További Biztonság cikkek
Szőr Péter a világ leghíresebb olyan antivírus-szakembere, akiről nem neveztek el vírusirtót. Nem sok híja volt: egykori közvetlen munkatársai közül Eugene Kaspersky és John McAfee is így járt. Péter ehelyett könyvéről, a Vírusvédelem művészetéről lett híres (meg arról, hogy több mint egy évtizeden át volt a Norton Antivirus egyik vezető fejlesztője), amit a szakmában gyakorlatilag bibliaként forgatnak, és több helyen tankönyvként is használják. A könyv most megjelent magyarul is (az első fejezet szabadon letölthető innen), ennek apropóján beszélgettünk a világhírű víruselemzővel.
Mi inspirál valakit arra, hogy vírusvédelmi kutató legyen?
Először a nyolcvanas években, a Commodore-gépek idejében olvastam számítógépes vírusokról a 64'er című német magazinban, és lenyűgözött, hogy ilyesmi létezik, programok fertőznek, terjednek, átveszik az uralmat a gépek felett. Pár év múlva vettem meg az első pécémet, és egyszer csak a nagyjából háromhetes gépem kiírta, hogy „Your PC is now stoned” - ez volt az első személyes találkozásom vírusokkal.
Borzasztóan kíváncsi voltam, hogy hogyan működnek ezek a dolgok, hogyan lehet védekezni ellenük. Az egyetemen már vírusvédelemből írtam a diplomamunkámat, utána megírtam a Pasteurt, bementem vele 24 évesen az OTP-be, hogy jó napot kívánok, lenne itt egy vírusirtó, amire szükségük van. És tényleg szükségük volt. Aztán 1996-ban kikerültem Finnországba a mai F-Secure elődjéhez, onnan meg Los Angelesbe a Symantechez.
Írt valaha vírust?
Nem. Olyan kódokat persze írtam, amik a vírusokhoz hasonlóan működnek, például elrejtik magukat az operációs rendszer vagy a vírusirtó elől, ez a része annak a folyamatnak, amikor az ember megpróbálja megérteni a vírus működését, vagy tesztelni a védelmét. Védekezni mindig nehezebb és érdekesebb kihívás, mint vírust írni.
Mik most az igazán érdekes területek a vírusok világában?
Iszonyú izgalmas terület például a mutálódó vírusoké: amikor egy rosszindulatú program úgy van megírva, hogy véletlenszerűen változtassa meg saját magát, hogy ezzel nehezítse a vírusvédelmi szoftvernek az azonosítását. Ilyenkor pontosan az az evolúció megy végbe, ami a természetben. Mutálódik a vírus, létrejön ezer variációja, és ebből egy véletlenül éppen olyan lesz, hogy mondjuk meghív egy Windows-rendszerfunkciót, és kinyit egy ablakot. A vírusvédelmi rendszer meg ezt látja, és azt mondja, vírusok ilyet nem szoktak csinálni, és elkönyveli ártalmatlan programnak. Így ez a variáció fog aztán túlélni, elterjedni, és tovább mutálódni.
Milyen területen fejlődnek mostanában leginkább a vírusok?
Az utóbbi években nem sok igazán új technika jelent meg, eltekintve az új platformoktól, mint az iPhone-ra tervezett kártevők, vagy a Facebookot célba vevő féregprogramok. Az első tíz évben, a számítógépes vírusok hőskorában kb. tízezer vírus jelent meg. Évente ezer. Hát nagyjából ennyi egyedi dolgot lehet csinálni. Most naponta van 20-30 ezer új trójai program, amiket automaták “írnak”. 12 egy tucat, egyik olyan, mint a másik lényegeben, de a detektálás szemszögéből nehéz a helyzet. A nagyüzem ellen pedig mi is csak automatizálással tudunk lépni. Ma már robot robot ellen küzd.
Régen lehetett látni, hogy valaminek, amit Bulgáriában írtak, sajátos ismertetőjegyei vannak. Vagy hogy a magyar és szlovák és német eredetű vírusok is mások és egyediek. Keveset kölcsönöztek egymástól, mindenki önállóan fejlesztett. Az internet a programozást is globalizálja, és csökkenti az egyediséget nagyon sok szinten. Az elmúlt öt évben több mint ötmillió trójai program jelent meg az interneten, de a legtöbb nagyon trehány munka, és egyáltalán nem érdekes a visszafejtésük. A korai vírusok számomra sokkal izgalmasabbak voltak.
Mit tart a vírusok következő legvalószínűbb célpontjának?
A telefonok és más mobil platformok, mint az iPad, vírusai és trójai programjai valószínűleg előbb-utóbb olyan gyakoriak lesznek, mint a mai asztali számítógép vírusai. Ehhez csak az kell, hogy egy adott környezetet használjon az emberek legalább 30-40 százaléka. Akkor mar megéri a támadónak. A támadások mindig azokon a platformokon a leggyakoribbak, amiket legtöbben használnak. Ha mindenki a Facebookot használja, akkor ezzel próbálnak visszaélni.
A média gyakran kelt pánikot egy-egy vírus körül. A valóságban mennyire volt veszélyes például a Storm botnet, vagy a Conficker féreg, amikről azt beszélték, hogy az egész internetet le tudnák bénítani?
Nehéz túlbecsülni azt, hogy mennyire veszélyesek lehetnek a rosszindulatú programok. Megesett már, hogy egy vírus kiütötte az egyik legnagyobb amerikai bank összes ATM-jét, egy másik meg megfertőzte az áramszolgáltatók rendszerét, és áramszünetet csinált az egész keleti parton. Egy kellően agresszív új vírus gyakorlatilag fél órán belül meg tud fertőzni mindent az interneten, így sajnos néha a pánik nem túlzás.
Mind a Storm, mind a Conficker jelentősek voltak. Még pár hónapja is azt a jelentést lehetett olvasni, hogy több mint 6 millió számítógép fertőzött Conficker féreggel. Ez gyakorlatilag többet tud felmutatni a legnagyobb szuperszámítógép teljesítményénél, és több forgalmat okoz az interneten, mint bármi más. A Storm azért jelentős, mert az első hulláma volt a sokszorosított, enyhén mutált kódnak, amiben azonban nincs semmi polimorf önfejlesztő kód elrejtve. A szervereken változtatták a kódot, és ez eléggé megnehezítette a védekezést.
A vírusírók és az antivíruscégek állandó fegyverkezési versenyben vannak - meg lehet ezt a háborút nyerni, vagy mindig a vírusírók után fog egy fél lépéssel tartani az antivírusszakma?
Az utóbbi öt évben évben a szervezett bűnözés vette át a vírusírást a világon. Onnantól kezdve, hogy a kártékony programok írása üzlet, és nagyobb a profit rajta, mint a védekezésen, nem sok jót lehet jósolni ebben a háborúban. Az antivírus-programok próbálnak lépést tartani, de a támadók olyan előnyben vannak, amit nagyon nehéz behozni. És minden egyre gyorsul, mert az egyre jobb és eredményesebb védekezés újabb fejlődéshez vezet a támadásokban.
Ha a vírusüzlet a szervezett bűnözés kezében van, a vezető antivírus-szakemberek konkrétan a maffia ellenségei. Megfordul néha az ember fejében, hogy azt, aki csak negyedannyit keresztbe tesz a maffiának mint ő, a filmekben már rég lelőtték volna?
Pár éve Eugene Kasperskyvel beszélgettem arról Moszkvában, hogy vajon eljön-e az az idő, amikor a maffia megkeresi őt, vagy akár engem személyesen. Igen, ez egy teljesen reális lehetőség, de szerencsére még nem történt ilyesmi, és remélem továbbra is úgy fogják látni a túloldalon, hogy hatékonyabb mód inkább újabb és újabb vírusokkal küzdeni ellenünk.
Hogyan büntetné a vírusok íróit?
Jogszabályokat próbálnak alkotni, de nehéz ezzel elérni bármit. Azokat kellene célba venni, akik az egészet irányítják, de a klasszikus maffia elleni küzdelem sem éppen könnyű feladat. Én inkább megmaradok a technológiai válasz adta lehetőségnél. Egyébként sok nagy cég alkalmaz csoportokat, akik a támadásokat próbálják visszakövetni, és személyekhez kötni, gyakran eredményesen. A Microsoft gyakran ajánl fel pénzt is a nyomravezetőknek, ami segíthet, de nem minden esetben.
Mennyire gyorsan történnek a dolgok ebben a szakmában? Ha elmegy két hétre nyaralni, és kikapcsol telefont, internetet, mindent, mennyire szalad el a világ?
Erre azt az anekdotát tudom elmesélni, amikor évekkel ezelőtt a Virus Bulletin konferenciára utaztam, Budapestről Prágába. Két óra volt a repülőút, leszállás után beültem egy taxiba és mentem a hotelembe. A taxisofőr megkérdezte, mivel foglalkozom, és miután megtudta hogy számítógépes vírusokkal, elkezdett kérdezgetni, hogy mi ez a Nimda nevű féreg, amiről a rádióban beszélnek. Akkor hallottam róla először, ugyanis azalatt tört ki, fertőzött meg több százezer gépet, és keltett pánikot a világon, amíg én a repülőn ültem.
Sok vírusirtó szakember mondja azt, hogy a vírusoknál sokkal veszélyesebb a felhasználók hülyesége, mert az ellen nem lehet védekezni. Okosabbak a mai felhasználók, mint mondjuk a tíz évvel ezelőttiek, nehezebb őket egy vírussal átverni?
Ezzel a felfogással nem értek teljesen egyet. Persze, szükség van arra, hogy a felhasználó tanuljon, mert nem lehet mindent a technológiával leküzdeni. De a felhasználóra mutogatni, hogy miért csinálta ezt vagy azt, szerintem nem helyes. Ha nincs frissítve a gép, a felhasználó a felelős, vagy az operációs rendszer? Ha valaki belenéz egy neki küldött pdf vagy doc vagy xls fájlba, amiben vírus van, ő a hibás a fertőzés miatt?
Tökéletes védelem sajnos nincs. Ha a felhasználó képzettebb, akkor a védelem is eredményesebb, de nem várhatjuk el mindenkitől, hogy megértse a számítógép összes belső tulajdonságát, és tökéletesen használja. Azt sem várhatjuk el senkitől, hogy ne lehessen beugratni és átverni. A valós életben is mindennaposak az átverések, és látjuk, hogy könnyű beugrani valakit. A felhasználó hibáztatása helyett jobb védelmeken kell dolgozni, és persze megtanítani a felhasználót arra, hogy jobban védekezzen, és tudja, mire számítson a neten.
Milyen operációs rendszert és böngészőt használ a privát gépén?
Azt ne mondjam meg, melyik port van nyitva? Milyen kihasználható hibával?
Hűha, nagyon indiszkrét volt a kérdés?
Á, csak viccelek. De kicsit azért olyan nekem ez a kérdés, mintha azt kérdeznék, hogy nyitva hagyom-e az ablakot, ha elmegyek otthonról, és mikor vagyok otthon, és ott van-e a kulcs a lábtörlő alatt. Minden támadás első lépése a célba vett gép környezetének vizsgálata: milyen operációs rendszer fut, milyen alkalmazásokkal, milyen hibákat lehet kihasználni.
De egyébként elárulom, a Mac OSX-et szeretem. A milliónyi windowsos kártevő mellett megnyugvás Macet használni - nem azért, mert biztonságosabb, vagy jobb, hanem mert az olyan környezetben, ami ritkább, kevesebb a támadás is. És persze futtatok virtuális gépeket, ami éppen kell. Főleg Ubuntu és Windows XP.
Böngészők közül a Firefoxot és a Safarit szeretem, de néha mást is használok. Próbálok új böngészőket kipróbálni, de nem túl hamar, a legújabbaktól óvakodom, inkább olyat használok, ami már legalább egy éve ismert, és biztonságosnak vélt. Ezeket beállítom, biztonságossá teszem, amennyire csak lehet, és használok tűzfalprogramokat. Mielőtt egy új programot futtatok, átnézem kézzel, és utána is körülnézek gyakran, hogy mi a helyzet. Rendszeresen ellenőrzöm a futó programok listáját, vagy hogy mi indul el automatikusan, amikor bekapcsolom a gépet.
Egy átlagfelhasználótól persze nem várható el ugyanez. De amit nagyon nem ajánlok senkinek, az a Windows XP SP2 Internet Explorer 6 böngészővel. Az ilyen rendszer a fertőzések melegágya.
Kövesse az Indexet Facebookon is!
Követem!
