2011. október. 24. 12:30 hvg.hu Utolsó frissítés: 2011. október. 24. 12:01 Tech

Hogyan lehet védekezni az újfajta trójai vírus ellen?

Az elmúlt napokban egy Stuxnet-szerű új vírust fedeztek az internet-biztonsági szakértők. A Duqu névre hallgató trójai elsősorban ipari létesítményeket és azok tervezőit célozta meg, egy ellenük irányuló későbbi támadás előhírnöke lehet.

Hogy miként lehet egy ilyen támadás ellen védekezni, arról Gombás László, a téma egyik szakértője így nyilatkozott a hvg.hu-nak: „Az olyan távoli elérést biztosító trójai vírus (RAT) ellen, mint a Duqu a vállalatok már többféle technológiával védekezhetnek. Megfelelő autentikációs (azonosító) rendszerek bevezetésével, valamint olyan végpontvédelmi megoldások használatával, amelyek már észlelik és elhárítják a „nulladik napi sérülékenységeket” a szervezetek kivédhetik az effajta trójai vírusok megjelenését. (A Wikipedia szerint a nulladik napi támadás egy olyan biztonsági fenyegetés, ami valamely számítógépes alkalmazás olyan sebezhetőségét használja ki, amit még nem hoztak nyilvánosságra, a szoftver fejlesztője nem tud róla, vagy nem érhető még el az azt foltozó biztonsági javítás.)

A Duqu és a Stuxnet

A Duqu kísérteties hasonlóságot mutat a világ egyik legkifinomultabb vírusával, a Stuxnettel. A fenyegetést “Duqu”-nak nevezték el, mert “~DQ” előtagú fájlneveket hoz létre. A Duqu néhány része közel azonos a Stuxnettel, amely korábban ipari létesítményeket támadott meg.

Az idei adatfeltöréseket és a vírusok térnyerését meg lehetne előzni, ha a szervezetek a meglévő compliance-előírásaikhoz (megfeleltetési előírásokhoz, belső biztonsági szabályozásokhoz) megfelelő szoftvert használnának – véli Gombás, aki a Symantec információbiztonsági cég szakértője.

A specialista szerint egy ilyen szoftver felülvizsgálja a szervezeti előírások betartását és jelent, ha veszélyt észlel. Ilyen veszélyek lehetnek a gyenge jelszó használat, a tűzfal inaktivitása, valamint egy vírus megjelenése.

A szakértő hallott olyan spekulációkról is, amely szerint a W32.Duqu károkozóval a tanúsítvány kibocsátó szervezetek támadását is megcélozhatják a kiberbűnözők. A Symantec nem erősítette meg ezt a feltételezést, de éppen ezért hívta fel a figyelmet arra, hogy a tanúsítvány-kibocsátók szigorú biztonsági előírásokra tesznek javaslatokat, így például arra, hogy a hálózati infrastruktúrákba és megfelelő biztonsági alkalmazásokba beruházni kell, illetve szigorú és következetes autentikációs (azonosító) folyamatokat kell kiépíteni a cégnek. (Vagyis tudnia kell a vállalatnak, hogy valaki vagy valami tényleg az-e, akinek, aminek mondja magát.) A széleskörű auditálásra és jelentések bevezetésére is szükség van, ahogyan figyelni kell a betörésekről érkező értesítésekre és megfelelő óvintézkedéseket is kell tenni.