Állítsd be, hogy az Economx az elsők között legyen a Google-találatokban!
A vírusfronton jelentkező új kihívásokról és a megoldásról Miroslav Trnka, a NOD32 antivírus rendszert fejlesztő ESET alapító tagja és technológiai igazgatója nyilatkozott lapunknak.
– Milyen tendenciák figyelhetők meg az új vírusokkal kapcsolatban?
– A tendencia egyértelműen az, hogy a klasszikus vírusokról vagy férgekről a hangsúly más támadásokra helyeződik át. Már elmúlt az az idő, amikor a kórokozókat magánemberek írták – többé-kevésbé szórakozás vagy hobbi gyanánt. Míg a múltban az volt a cél, hogy minél nagyobb mértékű legyen a fertőzés foka – a warholi 15 perc hírnevet megszerezve alkotójának –, ma ez teljesen másképp van. A jelenlegi ártó kódok a megfertőzött számítógépekből több tízezres hálózatot – úgynevezett botnetet – hoznak létre, amelyet távolról lehet irányítani. Egy ilyen hálózatot fel lehet használni DDoS típusú (egy hálózat erőforrásait teljesen leterhelő) támadásokhoz, kéretlen reklámlevelek küldésére vagy akár új fertőzések terjesztésére is. A megtámadott számítógépek IP-címeit később el lehet adni, és azokat az előbb említett célokra szintén fel lehet felhasználni.
– Milyen konkrét veszélyforrásokra kell számítani napjainkban?
– Jelenleg a legnagyobb veszélyt a betárcsázó programok, a trójai letöltő szoftverek, a kémprogramok és a kéretlen reklámokat megjelenítő kódok jelentik. Ezek szerzői igyekeznek elkerülni a „lebukást”, főleg a kód gyakori módosításával. Figyelmet érdemel az a tény is, hogy az ilyen fertőzések tömeges terjedése azok gyorsabb felismeréséhez vezet. E jellegzetességek következménye, hogy egyre gyakoribbak a kis- és lokalizált járványok, amelyek háttérben sokszor a social engineeringnek elnevezett (valakinek az átverésén alapuló) módszerek állnak. Így a fertőzés megfelelő elterjedését még azelőtt biztosítani lehet, hogy a biztonsági szoftverek többsége felismerné a kártékony kódot. Ezekben az esetekben a fertőzést irányító személynek elegendő idő áll rendelkezésére céljai eléréséhez, még mielőtt az ártó kód „lebukna”.
– Ez még nehezebbé teszi az ilyen és ehhez hasonló vírusok felismerését és azonnali blokkolását. Mi a válaszuk erre a kihívásra?
– Valóban így van, ráadásul ezeket a modern fertőzéseket úgy tervezik meg, hogy blokkolják az antivírus- vagy más biztonsági szoftverek frissítését, miközben igyekeznek előkészíteni a terepet a saját frissített verzióik számára, melyeket gyakran képesek „kérés alapján” az internetről letölteni. Egyre gyakoribb a rootkit technológiák alkalmazása is – itt álcázzák az ártó kód jelenlétét a megtámadott számítógépeken. Léteznek továbbá olyan fertőzések, amelyek automatikusan újra generálódnak. Ezzel magyarázható például a Win32/TrojanDownloader.Swizzor trójai 30 ezer különböző változata. Ez a kórokozó két-három percenként kisebb változtatásokat végezve újra generálja magát a fertőzött rendszeren. Így elméletileg lehetséges az is, hogy minden számítógépet a trójai egy új variánsa támad meg. De, hogy a kérdésére is válaszoljak, kialakítottunk egy rendszert, a ThreatSense-t, amelybe a NOD32 antivírusrendszerünk által védett számítógépeket támadó fenyegetésekről 80 millió anonim jelentés érkezik naponta. Az adatokból kitűnik, hogy leggyakoribbak az olyan fertőzések, amelyek egyszerű böngészés közben kerülnek a felhasználók számítógépére. Ez azt is jelenti, hogy az interneten történő szörfözés egyre kevésbé biztonságos. Ezzel egyidejűleg csökkenő tendenciát mutat „az egyetlen” féreg vagy vírus által okozott járványok előfordulása.
– Az ismeretlen károkozók elleni védelem egyik régi kulcseleme a heurisztikus keresés. Az önök megoldása mire képes?
– A védelmi rendszereknél egyre nagyobb fontossággal bír a fejlett heurisztikus keresést az úgynevezett generikus kereséssel egybekötő védelmi forma. Csak a heurisztika bevezetése teszi lehetővé, hogy az antivírusrendszerek a fertőzések bizonyos részét felismerjék anélkül, hogy a rendszer gyártója a vírusminta megszerzésével és a vírusdefiníciós adatbázis frissítésével felkészítené termékét a védelemre. Ma az egyedül elfogadható védelem az, amely áthatolhatatlan pajzsként működik a fertőzések túlnyomó többsége esetén, méghozzá a terjedés első pillanatától kezdődően! Az ESET már a megalakulása óta nagy erőfeszítéseket tett a kórokozók generikus és heurisztikus felismerése érdekében. Megközelítésünk helyességéről tanúskodik, hogy NOD32 antivírusrendszerünk a fertőzések – kémprogramok, betárcsázó programok, trójai letöltők és más vírusok, illetve kórokozók – túlnyomó részét felismeri anélkül is, hogy szükség lenne a vírusadatbázis frissítésére.
– Fontos, hogy a károkozók ellen harcolók összefogjanak. Önök részt vesznek ilyen együttműködésben?
- Az ESET Software 2006 márciusában csatlakozott a Microsoft vezető antivírusgyártókat tömörítő vírusinformációs szervezetéhez (Virus Information Alliance – VIA). A VIA tagjai a frissen felfedezett vírusokról részletes információt nyújtanak a Microsoft biztonságért felelős terméktámogatási részlegének, így biztosítva a gyors reagálást az újonnan megjelenő kórokozók ellen. Ez utóbbi kulcsfontosságú, hiszen míg pár éve elég volt viszonylag rendszeresen frissíteni az antivírusszoftvereket, addig manapság már pár óra alatt körbejárják a világot az új kórokozók – ezzel esélyt sem hagyva a hagyományos adatbázis-frissítéses módszer szerint működő víruskeresőknek a védekezésre. A VIA-tagság egyébként a ThreatSense.Net technológia, valamint az ESET kutatási és fejlesztési eredményeinek elismerését jelenti. Vállalatunk a Microsofttal 2001-óta működik szorosan együtt, a szövetséghez történt csatlakozásunk révén pedig világszerte több millió Microsoft-felhasználó védelmében működünk közre.
