Ugyan a mai naphoz viszonyítva már több, mint egy hete történt, de a melóhely ismételten delegált a biztonsági emberkék által szervezett rendezvényre, melyen ezúttal a meghívott vendég az ESET vírusvadász cég volt. Akinek nem ismerős, az még nem is hallott a NOD32-ről...
A meghívott vendégek, akárcsak a korábbi előadáson a Symantech képviselő, nem győzték hangsúlyozni, hogy a nosztalgikus hobbi vírusírók helyett napjainkban komoly gazdasági érdekek húzódnak meg a háttérben, a feketegazdaság erői működnek, és működtetik ezt az iparágat. Napjainkban klasszikus vírusról már nem is beszélhetünk. A cél itt nem technikai képességek látványos bemutatása, sőt nem is kifejezetten a rombolás, sokkal inkább gépünk engedély nélküli felhasználása üzleti céllal (pl. reklámlevelek küldésére) vagy a gépünkről illetve gépünkön keresztül történő információszerzés (információlopás).
A bemutató során bepillantást nyerhettünk, miképpen is fertőznek ezek a káros kódok. Egyik példája ennek, hogy a kapott dokumentumban (pl. PDF, DOC, XLS, stb.) helyezkedik el a nem kívánt kód. Ez valamilyen módon titkosítva (többnyire egyszerűen tömörítve) van, hogy a víruskeresők ne ismerjék fel. A dokumentum megnyitásakor a titkosítás feloldódik, és lefut a nem kívánt kód. Ez azonban még nem okoz közvetlen galibát, egyszerűen csak letölt az interneten keresztül egy kisméretű kódot, amelynek tartalma minden letöltés esetén más és más. Tehát ugyanazt a fertőzött dokumentumot kétszer megnyitva a benne található kód nem ugyanazt a programot tölti le, hanem annak a programnak különböző változatait. A letöltött program még mindig nem csinál mást, mint ismét kilép az internetre és letölti a konkrét fertőzést, a tényleges rosszindulatú kódot, vírust. Ezt hívják többlépcsős fertőzésnek, melynek célja, hogy a vírusirtó programok minél nehezebben térképezzék fel a teljes fertőzési folyamatot. Hiszen hiába bukkanna rá a fertőzés valamelyik részletére, ha nem göngyölítik fel a teljes folyamatot, akkor a megmaradt részletek mindig újra és újra megfertőzik gépünket a világhálón keresztül.
Sajnos a fertőzések többsége akár több úton-módon is képes továbbfertőzni. Magukban hordoznak többféle fertőzési módszert is. Előfordul, hogy egy rendszerhibán keresztül jutnak a gépünkre, de ugyanaz a fertőzés bejuthat különböző cserélhető adathordozók segítségével, vagy akár a peer-to-peer (P2P) kapcsolat (pl. torrent hálózatok) segítségével is. Ez azt jelenti, hogy a fertőző kód nem csak egyfajta módon próbál meg továbbfertőzni, hanem erre több módszert is ismer.
Szerencsére a vírusok nagyon sokszor újrahasznosított kódot használnak. Ez azt jelenti, ha kiderül egy rendszerhiba, amelyen keresztül be lehet jutni egy számítógépre, akkor hamarosan fel fog tűnni egy olyan károkozó kód, amely ezt a hibát kihasználva jut be rendszerünkre. Ezt követően pedig meg fognak jelenni az újabb és újabb vírusok, amelyek a legelső vírus kódját használják, esetleg azt picit módosítják. Ez azért előnyös, mert a vírusíró programok (amennyiben már ismerik a legelső vírus kódját) képesek az újabb és újabb variánsokat is felfedezni, hiszen már rendelkezésükre áll egy minta, amelyre rá tudnak keresni.
Egyre népszerűbb megoldás a rosszindulatú kódok fejlesztői körében, hogy nem a kész programokat fertőzik meg, hanem az alkalmazások fejlesztéséhez használatos fejlesztőkörnyezeteket. A fejlesztőkörnyezetben egyszerűen meglapulnak, nem adnak jelet meglétükről, de amikor a annak segítségével elkészül egy program, akkor a kész programba is beférkőznek, így azok már eleve fertőzötten kerülnek a piacra. Ezek a rosszindulatú kódok nagyon sokáig lappanganak, hiszen a belső fejlesztő stúdióból csak akkor kerülnek ki, amikor a programok publikálása megtörténik, addig pedig kitudja már mennyi fejlesztést fertőztek meg. A legtipikusabb példa ilyen fertőzésre, hogy a kód a weboldalszerkesztőt fertőzi meg, így az azzal készült összes weboldalba bekerül egy kisméretű kódrészlet (amely böngészőben megtekintve nem is látszik, mivel 1pixelek iframe-be lett rejtve) melynek feladata, hogy az oldalt meglátogatva internetről letöltse a tényleges káros kódot számítógépünkre.
Bármilyen meglepő is, de maguk a közösségi oldalak is jelentős támadási felületet jelentenek a vírustámadásoknak. Gondoljunk csak bele, ha egy fertőzött gépen tekintjük meg iwiw-es ismerőseinket, akkor a fertőzés máris hozzáfér rengeteg ismerősünk e-mail címéhez (és akár egyéb adataihoz is), amelyekre elküldheti a kéretlen reklámleveleket (spameket).
Korábban már említésre került, hogy a rosszindulatú kódok titkosítva rejtőznek a dokumentumainkban. Ennek köszönhetőn a vírusirtó programok nem képesek meglátni, mit is művel a titkosított kód. Éppen ezért a legtöbb vírusirtó egy emulált (virtuális) környezetben futtatja a dokumentumot, és vizsgálja, az milyen műveleteket akar végrehajtani. Ezt az emulált környezetet úgy kell elképzelni, mintha gépünkön létezne egy szigorúan elzárt laboratórium, ahol előbb megfigyelünk minden állományt, és csak ezt követően engedélyezzük, hogy az éles környezetünkben is megnyíljon a dokumentum, elinduljon a program. Ha figyelembe vesszük, hogy ennek a virtuális futtató környezetnek (a laboratóriumnak) oda kellene figyelni minden esetleges lehetőségre, amelyet az adott program elkövethet, beláthatjuk, hogy ez nagyon nagy erőforrást igényelne. Ennek következtében a vírusirtók csak a rosszindulatú kódok által legsűrűbben használ hívásokat (pl. internetkapcsolat létesítése) vizsgálja. Erre persze rájöttek a vírusgyártók is, ezért manapság már nem egy rosszindulatú kód érzékeli, hogy most őket ilyen emulált környezetben futtatják, és ezért ekkor nem csinálnak semmit, lekapcsolják magukat, így a vírusirtó nem talál rájuk, a dokumentumot vagy más állományt vírusmentesnek nyilvánítja, ezt követően pedig maga vírus már szabadon garázdálkodhat.
Napjainkban azonban megjelent egy újabb fajta fenyegetettség is, amely a vírusoktól való félelmünkre épül, és a pénztártárcánkat célozza. Az emberi hiszékenységre építenek az álvírusírtók készítői is. Ezek olyan programok, amelyeknek úgynevezett demó (kipróbálásra szánt) verziója letölthető az internetről. A telepítést követően úgy tesznek, mintha átvizsgálnák számítógépünket, és természetesen úgy csinálnak, mintha találnának is egy-két vírust (pedig lehet, hogy a számítógépünk teljesen tiszta), majd közlik, hogy ez a demó verzió ezt nem képes eltávolítani, de ha megvesszük a teljes verziót, akkor képessé válunk eltávolításukra. A vírusoktól való félelmünk már kondíciónál, így nagyon sokan már fizetnek is. Természetesen a teljes verzió csak annyit tesz, hogy megszünteti az állandóan megjelenő „vírusos a géped” feliratot tartalmazó ablakot. Ugyan ezek a programok inkább a csalás kategóriába tartoznak, mégis konkrét biztonsági problémát jelentenek. Hiszen ezek egyáltalán nem védenek a vírusoktól. Tehát a tényleges rosszindulatú kódokat egyáltalán nem szúrják ki. Ráadásul ezeket a programokat szándékosan úgy készítik el, hogy 10-20 egyszerűbb vírus irtására képesek legyenek, így jogilag sem megfoghatóak, hiszen tényleg vírusirtók. Igaz, a valódi vírusvadász cégek programjai több százezer vírustól is képesek megszabadítani minket.
Az előadók szót ejtettek még az autorun.inf állományokból adódó problémákra. Magával a fájllal nincs semmi probléma, hiszen az egy egyszerű szöveges állomány, amelyet arra találtak ki, hogy információkat tartalmazzon az operációs rendszer számára mit kell tennie az adott médium számítógéphez történő csatlakoztatásakor. Például CD lemez beolvasásakor rögtön induljon el a korongon levő program telepítése, vagy fényképezőgép csatlakozatásakor a képek automatikusan lejátszásra kerüljenek. Erre a technológiára azonban a vírusok is építenek, így beágyazzák magukat ebbe a fájlba, és az eszköz számítógépre történő illesztésekor már meg is fertőzték gépünket. Egyértelmű ajánlás, hogy a Windows operációs rendszerben kapcsoljuk ki az automatikus futtatás lehetőségét (Ezt sajnos felhasználóként nem tudjuk megtenni, mélyen bele kell túrnunk az operációs rendszer lelki világába). USB vagy egyéb adathordozóról mindig töröljük ezt a fájl. Amennyiben mégis újra és újra megjelenik, akkor nagy valószínűséggel valamelyik számítógép, amelyikben használtuk az eszközt már fertőzött.
No, és ekkor elérkeztünk a déli 12-höz, a meghívottak távoztak, a belsősök folytatták, de ott már nem volt említésre méltó.
ui.: NOD = Nemocnica na Okraji Disku (szlovákul) ->Kórház a lemez szélén
A meghívott vendégek, akárcsak a korábbi előadáson a Symantech képviselő, nem győzték hangsúlyozni, hogy a nosztalgikus hobbi vírusírók helyett napjainkban komoly gazdasági érdekek húzódnak meg a háttérben, a feketegazdaság erői működnek, és működtetik ezt az iparágat. Napjainkban klasszikus vírusról már nem is beszélhetünk. A cél itt nem technikai képességek látványos bemutatása, sőt nem is kifejezetten a rombolás, sokkal inkább gépünk engedély nélküli felhasználása üzleti céllal (pl. reklámlevelek küldésére) vagy a gépünkről illetve gépünkön keresztül történő információszerzés (információlopás).
A bemutató során bepillantást nyerhettünk, miképpen is fertőznek ezek a káros kódok. Egyik példája ennek, hogy a kapott dokumentumban (pl. PDF, DOC, XLS, stb.) helyezkedik el a nem kívánt kód. Ez valamilyen módon titkosítva (többnyire egyszerűen tömörítve) van, hogy a víruskeresők ne ismerjék fel. A dokumentum megnyitásakor a titkosítás feloldódik, és lefut a nem kívánt kód. Ez azonban még nem okoz közvetlen galibát, egyszerűen csak letölt az interneten keresztül egy kisméretű kódot, amelynek tartalma minden letöltés esetén más és más. Tehát ugyanazt a fertőzött dokumentumot kétszer megnyitva a benne található kód nem ugyanazt a programot tölti le, hanem annak a programnak különböző változatait. A letöltött program még mindig nem csinál mást, mint ismét kilép az internetre és letölti a konkrét fertőzést, a tényleges rosszindulatú kódot, vírust. Ezt hívják többlépcsős fertőzésnek, melynek célja, hogy a vírusirtó programok minél nehezebben térképezzék fel a teljes fertőzési folyamatot. Hiszen hiába bukkanna rá a fertőzés valamelyik részletére, ha nem göngyölítik fel a teljes folyamatot, akkor a megmaradt részletek mindig újra és újra megfertőzik gépünket a világhálón keresztül.Sajnos a fertőzések többsége akár több úton-módon is képes továbbfertőzni. Magukban hordoznak többféle fertőzési módszert is. Előfordul, hogy egy rendszerhibán keresztül jutnak a gépünkre, de ugyanaz a fertőzés bejuthat különböző cserélhető adathordozók segítségével, vagy akár a peer-to-peer (P2P) kapcsolat (pl. torrent hálózatok) segítségével is. Ez azt jelenti, hogy a fertőző kód nem csak egyfajta módon próbál meg továbbfertőzni, hanem erre több módszert is ismer.
Szerencsére a vírusok nagyon sokszor újrahasznosított kódot használnak. Ez azt jelenti, ha kiderül egy rendszerhiba, amelyen keresztül be lehet jutni egy számítógépre, akkor hamarosan fel fog tűnni egy olyan károkozó kód, amely ezt a hibát kihasználva jut be rendszerünkre. Ezt követően pedig meg fognak jelenni az újabb és újabb vírusok, amelyek a legelső vírus kódját használják, esetleg azt picit módosítják. Ez azért előnyös, mert a vírusíró programok (amennyiben már ismerik a legelső vírus kódját) képesek az újabb és újabb variánsokat is felfedezni, hiszen már rendelkezésükre áll egy minta, amelyre rá tudnak keresni.
Egyre népszerűbb megoldás a rosszindulatú kódok fejlesztői körében, hogy nem a kész programokat fertőzik meg, hanem az alkalmazások fejlesztéséhez használatos fejlesztőkörnyezeteket. A fejlesztőkörnyezetben egyszerűen meglapulnak, nem adnak jelet meglétükről, de amikor a annak segítségével elkészül egy program, akkor a kész programba is beférkőznek, így azok már eleve fertőzötten kerülnek a piacra. Ezek a rosszindulatú kódok nagyon sokáig lappanganak, hiszen a belső fejlesztő stúdióból csak akkor kerülnek ki, amikor a programok publikálása megtörténik, addig pedig kitudja már mennyi fejlesztést fertőztek meg. A legtipikusabb példa ilyen fertőzésre, hogy a kód a weboldalszerkesztőt fertőzi meg, így az azzal készült összes weboldalba bekerül egy kisméretű kódrészlet (amely böngészőben megtekintve nem is látszik, mivel 1pixelek iframe-be lett rejtve) melynek feladata, hogy az oldalt meglátogatva internetről letöltse a tényleges káros kódot számítógépünkre.
Bármilyen meglepő is, de maguk a közösségi oldalak is jelentős támadási felületet jelentenek a vírustámadásoknak. Gondoljunk csak bele, ha egy fertőzött gépen tekintjük meg iwiw-es ismerőseinket, akkor a fertőzés máris hozzáfér rengeteg ismerősünk e-mail címéhez (és akár egyéb adataihoz is), amelyekre elküldheti a kéretlen reklámleveleket (spameket).
Korábban már említésre került, hogy a rosszindulatú kódok titkosítva rejtőznek a dokumentumainkban. Ennek köszönhetőn a vírusirtó programok nem képesek meglátni, mit is művel a titkosított kód. Éppen ezért a legtöbb vírusirtó egy emulált (virtuális) környezetben futtatja a dokumentumot, és vizsgálja, az milyen műveleteket akar végrehajtani. Ezt az emulált környezetet úgy kell elképzelni, mintha gépünkön létezne egy szigorúan elzárt laboratórium, ahol előbb megfigyelünk minden állományt, és csak ezt követően engedélyezzük, hogy az éles környezetünkben is megnyíljon a dokumentum, elinduljon a program. Ha figyelembe vesszük, hogy ennek a virtuális futtató környezetnek (a laboratóriumnak) oda kellene figyelni minden esetleges lehetőségre, amelyet az adott program elkövethet, beláthatjuk, hogy ez nagyon nagy erőforrást igényelne. Ennek következtében a vírusirtók csak a rosszindulatú kódok által legsűrűbben használ hívásokat (pl. internetkapcsolat létesítése) vizsgálja. Erre persze rájöttek a vírusgyártók is, ezért manapság már nem egy rosszindulatú kód érzékeli, hogy most őket ilyen emulált környezetben futtatják, és ezért ekkor nem csinálnak semmit, lekapcsolják magukat, így a vírusirtó nem talál rájuk, a dokumentumot vagy más állományt vírusmentesnek nyilvánítja, ezt követően pedig maga vírus már szabadon garázdálkodhat.Napjainkban azonban megjelent egy újabb fajta fenyegetettség is, amely a vírusoktól való félelmünkre épül, és a pénztártárcánkat célozza. Az emberi hiszékenységre építenek az álvírusírtók készítői is. Ezek olyan programok, amelyeknek úgynevezett demó (kipróbálásra szánt) verziója letölthető az internetről. A telepítést követően úgy tesznek, mintha átvizsgálnák számítógépünket, és természetesen úgy csinálnak, mintha találnának is egy-két vírust (pedig lehet, hogy a számítógépünk teljesen tiszta), majd közlik, hogy ez a demó verzió ezt nem képes eltávolítani, de ha megvesszük a teljes verziót, akkor képessé válunk eltávolításukra. A vírusoktól való félelmünk már kondíciónál, így nagyon sokan már fizetnek is. Természetesen a teljes verzió csak annyit tesz, hogy megszünteti az állandóan megjelenő „vírusos a géped” feliratot tartalmazó ablakot. Ugyan ezek a programok inkább a csalás kategóriába tartoznak, mégis konkrét biztonsági problémát jelentenek. Hiszen ezek egyáltalán nem védenek a vírusoktól. Tehát a tényleges rosszindulatú kódokat egyáltalán nem szúrják ki. Ráadásul ezeket a programokat szándékosan úgy készítik el, hogy 10-20 egyszerűbb vírus irtására képesek legyenek, így jogilag sem megfoghatóak, hiszen tényleg vírusirtók. Igaz, a valódi vírusvadász cégek programjai több százezer vírustól is képesek megszabadítani minket.
Az előadók szót ejtettek még az autorun.inf állományokból adódó problémákra. Magával a fájllal nincs semmi probléma, hiszen az egy egyszerű szöveges állomány, amelyet arra találtak ki, hogy információkat tartalmazzon az operációs rendszer számára mit kell tennie az adott médium számítógéphez történő csatlakoztatásakor. Például CD lemez beolvasásakor rögtön induljon el a korongon levő program telepítése, vagy fényképezőgép csatlakozatásakor a képek automatikusan lejátszásra kerüljenek. Erre a technológiára azonban a vírusok is építenek, így beágyazzák magukat ebbe a fájlba, és az eszköz számítógépre történő illesztésekor már meg is fertőzték gépünket. Egyértelmű ajánlás, hogy a Windows operációs rendszerben kapcsoljuk ki az automatikus futtatás lehetőségét (Ezt sajnos felhasználóként nem tudjuk megtenni, mélyen bele kell túrnunk az operációs rendszer lelki világába). USB vagy egyéb adathordozóról mindig töröljük ezt a fájl. Amennyiben mégis újra és újra megjelenik, akkor nagy valószínűséggel valamelyik számítógép, amelyikben használtuk az eszközt már fertőzött.
No, és ekkor elérkeztünk a déli 12-höz, a meghívottak távoztak, a belsősök folytatták, de ott már nem volt említésre méltó.
ui.: NOD = Nemocnica na Okraji Disku (szlovákul) ->Kórház a lemez szélén
Megjegyzések