Natália
-3 °C
8 °C

Kezdjük a vírusokkal II/II.

2004.04.01. 10:00
Korunk informatikai kultúrája, vagy inkább kultúrálatlansága, a technikai és a kommunikációs eszközök többnyire gyenge minősége, a számítógépek Interneten történő összekapcsolása, és az elektronikus levelezés szabályozás nélküli elterjedése olyan helyzetet teremtett, amely láthatóan kedvező környezetet biztosít a károkozó vagy információszerző programok, azaz a számítógépes vírusok szaporodásának, terjedésének.
A víruskeresők működési módja

A víruskereső rendszerek két alapvető működési móddal rendelkeznek: valósidejű (aktív), illetve off-line (passzív) üzemmódban dolgoznak. A valósidejű ellenőrzés feladata a számítógépes rendszer rendeltetésszerű használata közben használatba vett állományok és más objektumok valós időben, közvetlenül a felhasználás előtt történő ellenőrzése. Ez képezi a rendszer legerősebb védelmi vonalát, és általánosan arra kell törekedni, hogy ez a vonal ne sérüljön, illetve ne inaktiválódhasson.

Az off-line vagy passzív ellenőrzés feladata a teljes állományrendszer átvizsgálása, tekintet nélkül az állományok korára, illetve felhasználásuk gyakoriságára. Ez az üzemmód másodlagos védelmi vonalat képez, redundancia növelő tényező. Alkalmazása feltétlenül szükséges a víruskereső rendszer részeinek, vagy egészének frissítését követően, mivel ez biztosítja a frissítés által megnövekedett vírusismeret azonnali alkalmazhatóságát.

Ahogy Lenin is mondta: frissíteni, frissíteni, frissíteni!

A vírusadatbázisok frissítése a rendszer hatékonysága szempontjából kritikus fontosságú, mivel az elektronikus hálózatok korában az új vírusok megjelenése és globális elterjedése között esetenként csupán néhány óra telik el. A vírusadatbázisok rendszeres frissítése ezért kiemelten jelentős feladat, és lehetőség szerint törekedni kell a leggyakoribb, legsűrűbb frissítési lehetőséget nyújtó vírusvédelmi rendszerek alkalmazására.

Az aktív védelem soha nem lehet passzív

A vírusvédelmi rendszer fő komponense az aktív (tárrezidens, valósidejű) védelem, amely a számítógép működése során állandóan dolgozik. Feladata a felhasználói munka során igénybe vett állományok (programok, adatok, dokumentumok) közvetlenül a használat előtti vírusellenőrzése. Éppen ezért az aktív védelem kikapcsolása szigorúan tilos! Ha az alkalmazott vírusvédelmi rendszer lehetőséget ad rá, akkor már a rendszer telepítése és konfigurálása során le kell tiltani a kikapcsolás lehetőségét. Ha a rendszer erre nem ad lehetőséget, akkor a felhasználókat részletesen tájékoztatni kell a vírusok, illetve az aktív védelem kikapcsolása által jelentett veszélyekről, valamint megfelelő szabályzatban kell rögzíteni, hogy a fenti figyelmeztetések ellenére kikapcsolt vírusvédelmi rendszerből származó károkért az érintett felhasználókat terheli a felelősség.

A vírusvédelmi rendszerek normális működésére általában az a jellemző, hogy ha az aktív védelem nem képes a detektált vírus eltávolítására, akkor nem engedi meg a fertőzött állomány használatba vételét.

Az emil, mint fő veszélyforrás

Az elektronikus levelezés a vírusok továbbításának leggyorsabb módja, ezért ennek megfelelő védelmére kiemelt figyelmet kell fordítani.

A vírusvédelmi rendszer szabályozása során fel kell rá hívni a figyelmet, hogy az e-mailben érkezett állományokat - a levelező programtól függetlenül - tilos közvetlenül a levelezőből megnyitni. A felhasználókban tudatosítani kell, hogy minden esetben szükséges a kapott állományok előzetes lemezre mentése. Ennek kettős oka van: egyrészt az aktív védelemnek így biztosan lehetősége nyílik az állomány ellenőrzésére - levelező programtól függetlenül -, másrészt fertőzés esetén a védekező lépések megtételéhez is szükséges (vírusminta küldés).

A merevlemezre mentett állomány használatba vételekor az aktív védelem ellenőrzi azt. Ha az állomány fertőzött, arról értesíti a felhasználót. Ha az aktív védelem képes volt a fertőzés eltávolítására, akkor - a vírusvédelemért felelős informatikus értesítése után - a munka megkezdhető. Ha az aktív védelem nem képes a fertőzés eltávolítására, akkor a fertőzött állomány használatba vételét nem engedélyezi. Ilyen esetekben a vírusvédelemért felelős informatikus beavatkozása szükséges.

Az e-mailben érkező vírusok által jelentett kockázat csökkentése érdekében a felhasználókban tudatosítani kell, hogy az e-mailben ok nélkül, váratlanul vagy a levél szövegében nem indokoltan érkezett állomány esetében a melléklet tartalmának személyes (pl.: telefonos) vagy e-mailben történő ellenőrzése szükséges. Ha a küldő nem szándékosan mellékelt az e-mailhez állományt, illetve a fogadó fél számára nem megállapítható vagy nem ismerős, akkor semmi esetre sem szabad annak megnyitása és a vírusvédelemért felelős informatikus értesítése szükséges.

A vírusvédelmi rendszer passzív része

A passzív védelem feladata a teljes állományrendszer átvizsgálása, tekintet nélkül az állományok használatba vételére. A víruskereső rendszer frissítésekor ez automatikusan megtörténik. A felhasználókat tájékoztatni kell róla, hogy a passzív védelem futása több percet is igénybe vehet, mivel sok állomány ellenőrzését végzi. Ez a néhány perc azonban esetleg a vírusvédelemért felelős informatikus többórányi (többnapi) helyreállító munkáját előzheti meg, éppen ezért megszakítani tilos.

A passzív védelem különösen fontos akkor, ha az aktív védelem valamilyen okból deaktivált. A vírusvédelmi rendszer szabályozásában ki kell rá térni, hogy az újbóli aktiválásig a passzív védelem használata a felhasználó feladata és felelőssége, aki köteles minden, a rendszerbe bekerülő adat (pl.: floppylemez, CD-ROM, e-mail melléklet) ellenőrzését a passzív védelmi rendszerrel azonnal, a felhasználás előtt elvégeztetni.

A passzív védelem jelentősége kiemelt a szerverekkel kapcsolatban. Mint arról korábban már szó volt, a szerverek vírusellenőrzése másodlagos jelentőségű a munkaállomásokkal szemben. Központi szerepüknél fogva azonban többrétegű ellenőrzés használata szükséges. Ennek keretein belül az aktív védelem használatán túl szükséges a szervereken tárolt adatok rendszeres átvizsgálása is. Ennek végrehajtása rendszeresen szükséges, amikor a szerverek terheltsége minimális (munkaidőn kívül). A tárolt állományokon ekkor teljes átvizsgálást kell végezni, az átvizsgálás eredményeit pedig megfelelő módon naplózni kell.

Hamarosan az informatikai rendszereket fenyegető egyéb veszélyek is terítékre kerülnek majd, egy következő cikkben.