Vírusvédelem

A IT Biztonság kurzus wikiből
A lap korábbi változatát látod, amilyen Aligator (vitalap | szerkesztései) 2013. december 29., 16:54-kor történt szerkesztése után volt.

A vírusvédelem a számítógépes kártevők elleni védelem témakörébe tartozó, legkevésbé elhanyagolható intézkedések sorozata.

Tartalomjegyzék

Vírusok és egyéb malware-k

Az öreg megmondta.

A számítógépes vírus olyan program, amely saját másolatait helyezi el más, végrehajtható programokban vagy dokumentumokban. Többnyire rosszindulatú, más állományokat használhatatlanná, sőt teljesen tönkre is tehet. A vírusvédelem kifejezés megtévesztő lehet, ezért tisztáznunk kell, hogy a számítógépes vírusvédelem nem csak a vírusokra terjed ki, törekszik a védelem kiépítésére más malware-k ellen is.

Az angol malware kifejezés az angol malicious software (rosszindulatú szoftver) összevonásából kialakított mozaikszó. Mint ilyen, a rosszindulatú számítógépes programok összefoglaló neve. Ide tartoznak az előbb említett vírusok, férgek (worm), kémprogramok (spyware), agresszív reklámprogramok (adware), a rendszerben láthatatlanul megbúvó, egy támadónak emelt jogokat biztosító eszközök (rootkit). A számítógépes kártevő programok mennyisége folyamatosan növekszik, és időről időre új típusok terjednek el.

A vírusok manapság jellemzően pendrive vagy e-mail segítségével terjednek, az internetes böngészés mellett, ez általában az elhanyagolt prevenciós tevékenység illetve a felhasználó ostobaságának következménye.

Kártevők jellemzői

A gazdaprogramok megfertőzése és az önsokszorosító viselkedés valamennyi kártevőre jellemző. Ezenkívül gyakran rendelkeznek a következő tulajdonságokkal:

  • nagyon kis méretűek
  • futtatható állományokat képesek megfertőzni
  • általában ártó szándékkal készítették őket
  • gyakran akár válogatva, időzítve tönkretesznek más fájlokat
  • rejtetten működnek, esetleg akkor fedik fel magukat, ha feladatukat elvégezték
  • egyre fejlettebb intelligenciával rendelkeznek, például változtathatják saját kódjukat és aktivitásukat

Botnet

Klasszikus botnet

A botnet célja, hogy nagy teljesítményű, gyors, mégis anonim infrastruktúrát nyújtson a spammernek, mellyel az könnyen és gyorsan tud nagy mennyiségű spamet küldeni, illetve más törvénytelen cselekedeteket folytatni.

A botneteket hétköznapi, otthoni, iskolai, vállalati számítógépek alkotják. Egy számítógép anélkül tagja lehet egy botnetnek, hogy a gazdája ezt kérte, megengedte volna vagy akár egyáltalán tudna róla. Egy speciális program települ a gépre, mely a háttérben fut anélkül, hogy a számítógép gazdája azt észrevenné. A modern vírusvédelmek felismerik az ilyen típusú programokat, azonban nagyon sokan nem vagy elavult vírusvédelmet használnak.

A titkosan futó program bizonyos időközönként kapcsolódik a spammerhez, hogy parancsokat, feladatokat vegyen át tőle. Nem közvetlenül a spammer számítógépeihez, szervereihez kapcsolódik, hanem gyakran egy nyilvános IRC-szerverhez. Egyes csatornák forgalmát figyeli, és felismeri a spammer által speciális, általában kódolt formában oda küldött parancsokat.

A profi spammerek saját botnetet, botneteket építenek. Mivel valahogyan rá kell venni a felhasználókat, hogy telepítsék a gépükre a háttérben futó botalkalmazást, vírusokat, hátsó ajtót nyitó trójai programokat használnak erre. Akár egyszerű megtévesztéssel is elérhető a cél, például spamben küldött hamis ajánlat után sokan nem szándékosan megfertőzik a saját gépüket.

Egy botnet gyakran több tízezer számítógépből áll. Méretük folyamatosan változik, néhány számítógépet lefülelnek, és néhány új csatlakozik a hálózathoz minden percben.

Így kezdődött minden

Az első igazán nagy figyelmet felkeltő PC vírus 1986 januárjában ütötte fel fejét, egy pakisztáni testvérpár hozta létre, a neve Brain volt és az MS-DOS operációs rendszeren futott. Eredetileg az igencsak ártalmatlan kártevő floppy-n terjedve beleírta saját magát azok boot szektorába. A vírus készítői beleírták a nevüket és a telefonszámukat a programba, ezért később, ahogy elterjedt a vírus, a felháborodott emberek hívásai túlterhelték a testvérek telefonhálózatát. Ezekben az években ismerték fel, hogy nagy fenyegetést jelentenek ezek a kártevők.

Védelem

Az kártevők ellen való védekezés a köznyelvben vírusirtó programnak nevezett szoftverekkel történik. A vírusirtó vagy antivírus program a számítástechnikában egy szoftveres vagy hardveres architektúra, amelynek célja annak biztosítása, hogy a hálózatba vagy egy adott számítógépbe ne juthasson be olyan állomány, mely károkozást, illetéktelen adatgyűjtést vagy bármely, a felhasználó által nem engedélyezett műveletet hajt végre.

A vírusirtó szoftverek két alapelven működnek. Az első az úgynevezett reaktív védelem, ami az úgynevezett vírusdefiníciós adatbázison alapszik. Ebben az esetben a vírusirtó szoftver egy adatbázisból azonosítja a kártevőket. Az adatbázist a vírusirtó szoftver gyártója rendszeresen frissíti, a frissítéseket a legtöbb vírusirtó szoftver automatikusan letölti az internetről.

A második – és napjainkban egyre fontosabb – védelmi módszer az úgynevezett heurisztikus vírusvédelem. Ebben az esetben a vírusirtó a beépített analizáló algoritmusok (mesterséges intelligencia) segítségével azonosítja a vírusokat. A módszer azért nagyon fontos, mert sokszor több nap telik el egy új vírus megjelenésétől addig, amíg a vírusirtó program gyártója az ellenszert elkészíti, és beépíti a vírusdefiníciós adatbázisba. A vírusirtó szoftvernek ilyenkor frissítenie kell magát az internetről, és csak ezután nyújt védelmet az új vírusok ellen.

A heurisztikus módszereket is alkalmazó modern vírusirtók viszont addig is védelmet nyújtanak a legtöbb kártevő ellen, amíg az ellenszer elkészül.

Ezek a modern vírusirtók kombinálják tehát a hagyományos (vírusdefiníciós adatbázison alapuló) védelmet a modern heurisztikus védelemmel, és így nagyobb biztonságot adnak a felhasználóknak.