Vazul
10 °C
25 °C

A hülye felhasználó a vírusirtó ellensége

2008.01.29. 19:07
Lehet-e vírust írni Linuxra? Miért nehezebb a vírusirtó dolga Dr. House-énál? Miért nem pusztítja el az internetet a Storm botnet? Hogyan működik a vírusirtó? Minden titkot megtudtunk a veszprémi víruslaborban, mégsem nyugodtunk meg teljesen; nincs jó kezekben az internet.

Víruslabor. Már maga a szó szörnyű baljós hangulatú, az ember gépfegyveres őrökkel körülvett betonkockákat vizionál, amiben vészjósló Biohazard feliratok alatt téblábolnak gondterhelt tekintetű fehérköpenyes emberek. Ehhez képest Veszprém egy eldugott utcácskájában járunk, a gps már kétszer próbált belevezetni minket az árokba, mire sikerül leparkolni egy ránézésre vagy kétszáz éves, szépen felújított parasztház előtt, ahol Dr. Leitold Ferenc víruslaborja működik. Remélhetőleg a szomszédos pékségben nem tudnak róla, tuti pánik lenne, annak ellenére, hogy itt nem biológiai fegyvereket barkácsolnak őrült diktátorok megrendelésére - épp ellenkezőleg, a jófiúk az internet megmentésén dolgoznak.

Képek a víruslaborból, kattintson!

Virtuális Windowsok

Maga a konkrét víruslabor egy közepes méretű szoba, ahol vagy két tucat pécé zúg, szépen be is fűtik az egész helységet. Ezeken zajlik a vírustenyésztés, ami a gyakorlatban annyit tesz, hogy egy virtuális gépen (ez tulajdonképpen egy Linuxon futó Winsows-szimulátor) szabadjára engedik a kártevőt, és minden egyes mozdulatát rögzítik: milyen fájlokhoz nyúl, mit ír a registrybe, milyen porton, milyen adatokat és hová próbál kiküldeni az interneten. Van olyan is, hogy egy gépen két virtuális Windows fut, és úgy csinálnak, mintha hálózatba kötött gépek lennének. Ha mindent dokumentáltak, elkészült a vírusleírás - többek között ezeket gyártja mostanában a NOD32 vírusirtó hivatalos magyar weboldala számára a labor.

Ugyanilyen módszerrel dolgozik a világ összes többi víruslaborja is, csak nekik nem kell az információkat ember által is emészthető formára hozni, elég ha az antivírusszoftver érti. A vírusirtók ugyanis ma már nem úgy működnek, hogy az egyes vírusokra jellemző kódrészleteket keresnek a fájlokban, vagy a memóriában, hanem a tüneteket figyelik. Ha valami a gépben úgy csinál, ahogy az adatbázis szerint egy vírus szokott, már indul is a riadó. Mint Dr. House, aki két tüsszentésből megmondja, hogy toxoplazmózis, adjatok neki immunoglobulint. Annyi különbséggel, hogy itt bizony sűrűn előfordul, hogy egyszerre több vírus is garázdálkodik.

Elkapta a Storm egyik mutációját a NOD32

Mátrix

Azok az idők már elmúltak, amikor a zseniális programozók kézzel hatástalanították a vírusokat, és fejtették vissza a forráskódjukat - erre ma már egyszerűen nincs idő. A víruslaborokba a világ minden részéről napi 24 órában futnak be a gyanús fájlok, vírusminták, rosszindulatúnak tűnő kódok. Ezeket programok elemzik, csomagolják ki, dekódolják, és készítik elő a vírusszakértőknek, akiknek sokszor egy pillantás is elég annak megállapítására, hogy vaklárma volt, vagy tényleg vírust fogtak. Utóbbi esetben már megy is a kártevő a szimulátorba, ahol megint csak más programok figyelik és dokumentálják. Ha ehhez hozzávesszük, hogy Dr. Leitold Ferenc szerint a vírusok írói is automata vírusgyárak segítségével szaporítják, mutálják és terjesztik a kártevőket, nehéz úgy nézni egy monitorra, hogy ne képzeljünk mögé Mátrixot, Skynetet, vagy ízlés szerint Tront.

A Linux-vírus

Van-e vírus Linuxon? Hát Macen? - teszem fel a naív kérdést, és kapom a "Naná, hogy van" választ olyan arckifejezés kíséretében, mintha azt kérdeztem volna, hogy tényleg gömbölyű-e a Föld. Egy linuxos kártevőt meg is mutatnak akcióban (Mac éppen nincs kéznél), nem túl látványos darab, futtatható fájlokba eszi be magát, aztán ha a fertőzött programot elindítják, újabb áldozatokat keres magának, és azokba is beletelepszik. Pusztítani nem pusztít, az alkotója valószínűleg azért írta meg, mert technikai kihívásnak tartotta, nem azért, hogy kárt okozzon vele. Nem is lenne sok értelme: ha valaki meg akarja szívatni a világot, inkább Windowsra ír vírust, mert az az elterjedtebb, és ebből fakadóan ott a van a legtöbb olyan felhasználó, aki nem ért a géphez, és a legolcsóbb trükkökkel is át lehet verni. Ha a Linux vagy a Mac lenne olyan helyzetben, mint a Windows, arra lennének vírusok, még ha technikailag jobban védett rendszerek, akkor is - ért egyet a labor személyzete.

Linuxos fájl nagyító alatt vírusfertőzés előtt (bal oldal) és után (jobb).

A vírusírás ma már nagyrészt üzleti alapon megy, nem az értelmetlen pusztítás a lényeg, hanem az, hogy fertőzött gépekről értékes adatokat lehet ellopni, vagy a zombivá változtatott pécéket bérbe adni túlterheléses támadások vagy spam-kampányok mögé erőforrásnak. Ezért nem üti ki az egész internetet a félelmetes Storm botnet, bár az ereje meglenne hozzá: nem ezért fizetik a gazdáit (arról nem is beszélve, hogy egy támadás, amiben a teljes Storm részt venne a maga több millió gépével, lenyomozhatóvá és sebezhetővé tenné a hálózatot).

Veszélyben a telefonok

És innen egyenesen következik az is, hogy mi lehet a vírusok következő nagy támadásának iránya: a mobiltelefonok. Mobilja milliárdnyi embernek van a világon, és az egyre több funkció, a megnyíló architektúrák (lásd az iPhone-t vagy a Google-féle Androidot) miatt előbb utóbb eljön a pont, amikor már nem csak a gyártók által ellenőrzött-leokézott programok futhatnak a telefonon. Ezzel megvan a sebezhetőség és a kellően sok célpont, jöhetnek is a mobilos vírusok, amik emeltdíjas sms-ekkel fosztják ki az áldozatot, és ha már ott vannak, a telefonkönyvet is elküldik a gazdájuknak. A víruslaborosok készülnek is az invázióra: a pincében épül a Faraday-kertec (elektromágneses hullámok se ki, se be, nehogy megszökjön egy kártevő), ahol mobilos vírusokat tenyésztenek majd.

A billentyűzet és a szék között

A netet elárasztó férgek és botnetek ellenére a vírusirtók legsúlyosabb ősellensége a felhasználó hülyesége - mondja ki a szomorú igazságot az egyik vendéglátóm, miközben az egy gépen két Windows között terjedő férget figyeli. A vírusokat meg lehet fogni, de ha a felhasználó rákattint a spamek linkjeire, ő maga kapcsolja ki a vírusvédelmet, és telepíti fel a kártevőket, mert elhiszi, hogy az csak egy képernyővédő, azzal nincs mit tenni. Egy felmérés szerint Magyarországon a pécétulajdonosok 90 százaléka használ valamilyen antivírusszoftvert, viszont csak 10 százalék tudja megnevezni, hogy milyen vírusirtó is az. Csak a biztonság illúziójára vágyunk, a vírusirtó ikonjának jelenlétére a Windows tálcáján, aztán hogy az működik-e, frissül-e, már nem érdekes.

Hogy törték fel a Captcha védelmet?

A Captcha védelemmel már mindenki találkozott: ez az, amikor egy regisztráció vagy fórumos hozzászólás előtt azzal kell bizonyítanunk emberi mivoltunkat, hogy el tudunk olvasni egy kissé eltorzított betűkből és számokból álló kódot. Ha nem megy, spamterjesztő robotnak minősíttetünk.

A rendszer feltörése gyönyörű példája annak, hogy hogyan játsszák ki a kártékony programok az embert, és hogy a felhasználó mindig a leggyengébb láncszem. A hackerek ahelyett, hogy bonyolult képfelismerő algoritmusokkal estek volna neki a feladványnak, írtak egy egyszerű kis programot, ami a Captcha-feladványt átmásolja egy pornószájt belépőoldalára, majd az ottani látogatóktól kapott megfejtést visszaadja az eredeti oldalon a válasz mezőbe.

A probléma mindig a billentyűzet és a szék között keresendő, ahogy az ősi rendszergazda-közmondás tartja -, és rögtön egy másik felmérés eredményét tolják az orrom alá, ami azt vizsgálta, hogy egy adott vírus által megfertőzött gépek száma hogyan változik a megjelenése utáni három évben. Az ember azt várná, hogy a kártevő bekerül a vírusirtó programok adatbázisaiba, ez pedig lassan a nulla közelébe csökkenti a fertőzött gépek számát. Hát nem. Hiába tudja a fertőzés kitörése után pár nappal az összes antivírusszoftver kigyomlálni a vírust, a kezdeti felfutás és visszaesés után nagyjából ugyanannyi gépen marad ott a vírus még évekig, mert a júzer arra sem veszi a fáradtságot, hogy frissítse a vírusirtóját.

Mert hülyék vagyunk, és nem törődünk a védelemmel. A vírusok írói pedig pontosan tudják ezt, és nem is nagyon fáradnak azzal, hogy kifinomult és bonyolult kártevőket alkossanak. Minek, ha egyszer a milliárdnyi netező nagy része ugyanúgy megeszi a Storm féreg ezeregyedik verzióját, mint az előző ezret?