Interjú: a vírusvédelem jelene és jövője
A globális, roppant komoly pusztításokat előidéző támadások ellenére még mindig nagyon sokan félvállról veszik a vírusvédelmet. Pedig ez az információbiztonság egyik legfontosabb alappillére.A vírusvédelem nagyon sokat változott az évek során. Ma már többszintű, hibrid megoldásokkal oltalmazhatók a rendszerek. Azonban csakis akkor beszélhetünk hatékony védelemről, ha a felhasználók, üzemeltetők megfelelő gondossággal járnak el a biztonság minden területén. Petrányi-Széll Andrást, a G DATA szoftvereit forgalmazó V-Detect Antivírus Kft. ügyvezetőjét arról kérdeztük, hogy milyen változásokon ment keresztül a vírusvédelem, és annak fejlődését mennyiben befolyásolták a folyamatosan megújuló technológiák, illetve a különféle fenyegetettségek.
Biztonságportál: Tapasztalata szerint megrendült-e a bizalom az antivírus termékek iránt az olyan nagyszabású, jelentős károkat okozó támadások következtében, mint amiket a WannaCry vagy a NoPetya zsarolóprogramok idéztek elő?
Petrányi-Széll András: Nem. Nagy víruskitörések régebben is voltak. 2000-ben az I Love You, 2004-ben a MyDoom, 2009-ben pedig a Zeus fertőzte végig a világot. Aztán idén kettőt is kaptunk a nyakunkba: a WannaCry és a Petya zsarolóvírusokat. Ez azért tűnhet hirtelennek, mert az elmúlt években a bűnözők a globálisan terjedő kártevők készítése helyett inkább a lokális, célzott támadásokra koncentráltak. Így a laikusok számára meglepetés lehetett, hogy ismét globális fertőzéshullámokról beszélhetünk, de ha a számok mögé nézünk, akkor láthatjuk, hogy a kártevők száma minden platformon folyamatosan emelkedik, és „boldog békeidőkről” egyáltalán nem beszélhetünk.
E kártevők ellen az elsődleges védelmet mindig is az antivírus termékek nyújtották, és most is azok nyújtják. A mi tapasztalatunk az, hogy a WannaCry és a Petya kártevőket is szinte azonnal felismerték és blokkolták a neves vírusvédelmi szoftverek, és a legtöbb fertőzés emberi mulasztásra vezethető vissza. Általában az derül ki, hogy nincsenek telepítve az operációs rendszer frissítései, nem volt frissítve a vírusvédelem, vagy az az adott gépen nem futott.
A probléma a rendszergazdákkal az, hogy leterheltek, nem jut idejük arra, hogy a vírusvédelem-menedzsment felületét napi szinten megnyissák, és gondoskodjanak a hibák és hiányosságok elhárításáról. Egy magára hagyott, nem frissített vírusvédelem pedig nyilvánvalóan nem nyújt megfelelő védelmet. Amíg a közigazgatási szektorban 3-4 hónapot kell arra várni, hogy a felettes gazdasági hivatal jóváhagyja a vírusvédelem licencének megújítását, addig rendkívül nehéz lesz a rendszergazdák élete!
Sokan úgy gondolják, hogy ha a víruskeresők megkerülhetők, akkor azokat nem is érdemes telepíteni, illetve frissíteni. Ezzel azonban további jelentős kockázatnak teszik ki a rendszereiket. Mit tanácsol e felhasználók számára?
Azt, hogy gondolják újra, hogy miről beszélnek. A vírusvédelem a „zár az ajtón”. Engedje meg, hogy kibontsam ezt az analógiát! Ma egyre jobb és jobb zárakat gyártanak. Nem lehet őket egy darab dróttal egyszerűen kinyitni, mint a régi zárat a nagyszüleink fészerén. Sőt! Egy modern biztonsági zár csak irreálisan nagy energiabefektetés mellett törhető fel. Ugyanakkor ez nem jelenti azt, hogy a házba ne lehetne más módon bejutni. Ha valaki bemászik az ablakon, az ellen a zár nem véd. Telepíteni kell tehát az operációs rendszer és a harmadik fél által gyártott alkalmazások frissítéseit.
És ez még mindig nem véd attól, hogy a takarítónő felírja a zár kombinációját egy cetlire, majd a cetlit elhagyja a ház előtt. Az emberi mulasztásra visszavezethető fertőzések esetében hiába beszélünk a „zár” minőségéről. Nyilvánvaló tehát, hogy nem elég felszerelni a jó zárat. Be kell csukni az ablakot, és gondoskodni kell róla, hogy a kombináció ne egy cetlire legyen felírva. Az is egyértelmű, hogy a „zárak” mellett helye van más technológiáknak is: behatolásmegelőző rendszereknek, adatszivárgást megelőző rendszereknek, a hálózati forgalom elemzésének és természetesen a tűzfalas védelemnek.
Fejlett és jól működő zárakra, azaz vírusvédelemre azonban továbbra is szükség van, és ha leszerelnénk az összes zárat, akkor aztán végleg szabad lenne a bejárás minden lakásba!
Az információbiztonság napjainkra már egy szerteágazó, nagyon komplex területté nőtte ki magát. Ebben a szövevényes – vállalati környezetekben sok erőforrást lekötő – világban a korszerű víruskeresőknek milyen szerepet kell vagy kellene betölteniük?
A víruskeresők látják el a kliensek és szerverek alapvető védelmét. Megkerülhetetlen védelmi technológiát jelentenek, amelyet „kötelező” alkalmaznia minden gondolkodó embernek.
Szeretném ugyanakkor hangsúlyozni, hogy a mai vírusvédelem nem ugyanaz a vírusvédelem, mint amiről akár néhány évvel ezelőtt beszéltünk. A régi, úgynevezett szignatúrákon vagy magyarul vírusleírásokon alapuló vírusvédelem már nyilvánvalóan nem elegendő önmagában. Ezért a neves vírusvédelmi termékekben ma különböző technológiák komplex halmaza található meg, amelyek együttesen nyújtanak megfelelő védelmet.
A G DATA esetében például beszélhetünk egy dupla keresőmotoros, szignatúra alapú védelemről. Ez az alap védelmi vonal, amely a két keresőmotor optimalizált együttműködésének köszönhetően máris több, mint a hagyományos, egy motort használó vírusvédelem. Ezt azonban kiegészíti egy fejlett heurisztika, majd a felhő alapú e-mail- és fájlreputáció-védelem. Ezek mellé csatlakozik a magatartás alapú védelem (a gépen futó programok viselkedésének kiterjesztett elemzése), majd a leütésvédelem (billentyűzetfigyelés ellen). Az elmúlt években melléjük került be az exploit protection, amely a harmadik fél által gyártott alkalmazások sérülékenységei ellen nyújt védelmet a memóriában futó folyamatok felügyeletével.
Aztán beszélhetünk a G DATA szabadalmaztatott böngészőfelügyeleti megoldásáról, a BankGuard technológiáról, amely a trójaiak ellen nyújt vírusvédelmet a böngészők monitorozásának segítségével. És végül – ebben az évben – megszületett a dedikált zsarolásvédelem is. A zsarolásvédelem egy olyan új G DATA technológia, amely kikapcsolt vírusvédelem mellett is képes megállítani a WannaCry és a Petya, valamint az ezekhez hasonló kártevőket. A zsarolásvédelem azt monitorozza, hogy egy külső folyamat akar-e tömegesen fájlokat megváltoztatni a gépen, és ha ilyet tapasztal, akkor megállítja a folyamatot, majd értesíti a felhasználót. Ez egy olyan új technológia, amihez még a szignatúrákat sem kell frissíteni, és mégis képes megállítani a legújabb titkosító kártevőket is.
A vírusvédelem tehát folyamatosan fejlődik, és a gyártók mindent megtesznek annak érdekében, hogy lépést tartsanak a követelményekkel. A neves vírusvédelmi gyártók a leginnovatívabb cégek közé tartoznak! Nélkülük egy pillanat alatt bukna el az ismert és működő világunk: megállnának a szolgáltatások, a számítógépek, az internet.
Petrányi-Széll András
Mi a véleménye az úgynevezett új generációs vírusvédelmekről?
Az új generációs vírusvédelem egy buzzword, marketingblabla. A G DATA több mint 30 éve gyárt vírusvédelmi rendszereket. Az ESET és a Kaspersky 30 éve. Mindhárom cégre igaz, hogy az alapítói, azok a szakemberek, akik az első vírusvédelmi szoftvereket kódolták, máig részt vesznek a cég életében. Ezek a gyártók a történetük során számos alkalommal megújultak, és álltak elő olyan új technológiákkal, amelyeket az előzőekben említettem. A mai vírusvédelmi szoftverek teljesen más elvek alapján (is) működnek, mint 1987-ben.
Ha maradhatunk a zár analógiájánál, akkor több évtizede működő, megbízható gyártókhoz képest az új generációs vírusvédelem olyan, mintha a jól működő, több ponton záródó acélbetétes biztonsági záramat cserélném le egy androidos, érintőképernyős, 6 hónapja kifejlesztett felhő alapú rendszerre, amely a belépőkódomat egy távoli szerveren tárolja. Egyáltalán nem biztonságos, de csillog-villog, és jól lehet vele demózni. Az elmúlt hónapokban derült ki például egy új generációs vírusvédelmi rendszerről, hogy vállalati adatokat szivárogtat, mivel az átvizsgálandó fájlokat a helyi hálózatból feltölti egy felhő alapú adatbázisba, melyet adott esetben harmadik fél üzemeltet. Az ilyen vírusvédelem nem biztonságos, és a felismerési teljesítményével is lesznek gondok.
A felhasználók, üzemeltetők leginkább a zsarolóprogramoktól tartanak. A naprakész víruskeresőkön és a rendszeres biztonsági mentéseken kívül milyen kiegészítő védelem javasolható e tekintetben (alkalmazások fehérlistázása, hozzáférés-kezelés stb.)?
Rengeteg biztonsági cég adott már tanácsokat, amelyeket érdemes megfogadni. Mi is írtunk erről a blogunkban. Valóban, az alkalmazáskontroll egy jó lehetőség, amelynek a használatát mi is ajánljuk üzleti környezetben. Beállítható például, hogy csak adott mappákból fussanak alkalmazások, így az asztalról vagy a temp folderből elinduló zsarolóvírusok működése blokkolásra kerül. De még egyszer szeretném hangsúlyozni: a legtöbb fertőzés a nem telepített frissítésekre, a nem telepített víruskeresőkre vagy a kikapcsolt, blokkolt, nem frissített vírusvédelemre vezethető vissza. Túl sokszor találkoztam már azzal, hogy „elindítottuk a (vírusirtó) licenc meghosszabbítását, csak még nem hagyta jóvá a gazdasági osztály”. Túlnyomó részt tehát humán problémáról van szó, így még mindig ott tartunk, hogy először higgye el a kedves vezér, hogy kártevők léteznek, másodszor legyen anyagi erőforrás a vírusirtólicenc beszerzésére, harmadszor legyen ideje és energiája a rendszergazdának a telepítésre, majd a rendszeres és folyamatos menedzsmentre.
A biztonsági cégek is egyre inkább építenek a cloud computing adta lehetőségekre. Napjaink vírusvédelmét mennyiben tudják előmozdítani a felhős technológiák?
A vírusvédelem több mint 10 éve épít a felhőre. A G DATA 2006-ban építette be a termékeibe az Outbreak Shield technológiát, amely egy felhő alapú adatbázisból kéri le a számítógépre beérkező e-mailek hash-ét. A felhő alapú technológiákat tehát már jó ideje használják a gyártók, egyáltalán nem újdonságról van szó. Ne tévesszék meg a marketingesek csatái: vannak olyan „új generációs” védelmet gyártó cégek, amelyek megtalálták maguknak a „felhőt”, és ezzel a most népszerű buzzworddel próbálják eladni a termékeiket.
Minden modern vírusvédelemnek részét képezik tehát a különböző felhős technológiák, ugyanakkor az látszik, hogy a felhős technológiák önmagukban nem képesek védelmet nyújtani a kártevők ellen. Komplex vírusvédelmi rendszerekre van szükség, amelyek hibrid technológiákkal működnek.
A mobilbiztonság területén továbbra is az androidos kártékony programok vannak középpontban. Ezek egyre gyakrabban kerülik meg a Google védelmi technológiáit, és kerülnek be a Play áruházba. A mobilbiztonsági szoftverek milyen módon és milyen hatásosan képesek detektálni ezeket a nemkívánatos alkalmazásokat?
Az androidos vírusvédelem egy új terület. 2011-ben összesen 4 ezer kártékony kódot ismertünk. Ma pedig többmilliós nagyságrendről beszélünk, és naponta jelenik meg majd 10 ezer új kártevő. Az biztos, hogy olyan szoftvert választanék a telefonom védelmére, amit egy olyan gyártó készített, amelyik már több évtizede az antivírus-iparág szereplője. Ezek a gyártók megbízható alkalmazásokat készítenek. Viszont nem érdemes kísérletezni a „super antispyware 2020” és a hasonló programokkal. Az androidos védelmi piac ebből a szempontból még vadnyugat: sok új cég próbált meg beszállni, de a legtöbb közülük gyorsan kikopik, amikor a felhasználók rájönnek, hogy csak egy színes kezelőfelületet képesek nyújtani.
Tavaly a Mirai botnet már bebizonyította, hogy az internetképes, IoT-eszközök is kiszolgáltatottak, és azokat a kiberbűnözők könnyedén a saját javukra fordíthatják, például botnetek kiépítéséhez, illetve elosztott szolgáltatásmegtagadási támadásokhoz. Az antivírus gyártókra milyen szerep hárul ezen a területen? Számíthatunk-e arra, hogy az IP-kameráktól az okosmosógépekig bezárólag minden elterjedt netes eszközt víruskeresők fognak védeni a jövőben?
Nagyon nagy divat „okos” dolgokat gyártani. A telefonomról megnézem a kaputelefonom kamerájának a képét, vagy elindítom a mosógépet, hogy végezzen a mosással, mire hazaérek. A gyártók igyekeznek előnyt kovácsolni az ilyen fejlesztésekből, a fogyasztók pedig szívesen vásárolják a „felokosított” termékeket. Nyomás van a gyártókon tehát, kényszer arra, hogy egyre gyorsabban álljanak elő az új funkciókkal. A biztonság ebben a tekintetben pedig nyolcadrangú szempont, nem fontos. „Majd ha kiderül, befoltozzuk.” Nem elsősorban víruskeresőkre van tehát szükség, hanem körültekintőbb fejlesztésre, iparági szabványokra, jogszabályalkotásra. Remélem, hogy már néhány éves távlatban előnyére változik a helyzet.
Egyre többször kerül előtérbe a gépkocsik, különösen az okosautók sebezhetősége. Egy vírusvédelmi cég miként látja az okosjárművek jövőjét biztonsági szempontból?
Ugyanúgy, mint a többi okos eszközét. Fontos lenne a körültekintő, biztonságtudatos fejlesztés. Szükség lenne iparági együttműködésekre, szabványokra, jogszabályok megalkotására. Ezért nem lebecsülhető az állam szerepe. Kézbe kell venni a dolgokat, szabályozni. Mondok egy más jellegű példát: Magyarországon ha egy webshop szeretne hírlevelet küldeni a vásárlóinak, akkor adatkezelési nyilvántartási számot kell igényelnie a NAIH-tól (Nemzeti Adatvédelmi és Információszabadság Hatóság), és az adatkezelés tényét be kell jelentenie. Ettől függetlenül viszont forgalomba hozható egy olyan játék mackó, amely a beépített mikrofonja segítségével rögzíti a vele játszó gyermek hangját, majd ezt a hangfelvételt továbbítja egy külföldi országban hosztolt szerverre.
Az okos eszközök funkcionalitását, működésmódját tehát ugyanúgy szabályozni kell, mint bármilyen más hagyományos tevékenységet. Az önvezető járművek vagy okosautók kérdése ebből a szempontból egy különösen fontos terület: egyetlen sérülékenységnek messzire vezető következményei lehetnek. A Halálos iramban filmsorozat nyolcadik részében ezt a fantáziát már messzire vezette az író: hekkerek több száz autó felett veszik át az irányítást, majd az zombiautó-hordát egy védett konvoj ellen irányítják. Remélem, hogy ide soha nem fogunk eljutni, az okosautók és okoseszközök védelme azonban jelenleg sokkal inkább tervezési, mint vírusvédelmi kérdés.
-
A Trend Micro Deep Security Agent for Windows egy biztonsági hibát rejt.
-
A Google Chrome legújabb verziója négy biztonsági hibajavítással érkezett.
-
A Fortinet kritikus veszélyességű hibáról adott tájékoztatást.
-
Az Apache Tomcat két sebezhetőséget tartalmaz.
-
Számos biztonsági javítás érkezett a Foxit PDF-kezelő szoftverekhez.
-
Fél tucat biztonsági javítás érkezett a Moodle-hoz.
-
Egyre intenzívebben használják ki a támadók az Apache Struts biztonsági hibáját.
-
A Google ChromeOS két biztonsági javítást kapott.
-
A GFI Archiver három biztonsági hibát tartalmaz.
-
Az SAP tíz új és három frissített biztonsági tájékoztatóban számolt be sebezhetőségekről.
Találkoztál már az online térben adathalászokkal? Estél már áldozatául vírusoknak, hackereknek? Ismered az online veszélyeket és védekezel is ellenük?
Az ESET HOME Security legújabb verziója új és továbbfejlesztett funkciókkal véd a személyazonosságlopás, az adathalászat és más fenyegetések ellen.