A globális, roppant komoly pusztításokat előidéző támadások ellenére még mindig nagyon sokan félvállról veszik a vírusvédelmet. Pedig ez az információbiztonság egyik legfontosabb alappillére.
A vírusvédelem nagyon sokat változott az évek során. Ma már többszintű, hibrid megoldásokkal oltalmazhatók a rendszerek. Azonban csakis akkor beszélhetünk hatékony védelemről, ha a felhasználók, üzemeltetők megfelelő gondossággal járnak el a biztonság minden területén. Petrányi-Széll Andrást, a G DATA szoftvereit forgalmazó V-Detect Antivírus Kft. ügyvezetőjét arról kérdeztük, hogy milyen változásokon ment keresztül a vírusvédelem, és annak fejlődését mennyiben befolyásolták a folyamatosan megújuló technológiák, illetve a különféle fenyegetettségek.
Biztonságportál: Tapasztalata szerint megrendült-e a bizalom az antivírus termékek iránt az olyan nagyszabású, jelentős károkat okozó támadások következtében, mint amiket a WannaCry vagy a NoPetya zsarolóprogramok idéztek elő?
Petrányi-Széll András: Nem. Nagy víruskitörések régebben is voltak. 2000-ben az I Love You, 2004-ben a MyDoom, 2009-ben pedig a Zeus fertőzte végig a világot. Aztán idén kettőt is kaptunk a nyakunkba: a WannaCry és a Petya zsarolóvírusokat. Ez azért tűnhet hirtelennek, mert az elmúlt években a bűnözők a globálisan terjedő kártevők készítése helyett inkább a lokális, célzott támadásokra koncentráltak. Így a laikusok számára meglepetés lehetett, hogy ismét globális fertőzéshullámokról beszélhetünk, de ha a számok mögé nézünk, akkor láthatjuk, hogy a kártevők száma minden platformon folyamatosan emelkedik, és „boldog békeidőkről” egyáltalán nem beszélhetünk.
E kártevők ellen az elsődleges védelmet mindig is az antivírus termékek nyújtották, és most is azok nyújtják. A mi tapasztalatunk az, hogy a WannaCry és a Petya kártevőket is szinte azonnal felismerték és blokkolták a neves vírusvédelmi szoftverek, és a legtöbb fertőzés emberi mulasztásra vezethető vissza. Általában az derül ki, hogy nincsenek telepítve az operációs rendszer frissítései, nem volt frissítve a vírusvédelem, vagy az az adott gépen nem futott.
A probléma a rendszergazdákkal az, hogy leterheltek, nem jut idejük arra, hogy a vírusvédelem-menedzsment felületét napi szinten megnyissák, és gondoskodjanak a hibák és hiányosságok elhárításáról. Egy magára hagyott, nem frissített vírusvédelem pedig nyilvánvalóan nem nyújt megfelelő védelmet. Amíg a közigazgatási szektorban 3-4 hónapot kell arra várni, hogy a felettes gazdasági hivatal jóváhagyja a vírusvédelem licencének megújítását, addig rendkívül nehéz lesz a rendszergazdák élete!
Sokan úgy gondolják, hogy ha a víruskeresők megkerülhetők, akkor azokat nem is érdemes telepíteni, illetve frissíteni. Ezzel azonban további jelentős kockázatnak teszik ki a rendszereiket. Mit tanácsol e felhasználók számára?
Azt, hogy gondolják újra, hogy miről beszélnek. A vírusvédelem a „zár az ajtón”. Engedje meg, hogy kibontsam ezt az analógiát! Ma egyre jobb és jobb zárakat gyártanak. Nem lehet őket egy darab dróttal egyszerűen kinyitni, mint a régi zárat a nagyszüleink fészerén. Sőt! Egy modern biztonsági zár csak irreálisan nagy energiabefektetés mellett törhető fel. Ugyanakkor ez nem jelenti azt, hogy a házba ne lehetne más módon bejutni. Ha valaki bemászik az ablakon, az ellen a zár nem véd. Telepíteni kell tehát az operációs rendszer és a harmadik fél által gyártott alkalmazások frissítéseit.
És ez még mindig nem véd attól, hogy a takarítónő felírja a zár kombinációját egy cetlire, majd a cetlit elhagyja a ház előtt. Az emberi mulasztásra visszavezethető fertőzések esetében hiába beszélünk a „zár” minőségéről. Nyilvánvaló tehát, hogy nem elég felszerelni a jó zárat. Be kell csukni az ablakot, és gondoskodni kell róla, hogy a kombináció ne egy cetlire legyen felírva. Az is egyértelmű, hogy a „zárak” mellett helye van más technológiáknak is: behatolásmegelőző rendszereknek, adatszivárgást megelőző rendszereknek, a hálózati forgalom elemzésének és természetesen a tűzfalas védelemnek. Fejlett és jól működő zárakra, azaz vírusvédelemre azonban továbbra is szükség van, és ha leszerelnénk az összes zárat, akkor aztán végleg szabad lenne a bejárás minden lakásba!
Az információbiztonság napjainkra már egy szerteágazó, nagyon komplex területté nőtte ki magát. Ebben a szövevényes – vállalati környezetekben sok erőforrást lekötő – világban a korszerű víruskeresőknek milyen szerepet kell vagy kellene betölteniük?
A víruskeresők látják el a kliensek és szerverek alapvető védelmét. Megkerülhetetlen védelmi technológiát jelentenek, amelyet „kötelező” alkalmaznia minden gondolkodó embernek.
Szeretném ugyanakkor hangsúlyozni, hogy a mai vírusvédelem nem ugyanaz a vírusvédelem, mint amiről akár néhány évvel ezelőtt beszéltünk. A régi, úgynevezett szignatúrákon vagy magyarul vírusleírásokon alapuló vírusvédelem már nyilvánvalóan nem elegendő önmagában. Ezért a neves vírusvédelmi termékekben ma különböző technológiák komplex halmaza található meg, amelyek együttesen nyújtanak megfelelő védelmet.
A G DATA esetében például beszélhetünk egy dupla keresőmotoros, szignatúra alapú védelemről. Ez az alap védelmi vonal, amely a két keresőmotor optimalizált együttműködésének köszönhetően máris több, mint a hagyományos, egy motort használó vírusvédelem. Ezt azonban kiegészíti egy fejlett heurisztika, majd a felhő alapú e-mail- és fájlreputáció-védelem. Ezek mellé csatlakozik a magatartás alapú védelem (a gépen futó programok viselkedésének kiterjesztett elemzése), majd a leütésvédelem (billentyűzetfigyelés ellen). Az elmúlt években melléjük került be az exploit protection, amely a harmadik fél által gyártott alkalmazások sérülékenységei ellen nyújt védelmet a memóriában futó folyamatok felügyeletével.
Aztán beszélhetünk a G DATA szabadalmaztatott böngészőfelügyeleti megoldásáról, a BankGuard technológiáról, amely a trójaiak ellen nyújt vírusvédelmet a böngészők monitorozásának segítségével. És végül – ebben az évben – megszületett a dedikált zsarolásvédelem is. A zsarolásvédelem egy olyan új G DATA technológia, amely kikapcsolt vírusvédelem mellett is képes megállítani a WannaCry és a Petya, valamint az ezekhez hasonló kártevőket. A zsarolásvédelem azt monitorozza, hogy egy külső folyamat akar-e tömegesen fájlokat megváltoztatni a gépen, és ha ilyet tapasztal, akkor megállítja a folyamatot, majd értesíti a felhasználót. Ez egy olyan új technológia, amihez még a szignatúrákat sem kell frissíteni, és mégis képes megállítani a legújabb titkosító kártevőket is.
A vírusvédelem tehát folyamatosan fejlődik, és a gyártók mindent megtesznek annak érdekében, hogy lépést tartsanak a követelményekkel. A neves vírusvédelmi gyártók a leginnovatívabb cégek közé tartoznak! Nélkülük egy pillanat alatt bukna el az ismert és működő világunk: megállnának a szolgáltatások, a számítógépek, az internet.
Mi a véleménye az úgynevezett új generációs vírusvédelmekről?
Az új generációs vírusvédelem egy buzzword, marketingblabla. A G DATA több mint 30 éve gyárt vírusvédelmi rendszereket. Az ESET és a Kaspersky 30 éve. Mindhárom cégre igaz, hogy az alapítói, azok a szakemberek, akik az első vírusvédelmi szoftvereket kódolták, máig részt vesznek a cég életében. Ezek a gyártók a történetük során számos alkalommal megújultak, és álltak elő olyan új technológiákkal, amelyeket az előzőekben említettem. A mai vírusvédelmi szoftverek teljesen más elvek alapján (is) működnek, mint 1987-ben.
Ha maradhatunk a zár analógiájánál, akkor több évtizede működő, megbízható gyártókhoz képest az új generációs vírusvédelem olyan, mintha a jól működő, több ponton záródó acélbetétes biztonsági záramat cserélném le egy androidos, érintőképernyős, 6 hónapja kifejlesztett felhő alapú rendszerre, amely a belépőkódomat egy távoli szerveren tárolja. Egyáltalán nem biztonságos, de csillog-villog, és jól lehet vele demózni. Az elmúlt hónapokban derült ki például egy új generációs vírusvédelmi rendszerről, hogy vállalati adatokat szivárogtat, mivel az átvizsgálandó fájlokat a helyi hálózatból feltölti egy felhő alapú adatbázisba, melyet adott esetben harmadik fél üzemeltet. Az ilyen vírusvédelem nem biztonságos, és a felismerési teljesítményével is lesznek gondok.
A felhasználók, üzemeltetők leginkább a zsarolóprogramoktól tartanak. A naprakész víruskeresőkön és a rendszeres biztonsági mentéseken kívül milyen kiegészítő védelem javasolható e tekintetben (alkalmazások fehérlistázása, hozzáférés-kezelés stb.)?
Rengeteg biztonsági cég adott már tanácsokat, amelyeket érdemes megfogadni. Mi is írtunk erről a blogunkban. Valóban, az alkalmazáskontroll egy jó lehetőség, amelynek a használatát mi is ajánljuk üzleti környezetben. Beállítható például, hogy csak adott mappákból fussanak alkalmazások, így az asztalról vagy a temp folderből elinduló zsarolóvírusok működése blokkolásra kerül. De még egyszer szeretném hangsúlyozni: a legtöbb fertőzés a nem telepített frissítésekre, a nem telepített víruskeresőkre vagy a kikapcsolt, blokkolt, nem frissített vírusvédelemre vezethető vissza. Túl sokszor találkoztam már azzal, hogy „elindítottuk a (vírusirtó) licenc meghosszabbítását, csak még nem hagyta jóvá a gazdasági osztály”. Túlnyomó részt tehát humán problémáról van szó, így még mindig ott tartunk, hogy először higgye el a kedves vezér, hogy kártevők léteznek, másodszor legyen anyagi erőforrás a vírusirtólicenc beszerzésére, harmadszor legyen ideje és energiája a rendszergazdának a telepítésre, majd a rendszeres és folyamatos menedzsmentre.
A biztonsági cégek is egyre inkább építenek a cloud computing adta lehetőségekre. Napjaink vírusvédelmét mennyiben tudják előmozdítani a felhős technológiák?
A vírusvédelem több mint 10 éve épít a felhőre. A G DATA 2006-ban építette be a termékeibe az Outbreak Shield technológiát, amely egy felhő alapú adatbázisból kéri le a számítógépre beérkező e-mailek hash-ét. A felhő alapú technológiákat tehát már jó ideje használják a gyártók, egyáltalán nem újdonságról van szó. Ne tévesszék meg a marketingesek csatái: vannak olyan „új generációs” védelmet gyártó cégek, amelyek megtalálták maguknak a „felhőt”, és ezzel a most népszerű buzzworddel próbálják eladni a termékeiket.
Minden modern vírusvédelemnek részét képezik tehát a különböző felhős technológiák, ugyanakkor az látszik, hogy a felhős technológiák önmagukban nem képesek védelmet nyújtani a kártevők ellen. Komplex vírusvédelmi rendszerekre van szükség, amelyek hibrid technológiákkal működnek.
A mobilbiztonság területén továbbra is az androidos kártékony programok vannak középpontban. Ezek egyre gyakrabban kerülik meg a Google védelmi technológiáit, és kerülnek be a Play áruházba. A mobilbiztonsági szoftverek milyen módon és milyen hatásosan képesek detektálni ezeket a nemkívánatos alkalmazásokat?
Az androidos vírusvédelem egy új terület. 2011-ben összesen 4 ezer kártékony kódot ismertünk. Ma pedig többmilliós nagyságrendről beszélünk, és naponta jelenik meg majd 10 ezer új kártevő. Az biztos, hogy olyan szoftvert választanék a telefonom védelmére, amit egy olyan gyártó készített, amelyik már több évtizede az antivírus-iparág szereplője. Ezek a gyártók megbízható alkalmazásokat készítenek. Viszont nem érdemes kísérletezni a „super antispyware 2020” és a hasonló programokkal. Az androidos védelmi piac ebből a szempontból még vadnyugat: sok új cég próbált meg beszállni, de a legtöbb közülük gyorsan kikopik, amikor a felhasználók rájönnek, hogy csak egy színes kezelőfelületet képesek nyújtani.
Tavaly a Mirai botnet már bebizonyította, hogy az internetképes, IoT-eszközök is kiszolgáltatottak, és azokat a kiberbűnözők könnyedén a saját javukra fordíthatják, például botnetek kiépítéséhez, illetve elosztott szolgáltatásmegtagadási támadásokhoz. Az antivírus gyártókra milyen szerep hárul ezen a területen? Számíthatunk-e arra, hogy az IP-kameráktól az okosmosógépekig bezárólag minden elterjedt netes eszközt víruskeresők fognak védeni a jövőben?
Nagyon nagy divat „okos” dolgokat gyártani. A telefonomról megnézem a kaputelefonom kamerájának a képét, vagy elindítom a mosógépet, hogy végezzen a mosással, mire hazaérek. A gyártók igyekeznek előnyt kovácsolni az ilyen fejlesztésekből, a fogyasztók pedig szívesen vásárolják a „felokosított” termékeket. Nyomás van a gyártókon tehát, kényszer arra, hogy egyre gyorsabban álljanak elő az új funkciókkal. A biztonság ebben a tekintetben pedig nyolcadrangú szempont, nem fontos. „Majd ha kiderül, befoltozzuk.” Nem elsősorban víruskeresőkre van tehát szükség, hanem körültekintőbb fejlesztésre, iparági szabványokra, jogszabályalkotásra. Remélem, hogy már néhány éves távlatban előnyére változik a helyzet.
Egyre többször kerül előtérbe a gépkocsik, különösen az okosautók sebezhetősége. Egy vírusvédelmi cég miként látja az okosjárművek jövőjét biztonsági szempontból?
Ugyanúgy, mint a többi okos eszközét. Fontos lenne a körültekintő, biztonságtudatos fejlesztés. Szükség lenne iparági együttműködésekre, szabványokra, jogszabályok megalkotására. Ezért nem lebecsülhető az állam szerepe. Kézbe kell venni a dolgokat, szabályozni. Mondok egy más jellegű példát: Magyarországon ha egy webshop szeretne hírlevelet küldeni a vásárlóinak, akkor adatkezelési nyilvántartási számot kell igényelnie a NAIH-tól (Nemzeti Adatvédelmi és Információszabadság Hatóság), és az adatkezelés tényét be kell jelentenie. Ettől függetlenül viszont forgalomba hozható egy olyan játék mackó, amely a beépített mikrofonja segítségével rögzíti a vele játszó gyermek hangját, majd ezt a hangfelvételt továbbítja egy külföldi országban hosztolt szerverre.
Az okos eszközök funkcionalitását, működésmódját tehát ugyanúgy szabályozni kell, mint bármilyen más hagyományos tevékenységet. Az önvezető járművek vagy okosautók kérdése ebből a szempontból egy különösen fontos terület: egyetlen sérülékenységnek messzire vezető következményei lehetnek. A Halálos iramban filmsorozat nyolcadik részében ezt a fantáziát már messzire vezette az író: hekkerek több száz autó felett veszik át az irányítást, majd az zombiautó-hordát egy védett konvoj ellen irányítják. Remélem, hogy ide soha nem fogunk eljutni, az okosautók és okoseszközök védelme azonban jelenleg sokkal inkább tervezési, mint vírusvédelmi kérdés.
A cikk eredetileg a Biztonságportálon jelent meg