Milyen vírusirtót válasszak?

A legtöbben akik ma számítógépet használnak már tisztában vannak a vírusok veszélyeivel, ez a cikk most nekik szól és a megfelelő védelem megtalálásában szeretne segítséget nyújtani. Azok számára, akik nem érzik ennek súlyát javaslom előbb ezt a cikket: http://www.itcikkek.hu/informatikai-veszelyek-a-virusokrol/

Vírusirtók

Ma már elmondhatjuk, hogy talán egy fokkal jobb a helyzet, mert a Windows 8 megjelenése óta minden PC-n jelen van egy aktív vírusvédelem a Windows Defender személyében. Így azoknak a gépe is már a telepítés első pillanataitól fogva védve van, akiknek fogalma sincs róla mi is az a vírusirtó. Ráadásul a Windows frissítésekkel együtt a definíciós fájlok is frissülnek benne, így folyamatosan naprakészek lehetünk az újonnan megjelenő kártevőkkel szemben. Ezzel az egyetlen baj, hogy a tesztek alapján kb. 80%-os védelmet nyújt csak, vagyis 1000-ből 200 vírus fog átjutni a szűrőnkön. A sok éves tapasztalatunk pedig az ilyen “gyári” védelemmel ellátott gépeken, hogy be is jön az az 1000-ből 200. Ezzel szemben egy jól megválasztott fizetős (de akár még ingyenes) védelem is képes lehet 1000-ből 990 vírus kiszűrésére. Mivel a zsarolóvírusok és egyéb nagyon kemény károkat okozó kártevők korszakát éljük ezt a veszélyt nem árt komolyan venni bármilyen gépről is legyen szó, az otthoni gépünkről elveszített sok évnyi családi fotó éppen olyan fájdalmas tud lenni, mint a cégünk működéséhez szükséges adatok, amiket hiába őrzünk adott esetben biztonságosan, ha egy vírus utána pillanatok alatt elintézi az egészet.

Cikkünket most két részre bontanám, az első szóljon az otthoni felhasználókhoz, a folytatás pedig az üzleti ügyfelek számára segít majd dönteni. Kezdeném azzal, hogy tudomásom szerint egyetlen ingyenes védelmi megoldás sem legális céges használatra, ezt nem árt tudni. Otthoni felhasználásra viszont mindenki szabadon alkalmazhatja őket, általában azzal szoktak kevesebbet tudni fizetős társaiknál, hogy kémprogramok ellen nem védenek, tehát az olyan programok, amelyek hirdetéseket jelenítenek meg folyamatosan a gépünkön, esetleg az internet használati szokásainkról és egyebekről jelentenek azok szabadon garázdálkodhatnak. Nagyon gyakori még, hogy az ingyenes megoldások mindenféle regisztrációkat követelnek meg, folyamatosan ajánlatokkal bombáznak minket, próbálnak meggyőzni a fizetős változat megvételéről, vagy nem valós fenyegetésekre hívják fel a figyelmünk. Éppen ilyen védelem az Avast is, amelyik egyébként az ingyenesek közt talán most az egyik legjobb, mindössze évi 1 alkalommal meg kell adjuk az e-mail címünket, ami egy gyors és egyszerű regisztrációnak felel meg, cserében egész évben ingyen védi a gépünket, sőt még a kémprogram típusú kártevőkkel szemben is aktív. Ugyanakkor a fizetős védelemre szőtt meggyőzési stratégiát már időnként túltolják a programozók, egy ismerősöm gépén például nemrégiben a fizetős változatban elérhető takarító program megvételéről úgy próbált meggyőzni minket, hogy 160GB-nyi szemetet talált egy olyan gépen, amin összesen 140GB az adat, amiben benne volt maga a Windows rendszer és bizonyíthatóan több tíz GB privát adat is, ami legkevésbé sem tekinthető szemétnek. Mégis, ha valaki ingyenes megoldást keres otthonra, akkor elsőként az Avast-ot tudom neki ajánlani, nem elég, hogy a független teszteken mostanában mindig az élmezőnyben végez, a teljessége miatt (kémprogramot is keres) is jó választás. Csak nem kell készpénznek venni, amikor egyéb veszélyekre figyelmeztet és a fizetős változatot akarja eladni nekünk. Ha már szóba kerültek a tesztek, nos mindenképpen érdemes azok alapján választani. Nem mondom, hogy otthoni felhasználóként az ember órákat böngéssze a független tesztek eredményeit és utána olvasgasson minden tesztelési metódusnak, hogy értelmezni is tudja azokat, ezért vagyunk mi, hogy ezt megtegyük. Ráadásul ahogy az informatikában is minden gyorsan változik, úgy itt is gyorsan változnak a trendek, gyakran évről-évre változik a gyártók sorrendje, amit mezei felhasználóként nehéz is lenne nyomon követni. Például sokan emlékezhetnek, hogy 8-10 éve minden a NOD-ról szólt milyen innovatív, gyors és jó találati arányú termék, azóta pedig hosszú évek óta a futottak még kategóriát erősíti.
Ha valaki otthoni felhasználóként rászánja magát egy fizetős védelemre, akkor az Avast mellett egy GData Antivirust tudok neki javasolni, amit minél több gépre vesz meg annál olcsóbb. 1 gépre évente 6000 forint körül érhető el (ami havi 500ft), de ha mondjuk 3 gépünk van otthon, akkor már évi 4000 forint körül is kijövünk gépenként. Érdemes lehet többen összeállni családon belül és akkor nagyon olcsón lehet egy piacvezető vírusirtónk, ami 1000-ből legfeljebb néhány vírust enged csak át, jó eséllyel egy bekapcsolt viselkedés védelem még azokat is lekapcsolja.

A céges ügyfelek esetében már az ingyenesekről nem beszélhetünk, így jöjjenek a fizetős megoldások és azok fajtái. Itt mindjárt fontos lenne két részre bontani a védelmek típusait, központilag felügyelhető és ún. “otthoni” változatra. Általában azt szoktuk mondani ahol a gépek száma 10 alatt van ott mindegy melyik változatot veszik, 10 gép felett azonban már mindenképpen érdemes elgondolkozni a központilag felügyelhető változaton. Ennek rendkívül egyszerű oka van. A vírusirtó is egy program, aminek ráadásul nagyon fontosak a napi rendszerességű frissítések, ugyanúgy tartalmazhat program hibákat, egyes esetekben leállhat akár a védelem, illetve a másik fontos szempont, hogy amikor biztonsági riasztás történik a felhasználó nem biztos, hogy a legjobb döntést hozza, viszont bármit is kellhet csinálnia a rendszergazdának a védelemmel azt csak a géphez odaülve, a felhasználót a gépétől felállítva tudja megtenni. A központi konzolos megoldásoknál ezzel szemben a frissítéseket egy központi konzol tölti le és terjeszti a hálózat gépei közt, amiken egy ún. ügynök program tevékenykedik és küldi a jelentéseket a központi konzol felé. Így a cég rendszergazdája egyetlen felületen monitorozhatja a védelmeket, és kezelheti a biztonsági incidenseket anélkül, hogy a felhasználókat ki kéne vegye a munkából. Ráadásul pillanatok alatt lehet egy beállítást a cég összes gépén elvégezni és pár percen belül már az összes vírusirtó aszerint működik. Ugyanígy beállíthatóak időzített, központi víruskeresések és bármikor lehet ilyeneket indítani kézzel akár egy-egy gépen külön-külön is vagy egyszerre az összesen. Ezek mind olyan hasznos funkciók, amelyek nagyban növelik a védelmi rendszer hatékonyságát, természetesen egy bizonyos számú gép felett érdemes ilyen fajtát választani. Ma már a nagy gyártók mindegyike rendelkezik ezzel a fajta védelemmel. Technikailag egy központi gépet igényel, nem feltétlenül szervert (bár ha egyébként is van célszerű arra telepíteni), de egy olyan gépet, ami az idő legnagyobb részében elérhető a hálózaton és olyan ember használatában van, aki a központi konzolt fogja felügyelni.

Vírusirtó tesztek

Az pedig, hogy ki melyik gyártó termékét választja már picit vallás kérdése is, mert szoros az élmezőny, de mindenképpen a független tesztekből érdemes tájékozódni az aktuális trendekről. A két legnagyobb ilyen oldal a virusbulletin.com és az av-test.com. Ezek különböző szempontok alapján osztályozzák, pontozzák és minősítik a különböző gyártók termékeit. A szempontok közt szerepel általában a találati arány mellett az erőforrás igény (mennyire lassítja a gépünk), az ismeretlen vírusok elleni védelem, az ismert kártevők elleni védelem (felismerés minta alapján), de még az is, hogy hány false positive-ot (hány hibás felismerést) produkál az adott termék. Mi a Virusbulletin által publikált RAP átlagot szoktuk mérvadónak tekinteni, ami a felismerési hatékonyságot átlagolja, az ismeretlen vírusok elleni védelmet és a minta alapján történő felismerést és az ad egy olyan viszonyszámot, ami megmondja nekünk hogyha egy tetszőlegesen kiválasztott vírussal találkozik a gépünk mennyi esélyünk van egy fertőzésre. Minta alapján ma már a nagyobb gyártók szinte mind hozzák a 100%-ot, a RAP átlag viszont arra is vonatkozik ha én éppen most írok egy friss vírust és ráengedem a védelemre / vagy a netről összeszedek egy pár órán belül megjelent új vírust, akkor milyen esélyeim vannak vele szemben. Az elmúlt évek RAP átlagain pedig jól látszik, hogy a GData megoldása évek óta stabilan az élen van, köszönhetően a nagyon hatékony felismerési megoldásainak, amivel az ismeretlen kártevőket is nagyon hatékonyan szűri ki. Erről érdemes megnézni ezt a videót:

Ezzel szemben viszont sajnos a tapasztalatok azt mutatják, hogy olyan neves gyártók, mint az ESET (NOD) védelme is képes több hónapja ismert vírusokkal szemben végzetesen elvérezni, egyik ügyfelünk a korábban jó pénzért megvásárolt ESET Endpoint Security védelme ellenére is sikeresen el tudott indítani egy májusi megjelenésű zsarolóvírust, aminek az exe-jét egyébként a saját aznapi GData Internet Security védelmünk név szerint azonosított és már a másolás pillanatában lefülelt, esélyünk sem maradt tehát elindítani.
Ezért érdemes olyan védelmet választani, ami hatékonyan megvédi gépünket a mai modern vírusoktól, különben nagy árat fizethetünk érte. Pedig gyakran nem a drágább védelem a jobb, ahogy a mellékelt példa is megmutatta. A GData és az Avast mellett ajánlottak még a Kaspersky, az AVG és a Bitdefender termékei is, kinek mi tetszik jobban. Jelen pillanatban ezek a cégek jelentik az élmezőnyt.

Pár szóban a Kaspersky-botrányról

Néhány napja az a hír tartja lázban a magyar IT világot, hogy a Magyar kormány gyakorlatilag kitiltotta az orosz Kaspersky cég termékeit az állami piacról. A témában rengeteg cikk látott napvilágot számos hírportálon, amiben minden információ jelen van, így csak ezekre kívánunk jelenlegi cikkünkben pár mondatban reagálni.

Kaspersky

Első körben álljon itt az Indexhez tartozó portfolio.hu cikke a témában:
https://www.portfolio.hu/vallalatok/it/letiltja-a-magyar-kormany-az-allami-gepekrol-a-kemgyanus-orosz-virusirtot.5.294746.html

Bár nem mi vagyunk a megfelelő szerv annak eldöntésére, hogy a Kaspersky valóban tartalmaz-e kémkedésre alkalmas elemeket, állítólag a forráskódot hozzáférhetővé tették, így azt bárki hozzáértő elemezheti. Nyilván a magyar állami szervek ezt meg is fogják tenni a közeljövőben, amikor is ki fog derülni az igazság, így ami egyelőre csak figyelmeztetés és ajánlás szintjén történt meg (a Kaspersky termékek kerülését kérik az állami szektorban és jelentési kötelezettséget vezetnek be, ha valaki ezt használja), az akár konkrét tiltásként is megfogalmazódhat, hogyha bizonyítani is tudják az EU és az amerikaiak állításait. Addig viszont bölcsebb ha megadjuk a Kaspersky számára az ártatlanság vélelmének jogát, hiszen ami a linkelt cikkből nem derült ki, hogy bizonyíték egyelőre semmire sincsen.

Én csak azt tudom javasolni a Kaspersky témában érintetteknek, hogy figyeljék a független teszteket, mert a Kaspersky termékeitől jóval jobbak is elérhetőek a piacon, ráadásul jobb árakon is, így lényegében nem is kell állást foglalni, csak egy jobb termékre váltani. Pl. a GData védelmére, aki évek óta nem csak vezeti a teszteket, de ráadásul élen jár az átláthatóságban is, ezzel kapcsolatban érdemes megtekinteni ezt a cikket: https://virusirto.hu/g-data/szigoru-adatvedelem-es-megfeleles/

A Kaspersky témára egyébként reagált is a német gyártó magyar képviselete, tőlük az alábbi levél érkezett a tegnapi napon:

Kedves Viszonteladónk,
A tegnapi napon a Magyar Kormány úgy döntött, hogy kizárja a Kaspersky szoftverét, és felszólítja a költségvetési szervezeteket a Kaspersky lecserélésére.

A cikk elolvasható az IT Café oldalán: https://itcafe.hu/hir/kaspersky_magyarorszag.html

Ezt mi sajnáljuk. Ugyanakkor a vállalatokat nem szeretnénk vírusvédelem nélkül hagyni, így segíteni is megpróbálunk.

Ennek kapcsán, amelyik cég bármilyen üzleti vírusvédelmi licencét szeretné üzleti, központilag menedzselhető G DATA szoftverre cserélni, annak INGYENESEN biztosítjuk a meglévő licencidejére a védelmét, amennyiben ugyanannyi időre elköteleződik a G DATA mellett.
Tehát ha valakinek 1 év van hátra a másik vírusirtó licencéből, akkor 2 éves G DATA licencet állítunk ki a számára az 1 éves áron. Amennyiben valakinek 2 év van hátra a másik vírusirtó licencéből, akkor 4 éves licencet biztosítunk a számára…

Természetesen a Kaspersky forgalmazói jogosan vették védelmükbe a saját terméküket, ezzel kapcsolatban a 2F 2000 Kft. az alábbi levelet küldte a partnereknek:

A 2F 2000 Kft. álláspontja a Kaspersky-kormányhatározattal kapcsolatban

Kedves Partnerünk!

 A Kaspersky Labbal való sokéves együttműködésünk alapján fontosnak érzem, hogy a 2F 2000 Kft nevében is reagáljak a Magyarország Kormánya által 2018. 08. 13-án kiadott kormányhatározatra. Ezt a határozatot a magyar sajtó jelentős része és a blogoszféra is gyorsan felkapta, és “A Kasperskynek befellegzett”, “Magyarországon (is) vége a Kasperskynek”, illetve hasonló címekkel mutatta be, mint a Kaspersky Lab termékeit betiltó rendelkezést.

 A kormányhatározat ezzel szemben NEM tiltja be a Kaspersky Lab termékeit. A határozat első pontja szerint a Kormány egyetért az EU azon törekvésével, amely alapján szükséges a potenciálisan veszélyes eszközök kiszűrése és elhárítása. A szöveg nevesíti is a Kaspersky Lab termékeit. Azonban az utasítások, melyek ezt követik, nem írják elő a termékek eltávolítását: a minisztereket átvilágítás készítésére szólítják fel, illetve jelentési kötelezettséget ír elő ilyen termékek újonnan történő bevezetésekor.

 A Kaspersky termékekkel kapcsolatos legfőbb vád az, hogy a termék alkalmas lényegében bármelyik fájl elérésére, így az orosz titkosszolgálat információszerzésre használhatja fel.
 Ennek a kijelentésnek az első fele természetesen igaz, a kártevő-védelem pontosan ezt kell, hogy tegye: minden állományt, sőt, az állományokon kívül elhelyezkedő tárolóhelyeket is ellenőriznie kell. Ezt teszi a piac valamennyi hasonló terméke. A kérdés tehát nem az, hogy a technológia megvan-e bármilyen adat eléréséhez. Hanem az, hogy előfordulhat-e, hogy egy külső szerv, például egy titkosszolgálat, adatgyűjtéshez használja fel valamelyik gyártó rendelkezésre álló technológiáját. És épp ez a vonatkozás az, amivel kapcsolatban a Kaspersky Lab mindent megtesz, hogy világossá tegye: ilyen nem történhet. Emiatt teszi elemezhetővé a forráskódját és költözteti Svájcba adatközpontját, emiatt működik együtt minden, hasonló ügyeket kivizsgálni képes szervvel. Ilyen fokú transzparenciát, ilyen magas szintű bizalomteremtő lehetőséget semelyik másik gyártó nem kínál.

 A sajtó rendszeresen hivatkozik “korábbi esetekre”, melyekről “mindenki hallott”. Az igazság ezzel szemben azonban az, hogy egyetlen olyan eset sem történt, amikor ez előfordult volna. Az erre utaló cikkekkel kapcsolatban vagy az derült ki, hogy nem is történt illetéktelen adathozzáférés (mint például az elhíresült NSA-alkalmazott esetében), vagy pedig egyáltalán semmi konkrét információnak tekinthető részlettel sem szolgáltak, azaz valótlanságot állítottak, mindenfajta komoly megalapozottság nélkül.

 Ennek fényében meglepett bennünket a Magyar Kormány határozata. Ilyen jellegű bizalmatlanság eddig semmilyen más gyártó semmilyen termékével kapcsolatban sem merült még fel (pedig hadd utaljak az egyik legelterjedtebb asztali operációs rendszer kikapcsolhatatlan adatgyűjtésére, vagy a legnépszerűbb mobil operációs rendszer kéretlen helyadat-rögzítésére, hogy csak két nagyon ismert példát mutassak). Természetesen nagyon komolyan vesszük ezt a lépést. Tartok tőle, hogy lesznek olyan ügyfelek, akiknek a bizalma meginog a termékben, illetve a gyártóban – ez egy ilyen helyzetben elkerülhetetlen. Azonban úgy gondolom, hogy pánikra nincs ok. A termékek használata nem tiltott. A Kaspersky-termékek használatának elterjedtségének felmérését a minisztériumok elvégzik, az esedékes megújítások pedig még csak bejelentési kötelezettség alá sem esnek. Új rendszerek bevezetése sem tilos, igaz, bejelentési kötelezettséggel jár.

 Bízom abban, hogy érveinket – a Ti segítségetekkel – el tudjuk juttatni minden egyes ügyfelünkhöz. Bízom benne, hogy sokan megértik majd: ha ilyen típusú adatlopástól tartanak, akkor pont a Kaspersky Lab az a gyártó, amelyik a legmagasabb szintű bizonyosságot tudja adni azt illetően, hogy termékein keresztül ez nem fog megtörténni. Őszinte véleményem szerint nincs a piacon olyan gyártó és/vagy termék, amelyre áttéréskor csökkenne egy ilyen típusú incidens kockázata, sőt.

 Ezzel egyidőben igyekszünk elérni, hogy elinduljon a kommunikáció a magyar döntéshozók és a Kaspersky Lab között, amelytől azt várjuk, hogy a magyar fél is megnyugtató válaszokat kaphat felmerülő kérdéseivel kapcsolatban.

 Az Európai Unióban egyébként, noha időről időre lendületet kapnak a magyarhoz hasonló gyanúsítások, egy-két kirívó kivételtől eltekintve nem született olyan határozat, amely más gyártókénál kockázatosabbnak ítélte volna a Kaspersky megoldásait. Az Európa Parlament egyik állásfoglalása például itt található. •A Kaspersky Lab termékei továbbra is a legtöbb független minősítés és teszt alapján a legmagasabbra értékeltek
•A legtöbbször feltett, bizalommal kapcsolatos kérdés és válasz
•A Kaspersky Lab hivatalos reakciója a kormányhatározatra
Végül arra szeretnélek biztatni benneteket, hogy használjatok minket: amennyiben ügyfeleitek kifejezik bizalmatlanságukat, irányítsátok hozzánk őket, vagy továbbítsátok kétségeiket hozzánk, hogy meg tudjuk válaszolni azokat. Elkötelezettek vagyunk azt illetően, hogy az elmúlt húsz évben kiépített ügyfélkörötök lehető legnagyobb hányadát segítsünk megtartani, akár személyes közreműködéssel, akár érvekkel, információkkal.

 

A levél tartalmával amellett, hogy szélsőségesen elfogult a saját termékükkel kapcsolatban nagyrészt egyet kell értsünk, kivéve azt a tételt, hogy a Kaspersky lenne a legátláthatóbb és az egyetlen, mert azt mindenki tudja, hogy ebben a formában nem igaz. Ettől függetlenül nem gondljuk, hogy azonnal mindenkinek cserélnie kellene az egyik legjobb vírusvédelmi megoldását, habár létezik tőle jobb is.
Ha valaki mégis így dönt annak ajánljuk figyelmébe a teszteket régóta vezető német GData ajánlatát.

Kriptovírusok: új módszerek, új veszélyek

Korábbi cikkeinkben sokat foglalkoztunk már a vírusokkal és legfőképpen a sokakat érintő, és a modern informatika legnagyobb problémájának tekinthető kriptovírusokkal vagy eredeti angol nevén ransomware-ekkel. Aki esetleg nem tudja miről van szó egy gyors ismétlés. A kriptovírus egy olyan újfajta vírus törzs, amely a mai modern kriptográfiai módszerekre, matematikai algoritmusok alapján történő adattitkosításra épül. Lényegében minden nekünk fontos adatot visszaállíthatatlanul (pontosabban csak a visszaállító kulcs birtokában helyreállítható módon) titkosít a gépünkön. Miután végzett egy üzenet jelenik meg a képernyőn és közli velünk adataink visszaszerzésének módját és azt is hogyan és mennyit kell nekünk ezért fizetnünk. Innen ered az angol ransomware kifejezés, tehát váltságdíjat kér az adatainkért. Sokan azt kérdezik ilyenkor, hogy miért nem kapják el a rendőrök a gonosztevőket, hiszen ez azért mégis csak bűncselekmény. Ez így igaz, de ezeknek a speciális vírusoknak az előzménye volt egy Tor nevű böngésző, amit eredetileg az amerikai hadseregnek fejlesztettek, hogy névtelenséget biztosítson az interneten, illetve megjelentek az ún. kriptovaluták, amikről szintén lehetne egy terjedelmes cikket írni, talán fogunk is. A vírusokkal kapcsolatban azért fontosak csak, mert szintén olyan online fizetési megoldást kínálnak, ami névtelenséget biztosít. Nem tudni a rendszerben, hogy kitől és kinek megy el a virtuális pénz, a gépünkön lévő programból elutaljuk és a címzettnél megjelenik. Rendszerint Bitcoinban szokás váltságdíjat kérni, az a legelterjedtebb és a legmagasabb valódi pénzt érő virtuális valuta.

Kriptovírus

Aztán ezeknél a vírusoknál megfigyelhető egyfajta evolúció is, folyamatosan fejlődnek és amikor az ember úgy érzi már nem tudják semmivel meglepni, újra és újra sikerül nekik. Okos ember viszont más kárából tanul, ezért érdemes lehet elolvasni ezt a cikket.

Minden ilyen cikkben elmondjuk, de sosem elég hangsúlyozni. A megelőzés három legjobb módszere : mentés, mentés, és mentés! Amikor már beütött a baj nem marad más, mint a mentésből visszaállítás. Nagyon ritkák már azok a vírusok, amikben van olyan jellegű szoftver hiba, ami valamilyen kiskaput biztosít, esetleg visszafejtést tesz lehetővé speciális programokkal. Nem árt egy ilyen katasztrófa esetén szakértőhöz fordulni, mert ritka esetben előfordul, hogy van még mit megmenteni. Ez is az evolúciós fejlődés része, hogy ma már ritkák a rosszul megírt vírusok. Általában sebészi pontossággal végzik a dolgukat. Időközben találkoztunk már olyannal is, amelyik lappang a gépen néhány napot mielőtt a legváratlanabb időpontban akcióba lép.

Eleinte a vírusok terjesztése kizárólag e-mail-ben történt, egy spam kampány során sorra küldték a megtévesztő leveleket, benne a vírusos csatolmánnyal. Sok ilyen vírus már abban is továbbfejlődött, hogy miután megfertőzött egy gépet az azon lévő levelezőprogramot felhasználva a talált címlistára terjesztette tovább magát a megtámadott nevében. Aztán legutóbb írtunk a Wannacry őrületről, ami szintén egy újfajta módja volt a terjesztésnek és az eddig talán legkritikusabb támadássorozatot generálta. Ekkor egy Windows-okban használt hálózati kommunikációs protokoll hibáját kihasználva olyan gépekre is vírust tudtak juttatni, amelyeken egyébként senki nem indított el semmit. Védekezni a naprakész vírusvédelem mellett csak a Windows-ok megfelelő frissítésével lehetett. Aztán maradt a hagyományos e-mail-es módszer és a támadások kicsit alábbhagytak, nem találtak ki újat, egészen mostanáig…

Egy ügyfelünk szervere nemrég egy újfajta terjesztési módszerrel kapott el egy veszélyes vírust. Ez esetben a távoli asztal protokollját támadták (RDP), ami ugyan nem újkeletű dolog, de mégis egy picit más volt. Az interneten minden egyes nyilvános IP címet (minden embernek van egy ilyen, aki kapcsolódik a netre) folyamatosan bombáznak robotok (ez alatt jelen esetben egy szoftvert kell érteni) kérésekkel, amiben a gyári alapértelmezett portszámokat (kommunikációs csatornákat) vizsgálják, hogy hol milyen elérhető szolgáltatást találnak. Amikor egy szolgáltatást az internet felől elérhetővé kell tenni, akkor annak portját (csatornáját) meg kell nyitni egy tűzfalon az internet irányába. Ezt a pásztázó robotok észreveszik, majd a szolgáltatás kommunikációs formájának megfelelő üzenetekkel kezdik bombázni. Bejelentkezni próbálnak egészen konkrétan, jelen esetben egy Windows-os távoli asztal szolgáltatáson. Az ilyen, ún. brute force (minden lehetséges jelszót rápróbálnak) módszerekkel szemben szokták azt mondani, hogy bonyolult, kellően összetett (legalább 8 karakteres, kisbetű, nagybetű, szám vagy egyéb karakter) jelszavakat kell használni. Így idő előtt fel fogják adni az ilyen típusú támadásokat és a rendszerünk védve marad. Ezzel ez esetben sem volt gond. A probléma ott kezdődött, hogy az ilyen robotok is tanulnak és elkezdtek szótár alapon, vagyis egy név/jelszó gyűjteményből dolgozni. Ez a módszer sem újkeletű, az viszont mindenképpen az, hogy jól láthatóan begyűjtötték a nyilvánosan hozzáférhető felhasználónév/jelszavakat és annak adatbázisából próbálkoztak, nyilván jóval nagyobb sikerrel.

RDP zsarolóvírus
RDP zsarolóvírus által támadott szerverek, és a támadáshoz használt név/jelszavak

A mellékelt képen is jól látható, hogy a szöveges tartalmak nyilvános és névtelen megosztására szakosodott pastebin.com oldalon közzé is tettek jókora listát azokról az IP címekről és az azokon működő név/jelszó párosokról, amit már feltörtek. Ezen a példán több, mint 8000 feltört rendszer szerepel. Mind olyan IP cím, amit valamely szoftver tárolt jelszavával vagy egy másik gépből kinyert jelszóval törtek fel. Ügyfelünk szerverén ugyanis egy újabb jelenségre lettünk figyelmesek a vírustámadást követően, a vírus saját naplóinak tanúsága szerint egy külön vírus modult szenteltek annak a készítők, hogy a gépen szétnézzen tárolt jelszavak után. Elsőként kiolvasta a Windows-ból a titkosított, tárolt jelszavakat és vélhetően titkosított formában ki is küldte a gépről. Vannak viszont olyan alkalmazások, amikből könnyedén tudnak ilyenkor adatot kinyerni, ilyen például a böngésző, gondoljunk például bele, hogy a Firefox amikor egy kattintással meg tudja nekünk jeleníteni a tárolt jelszavakat, akkor azok mennyire titkosított formában vannak tárolva. A jelszavak betárolása tehát nagyon kényelmes, viszont nagyon veszélyes is lehet. Aztán következő lépésben vírusunk elintézte a fájlrendszerben jelen lévő árnyékmásolatokat, amik egyfajta mentés szerepét is betöltik. Ez sem újdonság, szinte a kezdetektől minden ilyen vírus megteszi ezt még az elején. Aztán jött az adatok titkosítása. Sajnos mivel jelen esetben közvetlenül egy szervert sikerült megfertőznie, így a kétféle mentés ellenére is komoly veszélynek voltak kitéve az adatok. Szerencsénkre, ahogy a korábbi esetekben sem, úgy ezúttal sem történt a legminimálisabb adatvesztés sem, de ehhez egy adag szerencse mellett a gyors reakcióidő is fontos volt.
Amikor azt érzékelték, hogy a rendszerük drasztikusan lelassult egyből jelezték felénk és mivel szerződéses ügyfélről volt szó, így soron kívül meg is kezdtük a probléma vizsgálatát. Amikor kiderült, hogy egy kriptovírus dolgozik éppen a szerveren lévő adatokon, addigra sok mindent el is intézett, a mentéseket tartalmazó különálló HDD viszont teljesen ép volt még, abból tudtunk csinálni végül egy teljes rendszer visszaállítást. A vizsgálathoz használt vírusirtó aznap még tisztának, másnap reggel már vírusosnak azonosította a szemmel láthatóan kártékony elemeket, tehát egy nagyon friss kártevővel álltunk szemben.

Kriptovírus

Az eset több tanulsággal is szolgál. Először is lehet bármennyire jól konfigurált vagy gondozott egy rendszer, bármelyik szoftver elem a tudtunk nélkül üthet hatalmas rést a pajzson. Jelen esetben egy olyan, amúgy nemzetközi nagy multi cég által gyártott szoftver tette ezt meg, amire az ember nem is számítana. Vélhetően a telepítő egy korábbi verziója egy fejlesztő oda nem figyeléséből vagy kényelméből rendszergazdai jogot adott annak a felhasználói profilnak, amit a szoftver telepítője hoz létre a legelején és aminek (nyilvánosan is hozzáférhető) fix név/jelszavával az adatbázist el tudja érni. A rendszergazdai joggal pedig alapértelmezésben együtt jár a távoli asztalhoz való hozzáférés is és máris biztonsági résünk keletkezett. Ezen kívül ha az ember komoly vállalati szintű rendszert üzemeltet (ebben az esetben a szóban forgó program akadályozta ezt meg például, mert összeférhetetlen volt a Windows-os címtárral), ott érdemes fiókzárolást beállítani a végtelen számú jelszópróbálkozás ellen. Vannak a távoli asztal port védelmére szolgáló alkalmazások is, amik szintén csökkenthetik a kockázatot, de mindkét intézkedés akkor ér valamit hogyha amúgy rövid idő alatt generált sok próbálkozásból találnának be. Ezen kívül érdemes csak a szükséges portokat kiengedni a tűzfalon a net irányába, ami olyan azt pedig komoly titkosítással rendelkező VPN kapcsolaton keresztül érni el. Ehhez sajnos célhardver is kell, emiatt a kisebb cégek, otthoni rendszerek esetében nem elterjedt a módszer, de kisvállalati környezetben is tudunk már olyan megoldásokat ajánlani, ami ha kellően jól van beállítva sokat javíthat a védelmen. Itt megjegyezném azt is, hogy az elhanyagolt, hozzáértés nélkül üzemeltetett vagy éppen nem üzemeltetett rendszerek vannak a legnagyobb veszélynek kitéve. Sok esetben pedig akkor fordulnak hozzánk ügyfelek, amikor már mindennek vége. Márpedig egy ilyen támadás egy cég életébe is kerülhet, ha például az összes nélkülözhetetlen adat elveszik. Az otthoni felhasználóknak sem esik jól, ha számukra pótolhatatlan fényképek kerülnek örökre titkosítás alá, de egy cég életében ez sokkal nagyobb tragédia. Ehhez képest elenyésző az a költség, amibe egy adott esetben sokkal tudatosabban üzemeltetett rendszer, a megfelelő biztonsági mentés, tűzfal és vírusvédelem kerül. Ezek mindegyike ha jelen van lényegesen kevesebb az esélyünk az adatvesztésre. Nekünk üzemeltetőknek pedig az a tanulság, hogy nagyon résen kell lenni. Jön egy új program és a tudtunk nélkül olyan jogosultságokat hoz létre, amit nem is gondolnánk. Sajnos időről-időre meg kell vizsgáljuk a rendszerünkben ezeket az elemeket is, illetve ha kell és lehet a gyári alapértelmezéseken is változtatnunk kell. A kriptovírusok úgy néz ki nem csak hogy továbbra is a mindennapjaink részei maradnak, de időről-időre újra próbára tesznek minket és rendszereink védelmét.