Nemzetközi hírű víruskutató hazánkban

Toralv Dirro a világ egyik legnagyobb víruskutató csapatának, az AVERT Labs-nak (Antivirus Emergency Response Team) tagja. Az előadó több mint egy évtizede foglalkozik az információtechnológia biztonságának kutatásával, és számos országban jelentek meg publikációi a rosszindulatú kódokról, titkosításról, tűzfal-technológiákról, illetve behatolások megelőzéséről és felismeréséről.

A „Rosszindulatú (malware) programok elleni védelem – új megoldások” című előadás után Toralv Dirro két órán keresztül a Gyalogló chat tanulószobájában is a kérdezők rendelkezésére állt, ahol a látogatók a vírusokról, a tűzfalakról, a megelőzés és védekezés lehetőségeiről, és természetesen a McAfee antivírus és tűzfal szoftvereiről kérdezték.

Az előadás rövid ismertetése

A fenyegetések egyre összetettebbekké válnak. A W32/CodeRed egy ismert (de sok esetben javítatlanul hagyott) Windows hibát kihasználva veszi át a hatalmat, csak a memóriában létezik, ezért kizárólag a memóriában, vagy az Internetről bejövő HTTP-folyamban detektálható. Hasonló technikákat alkalmaz – bár az IIS helyett SQL szervereket támad – a W32/Slammer, amely főként, de nem kizárólag az MS SQL szervereket fertőzte végig hihetetlen sebességgel és hatékonysággal.

A régi szép időkben amikor egy új vírus megfertőzött egy céget, az AVERT megkapta a mintát, majd kibocsátotta a javítást. A cég telepítette a javítást, és a vírus a következő hónapokban esetleg elterjedt ott, ahol nem védekeztek. Napjainkban egy új vírus képes akár órák alatt világszerte elterjedni. Ha az AVERT megkapja a mintát (30 perc), kibocsátja a javítást (1 óra). A cég telepíti a javítást (órák/napok) – de ekkor már túl késő…

A fertőzések forrása és támadáspontja az első vírusjárvány óta eltelt évek alatt gyökeresen megváltozott. A fertőzési statisztikákból egyértelműen látszik, hogy a floppy lemezekről bejutó kártevők száma ma már elhanyagolható, mivel a fertőzések szinte kizárólag az Internet felől (mintegy 85 %-ban e-mail üzenetekben, 18-19 %-ban egyéb internetes csatornákon át) érkeznek. A ´80-as és ´90-es években listavezető bootvírusok ma már csak extrém esetekben fordulnak elő, a makrovírusok és a szkript alapú kártevők az 1996-1999 közötti fertőzési hullámaik lefutása után szintén leszálló ágban vannak.

A mai fenyegetésekre négy dolog jellemző:
1. tömegméretben küldik szét a malware kódot (elsősorban e-ail rendszereken keresztül)
2. az operációs rendszer és az alkalmazói programok ismert, de többnyire javítatlanul hagyott sérülékenységeit használják ki támadásaikhoz és terjedésükhöz
3. a vírusfejlesztők intenzíven élnek a social engineering eszközeivel, hogy a fertőzött levelek címzettjei maguk is közreműködjenek a fertőzési folyamatban
4. ma már nem egyszerű kártevőkkel állunk szemben, hanem összetett fenyegetésekkel (blended threats)

A biztonságot jelentős mértékben rontja, hogy a hálózatok „lyukacsosak”, áteresztik a rosszindulatú kódokat, s hogy egyedül maga a Microsoft több mint 70 sérülékenységet jelentett be 2002-ben, s ez a szám évről évre rohamosan növekszik. A hálózatmenedzselés, és védelmet nehezíti, hogy napi húszmilliárd e-mailt (!) küldenek (IDC), a mobil-PC használat növekszik, s a vezeték nélküli berendezések sokasága világszerte további támadáspontokat teremt.

A ´90-es évek közepe óta a vírusprobléma már nem tisztán technológiai kérdés, hisz készen állnak a hatékony megoldások, csak alkalmazni kell azokat, s a támadások összetettségére reagálva a védelmeket is több rétegben lehet és kell kialakítani: nem vagyunk teljesen védtelenek! Proaktív védekezéssel bezárhatjuk a sérülékenységi ablakot.

Az összetett támadások ellen összetett védelemre van szükség. A támadások sebességét, a sikeres támadások lehetőségét, a támadásoknak kitett felületeket proaktív módszerekkel hatékonyan lehet csökkenteni. Mivel a fenyegetések természete változik, a védekezés módszereinek is változnia kell.

Vírusvédelem – sebezhetőségi elemzés, asztali tűzfal, szerver- és kliensoldali antivírus alkalmazások, a levelezés vírusvédelme, spamszűrés, policy
Behatolás érzékelés – behatolás megelőzés (IDS, IPS).

A cél, amit magunk elé ki kell tűznünk, és el kell érnünk, az a sérülékenységi ablakok zsugorítása vagy bezárása.