A ma délelőtti eseményen a világ talán legismertebb informatikabiztonsági szakembere a ZOTOB ("patch Tuesday") hálózati féregről, általában a bot férgek jövőjéről, a férgek által várhatóan alkalmazott új technológiákról, egy új jövőbeni technikáról: a polimorf kódtámadásokról, illetve az ellenük való felkészülésről, a biztonsági szakemberek új férgek elleni védekezéssel kapcsolatos tanácsairól adott tájékoztatást. A Trend Micro Housecall távoli víruskereső és -elhárító szolgáltatásáról is szólt.
Perry felhívta a figyelmet, hogy az egykor a tudományos-fantasztikus irodalom világába sorolt "aznapi" fenyegetések manapság nagyon is valódiak. Tendencia, hogy egyre kevesebb idő telik el egy-egy új sebezhetőség, illetve a hozzá kiadott javítás nyilvánosságra kerülése és az azt kihasználó kód megjelenése között. Ez az idő hihetetlenül lerövidült a Zotob féreg esetén, hiszen a Microsoft 2005. augusztus 9-i "Plug-and-Play" (MS05-039) biztonsági javításainak kiadása óta a Trend Micro biztonsági kutatói már augusztus 15-én azonosították az első botférget.
Íme egy lista bemutatja, hogy mennyi idő is telt el egy adott szoftverhibához kiadott javítás publikálása és a foltozatlan rendszereket megtámadó féreg megjelenése között:
WORM_NIMDA: 366 nap
WORM_SLAMMER: 185 nap
WORM_BLASTER: 26 nap
WORM_SASSER: 18 nap
WORM_ZOTOB: 5 nap
az automatikus letöltés letiltása az üzenet előnézetének megtekintésekor
képek és más internetes tartalom (például HTML kód) automatikus letöltésének letiltása.
Az elektronikus levelezés során a biztonság szem előtt tartása (például ne kattintsunk semmilyen, az e-mailekben található hivatkozásra).
Ne indítsuk el az ismeretlen forrásból származó, vagy ismert emberektől váratlanul érkező képnek vagy más fájlnak tűnő csatolt állományokat! Amikor kétségeink vannak, kérdezzük meg az adott személyt, hogy küldött-e ilyen állományokat bármilyen csatolt állomány elindítása előtt.
A mai fenyegetések elleni harc lehetséges módjai Perry szerint a következők:
Javítócsomagok azonnali telepítése az otthoni rendszereken, a Microsoft weboldalán történt közzétételt követően. Az automatikus frissítés már nem megoldás. Az otthoni rendszerek biztonsága már az internetre történő kapcsolódással veszélybe kerül.
A vállalati összeállításoknál olyan szoftver- és hardverrendszerek telepítése, amelyek kifejezetten ezen fenyegetések ellen nyújtanak védelmet. A féreg által a sebezhetőség kihasználására használt hálózati csomagok észlelése és megállítása a leghatékonyabb megelőzési mód az efféle rosszindulatú kódokkal szemben. Ezek a rendszerek IDS (intrusion detection systems - behatolásfigyelő rendszerek) és speciális hálózati vírusvédelmi rendszereket tartalmaznak, például a Trend Micro Network VirusWall vagy a Trend Micro Personal Firewall, amelyek megakadályozhatják a kódcsomagok beérkezését még akkor is, ha az alaprendszer sebezhető.
A jövőbeni lehetséges polimorf kódtámadásokról. Egyes kutatók úgy gondolják, hogy az ilyen botok készítői képesek lesznek egy olyan modul elkészítésére, ami módosítja a kódot, így az minden alkalommal máshogy jelenik meg, de mindig ugyanúgy működik. A legtöbb IDS és sebezhetőség-észlelés azon alapul, hogy a rosszindulatú alkalmazások mindig ugyanazt a kódot használják, így ha a kód minden alkalommal más, a keresők elől elrejtőzve messzire juthat. Bár elméletileg lehetséges egy ilyen modul létrehozása, ehhez a támadóknak meg kell érteniük, hogy hogyan működik a sebezhetőség kódja, és az hogyan módosítható. Ezek az elképzelések ellentmondanak a korábban említett irányvonalnak, mely szerint az új sebezhetőséget a lehető legrövidebb idő alatt ki kell használni, ezáltal lassabbá válik a féreg elkészítése is. A készítőknek választaniuk kellene a gyors és a rejtett támadás között. Remélhetőleg ez a lehetőség elméleti síkon marad, mindazonáltal nagy veszélyeket rejt magában.
Az ilyen botok elleni harcban a vírusvédelmi cégek régóta felismerték, hogy egyazon féreg számos variánsai csak tömörítési módjukban térnek el egymástól. A víruskészítők lefordítják a férget, majd az újonnan létrehozott futtatható állományt egy eltérően tömörített .EXE fájlba helyezik. Amikor az antivírus cégek bővítik vírusadatbázisaikat az új mintával, a készítők csak újratömörítik az állományokat egy másik algoritmus segítségével, és az így létrejövő következő variánst már nem tudják észlelni a víruskereső alkalmazások. Különböző tömörítési algoritmusok százait használhatják, az ilyen módon generált kártevők észlelése nem könnyű feladat.
A törekvés természetesen az, hogy a különböző tömörítési módszerek még a specifikus észlelési mintázatok elkülönítése előtt észrevehetők legyenek. Az elkövetkező hónapokban e téren nagy előrelépések várhatók. A Trend Micro már dolgozik egy keresőmotoron, amely képes tömörített mintákat észlelni. A Trend Micro 7.7 verziójú keresőmotorja a jövő év elejére várható. Az új észlelési technológiának köszönhetően ez a motor már a kiadásuk idején észleli a bot férgeket.
A bot férgek a jelenleg elterjedt legveszélyesebb rosszindulatú kódok. A felhasználóknak tisztában kell lenniük létezésükkel és fertőzési módszereikkel ahhoz, hogy megelőzhessék hatásaikat. Ez a háttéranyag kísérletet tesz arra, hogy rámutasson a jövő támadási módszereire, és ezáltal felhívja a figyelmet az új technológiákra, valamint azok lehetséges rosszindulatú alkalmazására.