus Information Alliance - VIA). A VIA tagjai a frissen felfedezett vírusokról részletes információt nyújtanak a Microsoft biztonságért felelős terméktámogatási részlegének, így biztosítva a gyors reagálást az újonnan megjelenő kórokozók ellen. Ez utóbbi kulcsfontosságú, hiszen míg pár éve elég volt viszonylag rendszeresen frissíteni az antivírusszoftvereket, addig manapság már pár óra alatt körbejárják a világot az új kórokozók - ezzel esélyt sem hagyva a hagyományos adatbázis-frissítéses módszer szerint működő víruskeresőknek a védekezésre.

A VIA-tagság egyébként a ThreatSense.Net technológia, valamint az ESET kutatási és fejlesztési eredményeinek elismerését jelenti. Vállalatunk a Microsofttal 2001-óta működik szorosan együtt, a szövetséghez történt csatlakozásunk révén pedig világszerte több millió Microsoft-felhasználó védelmében működünk közre.