A számítástechnika árnyoldalán

Az International Computer Security Associationnek (ICSA) a 2002-es helyzetet feldolgozó tanulmánya szerint az USA-ban 2001. július és 2002. december között havonta minden ezer PC-re 115 támadás jutott.

Amíg öt évvel ezelőtt elsősorban a flopikon behordozott vírusok voltak a dominánsak, addig mára a legfontosabb behatolási útvonallá az e-mail melléklet és az internetes letöltés (a kettő együtt a fertőzések több mint 99 százalékáért felelős) vált.

Egy-egy komolyabb vírustámadás komoly károkat is okozhat. A közhiedelemmel ellentétben ez nem elsősorban a vírus által szándékoltan okozott kárból (tönkretett állományok, leformázott merevlemezek) származik. Az egyik okozott kár a szervergépek szükségszerű leállása. A felmérés adatai szerint az incidensek 65 százalékában egy óránál rövidebb volt az így elveszített idő, de mivel voltak olyan esetek is, ahol ezer óráig állnia kellett a szervereknek, az átlagos hozzánemférési idő 14 órára jött ki. Óriási változás történt a két évvel ezelőtti felméréshez képest, amikor is az átlagos hozzánemférési idő öt óra volt, és az incidensek 88 százalékában egy óránál rövidebb időt vett igénybe az eltávolítás. Nyugaton számon tartják azt, hogy a rendszergazdák egyéb hasznos tevékenységeik helyett kénytelenek vírust is irtani. Az incidensek 80 százalékában 20 vagy annál kevesebb munkanap elégséges volt a leküzdéshez, az átlag 19 munkanap volt.

Mindezeket összesítve kiderült, hogy az incidensek 65 százalékát megúszták 10 ezer dollár költség alatt, átlagosan pedig 69 ezer dollárba került az amerikai cégeknek egy-egy incidens.

Ma már a többség elfogadta, hogy védekezni kell, csak éppen kevesen tudják, milyen eszközökkel. A legelső és legismertebb típus a víruskeresők csoportja.

Egy víruskereső azon alapszik, hogy a program írói minden ismert vírusra keresnek egy olyan kódrészletet, amely az adott vírusra jellemző, de lehetőleg semmi más vírusban nem található meg, és főleg semmilyen ártalmatlan, nem fertőzött programban nincs jelen. Ezeket a vírusujjlenyomatokat aztán összegyűjtik, és már csak egy olyan programot kell megírni, amely viszonylag intelligensen végignézi a programokat, megtalálható-e bennük az aláírások valamelyike. Ha igen, akkor azt a programot fertőzöttnek kell tekinteni.

Teljesen más utat járnak az ún. vírusblokkolók. Ezek azt kísérlik meg, hogy elzárják a behatolási útvonalakat a vírusok elől, ne engedjék a vírusok hatalomátvételét a gépünkön. Ez a védelem nem öszszekeverendő a víruskeresőkhöz mellékelt rezidens védelmek többségével. Azok ugyanis annyit tesznek, hogy a futtatott vagy másolt programokat "röptében" ellenőrzik, de mivel ugyanolyan módszereket alkalmaznak, mint az előző pontban ismertetett keresők, az ismeretlen vírusok ellen nem nyújtanak nagyobb védelmet. A blokkolók ezzel szemben rátelepszenek a kritikus rendszerfunkciókra, és várnak. A vírusok általában ezeket a rendszerfunkciókat használják terjedésükhöz.

A legritkábban alkalmazott vírusvédelmi programok az integritás-ellenőrzők. Pedig ezzel a programtípussal 100 százalékos biztonsággal fel lehet ismerni a vírusfertőzéseket. Az ellenőrző program minden, védelemre méltó objektum (futtatható programok, boot és partíciós szektor) legfontosabb adatait feljegyzi. Ha egy vírus megjelenik a rendszerben, akkor ezen objektumok valamelyikét meg kell változtatnia, ezért a következő ellenőrzés alkalmával menthetetlenül lebukik. A vírusok jelentős része azonban elrejti jelenlétét. Ezért az integritás-ellenőrzést tiszta rendszerlemezről való indítás után kell végrehajtani.

Vannak programok, amelyek a saját kódjukat megváltoztatják, aki pedig programot fejleszt, az óhatatlanul megváltoztatja minden újrafordításnál a programját. Ezért az intelligens ellenőrzők csak a program belépési pontjának környékét ellenőrzik.

További gond, hogy a "butább" integritás-ellenőrző programok a programmal egy könyvtárba, fix néven helyezték el az ellenőrzéshez szükséges adatokat. A vírusnak semmi egyéb dolga nem volt, csak letörölni ezt a fájlt (ez nem fiktív dolog, rengeteg vírus első dolga volt a "buta" integritás-ellenőrzők által létrehozott fájlok törlése), és az ellenőrző referenciaadat hiányában nem tudta felismerni a változást. A jó integritás-ellenőrzőnek nem szabad fix fájlnevekkel dolgoznia, hogy a felhasználó szabadon választhassa meg a referenciaadatok nevét.