Szerző: Dajkó Pál | Dátum: 2007-07-10 20:10 | Rovat: Biztonság | Típus: Elemzés
IT.news.: A Panda Software új termékei, melyek néhány hónapja érhetőek el a felhasználók számára, a hírek szerint radikálisan új típusú védelmi megoldásokra épülnek. Miért volt szükség a már jól bevált vírusvédelmi metódusok helyett – vagy mellett – koncepcióváltásra?
Sándor Zsolt: A vírusvédelem területén éppen napjainkban élünk meg egy átértékelődési folyamatot, ugyanis a vírusok számát és természetét illetően az elmúlt fél-egy évben extrém változásokat tapasztalhattunk. Az iparági szereplők szempontjából most az a kérdés, ki reagál gyorsabban és hatékonyabban az új helyzetre. A jelenlegit megelőzően 2005-ben zajlott le egy nagy vírusfertőzés, de az akkori vírusok célja az adatrombolás volt, ma már viszont egyértelműen a pénzszerzés céljából történő vírusírás a jellemző. A motiváció megváltozása új helyzetet teremtett, melyet súlyosbít, hogy a felmérések szerint az aktív védelmi programok működésének ellenére az otthoni gépek 50–60 százaléka, a hálózatos környezeteknek pedig 75 százaléka fertőzött.
Sándor Zsolt
Az 1972-ben született Sándor Zsolt a Budapesti Műszaki Egyetemen szerzett okleveles építészmérnöki diplomát, majd a 1998-tól 2001-ig Graphisoftnál dolgozott, előbb mint minőségbiztosítási mérnök, később mint partnerkapcsolati csoportvezető. 2001-től 2004-ig a Panda Sortware-nél ügyvezető igazgató, 2003-tól 2005-ig az EMJ-nél tevékenykedik több funkcióban. 2005 áprilisától újra a Panda Software ügyvezető igazgatója, emellett 2006 szeptemberétől a SonicSlide International tulajdonosa.
A Testnevelési Egyetemen vitorlásedzői diplomát is begyűjtő szakember 20 éve vitorlázik, magyar bajnoki és Európa-bajnoki címmel egyaránt rendelkezik e sportágban.
IT.news: Mik az említett drasztikus változás jellemzői?
S. Zs.: A legfontosabb, ma munkát adó változás, hogy megemelkedett a naponta jelentkező új vírusok száma. Mert hogy is volt ez a közelmúltban? 2000-ben napi öt új vírus jelent meg, majd ezek száma folyamatosan emelkedett, 2006 végén már napi 200–300 vírust regisztráltak, ám ezek után robbanásszerű emelkedést tapasztalhatunk, jelenleg 3000 a naponta megjelenő új vírusok száma, s a görbe exponenciálisan emelkedik. E jelenség mögött nyilvánvalóan a vírusírók mind magasabb szintű tevékenysége, e tevékenység haszonszerzés céljából folytatott, szervezett keretek között történő művelése áll. A hackerek „annak idején” elsősorban a presztízsük miatt munkálkodtak, a dicsőség volt a fontos a számukra, hogy a vírusok toplistáján az ő vírusuk álljon az élen. Mára sok hackerből cracker lett, tehát olyan vírusokat gyártó szakember, aki illegális pénzszerzésre használja fel a tudását. Ebből kifolyólag e tevékenység jellege is átalakult: egy crackernek létfontosságú a csönd, a fel nem ismertség, a nyilvánosság kerülése. Ezért a vírustámadások is ehhez alkalmazkodtak, igyekeznek a lehető leghosszabb ideig észrevétlenek maradni, hogy minél tovább végezhessék azt a feladatot, melynek céljából ezeket a programokat létrehozták.
A napi új vírusok számának alakulása
Ezzel együtt egy másik fontos jellemző is megváltozott, ugyanis a crackerek által írott vírusok célja nem az, amit régebben tapasztalhattunk, hogy mindenhová, a lehető legtöbb gépre eljussanak, hanem az, hogy a kiválasztott gépekre, rendszerekbe jussanak el, hiszen konkrét feladataik vannak. Ebből a szempontból bárki lehet célpont, mert nem csak olyan támadások lehetségesek, amelyek egy konkrét cég adatállományára irányulnak – vannak természetesen ilyenek is, de nem ez a legfontosabb –, hanem például célcsoport lesz a magyarországi takarékszövetkezeti fiókok összes felhasználója. Mindennek semmi technológiai akadálya nincs, a zombigépek hálózatai ma már bérelhetőek, s ezek segítségével egyetlen támadási hullámmal beszerezhetnek tengernyi olyan adatot, melyeket azután pénzzé lehet tenni, vagy további adatlopásokra lehet felhasználni.
De nem a nagy bankok adatbázisainak megfúrása a nagy üzlet, hiszen egyszerűbb és jövedelmezőbb a sok-sok magánemberhez kapcsolódó információk megszerzése. E folyamat nagy tanulsága, hogy a mind több akcióját digitálisan végző világban mindenki beletartozik a crackerek valamely célcsoportjába, hiszen elegendő egyszer egy csengőhangot vásárolni mobiltelefonnal, hogy a felhasználó bekerüljön abba a körbe, ahol már potenciális célpont.
Ez a hihetetlenül dinamikusan fejlődő új „ágazat” az elmúlt egy-két évben jelent meg számottevően, s hasonló nagy változásnak lehetünk tanúi, mint 2000-ben, a hagyományos vírusok területén. Akkoriban sem nagyon akarták elhinni az emberek, hogy őket majd meg fogják támadni, aztán be kellett látniuk, hogy nagyon is, és szükségük van vírusvédelemre. Ma még nem hiszik el, hogy pénzügyi támadások érik őket, pedig a Gartner jóslata szerint az év végéig az enterprise-kategóriájú cégek 75 százalékát fogja valamilyen pénzügyi motiváltságú támadás érni, ami elképesztően magas arány, s ha csak a tizede igaz – márpedig a Gartner nem szokott ekkorát hibázni – akkor az óriási fenyegetés.
A vírusvédő cégek nagy feladata, hogy valamennyi új vírust beépítsék saját rendszerükbe. Jó a kapcsolat a cégek között, tehát folyamatos az információáramlás, de nem a felismerés és a dokumentálás a legnehezebb, hanem rendszerünk felkészítése az új vírusra.
IT.news: Milyen technológiákkal lehetséges ez?
S. Zs.: Az egyik lehetőség a vírus-adatbázisok karbantartása, növelése. A Panda is hisz ebben a módszerben, folyamatosan aktualizáljuk is saját adatbázisunkat. Ugyanakkor ennek a technológiának megvannak a maga korlátai. A mi adatbázisunk jó, sőt kiválónak mondható, de ezzel a rendszerrel mi is csak 500–600 ezer vírust vagyunk képesek felismertetni, egyszerűen azért, mert a számítógépen való tárolás behatárolt, és ezek az eszközök nem alkalmasak nagyobb hatékonyság elérésére, ezért ha 1,1 millió vagy ennél több vírust akarunk kezelni, akkor új technológia szükséges. Erre két út kínálkozik.
A gyártók egy része a heurisztikára esküszik. A Panda szakemberei szerint viszont a heurisztika matematikailag rossz irány, mivel a végtelent próbálja algoritmizálni. Vannak időszakok, amikor a kialakított algoritmus nagyon jó eredményeket, 40–60 százalékos felismerési arányt hoz, ám ha megváltozik a támadások jellege, akkor drámaian visszaesik a hatékonysága. A heurisztika a közelítések módszere, megoldást soha nem fog nyújtani. A Panda fejlesztőinek véleménye szerint nem a „peremvidékeket” kell erősíteni; e területeket kiváló adatbázisokkal kell védeni. A fontos és tömeges fenyegetések ellen a viselkedésanalízis lehet a megoldás. E módszer esetében a számítógépben zajló folyamatokat vizsgáljuk. Ezek száma véges, tehát máris belátható terepre kerültünk. Ha a szoftver észlel egy olyan típusú folyamatot (például egy alkalmazás beleír a registrybe), s ez nekünk, felhasználóknak nem jó, akkor lehetséges ezt a folyamatot blokkolni.
A Panda különböző termékeinek hatékonysága
Amikor előadásokon a különböző technológiák közötti különbséget magyarázom, akkor a banki biztonsági rendszerek működésének analógiáját szoktam felhozni. Itt az a cél, hogy a bankrablót kiszűrjék, és meggátolják a rablást. Az adatbázisra épülő vírusvédelem olyan, mint amikor az épületbe belépőt egy portás ellenőrzi. A heurisztika már fejlettebb, illetve magasabb arányban szűr, mint amikor a bank ajtajában van egy fémdetektor is. Igen, de nem csak fémből készült fegyverrel lehet bankot rabolni, ezért legjobb, ha a bank előterében van egy biztonsági őr, aki figyeli a bent tartózkodók viselkedését. Ez utóbbinak felel meg a viselkedésanalízis, ami a gyanús, nem odaillő akciókat szűri és blokkolja.
A cikk többoldalas, a folytatáshoz kattintson az alábbi linkre!
