Nagy változások történtek 2006 novembere óta: az akkori 200-300 új vírussal szemben az elmúlt fél évben 3000-re emelkedett a naponta egyszerre felbukkanó kártevők száma. Ezzel a mennyiséggel már nehezen vehetik fel a versenyt a biztonságra szakosodott vállalkozások. Egy másik jelentős változás a hekkerek hozzáállásában következett be:
- Mára nem egész hálózatokat lebénító vírusokat programoznak készítőik a híressé válás reményétől hajtva, hanem a könnyebb és kevésbé rizikós pénzszerzés motiválja őket. Egyösszegű magas értékek helyett sok ezer felhasználó mindössze néhány száz, esetleg ezer forintjára utaznak a tolvajok - világít rá a vírustámadások tendenciaváltására Sándor Zsolt, a Panda Software Hungary ügyvezetője.
Tehát nem károkozásra, hanem üzleti haszonszerzésre törekednek. Igyekeznek gyorsan mutálódó, sokáig rejtve maradó vírusokat - például rootkit-eket - létrehozni.
- A klasszikus víruskitörések helyett ma specializált kártevők bosszantanak, így a megváltozott informatikai környezet alapvető változtatásokat igényel a víruskeresés metodikájában is - vélekedik Sándor Zsolthoz hasonlóan Csiszér Béla, a Sicontact Kft. ügyvezetője.
A felhasználók is alkalmazkodnakGombás László, a Symantec Képviselet vezető rendszermérnöke szerint a felhasználók jelentős része mára megértette, hogy a vírusvédelem alkalmazása és naprakészen tartása saját érdek. Sőt egyre többen továbbléptek az integrált megoldások - internet-, client security termékek - irányába, amelyek újabb védelmi szinteket jelentenek a támadókkal szemben. A tűzfal például elrejti a gépet a kíváncsi tekintetek elől, míg az IDS funkció a működéshez szükséges hálózati protokollokat ellenőrzi, és szükség esetén a tűzfallal blokkolja a támadást. - A védekezésben oroszlánrésze van a vírusvédelemmel kombinált spamszűrő alkalmazásoknak, és ilyenekkel már a vállalkozások zöme rendelkezik - állítja Gombás László.
Manapság az adatbázis alapú rendszerek helyett, úgy tűnik, a szerver alapúak adhatják a megoldást - legalábbis Sándor Zsolt szerint -, amelyekben nem telepített szoftver frissíti a vírusdefiníciókat nap mint nap, hanem egy központi adatbázishoz kapcsolódva alkalmazzák az eljárást. A változásra példaként Csiszér Béla az Eset Software-t említi, amely kifejlesztette és a NOD32 antivírusrendszerbe integrálta a ThreatSense.Net technológiát, s ez a hagyományos, leíró adatbázisokon alapuló víruskeresés mellett a mesterséges intelligencia által végzett heurisztikus analíziseket és a valós környezetben elvégzett szimulációkat is magában foglalja.
Szabályzat és felelősség
Gombás László úgy látja, integrált kliensvédelemre van szükség, amely tartalmaz antivirus, antispyware és tűzfal funkciókat, és ezeket azután a rendszeradminisztrátorok központilag tudják telepíteni, felügyelni. Érdemes a hordozható háttértárolókra (USB disk, iPod, stick) is figyelni, és olyan megoldást választani, amelynek a segítségével szabályozható, hogy melyik USB eszköz csatlakoztatható a munkaállomáshoz. Csiszér Béla véleménye szerint kiemelkedő heurisztikus képességekkel, megbízható rootkit védelemmel rendelkező vírusirtót érdemes vásárolni, amely folyamatosan lépést tart a változó vírustrendekkel.
Sándor Zsolt arra figyelmeztet, hogy mikro- és kisvállalkozásnak is, hasonlóan a nagyvállalatokhoz, érdemes profi informatikus-rendszergazdát foglalkoztatni, vagy ha tehetik, meg kell próbálniuk profikra bízni magukat, nem feledkezve meg a biztonságtechnikai struktúra megfelelő kialakításáról és a nagyon pontosan meghatározott felelősségről.
#page#
Otthonról fertőzve
Szakember számára az nem kérdés, hogy kell-e komoly védelem azokon a munkahelyen, ahol a munkatársak hordozható számítógépeikkel otthonról vagy akár külföldön is hozzáférnek a cég szerver(ei)hez. Gombás László még arra a problémára is felhívja a figyelmet, hogy ha az ilyen gépek állapotát a rendszeradminisztrátorok csak az anyahálózatra csatlakozás után tudják megvizsgálni, az már késő lehet, ha időközben a gép vírushordozóvá vált, mert így akár a belső hálózat egésze is megfertőződhet.
- Ezekre a gépekre olyan védelmet kell telepíteni, amely képes arra, hogy az állapotukat a hálózatra kapcsolódás pillanatában megvizsgálja, az esetleges hibákat és az eltéréseket automatikusan korrigálja, és csak ezt követően engedélyezi a hozzáférést a hálózati erőforrásokhoz - mondja a Symantec vezető rendszermérnöke. Sándor Zsolt szoftveres védelmet ajánl az ilyen módon használt számítógépekre, de véleménye szerint minden külső adathordozó (USB-kulcs, PDA stb.) esetén rendszergazdai felügyelet lenne javasolt, hiszen előfordulhat akár az is, hogy éppen a felsővezetők gépei jelentik a rizikót, hiszen széles körű telepítési jogosultságuk miatt saját hálózatukat fertőzik meg - említ egy klasszikus példát a Panda Software Hungary ügyvezetője.
Figyelmetlen munkatársakA szakértők szerint azonban még mindig van rés az ügyfelek pajzsán: Gombás László szerint a frissítésekkel hadilábon állnak. A felhasználók a spyware/adware kérdést nem kezelik biztonsági problémaként, mondván "egy-két felugró ablaktól még lehet dolgozni", ám ez sok esetben adatlopáshoz vagy -szivárgáshoz vezethet. Hasonlóan látja a helyzetet Csiszér Béla. A mai vírusok ugyanis nem csupán e-mailben terjednek, hanem sokszor automatikusan kerülnek fel a meglátogatott weboldalakról a számítógépekre.
- Ha az internet használata nem korlátozott - és a korlátozás elég gyakran a használhatóság rovására megy -, akkor könnyen előfordulhat, hogy a kliensgépek megfertőződnek, amit csakis megbízható, heurisztikus technológiát is tartalmazó kliensvédelemmel lehet megelőzni - nyomatékosít Csiszér Béla. Sándor Zsolt szerint ugyan a jogalkotó nem írja elő a társaságoknak a tűzvédelmi szabályzathoz hasonló kötelező hálózati védelmet, a vírusirtók gyártói azonban ezt igen hasznosnak tekintik, és szorgalmazzák bevezetését.
Megéri az árátA költségeket tekintve a teljes körű vírus-spam védelem még mindig olcsóbb, mint egy komoly támadást követő hibajavítás. Gombás László számításai szerint a 10-200 közötti számítógépet fenntartó vállalkozások esetében a beszerzés ára körülbelül kétszázezer és hárommillió forint között van, amelyhez hozzáadódik általában a beruházás további 15-20 százaléka üzembe helyezési és fenntartási költségként. Csiszér Béla ennél alacsonyabb összegeket számít: szerinte egy 10 fős gépállomány védelme hatvanezer, egy 50 fősé kettőszázezer és egy 200 fősé mintegy félmillió forint. A munkaállomás-védelem éves licencdíja felhasználónként 8-10 ezer forint, a Sándor Zsolt által említett árak szerint.
1. Trojan-Downloader.Zlob.Media-Codec - Bizonyos felnőtt tartalmú honlapokon az egyes videók lejátszásához szükséges Windows Media Player bővítményeként tünteti fel magát, valójában viszont további káros alkalmazásokat és kémprogramokat tölt le a felhasználó számítógépére.
2. Trojan.FakeAlert - Tipikusan a tálcáról felugró tájékoztató ablakokban hívja fel a gyanútlan felhasználó figyelmét számítógépe fertőzöttségére, és megpróbálja rávenni őt a különböző rosszindulatú, biztonsági programnak álcázott szoftverek, például álantivírusok feltelepítésére.
3. Virtumonde - Felugró ablakokban kéretlen reklámokat jelenít meg, a háttérben pedig további károkozók letöltésére, és különböző összegyűjtött adatok elküldésére is képes. A fertőzést általában nehéz eltávolítani, több módszerrel is próbál a kémprogram-eltávolítók ellen küzdeni.
4. ClickSpring.PuritySCAN - Reklámok megjelenítésével finanszírozott szoftver, amely a böngésző gyorsítótára és az előzmények átvizsgálásával pornográf tartalmakat és utalásokat keres, majd felajánlja ezek törlését. A háttérben viszont a program a teljes böngészési előzményeket elküldi, ami alapján célzott hirdetéseket jelenít meg.
5. VirusBurst - Kémprogram-eltávolítónak álcázott káros alkalmazás, amely többször figyelmeztet a számítógép fertőzöttségére, és hamis keresési találatokkal téveszti meg a felhasználót.
