Vírusinvázió - Hisztéria, vagy valódi fenyegetés?

forrás Prim Online, 2005. augusztus 19. 18:07
A Microsoft által egy hete publikált Windows-sebezhetőséget a felkészült vírusgyártó csoportok már a hét végén sikeresen kiaknázták. Pár nap alatt 9 olyan vírus jelent meg, mely a MS05-039 sebezhetőséget (is) kihasználja. Ilyen gyors "fejlesztésre" csak úgy van lehetőség, hogy a "föld alatt" komoly kommunikáció folyik.
A sebezhetőséget kihasználó kódrészlet feltehetően ugyanattól a személytől származik, aki a minden idők legnagyobb vírusjárványát előidéző Sasser-kódot írta. Az "új" férgek (pl. Zotob) és a hasonló módon létrehozott úgynevezett botvariánsok gyors megjelenésekor újabb hatalmas járvány kialakulása volt várható. A Windows-hiba azonban nem tette lehetővé a gyors terjedést, hiszen igazi veszélyt csak a Windows 2000-es rendszereken jelentett. Ráadásul a vírus olyan kommunikációs csatornán érkezett, melyet az internet felől védelmeznek a hálózatok határvédelmi tűzfalai, illetve a már széles körben használt személyi tűzfalak is.

A "Zotob" kitörés így jobbára csak médiabotrány lett, még azzal együtt is, hogy rengeteg nagy rendszer (CNN, ABCNews, The New York Times) "bekapta" a vírust. Erre a hordozható számítógépek egyre szélesebb körű, mindenféle védelmet nélkülöző használata ad magyarázatot. A vírus az internet felől nem képes behatolni a hálózatba, ellenben egy védtelen notebook könnyen megfertőződhet. Ha ezt a notebookot aztán gazdája az irodába visszatérve - minden különösebb óvintézkedés nélkül - csatlakoztatja a helyi hálózathoz (ahol már nincs tűzfalas védelem), a kártevő "szabadon" szétterjedhet.

Tekintve, hogy a Windows 2000 öt éve jelent meg, hasonló hiba felfedezése és annak hasonló felhasználása bármikor várható. A hatékony védekezés három fronton történhet, amelyek párhuzamos használata manapság elengedhetetlen:


A folyamatos frissítés feladata napjainkra egyre nehézkesebb. Egy nagyobb hálózatban a frissítések telepítése komolyan előkészített, több szakembert lefoglaló, nehezen automatizálható feladat. A Sasser megjelenése után komoly hálózatüzemeltetők 20 napról 7 napra csökkentették az úgynevezett frissítési ablakot, amely a sebezhetőség publikálásától a teljesen védett rendszerig eltelt időt jelenti. A mostani kártevő gyors megjelenése alapján ezt 3-ra kellene csökkenteni, mely a tesztelés szükségességét figyelembe véve gyakorlatilag lehetetlen feladat.

A kommunikációs csatornák védelme a hálózat határán általában már megfelelőnek mondható. Ezért a mostani eset kapcsán nem beszélhetünk igazi víruskitörésről, hiszen az interneten terjedni próbáló Zotob variánsok "falba ütköztek" a helyi hálózatok határán. Azonban a hálózaton belül gyakorlatilag lehetetlen az ilyen típusú védekezés. A számos különböző felhasználói program kommunikációjának folyamatos engedélyezése/tiltása olyan többlet feladatot jelentene a hálózat üzemeltetőinek, melyet nem lehet felvállalni. Ezért jellemzően a hálózaton belül a kommunikációs csatornák nyitottak, ez azonban azt jelenti, hogy "belülről" a rendszer megfertőzhető.

A munkaállomások és szerverek (végpontok) vírusvédelme a harmadik védelmi vonal, melynek általános használata napjainkra szintén alapvetővé vált minden hálózatban. Az antivírusgyártók folyamatosan figyelik a kártevők "mozgását", és mindig a leggyorsabban készítik el a védelmet jelentő új vírusdefiníciót. Itt is jelentkezik a frissítési időablakból adódó probléma, azonban ez esetben sokkal kisebb időintervallumokról beszélhetünk. Míg a Windows rendszerek frissítése folyamatban van, a végpontokon lévő antivírusszoftverek képesek "tartani a frontot".

Mivel napjainkra egy új kártevő megjelenésétől a járványig eltelt időablak órákra csökkent, a vírusdefiníciók megjelenéséig már komoly károk keletkezhetnek. Ez megfigyelhető volt a mostani, belülről történő fertőzések esetén is. Azoknál, ahol bejutott a vírus - például hordozható számítógépen -, ott Windows- és vírusdefiníció-frissítés hiányában percek alatt terjedt szét az összes Windows 2000-es rendszerre, komoly hibát okozva ezzel a hálózat működésében. (A CNN például adását megszakítva adott ki közleményt informatikai rendszere instabilitásáról.)

Megoldást az úgynevezett proaktív technológiák használata adhat, melyek alkalmazásával a kártékony kód a vírusdefiníciós adatbázis-frissítés megérkezéséig is felismerhető. Az egyik legfejlettebb heurisztikával rendelkező vírusirtó - a NOD32 - például vírusdefiníció nélkül, proaktív módon felismerte és blokkolta a Zotob variánsokat az általa védett rendszereken. Az ilyen típusú technológiák létjogosultságát bizonyítja az egyre rövidülő időablak. A vírusírók és a "védekezők" közti versenyfutás azt eredményezi, hogy az új kártékony kódok szétterjesztésére a már kipróbált technológiákat veszik igénybe a vírusírók is. Ez azt jelenti, hogy egy megfelelő heurisztikus technológia tudja, hogy hol és hogyan várható a kórokozó, és viselkedése alapján képes megállapítani fajtáját, majd ezt követően pedig blokkolja is azt.

Szerző: Kiss Zoltán, Sicontact Kft. (A NOD32 antivírusrendszer magyarországi forgalmazója)