„Vírusvédelem” változatai közötti eltérés

A IT Biztonság kurzus wikiből
 
(egy szerkesztő 22 közbeeső változata nincs mutatva)
1. sor: 1. sor:
 
[[Kategória:Informatikai biztonság]]
 
[[Kategória:Informatikai biztonság]]
 
+
A '''vírusvédelem''' a számítógépes kártevők elleni védelem témakörébe tartozó, legkevésbé elhanyagolható intézkedések sorozata.
  
 
== Vírusok és egyéb malware-k ==
 
== Vírusok és egyéb malware-k ==
 +
 +
[[Fájl:bontchev.jpg|thumb|300px|Vesselin Bontchev - kutató]]
  
 
A számítógépes '''vírus''' olyan program, amely saját másolatait helyezi el más, végrehajtható programokban vagy dokumentumokban. Többnyire rosszindulatú, más állományokat használhatatlanná, sőt teljesen tönkre is tehet. A vírusvédelem kifejezés megtévesztő lehet, ezért tisztáznunk kell, hogy a számítógépes vírusvédelem nem csak a vírusokra terjed ki, törekszik a védelem kiépítésére más '''malware-k''' ellen is.
 
A számítógépes '''vírus''' olyan program, amely saját másolatait helyezi el más, végrehajtható programokban vagy dokumentumokban. Többnyire rosszindulatú, más állományokat használhatatlanná, sőt teljesen tönkre is tehet. A vírusvédelem kifejezés megtévesztő lehet, ezért tisztáznunk kell, hogy a számítógépes vírusvédelem nem csak a vírusokra terjed ki, törekszik a védelem kiépítésére más '''malware-k''' ellen is.
8. sor: 10. sor:
 
Az angol '''malware''' kifejezés az angol '''malicious software''' (rosszindulatú szoftver) összevonásából kialakított mozaikszó. Mint ilyen, a rosszindulatú számítógépes programok összefoglaló neve. Ide tartoznak az előbb említett ''vírusok'', ''férgek (worm)'', ''kémprogramok (spyware)'', ''agresszív reklámprogramok (adware)'', a rendszerben láthatatlanul megbúvó, egy támadónak emelt jogokat biztosító eszközök (''rootkit''). A számítógépes kártevő programok mennyisége folyamatosan növekszik, és időről időre új típusok terjednek el.  
 
Az angol '''malware''' kifejezés az angol '''malicious software''' (rosszindulatú szoftver) összevonásából kialakított mozaikszó. Mint ilyen, a rosszindulatú számítógépes programok összefoglaló neve. Ide tartoznak az előbb említett ''vírusok'', ''férgek (worm)'', ''kémprogramok (spyware)'', ''agresszív reklámprogramok (adware)'', a rendszerben láthatatlanul megbúvó, egy támadónak emelt jogokat biztosító eszközök (''rootkit''). A számítógépes kártevő programok mennyisége folyamatosan növekszik, és időről időre új típusok terjednek el.  
  
A vírusok manapság jellemzően pendrive vagy e-mail segítségével terjednek, az internetes böngészés mellett, ez általában az elhanyagolt prevenciós tevékenység illetve a felhasználó ostobaságának következménye.
+
A vírusok manapság jellemzően pendrive vagy e-mail segítségével terjednek, az internetes böngészés mellett, ez általában az elhanyagolt prevenciós tevékenység illetve a felhasználó hiányos ismeretének következménye.
 +
 
 +
== Kártevők jellemzői ==
 +
 
 +
A gazdaprogramok megfertőzése és az önsokszorosító viselkedés valamennyi kártevőre jellemző. Ezenkívül gyakran rendelkeznek a következő tulajdonságokkal:
 +
 
 +
*nagyon kis méretűek
 +
*futtatható állományokat képesek megfertőzni
 +
*általában ártó szándékkal készítették őket
 +
*gyakran akár válogatva, időzítve tönkretesznek más fájlokat
 +
*rejtetten működnek, esetleg akkor fedik fel magukat, ha feladatukat elvégezték
 +
*egyre fejlettebb intelligenciával rendelkeznek, például változtathatják saját kódjukat és aktivitásukat
 +
 
 +
== Így kezdődött minden ==
 +
 
 +
Az első igazán nagy figyelmet felkeltő PC vírus 1986 januárjában ütötte fel fejét, egy pakisztáni testvérpár hozta létre, a neve '''Brain''' volt és az MS-DOS operációs rendszeren futott. Eredetileg az igencsak ártalmatlan kártevő floppy-n terjedve beleírta saját magát azok ''boot szektorába''. A vírus készítői beleírták a nevüket és a telefonszámukat a programba, ezért később, ahogy elterjedt a vírus, a felháborodott emberek hívásai túlterhelték a testvérek telefonhálózatát. Ezekben az években ismerték fel, hogy nagy fenyegetést jelentenek ezek a kártevők.
 +
 
 +
== Botnet ==
 +
 
 +
[[Fájl:klasszikus_botnet.jpg|thumb|300px|Klasszikus botnet]]
 +
 
 +
A '''botnet''' célja, hogy nagy teljesítményű, gyors, mégis anonim infrastruktúrát nyújtson a '''spammernek''', mellyel az könnyen és gyorsan tud nagy mennyiségű spamet küldeni, illetve más törvénytelen cselekedeteket folytatni.
 +
 
 +
A botneteket hétköznapi, otthoni, iskolai, vállalati számítógépek alkotják. Egy számítógép anélkül tagja lehet egy botnetnek, hogy a gazdája ezt kérte, megengedte volna vagy akár egyáltalán tudna róla. Egy speciális program települ a gépre, mely a háttérben fut anélkül, hogy a számítógép gazdája azt észrevenné. A modern vírusvédelmek felismerik az ilyen típusú programokat, azonban nagyon sokan nem vagy elavult vírusvédelmet használnak.
 +
 
 +
A titkosan futó program bizonyos időközönként kapcsolódik a spammerhez, hogy parancsokat, feladatokat vegyen át tőle. Nem közvetlenül a spammer számítógépeihez, szervereihez kapcsolódik, hanem gyakran egy nyilvános IRC-szerverhez. Egyes csatornák forgalmát figyeli, és felismeri a spammer által speciális, általában kódolt formában oda küldött parancsokat.
 +
 
 +
A profi spammerek saját botnetet, botneteket építenek. Mivel valahogyan rá kell venni a felhasználókat, hogy telepítsék a gépükre a háttérben futó botalkalmazást, vírusokat, hátsó ajtót nyitó trójai programokat használnak erre. Akár egyszerű megtévesztéssel is elérhető a cél, például spamben küldött hamis ajánlat után sokan nem szándékosan megfertőzik a saját gépüket.
 +
 
 +
Egy botnet gyakran több tízezer számítógépből áll. Méretük folyamatosan változik, néhány számítógépet lefülelnek, és néhány új csatlakozik a hálózathoz minden percben.
 +
 
 +
== 0-day exploit ==
 +
 
 +
A '''nulladik napi támadás''' (zero-day vagy zero-hour támadás) egy biztonsági fenyegetés, ami valamely számítógépes alkalmazás olyan sebezhetőségét használja ki, ami még nem került publikálásra, a szoftver fejlesztője nem tud róla, vagy nem érhető még el azt foltozó biztonsági javítás. '''Zero-day exploitnak''' nevezik azt a tényleges kódot, amit a támadók használnak a sérülékenység kiaknázására, mielőtt a szoftver fejlesztője tudna arról.
 +
 
 +
A kifejezés az '''exploit''' keletkezésének időpontjából adódik. Amikor a szoftverfejlesztő tudomást szerez egy biztonsági résről, megkezdődik a verseny a támadók és a fejlesztők között; a felelősségteljes fejlesztő igyekszik befoltozni a hibát, mielőtt nyilvánosságra kerül. A „nulladik napi” támadás az első vagy „nulladik” napon történik, amikor a fejlesztő már tud a hibáról, így még nem volt lehetősége arra, hogy a biztonsági javítást eljuttassa a szoftver felhasználóihoz.
  
 
== Védelem ==
 
== Védelem ==
  
Az ellenük való védekezés a köznyelvben vírusirtó programnak nevezett szoftverekkel történik. A '''vírusirtó''' vagy '''antivírus''' program a számítástechnikában egy szoftveres vagy hardveres architektúra, amelynek célja annak biztosítása, hogy a hálózatba vagy egy adott számítógépbe ne juthasson be olyan állomány, mely károkozást, illetéktelen adatgyűjtést vagy bármely, a felhasználó által nem engedélyezett műveletet hajt végre.
+
Az kártevők ellen való védekezés a köznyelvben vírusirtó programnak nevezett szoftverekkel történik. A '''vírusirtó''' vagy '''antivírus''' program a számítástechnikában egy szoftveres vagy hardveres architektúra, amelynek célja annak biztosítása, hogy a hálózatba vagy egy adott számítógépbe ne juthasson be olyan állomány, mely károkozást, illetéktelen adatgyűjtést vagy bármely, a felhasználó által nem engedélyezett műveletet hajt végre.
  
 
A '''vírusirtó''' szoftverek két alapelven működnek. Az első az úgynevezett '''reaktív védelem''', ami az úgynevezett vírusdefiníciós adatbázison alapszik. Ebben az esetben a vírusirtó szoftver egy adatbázisból azonosítja a kártevőket. Az adatbázist a vírusirtó szoftver gyártója rendszeresen frissíti, a frissítéseket a legtöbb vírusirtó szoftver automatikusan letölti az internetről.
 
A '''vírusirtó''' szoftverek két alapelven működnek. Az első az úgynevezett '''reaktív védelem''', ami az úgynevezett vírusdefiníciós adatbázison alapszik. Ebben az esetben a vírusirtó szoftver egy adatbázisból azonosítja a kártevőket. Az adatbázist a vírusirtó szoftver gyártója rendszeresen frissíti, a frissítéseket a legtöbb vírusirtó szoftver automatikusan letölti az internetről.
21. sor: 58. sor:
  
 
Ezek a modern vírusirtók kombinálják tehát a hagyományos (vírusdefiníciós adatbázison alapuló) védelmet a modern heurisztikus védelemmel, és így nagyobb biztonságot adnak a felhasználóknak.
 
Ezek a modern vírusirtók kombinálják tehát a hagyományos (vírusdefiníciós adatbázison alapuló) védelmet a modern heurisztikus védelemmel, és így nagyobb biztonságot adnak a felhasználóknak.
 +
 +
== Külső hivatkozások ==
 +
[http://hu.wikipedia.org/wiki/Malware Wikipedia - Malware]
 +
[http://hu.wikipedia.org/wiki/V%C3%ADrusirt%C3%B3 Wikipedia - Vírusírtó]
 +
[http://hu.wikipedia.org/wiki/Nulladik_napi_t%C3%A1mad%C3%A1s Wikipedia - Nulladik-napi támadás]
 +
[http://hu.spam.wikia.com/wiki/Botnet Wikia - Botnet]

A lap jelenlegi, 2013. december 29., 17:10-kori változata

A vírusvédelem a számítógépes kártevők elleni védelem témakörébe tartozó, legkevésbé elhanyagolható intézkedések sorozata.

Tartalomjegyzék

Vírusok és egyéb malware-k

Vesselin Bontchev - kutató

A számítógépes vírus olyan program, amely saját másolatait helyezi el más, végrehajtható programokban vagy dokumentumokban. Többnyire rosszindulatú, más állományokat használhatatlanná, sőt teljesen tönkre is tehet. A vírusvédelem kifejezés megtévesztő lehet, ezért tisztáznunk kell, hogy a számítógépes vírusvédelem nem csak a vírusokra terjed ki, törekszik a védelem kiépítésére más malware-k ellen is.

Az angol malware kifejezés az angol malicious software (rosszindulatú szoftver) összevonásából kialakított mozaikszó. Mint ilyen, a rosszindulatú számítógépes programok összefoglaló neve. Ide tartoznak az előbb említett vírusok, férgek (worm), kémprogramok (spyware), agresszív reklámprogramok (adware), a rendszerben láthatatlanul megbúvó, egy támadónak emelt jogokat biztosító eszközök (rootkit). A számítógépes kártevő programok mennyisége folyamatosan növekszik, és időről időre új típusok terjednek el.

A vírusok manapság jellemzően pendrive vagy e-mail segítségével terjednek, az internetes böngészés mellett, ez általában az elhanyagolt prevenciós tevékenység illetve a felhasználó hiányos ismeretének következménye.

Kártevők jellemzői

A gazdaprogramok megfertőzése és az önsokszorosító viselkedés valamennyi kártevőre jellemző. Ezenkívül gyakran rendelkeznek a következő tulajdonságokkal:

  • nagyon kis méretűek
  • futtatható állományokat képesek megfertőzni
  • általában ártó szándékkal készítették őket
  • gyakran akár válogatva, időzítve tönkretesznek más fájlokat
  • rejtetten működnek, esetleg akkor fedik fel magukat, ha feladatukat elvégezték
  • egyre fejlettebb intelligenciával rendelkeznek, például változtathatják saját kódjukat és aktivitásukat

Így kezdődött minden

Az első igazán nagy figyelmet felkeltő PC vírus 1986 januárjában ütötte fel fejét, egy pakisztáni testvérpár hozta létre, a neve Brain volt és az MS-DOS operációs rendszeren futott. Eredetileg az igencsak ártalmatlan kártevő floppy-n terjedve beleírta saját magát azok boot szektorába. A vírus készítői beleírták a nevüket és a telefonszámukat a programba, ezért később, ahogy elterjedt a vírus, a felháborodott emberek hívásai túlterhelték a testvérek telefonhálózatát. Ezekben az években ismerték fel, hogy nagy fenyegetést jelentenek ezek a kártevők.

Botnet

Klasszikus botnet

A botnet célja, hogy nagy teljesítményű, gyors, mégis anonim infrastruktúrát nyújtson a spammernek, mellyel az könnyen és gyorsan tud nagy mennyiségű spamet küldeni, illetve más törvénytelen cselekedeteket folytatni.

A botneteket hétköznapi, otthoni, iskolai, vállalati számítógépek alkotják. Egy számítógép anélkül tagja lehet egy botnetnek, hogy a gazdája ezt kérte, megengedte volna vagy akár egyáltalán tudna róla. Egy speciális program települ a gépre, mely a háttérben fut anélkül, hogy a számítógép gazdája azt észrevenné. A modern vírusvédelmek felismerik az ilyen típusú programokat, azonban nagyon sokan nem vagy elavult vírusvédelmet használnak.

A titkosan futó program bizonyos időközönként kapcsolódik a spammerhez, hogy parancsokat, feladatokat vegyen át tőle. Nem közvetlenül a spammer számítógépeihez, szervereihez kapcsolódik, hanem gyakran egy nyilvános IRC-szerverhez. Egyes csatornák forgalmát figyeli, és felismeri a spammer által speciális, általában kódolt formában oda küldött parancsokat.

A profi spammerek saját botnetet, botneteket építenek. Mivel valahogyan rá kell venni a felhasználókat, hogy telepítsék a gépükre a háttérben futó botalkalmazást, vírusokat, hátsó ajtót nyitó trójai programokat használnak erre. Akár egyszerű megtévesztéssel is elérhető a cél, például spamben küldött hamis ajánlat után sokan nem szándékosan megfertőzik a saját gépüket.

Egy botnet gyakran több tízezer számítógépből áll. Méretük folyamatosan változik, néhány számítógépet lefülelnek, és néhány új csatlakozik a hálózathoz minden percben.

0-day exploit

A nulladik napi támadás (zero-day vagy zero-hour támadás) egy biztonsági fenyegetés, ami valamely számítógépes alkalmazás olyan sebezhetőségét használja ki, ami még nem került publikálásra, a szoftver fejlesztője nem tud róla, vagy nem érhető még el azt foltozó biztonsági javítás. Zero-day exploitnak nevezik azt a tényleges kódot, amit a támadók használnak a sérülékenység kiaknázására, mielőtt a szoftver fejlesztője tudna arról.

A kifejezés az exploit keletkezésének időpontjából adódik. Amikor a szoftverfejlesztő tudomást szerez egy biztonsági résről, megkezdődik a verseny a támadók és a fejlesztők között; a felelősségteljes fejlesztő igyekszik befoltozni a hibát, mielőtt nyilvánosságra kerül. A „nulladik napi” támadás az első vagy „nulladik” napon történik, amikor a fejlesztő már tud a hibáról, így még nem volt lehetősége arra, hogy a biztonsági javítást eljuttassa a szoftver felhasználóihoz.

Védelem

Az kártevők ellen való védekezés a köznyelvben vírusirtó programnak nevezett szoftverekkel történik. A vírusirtó vagy antivírus program a számítástechnikában egy szoftveres vagy hardveres architektúra, amelynek célja annak biztosítása, hogy a hálózatba vagy egy adott számítógépbe ne juthasson be olyan állomány, mely károkozást, illetéktelen adatgyűjtést vagy bármely, a felhasználó által nem engedélyezett műveletet hajt végre.

A vírusirtó szoftverek két alapelven működnek. Az első az úgynevezett reaktív védelem, ami az úgynevezett vírusdefiníciós adatbázison alapszik. Ebben az esetben a vírusirtó szoftver egy adatbázisból azonosítja a kártevőket. Az adatbázist a vírusirtó szoftver gyártója rendszeresen frissíti, a frissítéseket a legtöbb vírusirtó szoftver automatikusan letölti az internetről.

A második – és napjainkban egyre fontosabb – védelmi módszer az úgynevezett heurisztikus vírusvédelem. Ebben az esetben a vírusirtó a beépített analizáló algoritmusok (mesterséges intelligencia) segítségével azonosítja a vírusokat. A módszer azért nagyon fontos, mert sokszor több nap telik el egy új vírus megjelenésétől addig, amíg a vírusirtó program gyártója az ellenszert elkészíti, és beépíti a vírusdefiníciós adatbázisba. A vírusirtó szoftvernek ilyenkor frissítenie kell magát az internetről, és csak ezután nyújt védelmet az új vírusok ellen.

A heurisztikus módszereket is alkalmazó modern vírusirtók viszont addig is védelmet nyújtanak a legtöbb kártevő ellen, amíg az ellenszer elkészül.

Ezek a modern vírusirtók kombinálják tehát a hagyományos (vírusdefiníciós adatbázison alapuló) védelmet a modern heurisztikus védelemmel, és így nagyobb biztonságot adnak a felhasználóknak.

Külső hivatkozások

Wikipedia - Malware Wikipedia - Vírusírtó Wikipedia - Nulladik-napi támadás Wikia - Botnet