Napjaink digitális kártevői észrevétlenek maradnak © sxc.hu

A szeptember 25-én a MOM Park mozijában megrendezett Informatikai Biztonság Napja (ITBN) arra szolgált, hogy a magyar informatikai és telekommunikációs vállalatok és szakemberek eszmét cseréljenek, s megismerkedjenek a legújabb technológiákkal, fenyegetésekkel és támadási módszerekkel. Ironikus módon a biztonságot a középpontba állító rendezvényre a bevásárlóközpont parkolóházából úgy sikerült bejutni, hogy a regisztrációt és a beléptetést megkerülve, egyből a konferenciázó tömegbe jutottunk, s senki sem kérdezte meg, hogy kerültünk oda kitűző és azonosító kártya nélkül.

Ennek ellenére – hiszen a rendezvény az informatikai biztonságról szólt – nem volt hiány a szakértői megnyilatkozásokban és a szakmai anyagokban, amelyek tanulságos adatokra világítottak rá. A Symantec felméréséből például kiderült, a magyar cégek – főként a kisvállalkozások – a legsebezhetőbbek közé tartoznak Európában, ugyanis minden ötödiket akár pénzben is kimutatható veszteség éri védelmi hiba miatt. A fenti információnak érdekes aktualitása is van az MDF-belviszály kapcsán kirobbant adatgyűjtési botrány miatt, mivel kiderült: a Nemzetbiztonsági Hivatal (NBH) szerverein nyolc kémprogramot is találtak.

Az idei ITBN egyik központi témájaként jelent meg az adatvesztés, amelyet esetenként biztonsági rések, sokszor azonban egy szervezeten belül dolgozó alkalmazottak hibája (vagy szándékossága) okoz. A szakmai napon ezzel a témával több előadás is foglalkozott.

„Az előrejelzések szerint a bizalmas adatok véletlen vagy szándékos elvesztése, kiszivárogtatása 80-90 százalékkal növekszik majd 2010-ig” – mondta előadásában Barna Tamás, a McAffee Inc. műszaki vezetője. A szakember előadásában számos példát is bemutatott a riasztó trendre; csupán egyet emelnénk ki, amely már önmagában is elég sokkoló. Eszerint idén szeptember 6-án a dél-koreai GS Caltex – amely az ázsiai ország egyik legnagyobb olajfinomítója – több mint 11 millió ügyfelének adatait tartalmazó lemezeket találtak Szöul egyik mellékutcájában. Ennél is aggasztóbb azonban az a két hete történt angliai eset, amelyről a hvg.hu is beszámolt: a brit Védelmi Minisztérium bizalmas katonai adatait tartalmazó USB-kulcsot találtak egy brit night club padlóján. Az eset kapcsán kiderült: az elmúlt négy évben több mint 120 hasonló adathordozót veszítettek el, több olyat is, amelyen nemzetbiztonsági szempontból érzékeny információk is szerepeltek.

Az ITBN-en elérhető szakmai anyagokból kiderült, 2007-ben paradigmaváltás következett be a rosszindulatú kódsorok, kémszoftverek és hasonló digitális károkozók működésében. Az amatőrök idejének befellegzett, s a napjainkban pusztító és titokban az adatainkat gyűjtögető szoftverek jelentős részét már nem ügyes kezű informatikus-aspiránsok, hanem komoly mérnöki hátterű csapatok állítják össze – erre utal legalábbis a legújabb rendszerek összetettsége és kifinomultsága.

Az idei év informatikai biztonságra vonatkozó kutatási trendjei emellett a fejlődő és a védelmi szoftverek újításaihoz alkalmazkodó károkozók evolúciójára koncentrálnak. A kéretlen reklámlevelek, vagyis a spamek mennyisége ugyanis 100 százalékos gyarapodást mutat, az elmúlt egy év során ez napi 120 milliárd efféle üzenetet jelent. Ez annyit tesz, hogy a Föld minden egyes lakosára napi 20 spam jut. A mennyiségi gyarapodás mellett a spamek technológiailag is komoly fejlődésen mentek keresztül. A Cisco Systems tanulmánya szerint 2007-ben a spamek 83 százalékában szerepelt valamilyen internetes cím, URL, míg napjainkra a különböző rosszindulatú szoftver-technológiák kombinálásának következtében az URL-alapú vírusok mennyisége nem kevesebb mint 256 százalékkal emelkedett.

Már a zombihálózatok is védekeznek © sxc.hu

Ennél is lényegesebb, hogy megjelentek az önmagukat védő rosszindulatú szoftverek (malware). Ezek közül is kiemelkedik a Storm zombigéphálózat (botnet), amely a gondatlan felhasználók által megfertőzött számítógépek millióiból álló rendszeren keresztül terjeszkedik. A Storm-botnet napjainkra olyan fejlettségi szintet ért el, amit az Ironworks biztonsági cég szakemberei szerint csak megfelelő képzettségű mérnökök és kellő kutatás-fejlesztési munkával lehet kivitelezni.

A vírusok működése is átalakult. Míg korábban egy-egy támadás nagy hírverés közepette még akár a napilapok címlapjára is felkerült, a mai digitális károkozók jobban szeretnek észrevétlenül meghúzódni a háttérben, s képesek alkalmazkodni, többféle formában (polimorfikus
vírusok) is tudnak működni.

A Cisco tanulmányából kiderül, hogy a vírusírók a tavalyi év során számos új technológiával kísérleteztek. Jelentős mértékben megnőtt a különböző csatolmányokkal operáló spamlevelek mennyisége, ez az arányokat tekintve több mint 200 százalékos növekedést jelent. A csatolmányok típusai is bővültek, míg 2006-ban jellemzően különböző képfájlokkal próbálták rávenni a gyanútlan felhasználót a féregvírusok és kémprogramok telepítésére, addig a tavalyi évben már megjelentek a videoállományokat, powerpoint-prezentációkat, vagy akár hanganyagokat tartalmazó spamek is. A prezentációk és a tömörített zip-állományok külön kihívást jelentenek a modern tűzfalak és biztonsági szoftverek számára, ugyanis ezeken belül nehezebben tudnak keresni a rosszindulatú kódsorokra.

A különböző kiterjesztésű állományok használatára egyszerű a magyarázat: amikor egy-egy új módszert bevetnek, a spamek egy ideig – amíg a vírusirtó és tűzfalfejlesztő cégek nem reagálnak – gondtalanul juthatnak keresztül akár a legnagyobb vállalatok védelmén is. Jó példa erre a tavaly augusztusi és október kitörés, amikor excel-táblázatokkal és mp3-fájlokkal támadtak a spamterjesztők. Az előbbi típusból – éppen annak elterjedtsége miatt – mindössze öt nap leforgása alatt több mint egymilliárd üzenetet sikerült elküldeni. Az mp3 esetében pedig egy új megközelítésnek is tanúi lehettek az áldozatok: a kéretlen reklámszöveget nem a levél testében leírva találták meg (ezért még a legkifinomultabb szűrők sem érzékelték a „behatolást”), hanem a fájlt elindítva hang formájában bombázták őket a reklámokkal.

Napjainkra pedig még aggasztóbb trend terjedt el igen széles körben: az URL-alapú spamek mára a teljes mennyiség – ne feledjük, ez napi 120 milliárd üzenetet jelent – 83 százalékát jelentik. Az ilyen típusú levelekben általában rövid szöveg található, webcímmel, amelyre rákattintva az áldozat gépe azonnal megfertőződik egy trójai vírussal, amely végezhet adatgyűjtést a gépen, de akár a fent említett Storm-hálózat tagjává is teheti immár zombivá váló gépünket.

Tavaly jelent meg a Feebs nevet viselő, önterjesztő féregvírus, amely lehetővé teszi a támadók számára, hogy távolról átvegyék az irányítást a fertőzött gépek felett, s személyes adatokat lopjanak a gépekről. Különösen veszélyes, mivel működése során a számítógépről kimenő e-maileket továbbító SMTP-szerverhez kapcsolódva fertőzött Zip-fájlt csatol a levelekhez, amelyeket a címzett fél nagyobb eséllyel nyit meg, hiszen úgy véli, megbízható forrástól kapta az üzenetet. Ha a címzett megnyitja a küldeményt, a gép megfertőződik, a Feebs a háttérben telepíti magát a gépre, ahol még arra is képes, hogy a hálózaton keresztül frissítse magát és a legújabb fejlesztésű változatot terjessze tovább.

Hogyan ne váljon a gépünk zombihálózat tagjává?

A Techline tippjeivel elkerülhetjük, hogy megfertőződjön a gépünk. Tovább>>

Az Ironworks biztonsági cég által megkérdezett szakértők szerint a Feebs különösen nagy fenyegetést jelent, mivel a feltételezések szerint a Storm zombigéphálózat méreteivel vetekedő saját rendszert épít ki, ám, mivel ezt sokkal csendesebben és észrevétlenebbül csinálja, nagyságrendjére jelen pillanatban még következtetni is nehéz. Az informatikai biztonsággal foglalkozó szakemberek szerint az efféle fenyegetésekkel szemben ma már nem elégséges egyetlen tűzfal vagy antivírus szoftver alkalmazása, s ennél is fontosabb az úgynevezett nulladik napos védelem (Zero Day Threat Protection), amely az első kitörések észlelésekor gondoskodik a számítógép védelméről.

A Storm-hálózat hierarchikus felépítés helyett P2P-rendszerben működik © sxc.hu

A Storm és a Feebs hálózatok olyan megközelítést jelentenek az informatikai biztonság terén, amit a szaknyelv közösségi alapokon nyugvó rosszindulatú szoftvernek (social malware) nevez. Az előbbi hálózat a web 2.0 újításait alkalmazva gyorsan mozgó, dinamikusan változó, nehezen észlelhető és még nehezebben visszakövethető módszerek segítségével terjed. Fő tulajdonsága többek között az önterjesztés: a hálózat tagjává váló gépek maguk is spamküldő robotokká alakulnak, amelyek többféle, folyamatosan változó webcímekre irányítják a gyanútlan áldozatokat, akik ezáltal maguk is a zombigépek sorát erősítik a továbbiakban. 


A korábbi bothálózatokat még központi irányítással vezérelték, hierarchikus struktúrában. A Storm-gépek azonban az úgynevezett peer-to-peer fájlcserélő hálózatokhoz hasonlóan (ahol az egyes gépek közvetlenül kapcsolódnak egymáshoz, saját kommuikációs protokollok segítségével) működnek, ami egyrészt nehezíti a visszakövetést, másrészt a hálózat méretére sem enged következtetni. Különösen riasztó, hogy ez a hálózat már önvédelmi mechanizmusok segítségével igyekszik elkerülni az ellene irányuló támadásokat, ugyanis észleli a különböző biztonsági cégek elemzési kísérleteit, illetve azt, ha megpróbálják visszafejteni (reverse engineering) működésének pilléreit. Emellett úgynevezett drive-by módszerekkel használja ki az egyes böngészők biztonsági réseit, ami annyit tesz, hogy a felhasználónak elég megnéznie egy adott weboldalt és a gépén észlelhető biztonsági kockázatokról a hálózat értesül, az áldozatnak nem kell telepítenie a rosszindulatú szoftvert, ezáltal a Storm-fertőzés észrevétlenül meg tud húzódni a háttérben.

A Cisco Trend Report kitér egy másik aggasztó módszerre is: a megbízható weboldalak megfertőzésére. Ez sok esetben annyit jelent, hogy a támadók egy-egy weboldal forráskódjában majdhogynem észrevehetetlen kódsort helyeznek el, ami az oda látogató internetezők gépeit támadja, illetve a fenti módszerek segítségével zombigépet csinál komputerükből. A Google felmérése szerint a keresőmotor által indexelt oldalak esetében minden 10 site-ból 1 tartalmazott efféle rosszindulatú kódot, s ennél is ijesztőbb, hogy a webalapú fertőzések nem kevesebb mint 70 százaléka megbízhatónak tartott oldalakról indult ki. Ezen a téren a vírusírók, illetve a botnet-üzemeltetők különleges érzékkel fertőznek meg olyan honlapokat, amelyek kifejezetten magas nézettségűek, illetve valamilyen esemény kapcsán azzá válhatnak. Jó példa erre az amerikai futball liga (NFL) legjelentősebb rendezvénye, a döntő, vagyis a Super Bowl, amely az USA egyik legnagyobb érdeklődésnek örvendő eseménye. A tavalyi finálé előtt a támadók megfertőzték a Miami Dolphins csapatának, illetve a Dolphins stadionjának a weboldalát. Ezzel a módszerrel több tízezer gépre juttathatták el a rosszindulatú kódokat.

A biztonsági cégek igyekeznek tartani a lépést a Storm és a Feebs-hálózatokhoz hasonló fenyegetésekkel, hasonló módszerek alkalmazásával. A Panda Security például augusztus 29-én mutatta be az első aktív, közösségi vírusirtó modellt, melynek lényege, hogy az azonos vírusirtó szoftvereket használó PC-tulajdonosok biztonsági hálózatot alkotnak, és egymásnak segítenek a vírusok felismerésében és kivédésében. Ez a Storm-hálózathoz hasonló rendszer talán elejét veheti, hogy a különböző biztonsági rések kihasználásával gépek ezrei változzanak zombivá.

„A jelenleg használt proaktív védelem sajnos csak 70-90 százalékos sikerrel véd a még ismeretlen fenyegetések ellen" – nyilatkozta a bemutató kapcsán Sándor Zsolt, a Panda Security magyarországi igazgatója. „Ez önmagában jó aránynak tűnne, de ha naponta háromezer fenyegetés bukkan fel, már a 10 százalék is óriási kockázatot jelent."

A „Kollektív Intelligencia" egy központi szerverhez kapcsolódva a Panda szoftvert használó PC-tulajdonosok gépeiből egyetlen hatalmas hálózatot képez, amely igazi vírusirtó-közösségként működik: ha valamelyik gép fertőzést fedez fel, azonnal értesíti a többit is.

A valódi védelem azonban továbbra is a felhasználók kezében van, s mint a fentiekből kiderül, ma már akkor sem lehetünk teljesen nyugodtak, ha telepítettünk tűzfalat és vírusirtó szoftvert a gépünkre. A felelősségteljes internethasználat és a rendszeres ellenőrzés ugyanakkor hozzájárulhat, hogy a digitális kártevőket elkerüljük, vagy ha már megfertőzték gépünket, megszabaduljunk tőlük.