Kevés a penge vírusíró

Jó látni, hogy az IT-biztonsági szakma a nyelvet is gazdagítja... De maradjunk még egy pillanatra a nem kötelező disztribútori feladatoknál. Úgy tudom, hogy készítettetek egy vírusirtómotort symbianos mobiltelefonokra, amit aztán grátisz átadtatok az ESET-nek.

K.Z.: Igen. A cég ügyvezetője, Csiszér Béla igen komolyan érdeklődik a vírusok iránt, e szakterületből PhD-zik a BME-n. Amikor nagyjából két évvel ezelőtt megjelentek az első mobiltelefonokra írt vírusok, és kitört egyfajta mobilvírus-hisztéria, alaposan beleásta magát a témába, melyről számos előadást is tartott. Akkor a fenyegetett platformnak a Symbian tűnt. Az ő ötlete volt, hogy kísérletképpen nézzük meg, össze tudunk-e rakni egy vírusirtót erre a platformra. Sok erőforrást nem áldoztunk rá: a programot másfél éven át egy külsős szakember fejlesztette – ő azóta már nálunk dolgozik.

Gyorsan kiderült azonban, hogy ez a munka korántsem olyan egyszerű, mint gondoltuk. A Symbian akkor még nem volt rendesen dokumentálva, ezért gyakorlatilag úgy kellett fejleszteni, hogy az ember csak nagyjából tudta, mit csinál egy adott utasítás, és minden esetben próbálgatni kellett, nézni a kimenetét. Ráadásul a Symbian-emulátorokon gyakran másként működött a program, mint aztán magán a telefonon. Szóval ez igazi hackerfeladat volt, ami nagyon kézre állt a programozónknak, aki fokozatosan kitanulta a Symbiant, és megírt egy olyan vírusirtót, amelyben volt viselkedésalapú és generikus felismerés – amely családokat detektált –, igaz, összesen legfeljebb pár száz kártevőről beszélhettünk.

A Symbian 9-es verziójának kiadásával azonban a fejlesztés okafogyottá vált. Ebben vezették be azt az újítást, hogy csak a Symbian (illetve az általuk jóváhagyott szoftverházak) által aláírt programokat lehet telepíteni az operációs rendszeren, amivel gyakorlatilag lehetetlenné tették a vírusok terjedését. Ezért a fejlesztés is abbamaradt, de az elkészült prototípust – ami egy motor grafikus felülettel – átadtuk az ESET-nek, hátha ők egyszer tudnak majd vele mit kezdeni.

A terméktámogatás nálatok hogy működik?

K.Z.: A szupportnál a legfontosabb dolog, hogy valódi segítséget kapjon az, aki hozzánk fordul. Mi úgy láttuk, hogy leghatékonyabban akkor tudunk segíteni az ügyfeleknek, ha mi magunk csináljuk meg azt, amit ők nem tudnak elvégezni. Van egy távadminisztrációs szoftverünk, amellyel be tudunk lépni a felhasználó gépére, és gyorsan fel tudjuk mérni, hogy mi a probléma. Ha pedig fertőzésről van szó, azt le tudjuk irtani. Ez jóval hatékonyabb módszer, mintha előbb a felhasználónak kellene vázolnia a problémát, aztán nekünk kellene lépésenként elmondani neki, hogy mi a teendő.

Ezt a távoli hozzáférést ti találtátok ki, vagy az ESET előírása?

K.Z.: Ez saját ötlet, de ők is érdeklődnek a megoldás iránt, amelyet egyébként mi is licencelünk a gyártótól. Nagyon ritkán fordul elő olyan probléma, amit nem lehet így orvosolni.

Van statisztikátok a magyar felhasználók fertőzéseiről? Van „nemzetkarakterológiája” a fertőzéseknek?

K.Z.: Igen, az ESET rendszerével akár országokra lebontott statisztikákat is tudunk készíteni. A legtöbb vírusstatisztika egy-egy nagy e-mail átjáróra telepített antivírusprogram által küldött adatok alapján készül. Nagy hiányossága ennek a módszernek, hogy nem tudja számba venni a http-protokollon, ha úgy tetszik, a böngészőn keresztül terjedő kártevőket, amelyekből ma egyre több van. Tudni kell, hogy ma már nem az e-mail az elsődleges „vírushordozó”, egyre több olyan rosszindulatú program van, amelyek telepítéséhez elég egy fertőzött honlapot meglátogatni – ezt hívják a szakmában drive-by downloadnak. Az ESET az ilyen kártevőket is számba tudja venni, mivel a szoftvereiben alapértelmezés szerint be van kapcsolva a statisztikai rendszer. Ha a program egy adott gépen fertőzést fog, vagy a heurisztikája valami gyanúsat észlel, jelenti az ESET-nek. Az így gyűjtött fertőzési adatbázisból aztán az is kinyerhető, hogy egy adott országban melyek a jellemző kórokozók.

Ebből tudjuk, hogy Magyarországon egy adware, az ingyenes zenéket és egyéb letöltéseket ígérő Virtumonde a legelterjedtebb kártevő. Külön érdekesség, hogy ennek településéhez a felhasználó jóváhagyására van szükség, el kell fogadni egy licencszerződést. A globális statisztikát viszont egy olyan spyware vezeti, amely az online játékosok jelszavait gyűjti – ez itthon egyáltalán nincs jelen.

Egyes statisztikák szerint naponta több tízezer vírus jelenik meg. Mit lehet kezdeni ezzel a vírusáradattal?

K.Z.: Fontos tudni azt, hogy a vírusok kategorizálása annyiféle, ahány vírusirtó létezik. Az egyik tíz mintát tíz önálló kártevőként tart számon, a másik a saját technológiájával mind a tízet egy családba sorolja, és egy vírusdefiníciót társít hozzá. Ezért az, hogy egy vírusirtó adatbázisában hány rosszindulatú program szerepel, önmagában semmit sem árul el a szoftver hatékonyságáról.

A NOD32 3-as verziójában az egyik legfontosabb fejlesztés a program modularizálása volt: innentől kezdve nemcsak a vírusdefiníciós adatbázis frissíthető bármikor az interneten keresztül, hanem gyakorlatilag bármelyik programmodul is – hasonlóan a Windowsok automatikus frissítés funkciójához. S mire jó ez a gyakorlatban? Ha a víruslaborban látják, hogy egy új kártevőcsalád egy módosított keresési algoritmussal gyorsan felismerhető, leprogramozzák, majd ezzel frissítik a megfelelő modult. Ettől kezdve a program az egész családot felismeri, pedig a vírusadatbázis mérete változatlan maradt.  

A mintákból ettől függetlenül tényleg több tízezer fut be naponta a laborba, de ezeket automatákkal ma már jól lehet kategorizálni. Jó vírust írni amúgy nagy felkészültséget igénylő mérnöki feladat, márpedig ilyen képzett és invenciózus vírusíróból nem sok van a világon. Ezért bízhatunk mégis a vírusirtókban, mert az igazán új koncepcióra épülő károkozókból, melyek ellen nagyobb kihívás védekezni, nem sok jelenik meg – szerencsére.

Barna József