További Infó cikkek
Korunk informatikai kultúrája, vagy inkább kultúrálatlansága, a technikai és a kommunikációs eszközök többnyire gyenge minősége, a számítógépek Interneten történő összekapcsolása, és az elektronikus levelezés szabályozás nélküli elterjedése olyan helyzetet teremtett, amely láthatóan kedvező környezetet biztosít a károkozó vagy információszerző programok, azaz a számítógépes vírusok szaporodásának, terjedésének.
A "Kinek jó ez az áldatlan állapot és mennyit keres vele?" típusú kérdésre sajnos nem tudjuk a pontos választ, de legalább javaslatot teszünk a kérdés jelen körülmények közötti, műszaki szempontból lehetséges rendezésére. Nem lesz olcsó mulatság, ezt már most eláruljuk.
A vírusvédelmi rendszerrel szemben támasztott követelmények
Az alábbiakban összefoglaljuk azokat az alapvető követelményeket, amelyeket minden újonnan bevezetendő vagy átalakítandó vírusvédelmi rendszerrel szemben támasztani kell ahhoz, hogy a feladatát a jelen körülmények között a lehető legjobban elláthassa:
- Minden beviteli ponton és csillagponton védő, egységes, automatikusan frissülő, központilag menedzselhető, automatikus naplózási és riasztási funkciókat teljesítő rendszer legyen.
- Az aktív vírusvédelemmel nem rendelkező kliens gépek esetében megoldható legyen a hálózati hozzáférés tiltása.
- Több, különböző vírusminta együttes alkalmazása szükséges.
- A védelmi szoftvernek jó minőségűnek és kellő gyakorisággal aktualizáltnak kell lennie, hogy felismerési hatékonysága maximális legyen.
- A védelmi szoftvernek minden potenciális támadási ponton aktívan üzemelnie kell. A közvetlenül nem potenciális támadási pontokon üzemelő víruskeresők a rendszer redundanciáját - és ezzel üzembiztosságát - növelik, ezzel szemben az általános sebességet csökkentik.
- A védelmi szoftvernek minden ponton az adott intézmény informatikai biztonsági stratégiájával összhangban álló konfigurációval kell rendelkeznie.
- A kiválasztott vírusvédelmi rendszernek az alábbi keresési menedzsment technológiákat kell ismernie és használnia:
- Ismert minták keresése: Hagyományos, adatbázis alapján történő víruskeresési technológia.
- Variációs technológia: Egyes vírusok a hagyományos keresési technológia ellen védekezve a szaporodás során megváltoztatják saját kódjukat. A kódváltoztatások azonban követhető törvényszerűségek alapján működnek, amelyek felismerésére a variációs technológia képessé teszi a víruskereső szoftvert.
- Heurisztikus keresés: Olyan kódsorozatok utáni keresés, amelyek vírus jelenlétére utalnak, ily módon a korábbról nem ismert vírusok is jó eséllyel megtalálhatók.
- Virtuális gép módszer: A vírusvédelmi szoftver ún. virtuális gépen, a számítógép memóriájának elkülönített részén indítja a futtatható kódot. Vírusra utaló magatartás esetén a kód a valós gépen nem kerül futtatásra.
- Makró leltár: A vírusvédelmi szoftver egy makró gyűjteményt tart nyílván, amely tartalmazza azokat a makrókat, amelyek engedélyezve vannak egy szervezeten belül. A nem engedélyezett makrók futtatását a rendszer megakadályozza.
- Karantén technológia: Olyan esetben, amikor a védelmi szoftver nem tudja eltávolítani a vírust a fertőzött fájlból, lehetőség van az adott fájl elkülönítésére, hogy azt a felhasználók tovább ne használhassák és így a vírus ne tudjon továbbterjedni.
- Frissítés az Interneten keresztül: A vírusvédelmi rendszernek rendelkeznie kell egy olyan frissítési megoldással, amely rendszeresen és automatikusan biztosítja a termék aktualizálását, ismeretanyagának naprakészségét. Napjainkban erre a célra leginkább az Interneten keresztül történő frissítés használható. A frissítés lehetőleg ne időzítéssel (pl. naponta egyszer) történjen, hanem letöltése a szoftvergyártó által kiadott frissítés megjelenése után lehetőleg a legrövidebb időn belül automatikusan történjen meg. Ennek egyik módszere, hogy az intézménynél levő vírusvédelmi rendszer szervere folyamatosan figyeli a szoftvergyártó által kiadott frissítéseket és változás esetén automatikusan letölti a szükséges fájlokat.
- Távoli telepítés: A vírusvédelmi rendszert, illetve annak frissítéseit vagy saját (beépített) eljárásaival, vagy az informatikai menedzsment rendszer segítségével központi helyről kell telepíteni.
- Riasztás: Vírusokkal kapcsolatos események bekövetkeztekor a vírusvédelemért felelős informatikus és a munkaállomások felhasználói számára is üzenetet kell küldeni a feltételezett vírusveszélyről.
- Állapot lekérdezés: A vírusvédelmi szoftvernek biztosítania kell, hogy a vírusvédelemért felelős informatikus bármikor lekérdezhesse, hogy a munkaállomásokon működnek-e a vírusvédelmi szoftver megfelelő moduljai, stb.
- A kiválasztott vírusvédelmi rendszernek támogatnia kell mindazokat a platformokat, illetve mindazokat a központi alkalmazásokat, amelyeket az informatikai rendszer a felhasználók számára szolgáltatásként nyújt. Ehhez kapcsolódóan elsősorban az Internet hozzáférésre, a levelező rendszerre, a központi dokumentációtárolásra, a titkosító rendszerekre és egyéb irodai alkalmazásokra kívánjuk felhívni a figyelmet. Alapvető elvárás, hogy a vírusvédelmi rendszer megfelelően integrálható legyen ezekkel a kulcsalkalmazásokkal, és rendelkezzen megfelelő modulokkal a különböző operációs rendszerek (mind szerver, mind munkaállomás esetén) számára.
- A fenti szempontoknak megfelelően fontossági sorrendben a következő vírusvédelmi rétegek kialakítása szükséges:
- A legfontosabb a munkaállomások ellenőrzése, mivel ezek jelentik a vírusok által megcélzott elsődleges támadási felületet. A víruskereső szoftvernek minden lehetséges bejutási pontot ellenőriznie kell (floppylemez, CD-ROM, hálózat, e-mail, stb.).
- A rendszerben működő fájl- és applikációszerverek másodlagos támadási felületet jelentenek. Védelmük jelentős redundanciát visz a rendszerbe, és feltétlenül ajánlott. A telepített víruskeresőnek - a munkaállomásokon futó változathoz hasonlóan - minden lehetséges bejutási pontot ellenőriznie kell (floppylemez, CD-ROM, hálózat, e-mail stb.), különös tekintettel a szerverek rendeltetésszerű használata közben fellépő adatforgalomra (pl.: fájlok forgalmazása, levelezés).
- A fájlszerverekhez hasonlóan a tűzfalak és a levelező szerverek is másodlagos támadási felületnek számítanak. Ennek megfelelően vírusvédelmi konfigurációjuknak is hasonló módon kell történnie.
A következő részben a víruskeresők működési módjait fogjuk elemezni.