... hanem többféle megkérdőjelezhető tevékenységhez, így például a bûnözéshez is felhasználható. Ezért kell folyamatosan egyre gyorsabb és intelligensebb technológiákat kifejleszteni az óvatlan felhasználók védelme érdekében.

A rosszindulatú kódok új és hatékonyabb generációja révén újabb kommunikációs csatorna nyílt meg az internetes bûnözők előtt a kártékony programok terjesztésére. Az adatátvitel sebessége már nem jelent akadályt a rosszindulatú kódok számára. A kódok veszélyességének kulcsa a program írójának szándéka: a rosszindulatú kód ma már - ellentétben a korábbi gyakorlattal - nem az intellektuális kihívások miatt születik, hanem pusztán a pénzszerzés céljából.

Az internet többé már nem a számítógép-rajongók játszótere, nem is egyszerû marketingcsatorna vagy egy vállalat online katalógusának megjelenítésére alkalmas hely. Az internet a világ leggyorsabban növekvő piactere, és a hálózaton megjelenő tartalmak egyre nagyobb része kapcsolódik így vagy úgy az elektronikus kereskedelemhez. Ez a fejlődés a rosszindulatú kódok szerzőinek új generációját hívta életre: a számítógépes bûnözőket. Az ilyen kódot általában meghatározott célból írják, jellemzően sávszélesség, számítási teljesítmény vagy információk eltulajdonítására. Előfordulhat, hogy a támadás egyetlen jól kijelölt célpont ellen irányul, de megcélozhatja a világ megfelelően összeválogatott számítógépeinek csoportjait is. A fertőzött számítógépek száma mindkét esetben korlátozott.

A számítógépes bûnözők számára ideális, ha több kisebb méretû fertőzést hozhatnak létre, minél precízebben kiválasztott áldozatokkal. A cél, hogy egyszerre minél több fontos célponthoz törhessenek be úgy, hogy amennyire lehet, elkerüljék a média érdeklődését. A hírek ugyanis felkeltik a számítógép-felhasználók figyelmét, akik megtisztítják a fertőzött számítógépeket, és telepítik a megfelelő védelmi megoldásokat. Ennek elkerülése természetesen nagyobb mértékû fejlesztést igényel a rosszindulatú kód alkotójától, azonban ez nem jelent problémát, mivel a bûnözői tevékenység profitjából a legtöbb esetben megtérül a befektetett munka.

A vírusvédelmi gyártók számára az a tény jelent kihívást, hogy egy új vírusmotor elemzése ugyanannyi munkát jelent a laboratórium számára, függetlenül a fertőzés méretétől. Tíz kisebb fertőzést sokkal nehezebb kezelni, mint egyetlen nagyot, még akkor is, ha a fertőzött számítógépek száma megközelítőleg azonos. Előfordulhat az is, hogy a laboratóriumnak beküldött minták kisebb fertőzések esetén lassabban érkeznek be. Hosszabb ideig tart, amíg a kód egy-egy példánya eléri a hálózatra kitett "csaliszámítógépek" valamelyikét. De a rosszindulatú kódok szerzőinek új generációja nem csak több kódot készít, hanem a korábbiaknál hatékonyabbakat is, sokszor olyanokat, amelyeket már teszteltek a meglévő proaktív rendszereken. Ez természetesen azt jelenti, hogy egy sikeres védelmi rendszernek mindkét technika erősségeit egyesítenie kell.

A reaktív védekezésről

A hagyományos reaktív ellenőrzés már a kezdetektől fogva a legtöbb vírusvédelmi termék alapját képezte, és ez a szerepe várhatóan megmarad a jövőben is. A rosszindulatú kódok hagyományos ellenőrzése során a gyanús kódmintákat egy laboratóriumi vírusszakértő elemzi. A kutató meghatározza a minta természetét. Amennyiben a minta rosszindulatú kódnak minősül, az észleléshez és eltávolításhoz használt kód bekerül a definíciós adatbázisba.

A fő különbség a reaktív és a proaktív technológia között éppen az intelligens ember, akire szükség van a frissítések és a rosszindulatú kódok mintáinak kezeléséhez. A víruslaboratórium munkakörülményei egyediek, a munka során nagymértékben speciális szakértelemre van szükség, és a rendelkezésre álló idő nagyon rövid. Bármekkora szakértelemmel rendelkezik és bármennyire gyors is a laboratórium csapata, mindig időre van szükség, amíg a reaktív védelem frissítései eljutnak az ügyfelekhez.

A hagyományos, kódrészleteket vizsgáló ellenőrzések mûködéséhez szükséges új kódok folyamatos frissítése azonban sosem volt problémamentes. Kezdetben azért, mert a fejletlen adathálózatok csupán szórványosan voltak képesek közvetíteni az új kódrészleteket, ugyanakkor a számítógépek közötti kapcsolatok hiánya csökkentette a rosszindulatú kódok terjedési sebességét. A reaktív ellenőrző technológia számos hátránnyal rendelkezik, de rugalmasságával, pontosságával és adaptálhatóságával még egyetlen más elérhető technológia sem volt képes felvenni a versenyt.

A proaktív védelem: azonnali és intelligens - de nem tökéletes

A nagysebességû, szélessávú kapcsolatok kilencvenes évek végén tapasztalható ugrásszerû elterjedése sokkal hatékonyabb környezetet teremtett a vírusvédelmi definíciós adatbázisok terjesztéséhez. A hagyományos, passzív számítógépvírust felváltotta az aktívan terjedő féreg. Az első megfigyelés és a nagyméretû fertőzések között eltelt idő hónapokról néhány órára esett vissza. A legújabb modern fenyegetések esetében, amelyeket gyakran célzott "nulladik napi támadásoknak" neveznek, a reagálásra felhasználható idő gyakorlatilag nullára csökken.

A vírusvédelmi szoftverek kifejlesztésének egyik fő célja ma már tehát a hatékony és aktív védelem biztosítása a rosszindulatú kódok ellen. Az utóbbi években egyre gyorsabban terjednek a rosszindulatú kódok által okozott fertőzések, így nehezebb biztosítani, hogy minden végfelhasználó a legfrissebb védelemmel rendelkezzen. E problémák megoldására születtek a heurisztikus ellenőrző technikák és az alapvető, gyanús mûködést figyelő és azt blokkoló megoldások, amelyek számos vírusvédelmi termékben megtalálhatók az utóbbi évtizedben.

A heurisztikus ellenőrzés nem az ismert rosszindulatú kódokat keresi, hanem figyeli a potenciálisan rosszindulatúnak minősíthető mûködést. A vizsgálóeszköz ellenőrzi a vírusok esetében tipikus kódrészleteket, majd gyanúsként jelöli meg a fájlt, ha ilyen jellegû tulajdonságokat vél felismerni. Ez kezdetnek elmegy, de amennyiben az ellenőrző eszköz érzékenysége a legtöbb rosszindulatú kód felismerése érdekében magasra van állítva, a hibás riasztások száma emelkedni fog. Egy hibás riasztás pedig legalább annyi fejfájást okozhat, mint egy valódi fertőzés. Emiatt a heurisztikus keresés a szakértő felhasználók számára jól használható eszköz, de a mûszaki téren nem járatos felhasználók számára a hibás riasztások miatt nem igazán alkalmazható.

A viselkedés alapján történő blokkolás és a hostalapú behatolás-megelőző rendszerek (HIPS, Host-based Intrusion Prevention System) manapság egyre gyakrabban találhatók meg a modern proaktív védelmi rendszerekben. Ezek a rendszerek nem a fájlokban található kódokat vizsgálják, ahogy azt a hagyományos heurisztikus ellenőrző eszközök tették. Ehelyett érzékelőket hoznak létre a rendszerben, amelyek vizsgálják a futó programok által végrehajtott mûveleteket, és szükség esetén képesek azokat megakadályozni. Így sokkal pontosabb képet alkotnak a futó programok szándékairól, mivel képesek követni és irányítani annak aktuális, futtatás közben tapasztalható tevékenységét.

Az alapvető probléma azonban továbbra is az, hogy az egyes futtatható fájlok azonosítása nem történik meg, és a döntéshozó rendszereknek a fájl tevékenysége alapján kell dönteniük annak természetéről. Az algoritmusok hangolhatók úgy, hogy minden esetben reagáljanak, de így számos hibás riasztást küldenek. Vagy úgy is hangolhatók, hogy ne zavarják a mûszaki téren nem járatos felhasználót, de így előfordulhat, hogy futni hagynak bizonyos rosszindulatú kódokat. Összességében a heurisztika kompromisszumot jelent az észlelési pontosság és a felhasználó szükségtelen zavarása között - ezt gyakran a megoldás "zajszintjének" nevezik.

A proaktív védelem másik problémája, hogy egy szakképzett programozó kitalálhatja a rosszindulatú kódok készítésekor, hogy milyen mintákat keres a proaktív rendszer, és úgy módosíthatja kódját, hogy az ne okozzon riasztást. A proaktív védelem alapvetően azt jelenti, hogy a vírusvédelmi szoftver teszi meg az első lépést, amelyre a rosszindulatú kód szerzője válaszol.

A reaktív és proaktív védelmi megközelítések előnyeit és hátrányait figyelembe véve könnyû megérteni, hogy az ideális megoldásnak mindkét megközelítés elemeit együttesen kell alkalmaznia. Ideális esetben a két technológiának zökkenőmentesen kell együttmûködnie, és egy valóban megbízható, teljes körû megoldássá kell kiegészíteniük egymást.

(Forrás: www.sg.hu)