Business Online: – A vĂ­rusok eddigi tapasztalt jellegzetessĂŠgeit megvizsgĂĄlva milyen tendenciĂĄk rajzolĂłdnak ki a jĂśvőre nĂŠzve?

Miroslav Trnka: – Az eddigi tapasztalatok kapcsĂĄn egyĂŠrtelmĹąen megfogalmazhatĂł, hogy minden Ăşj operĂĄciĂłs rendszer, minden Ăşj technolĂłgia, amely piacra kerĂźl, ĂŠs ezt kĂśvetően szĂŠlesebb kĂśrben elterjed, előbb-utĂłbb a kĂłrokozĂłk szerzőinek cĂŠltĂĄblĂĄjĂĄvĂĄ vĂĄlik. Így volt ez a Windows 95 ĂŠs a Win95/Bizatch.A vĂ­rus, valamint a Java alapĂş StrangeBrew esetĂŠben is. A fordulĂłpont a W97M/Melissa feltĹąnĂŠsekor kĂśvetkezett be. A fĂŠreg a korĂĄbbi vĂ­rusokhoz kĂŠpest villĂĄmgyorsan elterjedt, nĂŠhĂĄny ĂłrĂĄn belĂźl gyakorlatilag az egĂŠsz vilĂĄgot megfertőzte. A mai tendencia egyĂŠrtelmĹąen az, hogy a klasszikus vĂ­rusokrĂłl vagy fĂŠrgekről a hangsĂşly mĂĄs tĂĄmadĂĄsokra helyeződik ĂĄt. MĂĄr elmĂşlt az az idő, amikor a kĂłrokozĂłkat magĂĄnemberek Ă­rtĂĄk – tĂśbbĂŠ-kevĂŠsbĂŠ szĂłrakozĂĄs vagy hobbi gyanĂĄnt. MĂ­g a mĂşltban az volt a cĂŠl, hogy minĂŠl nagyobb mĂŠrtĂŠkĹą legyen a fertőzĂŠs foka, ma ez teljesen mĂĄskĂŠpp van. A jelenlegi ĂĄrtĂł kĂłdok a megfertőzĂśtt szĂĄmĂ­tĂłgĂŠpekből tĂśbb tĂ­zezres hĂĄlĂłzatot – Ăşn. botnetet – hoznak lĂŠtre, amely tĂĄvolrĂłl irĂĄnyĂ­thatĂł. Egy ilyen hĂĄlĂłzatot fel lehet hasznĂĄlni DDoS tĂ­pusĂş (a hĂĄlĂłzat erőforrĂĄsait teljesen leterhelő) tĂĄmadĂĄsokhoz, kĂŠretlen reklĂĄmlevelek kĂźldĂŠsĂŠre vagy akĂĄr Ăşj fertőzĂŠsek terjesztĂŠsĂŠre is. A megtĂĄmadott szĂĄmĂ­tĂłgĂŠpek IP-cĂ­meit kĂŠsőbb el lehet adni, ĂŠs azokat az előbb emlĂ­tett cĂŠlokra szintĂŠn fel lehet felhasznĂĄlni.

B. O.: – Milyen konkrĂŠt veszĂŠlyforrĂĄsokra kell szĂĄmĂ­tani napjainkban?

M. T.: – Jelenleg a legnagyobb veszĂŠlyt a betĂĄrcsĂĄzĂłprogramok, a trĂłjai letĂśltőszoftverek, a kĂŠmprogramok ĂŠs a kĂŠretlen reklĂĄmokat megjelenĂ­tő kĂłdok jelentik. Ezek szerzői igyekeznek elkerĂźlni a lebukĂĄst, főleg a kĂłd gyakori mĂłdosĂ­tĂĄsĂĄval. Figyelmet ĂŠrdemel az a tĂŠny is, hogy az ilyen fertőzĂŠsek tĂśmeges terjedĂŠse azok gyorsabb felismerĂŠsĂŠhez vezet. E jellegzetessĂŠgek kĂśvetkezmĂŠnye, hogy egyre gyakoribbak a kis ĂŠs lokalizĂĄlt jĂĄrvĂĄnyok, amelyek hĂĄtterĂŠben sokszor az Ăşn. social engineering (valakinek az ĂĄtverĂŠsĂŠn alapulĂł) technika jellemző mĂłdszerei ĂĄllnak. Így a fertőzĂŠs megfelelő elterjedĂŠsĂŠt mĂŠg azelőtt biztosĂ­tani lehet, hogy a biztonsĂĄgi szoftverek tĂśbbsĂŠge felismernĂŠ a kĂĄrtĂŠkony kĂłdot. Ezekben az esetekben annak a szemĂŠlynek, aki a fertőzĂŠst irĂĄnyĂ­tja, elegendő idő ĂĄll rendelkezĂŠsĂŠre cĂŠljai elĂŠrĂŠsĂŠhez, mĂŠg mielőtt az ĂĄrtĂł kĂłd „lebukna".

B. O.: – Gondolom, ez mĂŠg nehezebbĂŠ teszi az ilyen ĂŠs ehhez hasonlĂł vĂ­rusok felismerĂŠsĂŠt ĂŠs azonnali blokkolĂĄsĂĄt. Milyen mĂłdon ĂŠrkezik a veszĂŠly, ĂŠs mi lehet a megoldĂĄs?

M. T.: – ValĂłban Ă­gy van, rĂĄadĂĄsul ezeket a modern fertőzĂŠseket Ăşgy tervezik meg, hogy blokkoljĂĄk az antivĂ­rus- vagy mĂĄs biztonsĂĄgi szoftverek frissĂ­tĂŠsĂŠt, mikĂśzben igyekeznek előkĂŠszĂ­teni a terepet sajĂĄt frissĂ­tett verziĂłik szĂĄmĂĄra, amelyeket gyakran kĂŠpesek „kĂŠrĂŠs alapjĂĄn" az internetről letĂślteni. Egyre gyakoribb a rootkittechnolĂłgiĂĄk alkalmazĂĄsa, amelyek ĂĄlcĂĄzzĂĄk az ĂĄrtĂł kĂłd jelenlĂŠtĂŠt a megtĂĄmadott szĂĄmĂ­tĂłgĂŠpeken. LĂŠteznek tovĂĄbbĂĄ olyan fertőzĂŠsek is, amelyek automatikusan Ăşjra generĂĄlĂłdnak. Ezzel magyarĂĄzhatĂł pĂŠldĂĄul a Win32/TrojanDownloader.Swizzor trĂłjai 30 000 kĂźlĂśnbĂśző vĂĄltozata. Ez a kĂłrokozĂł 2-3 percenkĂŠnt kisebb vĂĄltoztatĂĄsokat vĂŠgezve Ăşjra generĂĄlja magĂĄt a fertőzĂśtt rendszeren. Így elmĂŠletileg lehetsĂŠges az is, hogy minden szĂĄmĂ­tĂłgĂŠpet a trĂłjai egy Ăşj variĂĄnsa tĂĄmad meg. CĂŠgĂźnk innovatĂ­v technolĂłgiai rendszerĂŠn, a ThreatSense-en keresztĂźl naponta 80 milliĂł anonim jelentĂŠs ĂŠrkezik a NOD32 antivĂ­rusrendszer ĂĄltal vĂŠdett szĂĄmĂ­tĂłgĂŠpeket ĂŠrő tĂĄmadĂĄsokrĂłl. A ThreatSense adataibĂłl kitĹąnik, hogy a jelenlegi trendet az olyan fertőzĂŠsek szĂĄmĂĄnak nagymĂŠrtĂŠkĹą megnĂśvekedĂŠse kĂŠpviseli, amelyek egyszerĹą bĂśngĂŠszĂŠs kĂśzben kerĂźlnek a felhasznĂĄlĂłk szĂĄmĂ­tĂłgĂŠpeire. Ez azt jelenti, hogy az interneten valĂł szĂśrfĂśzĂŠs egyre kevĂŠsbĂŠ biztonsĂĄgos. Ezzel egyidejĹąleg csĂśkkenő tendenciĂĄt mutat az egyetlen fĂŠreg vagy vĂ­rus ĂĄltal okozott jĂĄrvĂĄnyok előfordulĂĄsa. A vĂŠdelmi rendszerekre nĂŠzve tehĂĄt megĂĄllapĂ­thatĂł, hogy – figyelembe vĂŠve a fent ismertetett tendenciĂĄkat – egyre nagyobb fontossĂĄggal bĂ­r a fejlett heurisztikus keresĂŠst az Ăşgynevezett generikus keresĂŠssel egybekĂśtő vĂŠdelmi forma. Csak a heurisztika bevezetĂŠse teszi lehetővĂŠ, hogy az antivĂ­rusrendszerek a fertőzĂŠsek bizonyos rĂŠszĂŠt felismerjĂŠk anĂŠlkĂźl, hogy a rendszer gyĂĄrtĂłja a vĂ­rusminta megszerzĂŠsĂŠvel ĂŠs a vĂ­rusdefinĂ­ciĂłs adatbĂĄzis frissĂ­tĂŠsĂŠvel felkĂŠszĂ­tse termĂŠkĂŠt a vĂŠdelemre. Ma az egyedĂźl elfogadhatĂł vĂŠdelem az, amely ĂĄthatolhatatlan pajzskĂŠnt mĹąkĂśdik a fertőzĂŠsek tĂşlnyomĂł tĂśbbsĂŠgĂŠvel szemben, mĂŠghozzĂĄ a terjedĂŠs első pillanatĂĄtĂłl kezdődően. Az ESET s.r.o., a NOD32 program gyĂĄrtĂłja megalakulĂĄsa Ăłta nagy erőfeszĂ­tĂŠseket tesz a kĂłrokozĂłk generikus ĂŠs heurisztikus felismerĂŠse ĂŠrdekĂŠben. MegkĂśzelĂ­tĂŠsĂźnk helyessĂŠgĂŠről tanĂşskodik, hogy a NOD32 antivĂ­rusrendszer a terjedő fertőzĂŠsek – kĂŠm- ĂŠs betĂĄrcsĂĄzĂłprogramok, trĂłjai letĂśltők, valamint mĂĄs vĂ­rusok, illetve kĂłrokozĂłk – tĂşlnyomĂł rĂŠszĂŠt felismeri anĂŠlkĂźl, hogy szĂźksĂŠg lenne a vĂ­rusadatbĂĄzis frissĂ­tĂŠsĂŠre.

B. O.: – Úgy tudjuk, hogy a NOD32 innovatĂ­v ThreatSense technolĂłgiĂĄjĂĄt legutĂłbb egy vilĂĄgcĂŠg is elismerte.

M. T.: – Az ESET Software mĂĄrcius elejĂŠn csatlakozott a Microsoft vezető antivĂ­rusgyĂĄrtĂłkat tĂśmĂśrĂ­tő vĂ­rusinformĂĄciĂłs szervezetĂŠhez (Virus Information Alliance – VIA). A VIA tagjai a frissen felfedezett vĂ­rusokrĂłl rĂŠszletes informĂĄciĂłt nyĂşjtanak a Microsoft biztonsĂĄgĂŠrt felelős termĂŠktĂĄmogatĂĄsi rĂŠszlegĂŠnek, Ă­gy biztosĂ­tva a gyors reagĂĄlĂĄst az Ăşjonnan megjelenő kĂłrokozĂłk ellen. Ez utĂłbbi kulcsfontossĂĄgĂş, hiszen mĂ­g pĂĄr ĂŠve elĂŠg volt rendszeres időkĂśzĂśnkĂŠnt frissĂ­teni az antivĂ­russzoftvereket, addig manapsĂĄg mĂĄr pĂĄr Ăłra alatt kĂśrbejĂĄrjĂĄk a vilĂĄgot az Ăşj kĂłrokozĂłk – ezzel esĂŠlyt sem hagyva a hagyomĂĄnyos adatbĂĄzis-frissĂ­tĂŠses mĂłdszer alapjĂĄn mĹąkĂśdő nĂŠpszerĹą vĂ­ruskeresőknek a vĂŠdekezĂŠsre. A VIA-tagsĂĄg egyben a ThreatSense.Net technolĂłgia, valamint az ESET kutatĂĄsi ĂŠs fejlesztĂŠsi eredmĂŠnyeinek elismerĂŠsĂŠt jelenti. VĂĄllalatunk a Microsofttal 2001-Ăłta mĹąkĂśdik egyĂźtt, a szĂśvetsĂŠghez valĂł csatlakozĂĄsunk rĂŠvĂŠn pedig vilĂĄgszerte tĂśbb milliĂł Microsoft-felhasznĂĄlĂł előremutatĂł vĂŠdelmĂŠben mĹąkĂśdĂźnk kĂśzre.

***

Intelligens vĂŠdelem

• ManapsĂĄg mĂĄr nem elĂŠg, ha rendelkezĂźnk a legfrissebb vĂ­rusleĂ­rĂł adatbĂĄzissal, az internetnek kĂśszĂśnhetően ugyanis oly mĂŠrtĂŠkben felgyorsult a vĂ­rusok terjedĂŠse, hogy pusztĂĄn ezzel a mĂłdszerrel nem ĂŠrhető el megfelelő szintĹą vĂŠdelem. Az ESET e klasszikus eljĂĄrĂĄs kiegĂŠszĂ­tĂŠsekĂŠnt egy innovatĂ­v technolĂłgiĂĄt dolgozott ki, ĂŠs kiemelkedő eredmĂŠnyeket ĂŠrt el NOD32 antivĂ­rusrendszere heurisztikus – vagyis az Ăşj, mĂŠg ismeretlen vĂ­rusok elleni – vĂŠdelmĂŠnek fejlesztĂŠsĂŠvel. A ThreatSense.Net nĂŠvre keresztelt technolĂłgia segĂ­tsĂŠgĂŠvel a NOD32 nem csupĂĄn az ismert vĂ­rusokat kĂŠpes azonosĂ­tani, hanem a kĂłd jellege szerint is elemzi a felhasznĂĄlĂł szĂĄmĂ­tĂłgĂŠpĂŠre ĂŠrkező fĂĄjlokat, Ă­gy vĂŠdve a rendszert az Ăşj kĂłrokozĂłk ellen. A proaktĂ­v vĂŠdelemnek kĂśszĂśnhetően a NOD32 jĂłval tĂśbb ismeretlen kĂłrokozĂłt kĂŠpes felismerni ĂŠs hatĂĄstalanĂ­tani, mint mĂĄs antivĂ­rusprogramok – ezt idĂŠn februĂĄrban egy hazai fĂźggetlen teszt bizonyĂ­totta.