Vírusvédelem: a korszerű technológiák és a józan ész diadala

Egy neves vírusvédelmi szakemberrel beszélgettünk napjaink legtöbb kárt okozó ártalmas programjairól, illetve az azok ellen folytatott védekezés lehetőségeiről.
 

Az elismert belga biztonsági szakértő, Eddy Willems február 13-án tart előadást Budapesten, a G Data Security Dayen. A szakember több vírusvédelmi cégnél megfordult már az elmúlt években. Jelenleg a G Data evangelistája, mellette pedig az AMTSO (Anti-Malware Testing Standards Organisation) egyik igazgatója, és az EICAR (European Institute for Computer Antivirus Research) igazgatóságának tagja. Budapesti fellépése kapcsán készítettünk vele interjút.

Biztonságportál: A számítógépes vírusok folyamatosan fejlődnek, egyre kifinomultabbá válnak. A víruskutatás és -védelem szempontjából mik azok a legfontosabb változások és trendek, amelyek mind inkább megnehezítik a kutatók számára az új megoldások felfedezését?

Eddy Willems: A titkosítási technológiák és a fejlettebb kártevő-programozási technikák kombinációja, valamint a biztonsági rések újabb és újabb felbukkanása hajt bennünket az egyre jobb proaktív technológiák irányába. Ilyen például az exploit védelem és a zsaroló kártevők megelőzése. Ezeket az új lehetőségeket az év során hozzáadjuk a termékeinkhez. A böngészők támadása jellemző a banki trójaiakra, és gyakran használt módszer a jelszavakat megszerző kártevőkben is. Ez olyasvalami, amivel a G Data már megbirkózott saját, szabadalmaztatott BankGuard technológiájának segítségével.

Biztonságportál: A zsaroló kártevők (ransomware) és az olyan programok, melyek értékes adatokat titkosítanak, majd váltságdíjat követelnek a felhasználóktól, az utóbbi időben rendszeres témájává váltak a beszélgetéseknek. A CryptoLocker egy példája ennek. Véleménye szerint mi a leghatékonyabb módja, hogy elkerüljük az ilyen programok okozta károkat?

E. W.: A G Data számos technológiát kombinál annak érdekében, hogy blokkolja a legutóbbi zsaroló kártevőket, mint például a CryptoLockert is. A heurisztika, a szignatúrák, a viselkedésalapú elemzés, az ellenőrző weboldalak és a C&C szerverek blokkolása, a saját felhőalapú és CloseGap technológiánk kombinált használata akadályozza meg a ransomware-eket. Azonban jelenleg egy másik, proaktív technológián is dolgozunk, hogy még korábban megállítsuk a zsaroló kártevőket. Ez a technológia is beépül a termékeinkbe az idei év során. Egyébként pedig a napi rendszerességű biztonsági mentés a legjobb védekezés, ha fertőzötté válik egy eszköz.

Biztonságportál: Milyen intézkedéseket kell tenni, ha egy számítógépet megfertőz a CryptoLocker? Utolsó lehetőségként akár a váltságdíj kifizetése is felmerülhet?

E. W.: Az egyetlen reális megoldás, ha van egy jó biztonsági mentésünk, mert a fertőzés után a legtöbb adatot a kártevő titkosítja. Egy másik megoldás lehet, ha lecsatlakozunk a hálózatról, amikor észleljük az első problémát, hogy megállítsuk a titkosítás folyamatát, igaz lehet, hogy már ez is túl késő. Viszont soha ne fizessünk a kártevő készítőinek, még utolsó mentsvárként sem! A pénz kifizetése után is csak igen ritkán oldották fel a titkosítást, általában a felhasználókat otthagyják a titkosított adatokkal. Egyáltalán nem garantált, hogy az áldozatok visszakapják az adataikat, és mindenen felül így még a rosszfiúkat is dotáljuk, ami tényleg rossz ötlet! Abban se bízzunk, hogy a felhőbe (Dropbox stb.) készített biztonsági mentéseinket nem tudják titkosítani!

Biztonságportál: A kárt okozó programok, amelyek bothálózatokat építenek ki, szintén komoly problémákat okozhatnak, bár néhány nagyobb botnet időről időre megbénul. Melyek a legproblémásabb botnet technikák manapság, és milyen változásokat várhatunk a jövőben?

E. W.: A bothálózatok titkosító mechanizmusokat használnak a C&C központokkal történő kommunikáció során. A TOR használata, amellyel elrejtik ezeket a központokat, nagyon nehézzé teszi a megfelelő detektálásukat. A bothálózatok még sok évig maradni fognak, mivel ezek a kártevőkészítők és a szervezett bűnözők kedvencei. A kiberbűnözés szempontjából sok aspektusból felhasználhatóak, például kártékony programok és spamek terjesztésére, hátsó kapuk létrehozására, DDoS (szolgáltatásmegtagadási) támadások indítására stb.

Biztonságportál: A kiberbűnözők mely csatornákat használják leggyakrabban, hogy kártevőket és exploitokat juttassanak át a vállalatokat célzó támadások során? Melyek a legfontosabb kockázatcsökkentő intézkedések?

E. W.: A célzott támadás kivitelezése valójában nagyon könnyű, mert ez mindig a felhasználók jóhiszeműségére alapoz, és meglévő réseket használ ki. Az átverő e-maileket a potenciális áldozatoknak küldik el. Továbbá olyan oldalakon linkelnek, ahol az azonnali letöltések aktiválva vannak a célzott gépre. A legfontosabb kockázatcsökkentő intézkedés az egyes megoldások rendszeres foltozgatása, és nemcsak az operációs rendszeré, hanem az alkalmazásoké is. Fel kellene ismerni a helytelen magatartását azoknak, akik halogatják a frissítéseket, és még több figyelmet kellene szentelni e kockázatok kezelésére. Be fogok mutatni egy ilyen problémát az előadásom során. Mindezek mellett a legalábecsültebb gond még mindig a jóhiszeműségre alapozó (social engineering) bűnözés, pedig az emberi természet teszi hatástalanná a legtöbb védelmi technológiát.

Biztonságportál: A mobilos kártevők egyre inkább meghatározzák a vírustrendeket. Az androidos eszközök vannak a legnagyobb veszélyben. Hogyan látja a mobilvírusok jövőjét?

E. W: A mobilos kártevők már most nagy gondot jelentenek, és egyre inkább arra használják majd azokat, hogy bejussanak a cégek hálózataiba. Még több problémát fognak okozni, akár okostévéinkkel és más internetre kapcsolt eszközökkel (webkamerák, a jövő hűtőszekrényei, routerek, NAS-rendszerek stb.) kapcsolatban.

Biztonságportál: Milyen biztonsági intézkedéseket kell tenniük az egyéni felhasználóknak és a vállalatoknak, hogy minimalizálják a kockázatokat a mobilbiztonságot illetően?

E. W.: A józan ész használata alapvető: figyeljünk az alkalmazások frissítése és telepítése során az engedélyek megfontolt megadására. Persze egy mobilbiztonsági alkalmazás telepítése is elengedhetetlen az egyéni felhasználók számára. A vállalatoknak pedig szinte kötelező a mobileszközök központosított kezelését megszervezni. 

A G Data Security Day-en való részvétel ingyenes, de regisztrációhoz kötött.