A vírusírók rendszerint pocsék munkát végeznek

[HWSW] A 2F Kft. partnernapján tartott előadást Erdélyi Gergely, az F-Secure kutatási csoportvezetője, aki a vállalatnál folyó munka bemutatása mellett érintette a kártevők világának jelenlegi és jövőben várható helyzetét. A magyar szakember 6 éve dolgozik az F-Secure finnországi központjában.

A vírusírók pocsék munkát végeznek

Erdélyi elmondta, az első PC-s vírus, az 1986-ban megjelent Brain óta a kártevők rendkívül sokat fejlődtek, bonyolultságuk a sokszorosára növekedett. Míg a Brain mindössze 512 bájt hosszúságú volt, addig ma egy átlagos, e-mailben terjedő féreg 50-100 kilobájt méretű. Ez főképp annak köszönhető, hogy a kártevők többségét ma magas szintű programnyelvekben (pl. Visual Basic) írják, amelyek fordítói "terjengős" kódot generálnak, ez pedig a vírusirtók dolgát is megnehezíti.

Egy ilyen, átlagos hosszúságú féregvírus kódja ugyanis a visszafejtés (disassembling) után többezer gépelt oldalt is kitehet, a vírusvédelmi cégek munkatársainak tehát ekkora adattömeget kell átvizsgálniuk ahhoz, hogy megtudják, a vírus hogyan épül fel, milyen kárt okoz, hogy terjed és miként lehet ellene védekezni. Természetesen a cégek igyekszenek a lehető legtöbb feladatot automatizálni és számos saját eszközt fejlesztenek ki, amely megkönnyíti a munkájukat, azonban a széles körben használt szoftverek ugyanazok, amelyekhez bárki hozzáférhet. Erdélyi példaként említette az a Datarescue IDA Pro Disassemblert, mint az F-Secure-nál elterjedt és használt eszközt.

Az F-Secure víruslaborjának központja

Erdélyi szerint a vírusírók legtöbbje igazán csapnivaló munkát végez és rossz minőségű, gyakran nem is jól működő programot ad ki a kezéből. Persze előfordulnak olyan esetek, amikor még a vírusirtókat is meglepi egy-egy kártevő "jó minősége", a szakember felidézte a Slammer féreg esetét, amely csupán 376 bájtból állt és 2003 januárjában kevesebb mint 20 perc alatt végigfertőzte az egész világot. "Sokáig nem hittük el, hogy mindössze 376 bájtban lehet ilyet csinálni. Amikor megkaptuk az első mintákat, azt hittük, lemaradt a program vége" --emlékezett vissza Erdélyi.

A szakember elmondta, a vírusirtó cégek között nem csak az üzleti életben van komoly rivalizálás, hanem szakmailag is, így komoly presztízst jelent, ha egy cég elsőként tud azonosítani egy kártevőt és publikálni a róla szóló információkat. A vállalatok kutatócsoportjai azonban szorosan együttműködnek ezeken a területeken, igyekeznek a lehető legtöbb információval segíteni egymás munkáját, gyakran vírusmintákat is cserélnek. "Ez egyfajta barátságos verseny" -- jellemezte a helyzetet Erdélyi.

Célzott támadások várhatók

Mekkora a veszély?

A vírusirtó cégek ma már közel 200 ezer kártevőt tartanak nyilván, számuk exponenciálisan növekszik, azonban ez nem jelenti azt, hogy a felhasználókat egyszere ennyi fenyegetés érné, ugyanis a szabadon terjedő, vadon élő kártevők száma mindössze pár ezerre tehető.

Ma már egyre kevesebbet hallani tömeges víruskitörésekről, Erdélyi szerint ennek az az oka, hogy a helyüket átveszik a célzott támadások. A kártevők készítőit egyre inkább az anyagi haszonszerzés motiválja, a legtöbb támadás célja hogy a felhasználóktól személyes adatokat tulajdonítson el, majd ezeket különféle banki és egyéb csalásokhoz használják fel. Ennek érdekében a bűnözők olyan támadásokat készítenek elő, amelyek észrevétlenek és csak bizonyos köröknek szólnak. Ezzel megakadályozható vagy legalábbis elodázható, hogy fény derüljön a bűncselekményekre.

A mobiltelefonos vírusok száma ma már 200 körülire tehető, a számuk a jövőben egyre inkább növekedni fog. Erdélyi szerint a vírusírók célpontjai között biztosan szerepelni fognak majd a következő generációs, internetre kapcsolható konzolok, valamint a hálózatba köthető hordozható eszközök, mint amilyenek a mobilok, az okostelefonok, vagy akár a PlayStation Portable. Utóbbira trójait már írtak és valószínű az első vírusra sem kell sokat várni. Erdélyi úgy véli, a rohamosan terjedő Wi-Fi hálózatok is komoly veszélyforrást rejtenek, elmondása szerint egy egyszerű Wi-Fi router is feltörhető és telepíthető rá olyan szoftver (frimware), amely megfertőzi a hozzá kapcsolódó összes PC-t vagy notebookot.

A mobil vírusokkal kapcsolatos kísérletekhez használt, rádióhullámok számára áthatolhatatlan labor

Erdélyi szerint az egyik legnagyobb fenyegetést a Skype-on keresztül terjedő kártevők fogják jelenteni, ugyanis a népszerű internettelefon-alkalmazást világszerte egyre többen használják, egyszerre akár kétmillió aktív felhasználó is lehet. Az IM-rendszerekben kivitelezett támadások azért veszélyesek, mert az ilyen hálózatokon az üzenetek sokkal gyorsabban terjednek mint az e-mailek, ráadásul a beérkező linkeket, fájlokat a legtöbben azonnal meg is nyitják, hiszen azok látszólag ismerősöktől érkeztek.

Erdélyi elmondta, az F-Secure szimulációi szerint egy Skype-on terjedő kártevővel percek alatt az egész világot végig lehetne fertőzni, szerencsére erre még nem volt példa. A Skype abból a szempontból is aggályos, hogy -- Erdélyi szavaival élve -- "szabadon ki-be jár a vállalati tűzfalakon", vagyis a rajta bonyolódó forgalom szinte ellenőrizhetetlen.