Vírusvédelmi technikák vizsgálata
Tanulmány
Veszprog Kft.
2002. Tartalomjegyzék Bevezetés ...... 7 1. Néhány alapfogalom ...... 9 1.1. Háttértárolók felépítése ...... 10 1.1.1. A diszkek fizikai felépítése ...... 10 1.1.2. Diszkek logikai felépítése ...... 11 1.1.3. Partíciók felépítése...... 12 1.1.4. Directory- és fileszerkezet...... 13 1.1.5. Diszkhozzáférési lehetőségek...... 15 1.2. Fájlok és fájlrendszerek...... 17 1.3. Hasznos és jóindulatú programok ...... 20 1.4. Spam ...... 21 1.5. Script nyelvek ...... 22 1.5.1. A VBScript...... 22 1.5.2. A JavaScript ...... 22 1.5.3. A CorelScript ...... 23 1.5.4. IRC, mIRC ...... 23 1.5.5. INF-ektorok...... 23 1.5.6. A Unix ShellScript és a PERL ...... 23 1.5.7. Egyéb Script nyelvek ...... 24 2. Támadáspontok a rendszereken ...... 25 2.1. A DOS rendszerek gyenge pontjai...... 26 2.2. Windows rendszerek támadható pontjai...... 27 2.2.1. A Windows 9x/ME támadható pontjai...... 30 2.2.2. A Windows NT és Windows 2000 támadható pontjai ...... 30 2.3. Az MS Office rendszerek gyengeségei ...... 32 2.4. Az Outlook programok „biztonsága”...... 35 2.5. A Unix és Linux rendszerek támadható pontjai ...... 37 2.5.1. A Linux sem sebezhetetlen ...... 38 3. Malware, avagy rosszindulatú programok ...... 44 3.1. Vírusok...... 48 3.1.1. A vírusok szerkezeti elemei és funkciói...... 51 3.1.2. Vírusalfajok a terjedési mód szerint...... 52 3.1.2.1. Bootvírusok...... 53 3.1.2.2. Fájlvírusok...... 54 3.1.2.3. Makróvírusok ...... 56
2 3.1.2.4. Scriptvírusok ...... 57 3.1.2.5. Levelező vírusok ...... 58 3.1.3. Vírusalfajok a rejtőzködés eszközei szerint ...... 60 3.1.3.1. Felülíró vírusok ...... 61 3.1.3.2. Append (hozzáíró) vírusok...... 61 3.1.3.3. Vírusátiratok, mutáló vírusok, polimorf vírusok...... 62 3.1.3.4. Companion (CEB) vírusok...... 63 3.1.3.5. Dropperek (pottyantók) ...... 63 3.1.3.6. Vírusgyártó kitek...... 63 3.1.3.7. Multitarget (többcélpontú) vírusok...... 64 3.1.4. Kis vírustörténelem ...... 64 3.1.4.1. Az 1960-as évek végétől az 1970-es évek elejéig ...... 65 3.1.4.2. Az 1970-es évek első felében...... 65 3.1.4.3. Az 1980-as évek elején ...... 65 3.1.4.4. 1981 eseményei...... 66 3.1.4.5. 1986 eseményei...... 66 3.1.4.6. 1987 eseményei...... 66 3.1.4.7. 1988 eseményei...... 67 3.1.4.8. 1988. november...... 68 3.1.4.9. 1988. december ...... 68 3.1.4.10. 1989 eseményei...... 68 3.1.4.11. 1990 eseményei...... 69 3.1.4.12. 1991 eseményei...... 70 3.1.4.13. 1992 eseményei...... 70 3.1.4.14. 1993 eseményei...... 71 3.1.4.15. 1994 eseményei...... 72 3.1.4.16. 1995 eseményei...... 73 3.1.4.17. 1996 eseményei...... 73 3.1.4.18. 1997 eseményei...... 74 3.1.4.19. 1998 eseményei...... 75 3.1.4.20. 1999 eseményei...... 77 3.1.4.21. 2000 eseményei...... 78 3.1.4.22. 2001 eseményei...... 79 3.1.4.23. 2002 eseményei...... 80 3.2. Programférgek (Wormok)...... 80 3.3. Trójai programok ...... 81
3 3.4. Backdoor programok, root-kitek...... 82 3.4.1. Ismert (nevesebb) backdoor programok:...... 82 3.4.2. Root-kitek...... 83 3.5. Hoaxok, rémhírek, lánclevelek...... 83 3.5.1. Hoax kategóriák ...... 85 3.5.1.1. Vakriasztások, rémhírek...... 87 3.5.1.2. Városi mítoszok és legendák...... 88 3.5.1.3. Ingyen Ajándékok (Give Aways)...... 89 3.5.1.4. Zagyva, elévült, elavult figyelmeztetések (Inconsequential Warnings) ...... 90 3.5.1.5. Szimpátia-felkeltő levelek, segítségkérések másoknak...... 91 3.5.1.6. Hagyományos lánclevelek (Traditional Chain Letters)...... 91 3.5.1.7. Fenyegető lánclevelek (Threat Chains) ...... 93 3.5.1.8. Hamis céges levelek (Scam Chains)...... 94 3.5.1.9. Tréfák (Jokes)...... 94 3.5.1.10. Igazi legendák (True Legends)...... 94 3.5.2. A Hoax levelek felismerése...... 95 3.6. Vírusfejlesztő kitek ...... 96 3.7. Levelező vírusok...... 97 3.7.1. Levelezés útján (is) terjedő bináris vírusok...... 98 3.7.2. Klasszikus levelező programférgek...... 98 3.7.3. Bináris kódú levelező vírusok ...... 99 3.7.4. A klasszikus makróvírusok és az elektronikus levelezés ...... 99 3.7.5. Scriptvírusok és a script alapú programférgek ...... 100 3.7.6. Nevezetes Internet wormok...... 101 3.7.7. Levelező 32 bites programférgek Windows környezetben ...... 101 3.8. E-mail-re szakosodott makróvírusok...... 102 3.8.1. A levelező makróvírusok célpontjai...... 102 3.8.2. Levelező Word makróvírusok...... 103 3.8.3. Levelező Excel makróvírusok...... 104 3.8.4. Levelező PowerPoint makróvírusok ...... 105 3.8.5. Többtámadáspontú levelező Office makróvírusok...... 106 3.8.6. A megelőzés lehetőségei és eszközei ...... 106 3.8.7. Mit okozhatnak a levelező makróvírusok?...... 108 3.9. Scriptvírusok, -férgek és dropperek ...... 109 3.9.1. VBScript malware...... 110 3.9.2. JavaScript kártevők ...... 110
4 3.9.3. CorelScript vírusok, férgek ...... 110 3.9.4. A LoveBug (LoveLetter) eset utóélete...... 111 3.10. Backdoor típusú programok...... 111 3.10.1. BackOrifice, BO...... 112 3.10.2. BackOrifice 2000, BO2K...... 114 3.10.3. NetBus...... 114 3.10.4. Sub7 ...... 116 3.10.5. További backdoor programok ...... 119 3.10.5.1. Phase, Backdoor.Phase, Phase Server ...... 119 4. Védekezési stratégiák...... 120 4.1. Néhány gyakorlati kérdés...... 120 4.1.1. Miről ismerhető fel egy fertőzés?...... 121 4.1.2. Mit okozhatnak a vírusok? - Vírus okozta károk ...... 123 4.1.3. A kárérték kiszámolása ...... 124 4.1.4. Miért nincsenek "hasznos" vírusok? ...... 124 4.1.5. Honnan jönnek a vandál programok?...... 128 4.1.5.1. Kik írnak vírusokat?...... 128 4.1.5.2. Miért írnak vírusokat? ...... 129 4.1.5.3. Miért eresztik rá a világra a vírusokat? ...... 130 4.1.6. Hackerek és crackerek...... 131 4.1.6.1. Az információ szabad! ...... 135 4.1.6.2. A hackerek 12 parancsolata...... 137 4.1.6.3. Egy hírhedt cracker - Kevin D. Mitnick...... 139 4.1.6.4. Social Engineering (társadalommérnökség)...... 145 4.1.6.5. A Chaos Computer Club (CCC)...... 146 4.1.6.6. KGB-s Hackerek ...... 147 4.1.7. Miért veszélyesek az Internet wormok...... 148 4.1.7.1. Mit okozhatnak?...... 148 4.2. Megelőzés ...... 152 4.2.1. Biztonsági mentés – Backup ...... 153 4.2.2. Biztonságos géphasználat...... 155 4.2.2.1. Munka floppykkal ...... 156 4.2.2.2. Jelszavak használata...... 157 4.2.2.3. Jelszónyilvántartás vállalati környezetben ...... 158 4.2.2.4. Képernyővédők használata...... 158 4.2.2.5. A szabályos kikapcsolás fontossága...... 158
5 4.2.2.6. A szünetmentes áramellátás fontossága és biztosítása ...... 159 4.2.3. Szervezeti és szervezési eszközök...... 159 4.2.4. Backup stratégiák...... 160 4.2.5. Lemezek, programok, bejövő anyagok ellenőrzése...... 162 4.2.6. Megelőző védekezés programférgek ellen ...... 164 4.3. Folyamatos ellenőrzés...... 165 4.4. Antivírus- és adathelyreállító szoftverek...... 166 4.4.1. On access keresők ...... 167 4.4.2. Ad hoc keresők...... 168 4.4.3. Levelező rendszerek vírusvédelme ...... 169 4.5. Antivírus programok a srcipt- és makrókártevők ellen ...... 170 4.6. Az antivírus szoftverek adatbázisainak frissítése...... 171 4.7. Vészhelyzetterv, katasztrófaterv ...... 172 4.8. Vállalati adatvédelmi és vírusvédelmi stratégiák, IBSZ ...... 172 4.9. Az oktatás szerepe és szükségessége...... 173 4.10. A vírusmentesítés és az adathelyreállítás eszközei, lehetőségei, korlátai...... 174 4.10.1. Víruskereső programok...... 174 4.10.2. Víruseltávolító programok ...... 176 4.10.3. Backup és Restore, azaz Adatmentés és Visszaállítás...... 177 4.10.4. Adatjavító, adat-helyreállító, adat-visszaállító programok...... 178 4.10.5. A helyreállítás ismert korlátai ...... 178 5. Irodalomjegyzék...... 180 6. Függelék...... 182
6 Bevezetés
A számítógépvírusok és egyéb számítógépes programkártevők története az 1980-as évek elején kezdődött, bár egyes előzmények még ennél is régebbre nyúlnak vissza. Az előzmények közé kell sorolnunk az „életjáték” típusú programokat és természetesen a féregprogramokat. Ezek azonban csak elszigetelt, zárt rendszerekben léptek fel, terjedésük korlátozott volt, károkat nem okoztak. Kifejlesztésük célja egyfajta mesterséges intelligencia megalkotása volt, ami sikerült is. A helyzet csak akkor változott meg, és akkor vált nagy tömegeket érintő jelenséggé, amellyel már komolyan kellett foglalkozni, amikor tömegesen kerültek ki a nem programozói alapképzettségű felhasználókhoz az IBM által bevezetett számítógépek (vagyis a PC-k), valamint az IBM kompatibilis PC-kre írt programok és fejlesztőrendszerek. A mesterséges intelligenciákkal való, már nem csupán elméleti kutatások az Unix világában indultak, ám igazi kiterjedésüket az olcsó és mindenki számára hozzáférhető PC és a DOS, később a Windows és a könnyen megtanulható, hatékony eszközökkel rendelkező makró- és scriptnyelvek megjelenésének és széleskörű elterjedésének köszönhetik. A nyolcvanas években a víruskészítők a bootvírusok és a futtatható bináris kódot tartalmazó fájlvírusok fejlesztésére koncentráltak. Az 1990-es években nagy számban jelentek meg a vírusfejlesztő kitek, készletek, és ugyancsak az 1990-es évek második felére tehető a makróvírusok és scriptvírusok megjelenése és korábban elképzelhetetlen mértékű elterjedése. A nyolcvanas évek vége felé az információbiztonsági szakemberek és a vírusszakértők még jókat derültek, ha valaki olyan potenciális programkártevőkről (vírusokról, trójai programokról és programférgekről) vizionált, amelyek elektronikus leveleken keresztül terjedhetnek. Ez a nevetés mára erősen megkeseredett és okafogyottá vált. A vírusokkal foglalkozó központok, szervezetek és kutatók már 1997 első felében jeleztek olyan vadon, azaz már a zárt víruslaboratóriumokon kívül is előforduló és robbanásszerűen terjedő programkártevőket, amelyek szaporodásukhoz vagy büntetőrutinjaikhoz különféle, a megtámadott gépeken telepített és használt levelező programokat használtak fel. A VBScript, valamint JavaScript nyelven megírt vírusok és programférgek (wormok) első díszpéldányait még 1998 őszén csípték nyakon, 1999 első felében pedig a Melissa néven elhíresült Word makróvírus-család és a Papa néven közismertté vált Excel makróvírus-sorozat pusztításai borzolták fel világszerte a kedélyeket. Néhány hónappal később, de még ugyanazon év őszén és telén a BubbleBoy nevű VBScript programféreg szolgáltatott nem kevés munkát a vírusvadászoknak, a rendszergazdáknak, és nem utolsósorban az újságíróknak. 2000 májusától az I love you (más néven a LoveBug vagy LoveLetter), pár héttel később ennek egy speciális átirata, a New love, majd júniusban a VBS.Stages néven
7 elhíresült Internet programférgek tették próbára az Outlook ügyfélprogramokat alkalmazó levelező rendszereket, és számos esetben egészen a működésképtelenségig terhelték túl azokat. Az I love you család névadó példányának megalkotóját az FBI a helyi hatóságokkal karöltve fogta el. A hírek szerint várható, hogy ezúttal végre példásan szigorú bírói ítélettel honorálják majd a programféreg és átiratai által okozott több milliárd dolláros veszteségeket eredményező akciót. Természetesen tanulmányunkban külön fejezetet kapnak a Melissa és az I love you eset „eseményei, történései”. Ez akár önmagában is igen tanulságos olvasmány lehet a hálózatbiztonságért felelős vezetők és az Outlook levelező program megrögzött használói számára. Összeállításunkban kiemelten is foglalkozunk két fő víruscsaláddal, a makróvírusokkal és a scriptvírusokkal. Bemutatjuk e programkártevők működésének főbb alapelveit, támadáspontjaikat, eddig megismert és várható típusaikat. Áttekintjük, milyen károkat okozhatnak, hol és hogyan támadnak, miként akadályozható meg bejutásuk védeni kívánt rendszereinkbe. Foglalkozunk a fertőzések felismerésének és megelőzésének lehetőségeivel, eszközeivel, valamint azokkal a halaszthatatlan teendőkkel is, amelyeket sorban el kell végeznünk, amennyiben gépeinken, rendszereinken valamilyen vírusfertőzésre gyanakszunk. Külön fejezetet kap a vírusmentesítés és az okozott károk helyreállítása. A fent említett dokumentum-kártevők bemutatásán túl áttekintően összefoglaljuk a Magyarországon szélesebb körben elterjedt/használt anti-vírus szoftverek lehetőségeit, korlátait, előnyeit és gyengéit. Lehetőségeinkhez mérten részletesen ismertetjük azokat a beállításokat, amelyeket módosítanunk kell a víruskereső programok alapértelmezett gyári beállításain, hogy az esetleges fertőzéseket jó hatásfokkal megtalálhassuk és azokat eredményesen ki is iktathassuk a bejövő levelekről, valamint az Internetről, a BBS-ekről vagy egyes bizonytalan forrásokból beszerzett CD lemezekről letöltött fájlokról. Összeállításunk megírását többéves gyűjtő, elemző és rendszerező munka előzte meg. Elkészítéséhez rengeteg segítséget kaptunk a hazai vírusvadászoktól és a nemzetközi forgalomban is lévő anti-vírus szoftverek hazai szakképviseleteitől, akik vírusismertetésekkel, mintákkal, sajtóanyagokkal segítettek, valamint programjaik tiszteletpéldányaival.
8 1. Néhány alapfogalom
Összeállításunkat nem csupán az információbiztonsággal foglalkozó szakmabelieknek szánjuk, hanem meglehetősen széles olvasókörnek. Reményeink szerint egyaránt hasznos információforrásul szolgál mind a számítógépekkel professzionális módon dolgozó rendszergazdák, mind a számítógépükkel most ismerkedő, az Internet gazdag világát felfedező felhasználók számára. A vírusok működésének megértéséhez és az ellenük való védekezésre történő felkészüléshez szükség van néhány informatikai, számítástechnikai alapfogalom megismerésére és elfogadására. Aki már gyakorlott géphasználó és nem csak felhasználója, de ismerője is a számítógépeknek, az átugorhatja e fejezet lapjait, bár azt javasoljuk, hogy a közös nevező érdekében legalább egyszer olvassa el, mi mit értünk e fogalmak alatt. A számítógépek programkártevői, a vírusok, programférgek, trójai programok, időzített bombák, stb. nem maguktól, nem a semmiből keletkeznek. Létrejöttüket programozói tudással vagy automatikus programfejlesztő készlettel rendelkező, viszont az alapvető erkölcsi neveltetést nélkülöző programozóknak, hackereknek és crackereknek köszönhetik. Egy backdoor program önmagában semmiképp sem vírus, bár a vírusok elméletileg rendelkezhetnek backdoor szolgáltatásokkal, és a trójai programok sem vírusok, bár egyes vírusok trójai programokon keresztül is terjedhetnek, vagy büntetésként trójai programokat is elengedhetnek. Ezekre bőségesen találhatunk példát a magyar és angol nyelvű szakirodalomban. A számítógép alapvető részei a központi egység és a perifériák. A központi egység tartalmazza az alaplapot és fizikai memóriát, valamint a BIOS-t és a CMOS memóriát. Ezekről érdemes tudni, mi is a funkciójuk. Minden számítógépnek van valamilyen operációs rendszere, amely a gépbe épített hardverelemek (memória, háttértárak, bővítőkártyák, ki- és bemeneti eszközök, perifériák, stb.) működését fogja össze, és lehetővé teszi a számítógéppel való kommunikációt és a programok, szoftverek futtatását. A számítógépek és háttértáraik nem mentesek a hibáktól, s ugyanez igaz a programokra, ráadásul mi felhasználók sem vagyunk tökéletesek. Éppen ezért feltétlenül érdemes gondoskodni adataink rendszeres biztonsági mentéséről, valamint arról is, hogy képesek legyünk a mentett anyagok tetszés szerinti visszaállítására.
9 A továbbiakban hat idetartozó témakört tekintünk át részletesebben: - Háttértárolók felépítése - Fájlok és fájlrendszerek - Hasznos és jóindulatú programok - Spam - Script nyelvek
1.1. Háttértárolók felépítése
A számítógépes vírusok fertőzésük során a számítógép háttértárán valamilyen program- területet fertőznek meg. A vírusok működésének a megértéséhez alapvető szükség van a háttértárolók belső felépítésének a megismerésére.
1.1.1. A diszkek fizikai felépítése
A diszkek kétdimenziós felületű lemezekből épülnek fel. A floppy diszkek egy lemezt, a merevlemezek általában több lemezt tartalmaznak. A lemezeknek mind a két oldalát használják, mind a két oldalon találhatók író/olvasó fejek (head). Előfordulhat azonban, hogy a merevlemez egy lemezoldalát szinkronizálási célokra használják. Egy-egy lemezoldal kétdimenziós felépítésű: sávoknak (track, vagy cylinder) nevezett körgyűrűkre, minden körgyűrű szektorokra van osztva. Egy szektor mérete a diszk formázásának a függvénye, MS- DOS operációs rendszer alatt általában 512 byte. Megjegyzés: Elképzelhető, hogy egyes oprációs rendszerek ettől eltérő szektorméretet használnak. Például a TandomDOS 1024 byte-os szektorokat kezel, ami néhány vírus esetén problémákat okoz. A Cluster Buster (vagy DIR2/FAT) vírus feltételezi, hogy egy szektor mérete 512 byte, így a TandomDOS rendszerű gépeken a fertőzés révén a fertőzött programok használhatatlanná válnak. Mind az egyes lemezoldalak, azaz az író/olvasó fejek (head), mind a sávok (cylinder), mind pedig a sávokon belüli szektorok (sector) sorszámozottak. A sector-szám 1-től, a cylinder- és a head-szám pedig 0-tól kezdődik. Így egy szektort a (cylinder, head, sector) hármassal azonosíthatunk. A merevlemez szektorainak ezt az azonosítási módját fizikai címzésnek nevezzük. A merevlemez szektorai logikailag egy meghatározott sorrendet alkotnak. Ebben a sorrendben az első helyen a 0. cylinder 0. head-jének szektorai állnak (1-től kezdődően). Ezt
10 követik a 0. cylinder 1. head-jének szektorai, majd a 0. cylinder utolsó head-jének szektorai után az 1. cylinder 0. head-jének szektorai következnek. Így a merevlemez egy szektorára a szektor sorszámával is hivatkozhatunk. A szektoroknak ezt az azonosítási módját abszolút címzésnek nevezzük, ahol tehát az 1-es abszolút című szektor fizikai paraméterei: 0. cylinder, 0. head, 1. sector. A merevlemezek paramétereit (cylinder-szám, head-szám, sector-szám) a CMOS memória tartalmazza.
1.1.2. Diszkek logikai felépítése
A diszkeket kezelő operációs rendszerek a merevlemezeket logikai egységekre partíciókra osztják. A partíciókra osztás operációs rendszertől, hálózati rendszertől független. Az egyes partíciók információit (kezdet, vég, boot-olható vagy sem) a partíciós táblázat tartalmazza, amely a partíciós táblában vagy más néven Master Boot Recordban (MBR) található. Az MBR a partíciók információin, a partíciós táblázaton túlmenően egy programrészletet is tartalmaz, amely a gép bekapcsolásakor, illetve minden boot-oláskor hajtódik végre. Megjegyzés: Az MBR és a partíciós tábla egyaránt ugyanazt, a lemezegység fizikailag első szektorát (0.head, 0.cylinder, 1.sector) jelenti. A partíciós táblázat viszont ennek a szektornak csupán a partíciós információkat tartalmazó részét (1BEh címtől kezdődően).
1. ábra: Merevlemezek partíciókra osztása
11 Mint az az ábrán látható, a 0. cylinder 0.head 1. szektora az MBR, a 0. cylinder 0.head-jének többi szektora pedig nem tartozik egyetlen partícióhoz sem. Általában igaz ugyanis, hogy az első partíció nem az MBR-t követő szektorral kezdődik, hanem a 0.cylinder 1.head 1.sector- ral. Megjegyzés: Boot-oláskor a ROM-ban lévő BIOS program indul el, amely elvégzi a szükséges inicializálásokat, teszteléseket, majd betölti a boot-lemez fizikailag első szektorát (0.head, 0.cylinder, 1.sector), és a betöltött szektor elejére adja a vezérlést. Floppy lemezek esetén (ahol egy partíció található), a partíció első szektora hajtódik végre. Merevlemezek esetén az MBR töltődik be, melynek programja megkeresi partíciós táblázatban az első boot- olható partíciót, betölti annak első szektorát és annak az elejére adja a vezérlést. A partíciós táblázat maximum négy partíció információit tartalmazza. A DOS operációs rendszer ennél több logikai partíciót is képes kezelni. Ehhez úgynevezett Extended partíciót hoz létre, amelyet logikailag további egységekre oszt.
1.1.3. Partíciók felépítése
A DOS operációs rendszer a partíciókat, mint logikai egységeket további részekre osztja. Egy partíció DOS-szektorokra osztódik. Megjegyzés: A szakirodalomban a fizikailag elérhető szektorok, és a DOS-on keresztül elérhető szektorok esetén is a szektor elnevezést használja. A könnyebb áttekinthetőség kedvéért a DOS-on keresztül kezelhető szektorokat DOS-szektoroknak nevezzük. A DOS-szektorok szintén sorszámozottak, 0-tól kezdődően. A 0. szektor tartalmazza a partíció Boot-sector-át. Ezt követi a File Allocation Table (FAT, File Allokációs Tábla) két példányban, majd a Root Directory (Főkönyvtár), és végül a Data Area (Adatterület), amely a partíción elhelyezett alkönyvtárakat, illetve file-okat tartalmazza. Ezt a címzési módszert DOS szektor címzésnek nevezzük. A 0. szektor, a boot-sector felépítése az MS-DOS operációs rendszer esetén részletesen [1]-ben a 199 oldalon található. A lényegesebb változók az alábbiak:
12
Eltolás Méret Tartalom Jelentés
A formázó program, illetve +3 8 Name operációs rendszer neve.
+0Bh 2 SectSize Egy szektor mérete byte-okban.
Egy cluster mérete +0Dh 1 ClustSize szektorokban. Foglalt szektorok száma az 1. +0Eh 2 ResSecs FAT előtt.
+10h 1 FatCnt A FAT-ek száma.
A főkönyvtár bejegyzéseinek a +11h 2 RootSize száma.
+13h 2 TotSecs A partíció mérete szektorokban.
A lemez médialeíró byte-ja: +15h 1 Media 0F8h: merevlemez 0F9h-0FFh: floppy lemez
+16h 2 FatSize Egy FAT mérete szektorokban.
+18h 2 CylSecs Egy sáv mérete szektorokban.
+1Ah 2 HeadCnt A head-ek száma.
+1Ch 2 HidnSecs Rejtett szektorok.
1.1.4. Directory- és fileszerkezet
A lemezegységen lévő file-ok és alkönyvtárak a partíció adatterületén találhatók. Az adatterület cluster-ekre osztódik, melyek 2-től kezdődően sorszámozottak. Egy-egy cluster a szektorméret egész számú többszöröse. A cluster-ek tartalmazzák az alkönyvtárak és a file-ok információit. Minden alkönyvtárhoz és minden file-hoz (ha az nem 0 byte hosszúságú) egy cluster-sorozat tartozik. Alkönyvtárak esetén ezek a clusterek tartalmazzák az alkönyvtárban elhelyezett további alkönyvtárak, illetve file-ok információit. Minden file-hoz és alkönyvtárhoz tartozik egy könyvtár-bejegyzés (directory entry), amely tehát a "tartalmazó" alkönyvtár cluster-sorozatában, míg a főkönyvtár esetén a főkönyvtárnak fenntartott helyen található. Ez utóbbi független a clusterektől, egy fix hosszúságú szekvenciális DOS-sector-
13 sorozatot jelent. A file-okhoz, illetve alkönyvtárakhoz tarozó könyvtár-bejegyzés felépítése MS-DOS 5.00 esetén az alábbi:
Eltolás Méret Tartalom Jelentés
A file neve balra igazítva, végét +0 8 FileName a ' ' jelzi, ha nem tölti ki az összes byte-ot. A file kiterjesztése balra +8 3 Ext igazítva, végét a ' ' jelzi, ha nem tölti ki az összes byte-ot.
+0Bh 1 Attr A file attributuma.
+0Ch 0Ah Reserved DOS számára fenntartott.
A file létrehozásának, illetve +16h 2 Time utolsó módosításának ideje. A file létrehozásának, illetve +18h 2 Date utolsó módosításának ideje. A file tartalmának első cluster- +1Ah 2 FirstCuls e.
+1Ch 4 > Size A file mérete.
A könyvtár-bejegyzés tartalmazza a file-ok, illetve alkönytárak cluster-sorozatának első elemét (FirstClus). A cluster-lánc további tagjait a FAT írja le (2. ábra). A FAT tábla minden egyes clusterhez tartalmaz ugyanis egy értéket, ami a következő cluster-számot jelenti. A FAT bejegyzések a partíció cluster-számának függvényében 12 vagy 16 bitesek lehetnek. A FAT bejegyzések 0-tól sorszámozottak. Az első két FAT bejegyzés speciális jelentéssel bír. Ennek első byte-ja a lemezegység Media leíró byte-ja, melynek meg kell egyeznie a boot- sector Media leíró byte-jával. A többi byte (12 bites FAT esetén 2 byte, 16 bites FAT esetén 3 byte) értéke FFh. A FAT-bejegyzések a láncoláson túlmenően speciális tartalommal is rendelkezhetnek. Ezek a következők:
(0)000h üres cluster. (F)FF0h - (F)FF6h fenntartott cluster. (F)FF7h hibás cluster. (F)FF8h - (F)FFFh a cluster-lánc vége.
14
2. ábra: Clusterek láncolása
Az ábrán szereplő példában az egyszerűség kedvéért a FAT 8 bit, azaz egy byte méretű. Egy file kezelése során tehát a könyvtárbejegyzésből kiindulva clusterenként kell olvasni a file tartalmat. Ezt a kezelési módszert DOS cluster címzésnek nevezzük.
1.1.5. Diszkhozzáférési lehetőségek
A lemezegységek tartalma többféleképpen érhető el. Hagyományos működést feltételezve a felhasználói program a DOS operációs rendszerhez fordul, amely a ROM-ban lévő BIOS programját használja a diszk eléréséhez. A BIOS pedig vagy közvetlenül fordul a hardware- hez I/O utasítások segítségével vagy előfordulhat, hogy a lemezkezelő kontroller kártya külön eprom-ot, saját ROM programot tartalmaz, amely elvégzi a lemezegység kezelését. Ezen ROM program is végső soron I/O utasításokat használ. Szerencsére nem létezik még olyan számítógépes vírus, amely I/O utasítások segítségével terjedne. Ez a megoldás ugyanis csak ugyanazon a lemezkezelő kontroller kártyán működne csak megbízhatóan. A legalacsonyabb szintű általánosan használható lemezkezelési módszer a BIOS programjának használata. A lemezkezelés a 13h-as interrupt meghívásával valósítható meg, amely fizikailag kezeli a lemezegységet, azaz hívási paraméterként az elérni kívánt szektor fizikai címét (head, cylinder, sector) kell megadni. A DOS operációs rendszer többfajta lemezkezelési eljárást is biztosít. A lemezegységeken elhelyezett file-ok, alkönyvtárak kezelésére a 21h-es interrupt több alfunkciója is lehetőséget nyújt. A DOS partíciók DOS-szektoronkénti kezelése a 25h-ös, illetve a 26h-os interrupton keresztül lehetséges. Itt hívási paraméterként az elérni kívánt szektor DOS szektor címét kell megadni. Az operációs rendszer a lemezkezelésre device driver-eken keresztül is lehetőséget biztosít.
15 A különböző lemezkezelési műveletek az elérni kívánt szektor paramétereit más és más címzés szerint igénylik. Szükség van tehát ezen címzési módok közötti konverzióra, átváltásra. A képletekben szereplő valamennyi dőlt betűs változó a boot sector változója, a vastag betűs változók pedig a partíciós táblázatban találhatók.
DOS cluster-szám <--> DOS sector-szám
A főkönyvtár által elfoglalt szektorok száma: RootDirSects = (RootSize * 32) / SectSize
A FAT-ek által elfoglalt szektorok száma: FATSecs = FatCnt * FatSize
Az első adatszektor DOS szektor címe: DataStart = ResSecs + RootDirSecs + FATSecs
Mindezek után megadhatjuk a CLUSTER sorszámú cluster első szektorának DOS szektor címét: DOSSect = DataStart + (CLUSTER-2) * ClustSize
Hasonlóan a SECTOR DOS szektor-számú szektort tartalmazó cluster sorszáma: CLUSTER = (DOSSect - DataStart) / ClustSize + 2, feltéve, ha CLUSTER > 2.
Abszolút sector-szám <--> DOS sector-szám
A DOSSect DOS szektorszámú szektor abszolút szektorcíme: AbsSect = DOSSect + RelSecs
Az AbsSect abszolút szektorcímzésű szektor DOS szektorszáma: DOSSect = AbsSect - RelSecs
Az utóbbi képlet esetén természetesen feltételezzük, hogy 0 Ł DOSSect < PartSize .
16
Abszolút sector-szám <--> Fizikai paraméterek
Az AbsSect abszolút szektorszámú szektor fizikai paraméterei: SECT = (AbsSect -1) % SectNum + 1 HEAD = ((AbsSect -1) / SectNum) % HeadCnt CYL = ((AbsSect -1) / SectNum) / HeadCnt
A (CYL, HEAD, SECT) fizikai paraméterű szektor abszolút szektorszáma: AbsSect = CYL * HeadCnt * SectNum + + HEAD * SectNum + SECT
Az egy sáv egy oldalán lévő szektorok számát a CMOS tartalmazza, de a boot szektor ismeretében is számítható:
SectNum = CylSecs / HeadCnt
1.2. Fájlok és fájlrendszerek
A számítógépek programjaikat és adataikat a háttértárakon elhelyezkedő megfelelő fájl- és könyvtárrendszerekben tárolják. E fájlrendszerek némelyike általánosan elfogadott és használt (például a FAT16), mások az adott operációs rendszer által alkalmazott egyedi megoldások (HPFS az OS/2-nél, NTFS az NT-nél, FAT32 a Windows rendszereken vagy az Ext2fs és Ext3fs a Linux változatoknál). A fájlrendszerek különbözősége – sok egyéb mellett – a bootvírusok működésére, „életképességére" is alaposan kihat. A 16 bites FAT-ra írt bootvírusok képesek arra, hogy egy fertőzött floppyról indítva a számítógépet megfertőzzék a merevlemezt, tekintet nélkül arra, hogy azon milyen fájlrendszer lett korábban telepítve. Így akár egy Novell, egy HPFS vagy egy NTFS partíciót is megfertőzhet egy 16 bites bootvírus, bár az igaz, hogy onnan már nem fog tovább fertőzni, hiszen a partíciós tábla és a bootszektor sérülése miatt (a vírus ezeket felülírja) már nem töltődik be az operációs rendszer, és így a számítógép a fertőzés előtti állapot helyreállításáig használhatatlanná válik. Amennyiben gondoskodunk arról, hogy gépeink ne indulhassanak floppyról (csak a CMOS setup-ban kell a bootsorrendet megfelelően beállítani, például C only, vagy C-A esetleg C-CD-A, stb.), a bootvírusoknak nem lesz többé esélye „hagyományos" technológiákat alkalmazva bejutni a gépbe.
17 A fájlokat elvileg két csoportra oszthatjuk: programokra és adatfájlokra. Azonban a valóságban már nem ilyen egyértelmű a helyzet. Egyrészt amíg futtatni nem próbáljuk, a rendszer a programfájlokat is közönséges adatfájlokként tárolja, másrészt az interpreter (értelmező) típusú makró- és script nyelvek (WordBasic, Visual Basic, JavaScript, CorelScript, stb.) megjelenésével, s a különböző Windowsos alkalmazásokban való robbanásszerű elterjedésével ma már a dokumentumfájlok is tartalmazhatnak – és nagy számban tartalmaznak is – futtatható programkódot. A DOS-nál a fájlok típusát a kiterjesztés (is) jelezte. Ezt az örökséget a Windows és az OS/2 is tovább vitte, s általános gyakorlat az, hogy a kiterjesztésekhez programindítási lehetőséget lehet operációs rendszer szinten kötni. A számtalan kiterjesztés közül néhány tucat általánosan ismert és használják is, másokkal csak a hozzájuk tartozó programok telepítésekor találkozhatunk.
A leggyakoribb fájlkiterjesztések
Az operációs rendszer által végrehajtható programfájlok .COM Bináris programkódot tartalmazható futtatható program .EXE Bináris programkódot tartalmazható futtatható program .BAT Kötegelt parancsfájl batch és DOS parancsokkal .SYS Bináris programkódot tartalmaz (a CONFIG.SYS kivételével) .DRV Bináris programkódot tartalmaz .DLL Bináris programkódot tartalmaz .OCX Bináris programkódot tartalmaz .VXD Bináris programkódot tartalmaz .BIN Bináris programkódot tartalmaz .SCR Bináris programkódot tartalmaz Konfigurációs, inicializáló fájlok .KBD Billentyűkiosztást tartalmazó segédfájl .TTF TrueType fontfájl .INF Telepítési segédfájl, amely a telepítési és beállítási adatokat tartalmazza .CFG Konfigurációs állomány .BAK Biztonsági másolat .TMP Átmeneti állomány, amelyet az azt létrehozó programok a futás végén törölnek .INI Windows konfigurációs fájlok .REG Registry fájlok
18 Szövegfájlok .TXT Egyszerű szövegfájl .ASC Egyszerű ASCII szövegfájl .DOC Word dokumentumfájl .DOT Word sablonfájl .PPT PowerPoint prezentáció .RTF Rich Text formátumú dokumentumfájl .XLS Excel számolótábla fájl .HTM Weboldal HTML (HyperText Markup Language) formátumban .HTML Adatbázis fájlok .DBF dBASE adatbázisfájl .PRG dBASE vagy egyéb xBASE programfájl .NDX dBASE indexállomány Képfájlok .GIF Tömörített képfájl .JPG Tömörített képfájl .BMP Bittérképes grafika .TIF Képfájl .PCX Képfájl .WMF Windows Meta File, klipfájlok MS Office alatt
Dokumentum- és súgófájlok .PDF Adobe Acrobat nyomtatható dokumentumfájl .HLP Windows súgófájl Microsoft Reader dokumentumfájlja
Hangfájlok .WAV Hangfájl .MP3 Erősen tömörített zenei fájlformátum .MOD Zenei fájlformátum
19
Tömörített fájlok .ZIP Tömörített archívumfájl, amit PKZIP vagy PKZIP-klón programokkal kezelhetünk .ARJ Tömörített ARJ archívumfájl .RAR RAR/WinRAR, Linux RAR tömörített archívumfájlja .TGZ Tar/GZip tömörített archívumfájl .CAB A Microsoft által használt (tömörített) kabinetfájl
1. táblázat
Egyéb kiterjesztések ügyében az operációs rendszerek kézikönyvei és a használt programok kézikönyvei további támpontot adnak. A felsorolt és a további kiterjesztésekről részletesebb információ az FFE (File Format Encyclopedia) aktuális kiadásában (például a SAC programgyűjteményében) található [1].
A szoftverek típusait pénzügyi-terjesztési szempontból vizsgálva kereskedelmi, shareware, freeware és még néhány egyéb kategóriába sorolhatjuk. Adattartalom szerint program-, konfigurációs-, segéd- és adatfájlokat szokás emlegetni. Az adatfájlok között különösen kiemelkedik a szövegfájlok fontossága. A rendszerint .TXT kiterjesztésű valódi szövegfájlokon kívül tágabb értelemben ide tartoznak a Word .DOC kiterjesztésű dokumentumfájlok is, amelyeknek belső szerkezete a bennük tárolt formázások, makrók, képek és egyéb objektumok miatt sokkal közelebb áll a bináris kódot tartalmazó programfájlokéhoz. A program és dokumentumfájlok szerkezete rendszerint kötött, az adott adattípusra jellemző struktúrákat tartalmaznak, így vírusellenőrzéskor jelentősen lerövidíthető az ellenőrzés időszükséglete, ha nem az egész – néha több megabájtos – fájlt kell ellenőrizni, hanem csupán azon részeit, amelyekbe víruskód épülhet.
1.3. Hasznos és jóindulatú programok
Hasznosnak akkor nevezünk egy programot, ha valamely számunkra előnyös feladatot végez, tudunk jelenlétéről és működéséről. A hasznos program legálisan, vagyis szándékaink szerint van és működik gépünkben. Minden olyan programot, amely utólagosan, a felhasználó szándéka, sőt tudomása nélkül vagy annak ellenére kerül a gépre, rosszindulatú programnak kell tekintenünk, függetlenül attól, hogy a programban vannak-e kifejezetten pusztító, romboló célú rutinok, algoritmusok vagy sem.
20 A rosszindulatú programok erőforrásokat (memóriát, processzoridőt, lemezkapacitást) vonnak el a hasznos programoktól, bizonytalanná teszik a rendszer működését, hátsó ajtókat (backdoor) nyithatnak, információt gyűjthetnek és küldhetnek ki, károsíthatják vagy akár törölhetik is a háttértárakon tárolt fájlokat, könyvtárakat, módosíthatják, vagy lehetetlenné tehetik a felhasználói programok vagy az operációs rendszer működését. A hasznos és rosszindulatú programok között a határ sok esetben attól függ, ki felügyeli a programokat és a rendszert. Például a kereskedelmi forgalomban, polcról levehető termékként kapható távfelügyeleti programok között a legtöbb lehetővé teszi, hogy a rendszergazda a felhasználók megkérdezése nélkül telepítsen, töröljön, módosítson a távolból, a hálózaton vagy a modemes kapcsolaton keresztül programokat, fájlokat a felhasználó hálózati munkaállomásként használt számítógépén. Ugyanez a szolgáltatás rosszindulatú behatolásnak minősül, ha egy olyan program nyújtja, amit nem a „nagy" fejlesztőcégek kínálnak, hanem például egy hackercsoport (cDc) fejlesztett ki (BackOrifice 2000).
1.4. Spam
Sokunk életét keserítik meg a tömegesen, kéretlenül érkező reklámlevelek, hirdetések. Az ilyen levélszemetet nevezzük közkeletű kifejezéssel spam-nek vagy junkmail-nek. Maradjunk inkább a rövidebb elnevezésnél. A spam ellen nehéz, szinte lehetetlen eredményesen védekezni, hiszen nap mint nap újabb címekről küldik ki tömegesen a kéretlen leveleket, terhelve mind a levelező rendszereket, mind postaládánkat. A védekezés egy lehetséges megoldására a HIX szerver GURU fórumán kínáltak egy ígéretes módszert. A nevezett levél annyira frappáns és lényegretörő, hogy vétek lenne kihagyni ebből az összeállításból.
A BAT annyira béna, hogy még egy normális vírust sem tud lefuttatni! :))
Sokan szenvednek a spamek-t•l. Én a spam címeket egy sima txt-ben gy•jtöm. Ezt az egy fájlt használja az összes postafiókom a szelektív letöltés vezérléséhez és az itt található címeket, neveket vagy subjecteket, stb. összeveti a szerveren még fentlév• levelekkel, és ha passzol már le sem tölti, hanem magán a szerveren törli. És ez csak egy a TheBat! felhasználóbarát funkciói közül.
21 Aki meg vírust akar futtatni, használjon MS programot! Az már eleve arra íródott... csak kiegészítették egy levelez• modullal.
1.5. Script nyelvek
A script nyelveket eredetileg arra szánták, hogy a programok paraméterezett futtatását megkönnyítsék. Idővel annyi plusz lehetőséget építettek beléjük, hogy akár vírusprogramokat is lehet e nyelveken fejleszteni. A script programok a legtöbb esetben közönséges text fájlokban találhatók, de előfordulhatnak HTML fájlokban, Word és egyéb dokumentumokban is. A script nyelveknek jó néhány közös jellemzője van. Az egyik legfontosabb, hogy a script programokat minden esetben egy script értelmező (interpreter) hajtja végre. A script program elemei a kulcsszavak (parancsok, függvények, eljárások, változók, stb.) és a különböző műveleti jelek, megjegyzések, stb. Az alábbiakban áttekintjük a legelterjedtebb script nyelveket.
1.5.1. A VBScript
A Microsoft a Visual Basicből kiindulva alakította ki először a Windows programozhatóságának javítására a Visual Basic Script (VBScript) programnyelvet. A VBScript programok ma már számtalan helyen és formában működnek. A VBScript programértelmezők szerves részét képzik a Windowsnak, és egyéb Microsoft alkalmazásnak (Internet Explorer, Outlook). A VBScript programozásról bőséges információt találni az Interneten. Érdemes azonban a Microsoft-nál elkezdeni a keresést [2]. Itt többek között található egy összehasonlító referencia a VBScript és a JScript (a JavaScript Microsoft fejlesztésű változata) használatáról (egy 1.2 MB-os letölthető ScriptHelp.msi nevű fájl).
1.5.2. A JavaScript
A VBScript és a Visual Basic között kimutatható a rokonság, ráadásul egyazon cég fejleszti, míg a JavaScript és Java programnyelvek között nincs ilyen jellegű kapcsolat. Amíg a Java nyelvet a Sun fejlesztette és fejleszti ma is (a Microsoftnak sem sikerült a kísérlet, hogy
22 kisajátítsa a Java nyelv fejlesztését is), addig a JavaScript [3] a Netscape hozománya volt. A Microsoft változata JScript néven ismert. A platformfüggetlennek szánt, és végül azzá is vált JavaScriptnek megvan az az előnye, hogy sokkal biztonságosabb, mint az alternatívaként szóba jövő VBScript. A VBScript és a JScript összehasonlítását kínáló dokumentációt a VBScript ismertetőnél említett ScriptHelp.msi tartalmazza.
1.5.3. A CorelScript
A Corel saját programjainak kezelésére egy saját script nyelvet fejlesztett ki, amelyet a Corel Office nevű programcsomagban még nem tettek általánossá. Az első, és mindezidáig egyetlen ismert CorelScript vírus (CSC/CSV) megjelenéséig mindenki biztonságosnak gondolta a Corel Office programokat. A CS/Galadriel néven is ismert vírus a CorelDraw programot fenyegeti, mivel jelenleg ez tölti be és hajtja végre a CorelScript programokat.
1.5.4. IRC, mIRC
A csevegő csatornákra csatlakozó „chat" programok a csevegésen túl számos egyéb funkciót is biztosítanak. A Windowsra készített csevegő programok VBScript-szerű programnyelvet támogatnak és használnak, amely lehetővé teszi a gépek egyfajta távirányítását. Ezt a biztonsági rést használják ki a mIRC wormok és társaik, amelyek fájl letöltéseket és programindításokat kezdeményezhetnek a felhasználó tudta és engedélye nélkül.
1.5.5. INF-ektorok
Az INF kiterjesztésű fájlok elsősorban az eszközök, szoftverek telepítésében, konfigurálásában játszanak fontos szerepet. A telepítéskor és beállításkor komoly szerepe van a script nyelveknek. Sajnos megfelelő utasításokkal elérhető, hogy a kívánt szoftverek mellett (vagy helyett) más programok is betöltődjenek, és vezérlést kapjanak. Többnyire trójai vagy backdoor jellegű programokat, néha logikai bombákat szoktak így vezérléshez juttatni.
1.5.6. A Unix ShellScript és a PERL
A Unix ShellScriptje és a PERL elvileg – és sajnos a gyakorlatban is – alkalmas vírus-, illetve vírus jellegű programok létrehozására és futtatására. Lévén azonban, hogy sokkal kisebb
23 számban vannak Unix rendszerek, illetve ezek biztonsági beállításai jobban kézben tartottak, mint a Windowsnál, egyelőre nem túl nagy számban készülnek programférgek és vírusok e rendszerekre.
1.5.7. Egyéb Script nyelvek
Minden olyan script nyelv veszélyt jelent a számítógépes rendszerek számára, amely lehetővé teszi a megnyitott programok automatikus, a felhasználó értesítése és/vagy megkérdezése nélküli vezérléshez juttatását, magyarul futtatását. Ismét egy konkrét példával szolgálhatunk. A Microsoft Outlook programjának változatai azért kapták megérdemelten a cseppet sem hízelgő „vírustanya" melléknevet, mert nem csupán belülről programozhatók, de a beérkező levelekben lapuló programkódot is hajlamosak – ma már a javítócsomagoknak köszönhetően e „ténykedésük" visszafékezhető – automatikusan a script programot (szövegtörzsben vagy csatolt állományban) tartalmazó levél megnyitásakor vagy az előzetes megtekintő ablakba (Preview Pane) kerülve a felhasználó engedélye, sőt megkérdezése nélkül végrehajtani. A TheBat! egyike a legrugalmasabban alakítható, programozható levelező programoknak. Fejlesztői hosszas belső vita után úgy döntöttek, hogy nem teszik kívülről programozhatóvá programjukat. Ha ezt megtennék, ugyanúgy vírustanyává válna a közkedvelt shareware levelező program, mint az Outlook. A script nyelvek közül a legveszélyeztetettebbek azok, amelyeket Interneten keresztül is elérhető kiszolgáló (szerver) számítógépeken használnak. Egyrészt elérhetőségük miatt, másrészt azért, mert komoly károkat okozhatnak. A veszély azért is nagy, mert az egyre újabb szolgáltatások mellett új és könnyen „hasznosítható" biztonsági réseket is „bevezetnek" a szerver számítógépeken.
24 2. Támadáspontok a rendszereken
Egy vírus csak akkor telepedhet meg egy számítógéprendszerben, ha bejut, és valamilyen módon vezérlést szerez. Az 1980-as években a vírusok elsődleges bejutási útvonala a mágneslemezeken (floppy) keresztül vezetett. Az 1990-es években, a hálózatba kötött számítógépek számának és számarányának növekedésével egyre nagyobb számban kerültek be vírusok és egyéb programkártevők a rendszerekbe a számítógép-hálózati kapcsolatokon keresztül is. További vírusforrás volt a BBS-eken és shareware programgyűjteményeken valamint számítógépes klubokban, fórumokon, tanfolyamokon történő programcsere. A floppy lemezek vírusellenőrzése, a floppy lemezről való gépindítások hardveres letiltása és a programtelepítések fokozott ellenőrzése nagymértékben csökkenti a megfertőződés kockázatát. Bár a BBS-ek, a különböző lemezes, CD-s vagy Internetes programgyűjtemények programjait a gyűjtemények karbantartói fokozottan ellenőrzik, baleset még ma is becsúszhat (mint számos jól dokumentált példa mutatja) és az ezekből származó programokat és programcsomagokat, lemezeket telepítés, illetve használatba vétel előtt mindenképpen célszerű ellenőrizni. Ebbe a csoportba sorolható a szervizszolgálatok telepítő, konfiguráló lemezeiről való megfertőződés. Ezek ellenőrzése, és az ilyen típusú „balesetek” kizárása azonban a szervizszolgálat és a helyi rendszergazda közös feladata. Az 1990-es években elterjedő új típusú cserélhető adathordozók közül a CD és DVD lemezek, ZIP és SyQuest lemezek, valamint a cserélhető merevlemezek a floppy lemezekhez hasonlóan a hasznos programok mellett számos rosszindulatú programot (elsősorban vírusokat) is bejuttattak a számítógépekbe. A vírus a nagykapacitású hordozó médiákat is szállítóeszközként „alkalmazza”. A kereskedelmi programokat tartalmazó, valamint könyvek és újságok mellékleteként több ezres példányban gyártott CD és DVD lemezek közül csak kevés vírusfertőzött akadt, ám az ilyen esetek – éppen az érintettek nagy száma és az okozott károk nagysága miatt – rendkívül nagy nyilvánosságot kaptak. Az Interneten több dokumentum is kering (például egy VirOnCD.txt nevű érdekfeszítő összeállítás), amely a gyári CD lemezek dokumentált vírusfertőzéseit sorolja fel. Hogy mi magyarok se maradjunk ki a sorból, arról a CHIP magazin kétszer HDDKiller, WM.CAP) és a PC Guru (CIH) egyszer gondoskodott. Az 1995 végén megjelent és azóta exponenciálisan növekvő számban támadó makróvírusok egy a korábbiaktól teljesen eltérő új technikát alkalmaznak. A programkód ezeknél ugyanis nem közvetlenül végrehajtható bináris kód, hanem egy megfelelő értelmező (Interpreter) segítségével végrehajtható formában van és a makrókártevők elsődlegesen nem program-, hanem dokumentumfájlokban terjednek. Ezen a módon az elsődleges célpontot már nem az operációs rendszer és a programfájlok jelentik, hanem közvetlenül a dokumentumok. A makróvírusok elszaporodását az is elősegítette, hogy amíg a programfájlokat már
25 gyanakodva kezelték a korábbi vírus incidensekből okuló felhasználók, addig a dokumentumok cseréje mind a mai napig magától értetődően és természetességgel zajlik. Először nem is gondolta senki, hogy ezeket is ellenőrizni kell, mivel ezek a dokumentumok nem csak szövegfájlok, hanem a Word, illetve az Excel által végrehajtható programkódot is tartalmazhatnak. Az Internet-használat és az elektronikus levelezés tömegméretű elterjedésével új behatolási pontokat fedeztek fel a víruskészítők. Először elektronikus levelek mellékleteként kezdtek érkezni különféle rosszindulatú programok, majd a víruskészítők sorban kifejlesztették a különböző scriptnyelvekhez (VBScript, JavaScript, CorelScript, stb.) kötött kártevőket. Ennek eredményeként ma már fertőzött weboldalak meglátogatása is elindíthatja a fertőzési folyamatokat. A fentieken túl a csevegő (Chat) csatornák (IRC, Internet Relay Chat) és a hálózati kommunikációs programok is belépési pontokat jelenthetnek, és sajnos jelentenek is a rosszindulatú programok és fejlesztőik számára. A különböző operációs rendszerek eltérő támadáspontokat „kínálnak” fel a nem kívánt látogatók számára, melyeket az alábbi csoportokban ismertetünk:
- A DOS rendszerek gyenge pontjai - Windows rendszerek támadható pontjai - Az MS Office rendszerek gyengeségei - Az Outlook programok „biztonsága” - Unix/Linux rendszerek támadható pontjai
2.1. A DOS rendszerek gyenge pontjai
A PC térhódításának kezdeti időszakában a vírusok főként programokkal (.com és .exe futtatható állományokkal) együtt terjedtek. Megfertőzték az akkor használatos DOS alapprogramját (a command.com-ot), és ezután minden lefuttatott alkalmazáshoz csatolták magukat. Terjedésük eleinte a floppykon gazdát cserélő szoftverekre korlátozódott, de a modemek és a BBS-ek (Bulletin Board System: ezek a mai Internetes letöltő és beszélgetős oldalak elődei) térhódításával egyre gyakoribbak lettek a „dróton” érkező fertőzések is. A CD-ROM meghajtók és lemezek elterjedésével nőtt az egyszerre érkező fájlmennyiség, és ezzel együtt a potenciális vírushordozók száma is. A számítógép bekapcsolása után először egy önteszt indul, majd ennek sikeres lefutása után a gép az erre kijelölt meghajtóról (ez a CMOS setupban állítható be). Ha a boot-sorrendben a floppymeghajtó megelőzi a merevlemezt, akkor a floppymeghajtóban felejtett bootvírussal
26 fertőzött lemez megfertőzheti a memóriát és a memóriába jutott, vezérlést szerzett vírus megfertőzi a merevlemezt is. Az ismeretlen forrásból származó vagy bizonytalan előéletű lemezeket, programokat még az első programindítást, illetve használatba vételt megelőzően ellenőrizni kell. Egy fertőzésgyanús gépen meg kell vizsgálni a CONFIG.SYS-ből, illetve az AUTOEXEC.BAT-ból indított programokat, hiszen ezek kínálják a legbiztosabb módszert a víruskód memóriába való juttatására. A COM és EXE fertőző vírusok túlnyomó része csalifájlokkal csapdába ejthető, s a vírus azonosítása után az eltávolításra és a helyreállításra is nagyobb az esély. A DOS rendszerek gyenge pontja a memóriakezelés. Bármennyi fizikai memória is van a gépben, a konvencionális DOS memória mindenképp csak 640 KB, emiatt a DOS alapú memóriarezidens vírusellenőröket igen karcsúra kell készíteni, hogy egyáltalán futtatni lehessen vírusellenőrző programokat a szűkös DOS memóriában. A végeredmény: vagy az ellenőrzés lassul le és vele az egész rendszer, vagy az ellenőrzés hatékonysága csökken. A memóriafoglalás miatt egyes programok nem vagy csak lassan, bizonytalanul futnak. Ha DOS alatt működő gépeket kell üzemeltetnünk, jobban járunk, ha egy vírusellenőrző munkaállomást állítunk fel, és azon kötelezően elvégzünk minden, a rendszerünkön kívülről érkező program, floppy lemez és egyéb adathordozó vírusellenőrzését. Ha ezt a szigorú szabályt betartjuk és betartatjuk, ezzel kiválthatjuk a többi gépen a memóriarezidens vírusellenőrzők telepítését. A DOS alapú rendszereknek a fent említetteken kívül még egy gyengesége van. Hiába telepszik be a vírusvédelmi program a gépre és írja be az indítására vonatkozó utasításokat a CONFIG.SYS és/vagy AUTOEXEC.BAT soraiba, az automatikus indulás viszonylag egyszerűen megakadályozható, hacsak nem cseréli ki a program a DOS boot-rutinjait.
2.2. Windows rendszerek támadható pontjai
A Windows vírusok rohamos terjedését mutatja az, hogy 1999 márciusában nagyjából százra volt tehető a létező Windows vírusok és átirataik száma. Napjainkra ez a szám megsokszorozódott, nem említve a variánsokat. Szerencsére ezek nagy része csak vírusgyűjteményekben található meg. Léteznek olyan DOS-os memóriarezidens, boot, vagy rejtőzködő vírusok, melyek esetenként a 4K alatti memóriatartományba töltődnek be a boot-olás alatt, azonban ez a terület win32 alkalmazások számára nem olvasható, mert a Windows levédi abból a célból, hogy a „null pointer bug”-ot kezelje vele. Azonban, a fent említett memóriaszelet a DOS-os programok, illetve VxD-k (Virtual Device Driver) számára hozzáférhető, kompatibilitási okokból. Így egy
27 DOS-os rejtőzködő vírus akár aktív is lehet a memória azon részén. Meg kell még említeni a napjainkban egyre jobban terjedő code red vírus variánsokat is, melyek a Microsoft IIS Web szerverének egy hibáját kihasználva tudnak szaporodni. A vírus azt használja ki, hogy a betöltendő buffer méretét nem ellenőrzi a program. Ha nagyobb adatot akar betölteni a memóriába, akkor túlcsordul, és az adat végén levő utasításokat a program sajátjának véli, és végrehajtja. Ezáltal egy megfelelően nagy csomagot küldve, melyben a vírusíró által írt kód is benne van, lehetőség nyílik arra, hogy egy IIS szerveren bármilyen kódot futtasson.
A Windows vírusok több támadási módot használnak ki, mint a korábbi DOS-os vírusok. Ezek közül a támadási lehetőségek közül néhány: - A fejléc (Header) fertőzése: A Windows vírusok ezen típusa magát a PE (Portable Executable) fejlécet fertőzi meg. - Felülíró (prepending) vírusok: A legkönnyebb és legelsőnek kifejlesztett fertőzési technika a fájlok felülírása. A vírus futtatható fájlokat keres, majd a fájl elejére beszúrja a saját kódját, felülírva a régit. Ez a technika azóta elavult, és nem is volt túl sikeres. - „Companion” (sorrendi) fertőzés: Ezen programok exe fájlokat keresnek, majd ha találnak (az esetek többségében nem vizsgálják meg, hogy a talált fájl ténylegesen PE -e), akkor bemásolják magukat abba az alkönyvtárba, ahol az exe-t megtalálták, ugyanolyan néven mint az, csak com kiterjesztéssel. - Hozzáfűződő vírusok, melyek nem készítenek új „Section Header”-t: A vírus nem készít a szekciótábla (ST) végén egy új szekciófejléc (SH) bejegyzést, viszont hozzáfűzi magát a legutolsó szekció végéhez (a fájl végéhez), majd átjavítja ezen szekció fejlécében (SH), annak méretét (hozzáadja a vírus méretét), így nagyon könnyen képes PE fájlok fertőzésére. - Hozzáfűződő vírusok, melyek nem módosítanak „AddressOfEntryPoint”-ot: Az eddigi fertőzési módszerek mindegyike (a companion-t kivéve) módosította a PE fájlok AddressOfEntryPoint mezőjét, ami a program kezdőcímét jelöli a fájlon belül. Ezzel ellentétben ezek a vírusok megnézik, hogy hova mutat az eredeti AddressOfEntryPoint, majd arra a helyre elhelyeznek egy JMP utasítást (előtte az azon a helyen lévő kódot elmentik), amely a vírus kezdőpontjára mutat. - KERNEL32.DLL fertőzők: A korábbi vírusok legfeljebb tévedésből fertőznek DLL (Dinamic Link Libraries) fájlokat, de fertőzés után ezek képtelenek lesznek a terjedésre, mivel a DLL-ek belépési pontja nem ott van, mint a futtatható exe-ké, hanem egy DLLEntryPoint-ban. Ezek a vírusok DLL-re „specializált” vírusok, melyek a KERNEL32.DLL-t támadják meg.
28 - „Fragmented Cavity” fertőzési technika: A fájloknak van egy bizonyos „slack space”-e (nem használt hely), amit a linker nullákkal, vagy 0xCC értékekkel tölt fel. Ez a szekciók határán helyezkedik el, mert az egyes szekcióknak a PE fejlécben található FileAligment értéknél kell kezdődniük. Mivel vírus nem fér el ezen a kihasználatlan területen, így a vírust több részre darabolták. A vírus betöltésekor az egyes darabok egymás után egy előre lefoglalt memóriaterületre másolódnak, majd elindul a vírus. - „Régi fájlfejléc (1fanew mezőt)” módosító vírusok: A technika alapvetően hozzáfűző típusú, a vírustörzs a fájl végéhez csatolódik. Az alapvető különbség annyi, hogy a víruskód maga nem tisztán a vírus kódjából áll, hanem tulajdonképpen egy külön PE típusú .exe fájl, mivel saját PE fejléccel rendelkezik. - VxD (Virtual Device Driver) alapú fertőzés: Amit a legtöbb VxD vírus tesz az, hogy magára irányítja a Windows fájlkezelését. Az IFS (Installable File System) Windows szolgáltatást meghookolja (magára irányítja az IFS hívásokat), majd ha végzett, általában meghívja az eredeti szolgáltatást. Azzal, hogy meghookolja az IFS-t, a vírus képessé válik az összes fájlművelet ellenőrzésére, lefigyelésére és irányítására is. - VxD fertőzés: A vírus nem fertőz meg „ismeretlen” VxD-ket (amelyek más feladatot is ellátnak, mint amire a vírusnak szüksége van). Pl. a videókártya-, hangkártyameghajtó. Tehát a vírus azokat a VxD-ket fertőzi meg, amelyek a PE dropperében megtalálhatók (mármint a lista, nem maga a VxD). - Kernel-mode Driver vírusok: A vírus módosítja a PE belépési pontját, így az a vírus kezdőpontjára mutat a fájlon belül. A fertőzött alkalmazások a driver komponens droppereként működnek. Ez azt jelenti, hogy amikor egy fertőzött állományt próbálnak lefuttatni, a vírus megpróbálja installálni a vírus egy másik részét, ami egy meghajtóprogram. A vírus képes minden fájl hozzáférés figyelésére, illetve PE fájlokat röptében (on-the-fly) betöltődésük alatt megfertőzni. - PE (Portable Executable) fájlfertőző vírusok, melyek VxD-ként viselkednek: Ezek a vírusok képesek bármilyen alkalmazásra „ráülni”, mivel a kódjukat közvetlenül a Win95 VMM-jébe (Virtual Machine Manager) fűzik. Amikor bármilyen alkalmazás elindul, a víruskód átveszi az irányítást. Mindez azért lehetséges, mert a Microsoft 3.1 VxD-kel való kompatibilitási okokból nem védte le a VMM memóriaterületét írás ellen. Így a VMM teljes memóriaterülete felhasználói szintű programok számára írható és olvasható. - „Direct action” technika: Ezek a vírusok már „memory-mapped” (memóriába feltöltött) fájlokat tudnak használni. - Fájlrendszer fertőzés: Kizárólag az NTFS5 (az NTFS 5 verziója a Windows NT verziószámára utal, mely Windows 2000 néven jelent meg) fájlrendszereket érinti ez a fertőzési mód, mely magát a fájlrendszer hibáit és hiányosságait használja ki.
29
2.2.1. A Windows 9x/ME támadható pontjai
A Windows 95/98 és a Windows Millennium DOS-os bootvírusokkal is megfertőzhető, mivel a bootszektor védelméről nem gondoskodik az operációs rendszer. A megfertőzött gép azonban többnyire működésképtelenné válik, mivel a 16 bites DOS-hoz kifejlesztett bootvírusok nem ismerik a mai nagyméretű merevlemezeken általánosan használt VFAT és FAT32 formátumokat. Ha a vírus az ilyen merevlemez bootszektorát felülírja a saját kódjával, törvényszerű az adatvesztés és a rendszer működésképtelenné válása. Az olyan fejlett technológiákat alkalmazó vírusok, mint a Szlovákiában kifejlesztett OneHalf vagy a Tajvanról 1998-ban elindított CIH változatai azonban jól elboldogulnak a FAT, VFAT és FAT32 partíciókon, s nem csupán megfertőzik a rendszert, de képesek tovább is szaporodni. A Windows 9x és Windows Millennium alatt használt számítógépeken természetesen gond nélkül futnak a DOS-os programok, és így a DOS-ra felkészített programfájl-fertőző vírusok is. Ezen felül azonban a speciálisan a 32 bites Windows programfájlok fertőzésére tervezett vírusok támadásainak is ki vannak téve. A 32 bites Windows programjainak megfertőzése nem egyszerű dolog, egy hatékonyan fertőző és terjedő vírus elkészítése nagy tudást igényel. A Windows NT és a Windows 95 megjelenése után ezért évek teltek el, mire az első 32 bites Windows vírusok megjelentek. A 32 bites Windows rendszereket igen gyakran használják hálózati környezetben. Ez pedig egy új belépési pontot jelent a vírusok és egyéb rosszindulatú programok számára. A helyi hálózatokról vagy az Internetről ma már nagyságrendekkel több vírustámadás éri a gépeket, mint floppy lemezekről, vagy vírusfertőzött CD lemezekről. A Windows 9x/ME a korábbi Windows kiadásokhoz képest sok egyéb mellett azzal is bővült, hogy az Internet Explorerrel együtt egy Windows Scripting Host (WSH) nevű VBScript programértelmező is betelepül a gépre. Ez a programértelmező meglepően hatékony, s ha egy rosszindulatú programkódot tartalmazó fájlra kattintunk rá figyelmetlenségből, a hatás előre kiszámíthatatlan.
2.2.2. A Windows NT és Windows 2000 támadható pontjai
Az NT és Windows 2000 rendszereket szinte ugyanazon pontokon lehet támadni, pár nem túl jelentős eltéréssel, mint a Windows 9x/ME rendszereket. Az első lényegi különbség, hogy az NT alapú rendszereket már nem lehet egyetlen bootlemezről indítani. Ha a merevlemez indító
30 (boot) rendszerpartíciója NTFS formátumú, a bootvírusok semmiképp sem tudnak továbbszaporodni róla. Az NT és Windows 2000 komolyabb biztonsági eszközei lehetővé teszik, hogy a rendszergazda korlátozza a munkaállomásokon elérhető és futtatható programok körét. Ez ugyan magában még nem szünteti meg a víruskárokat, de kezelhető korlátok közé szoríthatja azt. A Windows NT 4 és Windows 2000 szerver változatait használó kiszolgáló számítógépek számos programot futtathatnak. Ezek közül a Microsoft Internet Information Server (IIS) programja ma a hacker támadások legkedveltebb célpontja. A szoftver már ismert biztonsági réseihez – ha nem is mindhez – a Microsoft weboldalairól ingyenesen tölthetők le a javítócsomagok, ám a rendszerek többségén ezek nincsenek telepítve. Ez a lazaság oda vezet, hogy a közvélemény szemében a Microsoft szoftverek kifejezetten vírustanyának számítanak. Hogy ez nem túlzás, azt a W32/Nimda nevű levelező programféreg felbukkanása és egyedülállóan szerteágazó fertőzési mechanizmusa is bizonyítja. Az IIS támadásakor a féreg 16 (!) régóta ismert biztonsági rést pásztáz végig a helyi hálózaton belül elérhető IIS szerveren, s ha akár egy is befoltozatlan, akkor a féreg menthetetlenül betelepül a rendszerbe. Azokon a rendszereken, ahol a munkaállomásokhoz idegenek is könnyen hozzáférnek, gondoskodni kell arról, hogy a gépeket csak arra feljogosított és kiképzett személyek használhassák. Ennek kereteit és mikéntjét a vállalati Informatikai Biztonsági Szabályzat kell hogy meghatározza. A távmunka, a helyi számítógép-hálózatokba távolról való bejelentkezés, az Internet különböző szolgáltatásainak használata ma már természetes része az informatikai megoldásoknak. Mivel ez komoly biztonsági kérdéseket is felvet, komolyan foglalkozni kell vele. Biztosítani kell egyrészt, hogy a külvilág felől semmiképp se lehessen védendő rendszerünkbe a megfelelő jogosítványok nélkül bejutni, másrészt gondoskodni kell, hogy a nyilvános hálózatokon keresztül összekapcsolt helyi hálózatokat összekötő csatorna lehallgathatatlan legyen. Ami lehallgatható, az nem biztonságos, mert megfelelő ismeretek és eszközök birtokában a lehallgatott forgalom alapján visszafejhetők a használt felhasználó- azonosítók és a jelszavak. És végül egy fontos kérdés. Amíg egy betárcsázásos kapcsolaton keresztül csak napi pár percet vagy pár órát töltünk az Interneten, ahol a TCP/IP protokoll számára az IP címet az Internet szolgáltató adja, addig a behatolni szándékozó hackernek csak percei vannak a célpont azonosítására és a behatolás megtervezésére. A bérelt vonal, vagy egyéb napi 24 órás Internet kapcsolat használata a nyilvánvaló előnyökön túl azt is eredményezi, hogy rendszerünk legalább egy pontja napi 24 órában lesz céltáblája a különféle támadásoknak, s mivel fix, legalábbis napokon keresztül nem változó IP címmel rendelkezik, gondoskodni kell
31 külön védelméről egy a védendő rendszer értékének és a fenyegetettség mértékének megfelelő hardveres vagy szoftveres tűzfal (FW, Firewall), behatolásérzékelő rendszer (IDS, Intrusion Detection System), és vírusvédelmi rendszer, esetleg VPN (Virtual Private Network, virtuális magánhálózat) alkalmazásával. Távmunkára alkalmas rendszereket nem csupán az Interneten, hanem RAS (Remote Access Services) szervereken keresztül is kialakíthatunk. Ezek biztonságát nagymértékben növelheti, ha minimalizáljuk az olyan bejelentkezések számát, amikor a betárcsázó számítógép adja meg a visszahívó telefonszámot. Az ilyen távmunka a nyilvános – ezért lehallgatható – telefonhálózatot veszi igénybe, ezért érdemes virtuális magánhálózattá alakítva létrehozni. Mivel a sikeres bejelentkezést követően a távolról bejelentkező számítógép már a hálózat integráns részévé válik, a távoli gépre bejutott vírusok, programférgek, backdoor és trójai programok ellen különös gondossággal kell védekeznünk. Ennek érdekében célszerű korlátozni, vagy legalábbis kézben tartani a távoli gép hozzáférését a sérülékeny és védendő hálózati elemekhez, adatbázisokhoz.
2.3. Az MS Office rendszerek gyengeségei
A Microsoft Office programcsomag ma már egységes belső makró- és programozási nyelvvel rendelkezik. Ez az Office programjainak karbantartása, menedzselése, a felhasználók támogatása szempontjából igen előnyös, ám a rendszeren kívülről érkező dokumentumokban lapuló, automatikusan elinduló makrók komoly biztonsági rést jelentenek, amellyel foglalkoznunk kell. Természetesen pár perces beállítással akár külső segédprogramok nélkül is elérhető, hogy ne indulhassanak engedély nélkül ezek a makrók, ám az Office csomagok zömmel nem informatikus felhasználóköre alig vehető rá a szükséges biztonsági intézkedések és előírások betartására. E nélkül pedig elvész a biztonság. A makróvírusok már önmagukban jelenlétükkel, károkozásaikkal is sok gondot jelentenek, de a helyzeten tovább rontott a többtámadáspontú makróvírusok megjelenése. A probléma ezekkel abban áll, hogy ha nem megfelelő alapossággal végzik el a vírusmentesítést, elegendő egyetlen el nem távolított kártevő, és a vírus előbb-utóbb visszafertőzi a rendszert.
A makróvírusok elsősorban a Microsoft Office programjainak belső programozhatóságát lehetővé tevő VisualBasic (a korábbi változatok a WordBasic) nyelvhez kötődnek, bár más makrónyelvekre, programokra is készítettek már vírust (Ami Pro, Lotus 123). A makróvírusok mind a mai napig elsősorban a Word és az Excel dokumentumokat támadják és használják fel a fertőzés továbbterjesztésére, de az MS Office 97 megjelenésével a programok
32 makrónyelvének egységességét kihasználva a víruskészítők elkészítették az első PowerPoint és Access dokumentumokban terjedő makróvírusokat.
A Microsoft 1997 elején mutatta be az Office 97-et, mellyel a Word programnak egy teljesen új generációja került a felhasználókhoz. A korábbi Word verziókkal ellentétben a Word 97, a Visual Basic for Application-re (VBA) építkezik a WordBasic helyett. Mivel azonban a felhasználói programok nagy része WordBasic-ben íródott, ezért a Microsoft-nak biztosítania kellet a hordozhatóságot a VBA alkalmazásba. Ezt egyszerűen megoldották azzal, hogy az egész WordBasic-et beemelték a VBA Word 97-es változatába. E megoldás eredményezte, hogy a Word 97-nek a korábbi Word változatokkal készített szövegfájlokat mindenképpen át kell konvertálnia saját formátumára.
Azonban nem az összes WordBasic program lett pontosan átkonvertálva a VBA-be, főleg a konverterben lévő hibák és a két nyelv közötti inkompatibilitás miatt (néhány WordBasic parancs egyszerűen nincs a VBA-ben). Valamint, az utolsó pillanatban, mielőtt kiadták volna az Office 97-et, a Microsoft belehelyezett a WordBasic-VBA konverterbe néhány vírus specifikus antivírus védekezést. A konverter egy könyvtárat használt (WWINTL32.DLL), amely byte-sorozatot tartalmazott néhány akkori jól ismert vírusfajtáról. Azok a WordBasic makrók, melyek ezeket tartalmazták, nem konvertálódtak át VBA-be. Ez alapjában véve hasznos volt, hogy megállítsanak néhány széles körben elterjedt vírust, mint a Concept, Npad, stb.
Ez a védekezési mód nem úgy működött, ahogy kellett volna. Először is: nem frissítették, másodszor: csak az Office 97 hivatalos kiadása tartalmazta ezt a védelmet, mivel az utolsó pillanatban lett bemutatva. A Microsoft marketing stratégiájának köszönhetően a hatalmas mennyiségben kibocsátott béta verziók e nélkül a védelem nélkül „boldogan” konvertáltak számos WordBasic vírust a VBA-be. És az új vírus, ha egyszer átkonvertálódott, akkor elkezdte terjedését a rendszeren.
Az Office 97-nek van még egy antivírus védelme. Amikor a felhasználó szeretne megnyitni egy dokumentumot, a megfelelő alkalmazás (pl. Word 97) figyelmeztető üzenetet küld a felhasználónak, és read-only (csak olvasható) módban engedi megnyitni az adott dokumentumot. Azonban ez a védelem sem tökéletes. Léteznek olyan makróvírusok, melyek képesek arra, hogy kikapcsolják a Word makrófigyelő beállítását. Másik hiba, hogy gyakran detektál olyan makrókat és alkalmazásokat, melyek nem vírusok. Ez arra ösztönözheti a felhasználót, hogy kikapcsolja azt az alkalmazást, mely a figyelmeztetéseket küldi neki.
33
Vírusprogram írására és futtatására három dolog biztosít lehetőséget egy makrónyelven belül: 1. a makróprogramot a rendszer a dokumentumfájlon belül tárolja, 2. léteznek olyan eszközök, amelyekkel automatikusan, a felhasználó tudta nélkül lehet a makrót elindítani 3. a rugalmasan paraméterezhető makrónyelvet fájlműveletek elvégzésére is felkészítették. Mintegy mellékszolgáltatásként egyes makróvírusok képesek „hagyományos” bináris víruskód elszórására is (dropperek).
A makróvírus lehetséges támadási módjai: 1. Automakrók használatával: Az autómakrók valamilyen tevékenység végrehajtásakor automatikusan lefutnak, ha a normál sablon, vagy az éppen betölteni kívánt sablon fájl tartalmazza ezen makrók bármelyikét. Általában a vírusok az AutoOpen makró segítségével már a fertőzött (ál)dokumentum megnyitásakor képesek aktivizálódni. 2. Word parancs átdefiniálással: A Word belső parancsai átdefiniálhatók. Ha egy elég sűrűn használt belső paranccsal megegyező nevű makrót tartalmaz a betöltött, fertőzött dokumentum, akkor nagy az esély, hogy a vírus aktivizálja magát. A belső parancsok átdefiniálását a Word makróvírusok nemcsak aktivizálódásra, hanem további dokumentumok megfertőzésére is használhatják. 3. Billentyűzet átdefiniálással: Lehetőség van arra a Wordben, hogy különböző billentyűkombinációkat tetszőleges parancshoz vagy tetszőleges makrókhoz rendeljünk hozzá. Ekkor a megfelelő billentyű lenyomása után a hozzárendelt parancs, makró, vagy esetleg a vírus hajtódik végre. A vírus aktivizáló makróját hozzárendelhetik már meglévő billentyűzetkombinációhoz (Ctrl+c), vagy például egy gyakran használt billentyűhöz is (pl.: Esc, Space, stb.). 4. Menüpont átdefiniálással: A Word-ben minden menüpont egy parancshoz, vagy makróhoz van rendelve. Ezek igényeknek megfelelően átalakíthatók, sőt újak is szúrhatók be közéjük. A vírus aktivizálódhat úgy, hogy az őt aktivizáló makró egy már létező menüponthoz van hozzárendelve, vagy pedig egy új menüpont beszúrásával (Pl.: Fájl/Olvass). A kíváncsi felhasználó ezt elindítva aktivizálja a vírust. 5. Eszköztár átdefiniálással: Hasonlóan működik, mint az előző esetben, vagyis a fertőzött sablon vagy egy már létező eszköztárhoz rendeli hozzá az aktivizáló makrót, vagy pedig egy új eszköztár gombot szúr be a már meglévők közé. Ezt kiválasztva a vírus aktivizálódik. 6. Makrógomb beszúrással: A makrógomb segítségével makróparancsot tudunk beszúrni egy dokumentumba. Pl.: magyarázó szöveget lehet fűzni a dokumentum egy bizonyos
34 pontjához úgy, hogy az adott helyre egy olyan makró gombját szúrjuk be, amit megnyomva a makró egy segítő párbeszédpanelt jelenít meg. Ez kihasználható oly módon, hogy a párbeszédpanelt megjelenítő makró helyett a vírust aktivizáló makró is elindítható. 7. Űrlap mező beszúrással: A Word segítségével létrehozható űrlapot a képernyőn kitöltve, a mezőkbe a felhasználó adatokat vihet be. Ezekhez a mezőkhöz olyan makrókat lehet rendelni, amelyek megfelelő helyzetben (pl. mezőbe lépéskor) automatikusan lefutnak. Ilyen mezőt a vírus tetszőleges helyre beszúrhat.
Az MS Office csomaghoz kell sorolnunk a benne levő Outlook, valamint a Windows-zal, illetve az Internet Explorer újabb kiadásaival automatikusan telepedő Outlook Express programot is. Az Outlook képes a beérkező levelekben lévő VBScript és JavaScript programkódot automatikusan végrehajtani már akkor, amikor a levél a Preview (előzetes megtekintés) ablakba kerül. Ezt a „szolgáltatást” használta ki az 1998-ban megjelent VBS/BubbleBoy a rendszerek megfertőzésére. A Microsoft addig tagadta a fent nevezett biztonsági rést, amíg végül kiadtak egy javítócsomagot, amellyel ez a lyuk befoltozható. A történet azonban tovább folytatódik. A Windows XP-vel együtt megjelent az Outlook 6.0 is. Ez elődjéhez hasonlóan végrehajtja a preview ablakba kerülő levelek törzsében lévő VBScript programkódot. A különbség csupán annyi, hogy immár nem csupán a HTML formátumú, de az ASCII text formátumú levelekben érkező script kódot is automatikusan végrehajtja alapbeállításban a rendszer. Maga az, hogy ez a „feature” kikapcsolható, csak lehetőséget ad a védekezésre, de igazi biztonságot még nem nyújt. Egy mintapélda is letölthető az Internetről [4].
2.4. Az Outlook programok „biztonsága”
„Tisztelt Hölgyeim/Uraim! Van egy rossz hírem és egy jó: A jó hír: az Outlook programozható! A rossz hír: az Outlook programozható!” Bár a fenti kijelentést sokan tréfaszámba veszik, az állítás sajnos igaz és halálosan komoly. A levelező programok igen kényes és meglehetősen érzékeny részei a számítógépes rendszereknek, mivel egy speciális kaput nyitnak a védett rendszeren a külvilág felé. Az elektronikus levelezés ma már az alapszolgáltatások közé tartozik, így sokszor azok is használják, akik semmiféle informatikai alapképzettséggel nem rendelkeznek, akiknek tudása mindössze arra terjed ki, hogy be és kikapcsolják a gépüket, legfeljebb a programok
35 indítóikonjára tudnak rákattintani, s kétségbe vannak esve, ha egy új indítógombot vagy egy új címet kellene rögzíteni. Az Outlook bevezetőnkben emlegetett programozhatósága egyrészt előny, mert megkönnyíti a rendszergazdáknak és a tapasztaltabb felhasználóknak levelezőprogramjuk testreszabását, a kezdők és a fentebb említett informatikai alapképzettséggel nem rendelkező felhasználók annak örülhetnek, hogy a mások által számukra előkészített VBScript illetve VisualBasic programokkal megszabadulhatnak a programkezelés nem egy gépies rutinjától. Az igazi veszély abban áll, hogy a telepítő csomagokról gyári alapbeállításban a számítógépekre felkerült Outlook és Outlook Express változatok hajlamosak arra, hogy automatikusan végrehajtsanak egyes, a beérkező levelekben megbújó programokat. Ez részben kikapcsolható, illetve a Microsoft weboldalairól ingyenesen letölthető javítócsomagok feltelepítésével megakadályozható. Az Windows XP-vel együtt adott Outlook 6 bővülése egy kissé ijesztő. Immár nem csupán a HTML formátumú levelek levéltörzsében elbújtatott script programokat hajtja végre, ha a levél a Preview ablakba kerül, de az ASCII text formátumú levéltörzsben elrejtett script programokat is. Természetesen ez is kikapcsolható, mint annyi minden más, de ezzel a lassan túlnyomó többségbe kerülő laikus felhasználók és a túlterhelt vállalati rendszergazdák nem tudnak mit kezdeni. A szövegtörzsbe beépített rosszindulatú script programokon kívül a csatolt fájlok is komoly veszélyforrást jelentenek. Az Outlook az ilyen támadások ellen hatékonyan csak külső (vírusellenőrző) programokkal védhető meg, akkor sem teljes biztonsággal. A 2001-ben felszaporodott programférgek közül igen sok volt VBScript vagy 32 bites Windows program. Közülük több is használta, de legnagyobb „sikerrel” talán a W32/Sircam és a VBS/LoveLetter családok tagjai azt a piszkos trükköt, hogy a csatolt féregprogram kettős kiterjesztést kap. Mivel a Windows a gyári alapbeállításban a regisztrált kiterjesztéseket, mint a .doc, .txt, .pif, .exe, .com, .vbs, stb. elrejti, a csatolmánynak csak az első, látszólag ártalmatlan kiterjesztése jelenik meg, amikor az üzenetszöveg a képernyőre kerül. Nem csoda hát, hogy a gyanútlan felhasználó felelőtlenül rákattint, mivel nem tűnik fel, hogy egyáltalán lát kiterjesztést a fájlnév mellett. Ez ellen is van kész javítócsomag a Microsoft szerint, de amit nem telepítenek fel, az bizony nem ad semmi védelmet! A jobb levelező programok, mint a TheBat!, az Eudora, a LotusNotes, a Pegasus Mail és még sok más ingyenes, shareware vagy akár fizetős program nem enged utat az ilyen behatolási kísérleteknek. Emellett az említett programok közül például a TheBat! még azt a lehetőséget is biztosítja, hogy letilthatjuk a kettős kiterjesztésű fájlok rákattintással történő azonnali megnyitását, sőt megadhatjuk azokat a kiterjesztéseket is, amelyeket a leginkább szoktak
36 „belakni” a vírusok és programférgek. Ezek a kiterjesztések is feketelistára tehetők, azaz nem indíthatók el a levelezőprogramból egy véletlen rákattintással.
2.5. A Unix és Linux rendszerek támadható pontjai
A megfelelően kézben tartott Linux és Unix rendszerek biztonsága kizárja a vírusok belépésének és terjedésének lehetőségét. Az a tény azonban, hogy növekszik a számítástechnikai alapképzéssel nem rendelkező Linux felhasználók aránya, azzal jár együtt, hogy a megvalósított rendszerek igen távol állnak a biztonságostól. Ha nem hoznak létre felhasználókat és mindent root jogokkal indítanak, akkor a kapuk tárva vannak minden rosszindulatú program előtt. Egy valódi vírus Linux alatt csak az adott felhasználó hatáskörébe tartozó fájlokat fertőzheti meg, ez pedig szerencsénkre kevés a terjedéshez. Programférgek, trójai programok, logikai bombák, backdoor programok természetesen Linux alatt is léteznek, de az ezek által okozható kár nagysága egy megfelelően telepített rendszeren sokkal kisebb. A Linux fejlesztők a napvilágra került biztonsági réseket, hátsó bejáratokat, rejtett kiskapukat napokon belül kijavítják. Természetesen a Linux disztribúciók sem (lehetnek) hibátlanok. Ennek ellenére magasabb fokú védelmet lehet kialakítani Linux rendszereken, mint Windows 9x/ME alatt, sőt a hozzáértően kialakított Linux rendszerek stabilitása megközelíti, sőt felülmúlja a Windows 2000 rendszerekét. Egy levél szignójában egy tréfának szánt idézet szerepelt az interaktív vírusról. Annak ellenére, hogy egyértelműen tréfának minősíthető, meglehetősen tömören összegzi, mit is kellene egy „interaktív” vírusnak végeznie, ha megakadályozható lenne az automatikus programfuttatás.
If you are running a Macintosh, OS/2, Unix, or Linux computer, please randomly delete several files from your hard disk drive and forward this message to everyone you know. Ha Macintosh, OS/2 vagy Unix vagy Linux alatt futó számítógéped van, akkor törölj véletlenszerűen néhány fájlt a merevlemezedről, majd küldd tovább ezt az üzenetet minden ismerősödnek.
37 2.5.1. A Linux sem sebezhetetlen
Denis Zenkin, a Kaspersky Lab munkatársa érdekes írást tett közzé [5]. Az alábbiakban közreadjuk ezen írás kivonatos fordítását. Következzen hát a cikk:
Csaknem a megszületésének és bevezetésének pillanatától kezdve folyamatosan zajlik a vita arról, hogy a vírusvédelem szempontjából milyen erős is a Linux „immunrendszere”. Úgy tűnik azonban, hogy az utóbbi időben ez a felhevült vita totális háborúvá alakult át. A kihívás a Linux táborán kívülről érkezett. A legszemléletesebb példa erre az a pengeváltás, amely a brit IT szaklapok hasábjain és az online newsfórumokon zajlik. Köztudott tény, hogy semmi sem abszolút dolog. Csak az egyházak állítják ennek az ellenkezőjét, de ennek nincsen közvetlen kapcsolódása az információ-technológiához. Még a rajongóitól és független szakértőktől a „megtámadhatatlan” vírusbiztos architektúrája miatt oly sok díjat kapott Linux sem lehet tökéletesen immúnis a vírusokkal szemben. Sokan hiszik azt – sajnos helytelenül –, hogy a Linux architektúra nem hagy semmi esélyt a vírusoknak a túlélésre. Több mint lehetséges, dokumentált tény hogy léteznek olyan biztonsági rések, amelyek lehetővé teszik, hogy rosszindulatú személyek elvégezhessék romboló tevékenységüket. Megjelenésekor a Windows NT-t is vírusmentes platformnak kiáltották ki, de ez az állítás mára ódivatú tündérmesévé vált. A tízezrek által ellenőrzött és fejlesztett Linux előnye abban áll, hogy a felfedett hibákat napokon (!!!) belül kijavítják és a javításokat gyorsan, rövid átfutással építik be az újabb disztribúciókba. Próbáljuk ki a következőket. Remélhetőleg Linus Torvalds és Richard Stalman megbocsát ezért a „felségsértésért”, de a legfőbb hátrány, a Linux rendszerek Achilles sarka az, hogy a nyílt forráskód szabadon hozzáférhető. Ez teszi lehetővé a víruskészítőknek, hogy a kernel modulok, a runtime könyvtárak módosításával integráljanak bele a Linux operációs rendszer minden egyes részébe rosszindulatú komponenseket, az úgynevezett „zárt” platformoktól eltérően, ahol az ilyenfajta aktivitás létrehozása több hónapos kemény munkát igényel a programkód visszafejtéséhez és a rendszerhívások átirányításához. A Linux alatt viszonylag könnyen megoldható pár perc alatt az ilyen „fejlesztés”. Így az örökölt számítógépes fauna hagyományos megosztása, amely DOS vagy Windows örökség, valóságos rémálommá válhat, mivel megjelenhet egy új típusú víruskategória, amely az operációs rendszerek magjába (a kernelbe) épül be. Érdemes megemlíteni, hogy azokban az években, amikor az első Windows vírusokat létrehozták, egyetlen ilyen típusú vírust sem fedeztek fel. A Linuxszal ez akár már holnap is bekövetkezhet. Ez a vírustípus minden platformon el fog terjedni, elsősorban természetesen a Linuxon, mivel ez a legnépszerűbb ilyen típusú desktop operációs rendszer.
38 A fertőzés módja egészen egyszerű. Ha egy vírus egyszer root jogokkal indult el egy aktív folyamatban, (többnyire a tapasztalatlan Linux felhasználók használják ezt az accountot), megpatkolja a kernelt, vagy új modulokat hoz létre (manapság a Linux disztribúciók közül egyik sem alkalmaz digitális szignatúrákat moduljaik védelmére, azok illegális megváltoztatását megelőzendő), és betölti azokat az operatív memóriába. Ennek eredményeként a vírus a számítógép minden egyes újraindításakor aktivizálódik. A történet legfenyegetőbb eleme az, hogy egy vírus hozzáadható a rendszerfunkcióihoz bármely komplexitásban, s ez pusztító incidensekhez vezethet, melyek között nem csupán adatvesztés, de a hardver sérülése is előfordulhat, valamint bizalmas információk eltulajdoníthatók lesznek, stb. Az ilyen típusú vírusok észlelése és fertőtlenítése, melyek beépülnek a rendszer- kernelbe, az arra még fel nem készített antivírus gyártóktól termékeik komoly fejlesztését igényli, beleértve akár a víruskereső motor teljes áttervezését is. Hozzá kell tennünk a fentiekhez azt is, hogy a nyílt forráskód jelentősen leegyszerűsíti a Linux biztonsági rendszerén belüli rések felkutatását és kijavítását, mivel ez csupán a rendszerkód egyszerű elemzését igényli. A megfelelő Windows-os résekre csak véletlenül bukkannak rá, vagy a Windows kernel hosszú távú, jól menedzselt visszafejtésével, de ez igen ritkán fordul elő. A biztonsági rések lezárására a legjobb módszer a javítócsomagok (patch) időnkénti telepítése. Itt ismételten megint nem a Linux a legjobb választás. A Windows, vagy bármely más „zárt” platform javítócsomagjainak telepítése nagyon egyszerű és a végfelhasználótól csak abszolút minimális erőfeszítést igényel. Általában annyi csak a tennivaló, hogy rákattintanak a javítócsomagot tartalmazó .EXE fájlra és a telepítés végén újraindítják a rendszert. Linux alatt ez sokkal komplikáltabb is lehet, mivel egy pach esetén szükség van arra, hogy a felhasználó maga fordítsa újra a forráskódot (ez nem mindig sikeres) és tovább bonyolítja a helyzetet, hogy a Linux disztribúciók közül nem sok kompatibilis teljesen a többivel. Más szavakkal (s most készüljenek fel egy különösen megrázó kijelentésre!), a Linux az elképzelhető legagresszívebb és felhasználó-ellenes környezet. A hagyományos bölcsesség ellenére a Linux nincs bebiztosítva a háttérben futó (a Windows alatt „memóriarezidens”-nek nevezett) vírusok ellen sem. A legelső háttérben futó Linux vírus, a Siilov, amit eredetileg 2000 elején fedeztek fel, hasonlóan működik, mint a közönséges Windows vírusok: a belépési pontok tábláinak módosításával és a végrehajtott fájlok fő funkcióinak átvételével. A háttérben futó Linux vírusok egy másik jól ismert behatolási módszere a rendszerbe az, hogy megváltoztatják a rendszerszervizek (démonok) listáját. Éppen úgy, mint a Windows NT rendszerszervizeinek esetében azok automatikusan betöltődnek a memóriába, s a bennük
39 lapuló vírusok képesek véghez vinni pusztító akcióikat, beleértve a fájlfertőzést, fájlok módosítását, adatlopást, stb. Szükségtelen mondani, hogy a fentebb leírt módszerek sikeresen megkerülik azt a fő érvet, amellyel tagadni szokták a Linux alatti háttérben futó vírusok létét: a fejlett memóriakezelést, amely megbízhatóan izolálja az összes aktív folyamatot azzal, hogy minden egyes alkalmazásnak külön memóriablokkot foglal le, s ezzel megelőzi, hogy az egyik alkalmazás megfertőzhesse a másikat. Egy másik velejáró gyengesége minden egyes operációs rendszernek, ebbe a Linuxot is beleértve, a script nyelvek használata, amely lehetővé teszi a scriptvírusok, mint a LoveBug létét még a Linux alatt is. A legtöbb fejlett scriptnyelv (például a Perl is) még sokkal nagyobb funkcionalitással rendelkezik, mint a Visual Basic Script (VBS), ami a Windows platformok legáltalánosabb script nyelve. És történetesen éppen a VBS az, amelyet a scriptvírusok túlnyomó többségének létrehozására ma használnak. A Perl scriptek mindenféle fájlműveleteket elvégezhetnek (létrehozás, módosítás, törlés), bizalmas információkat gyűjthetnek és küldhetnek ki a rendszerből, hozzáférést szerezhetnek a levelezéshez, stb. A Perl scriptek a végrehajtásukhoz nem igényelnek lefordítást, és forráskódként is hozzáférhetők. Mivel az összes script-nyelvre jellemző ez a „feature”, beleértve a VBS-t is, ma már több mint 40 változata van a LoveBug-nak. Ez pusztán azért alakulhatott így, mivel egy új vírusátirat készítéséhez csupán arra van szükség, hogy valaki szerezzen egy víruspéldányt (ez sajnos szabadon hozzáférhető az Internet számos vírusokkal foglalkozó weboldalán), majd a forráskódban módosít pár sztringet és már kész is az új vírus! Továbbá a Perl és a Linux sok más scriptnyelve platformfüggetlen. Ez azt jelenti, hogy az eredetileg más operációs rendszereken kifejlesztett Perl scriptek általában Linux alatt is működnek. Nyilvánvalóan a hordozhatóság nem teljes és a scriptek nem feltétlenül működőképesek minden platformon, mivel a fájlfertőzési módszerek különbözőek, mondjuk a Windows és a Linux esetén, csupán amiatt, hogy a rendszerek más fájlformátumokat használnak. Azonban ez úgy tűnik, a Linux számára inkább hátrányokat jelent, mint előnyt, mivel a Perl vírusok sikeresen eltakaríthatók és a fertőzött fájlok visszaállíthatók. Azonban, ha egy Linux fájlt egy Windowsos Perl alapú vírus károsít, a fájl helyreállítása kevésbé bizonyulhat sikeresnek. A Linux alatt a Perl mellett számos más scriptnyelv létezik, amelyek még szélesebb körben terjedtek el és még univerzálisabbak. Az összkép egyszerűen ijesztő, ha a jövőbe tekintünk. Sok Office jellegű alkalmazás (ilyen a StarOffice is) lép be a Linux platformra, új lehetőségeket kínálva a felhasználóknak szövegszerkesztésre, táblázatok és adatbázisok kezelésére és ... vírusok fogadására! Ugyan ki tud ma elképzelni egy olyan irodai (office)
40 programcsomagot, amelyben nincs beépítve se makró-, se scriptnyelv. Valószínűtlen, hogy ez modern csomag lenne. Így az új Office csomagok Linux felé mozdulásával egyidejűleg egyre több alkalom lesz arra, hogy új típusú vírusokat hozzanak létre erre a platformra is. És ne felejtsük el, hogy a Linuxot sok fejlett hálózat erősíti, és különösen az Internet szolgáltatásai. Sok esetben a Linux sokkal hatékonyabb, mint a Windows. Azonban nincsenek alapvető akadályai annak, hogy Linux alatt is létrejöhessenek olyan levelező vírusok, mint a Melissa vagy a LoveBug. Először is pontosan ugyanazon a módon, ahogy egy Windows vírus az Outlookot felhasználja, egy Linux vírus hozzáférést szerezhet például a Sendmail levelező rendszerhez és fertőzött leveleket küldhet ki a számítógép adatbázisában található összes címre. Másodszor, kétséges, hogy különböznének egy átlagos Windows-felhasználó szellemi tulajdonságai, képességei egy átlagos Linux-felhasználó képességeitől. Így ha a jövőben a Linux épp olyan népszerű lesz, mint ma a Windows, ugyanúgy tapasztalni fogjuk, hogy a „Love Letter”, „rezümé”, „millió dolláros csekk”, stb. és hasonló tárgyú csatolt anyagokat felhasználók továbbra is gondolkodás nélkül meg fogják nyitni, s azok ismételten globális, a mai vírusjárványokkal összevethető járványokhoz vezetnek majd. Egyes Linux lovagok még ennél is tovább mennek abban, hogy szerintük a Linux nem védtelen a vírustámadások ellen, s azt a véleményüket hangoztatják, hogy nem szükséges vírus elleni védelem a Linux számára. Tévhit, mert a Linux állomások felhasználhatók arra, hogy más platformokra fejlesztett fájlokat továbbítsanak, és ezek a fájlok igenis hordozhatnak vírust. Az nagy valószínűséggel igaz, hogy ezek magukon a Linux alapú PC-ken semmiféle kárt nem fognak okozni, de előbb vagy utóbb más, DOS vagy Windows alapú munkaállomásokon igenis károkat fognak okozni. Ez a hanyagság demonstrációja és a globális közösség általános vírusvédelmi biztonságának a semmibe vevése. Továbbá a helyzet ennél sokkal súlyosabb, ha egy vállalati hálózat Linux alapú szerveréről van szó (ne feledkezzünk el arról, hogy ma a Linuxot elsősorban szerver operációs rendszerként alkalmazzák). Ebben az esetben hajlamosak vagyunk arra gondolni, hogy a vállalati biztonsági politika híján van a józan észnek, amennyiben semmiféle Linux alapú antivírus- terméket nem telepítenek. Egyes vélemények szerint a felhasználói jogkörök korrekt kezelése, menedzselése a bölcsek köveként gátolhatja meg a Linux alatt a vírusok terjedését. Elfogadjuk, ez lehetséges, de mindazonáltal jelenleg nem valósítható meg. Legelőször is nagyon bonyolult feladat felállítani a Linux biztonsági rendszerét, amely majd figyelembe veszi az összes különlegességet. A Windowstól eltérően, ahol ezrével állnak rendelkezésre útmutatók arról, hogyan hozzunk létre biztonsági struktúrát, és hogyan tartsunk fent egy megbízható nagyvállalati biztonsági politikát, a Linuxon hiányoznak az ilyen típusú megbízható
41 információforrások. Továbbá Linux alatt a gyakorlat és a valóság is különbözik: a dokumentációk gyakran nincsenek összhangban a rendszer funkcionalitásával. Másodszor a Linux disztribúciók nagy része alapjában különbözik egymástól. Gyakran fordul elő, hogy ami az egyiknek jó, rossz a másiknak, így a biztonsági beállítások nem mindegyike felel meg egyformán a teljes Linux-családban. Mindez jelentősen megnehezíti a Linux biztonsági rendszerének a bekonfigurálását. Harmadszor a vírusok továbbra is létezhetnek és végrehajthatják a beléjük programozott dolgokat az adott felhasználói account környezetén belül, s közben nem terjedhetnek át más accountokra. Végül nincs arra garancia, hogy nem bukkan elő valahol egy újabb biztonsági rés, amely lehetővé teszi a rosszindulatú személyek számára, hogy megszerezzék az összes root jogot egy felhasználói accountról, amint az már számtalan alkalommal korábban megtörtént. A Linux megítélésében nem állítjuk, hogy teljesen haszontalan játék, sőt állítjuk, hogy általában biztonsági szintje megegyezik a Windows NT-ével. Alapvetően a két rendszer egyformán ellenáll a számítógépvírusok támadásainak, de a problémákat kissé eltérő módon kezelik. Az operációs rendszer korrekt beállítása (a felhasználói jogok biztonsági szempontokból történő differenciálása, a potenciálisan veszélyes modulok [mint Telnet, ftp, stb.] kikapcsolása, portok zárolása, a fájlrendszerek titkosítása, stb.) jelentősen megnehezítheti a vírusaktivitást, s így egyik jelenleg létező Linux vírus sem okozhat kárt. Azonban másrészt nem lesz egyszerű egy ilyen biztonsági szempontok alapján felállított PC használata a napi munkában. Ez azért van, mert a rendszert barátságossá tevő szolgáltatások nagy része teljesen ki lesz kapcsolva vagy csak erősen korlátozottan használható. Így ismételten felmerül az örök kérdés: hol van az ésszerű egyensúly a két versengő koncepció, a biztonságra és a funkcionalitásra való törekvés között?
Konklúzió
A Linux sérthetetlenségének sűrű emlegetése és a platformot károsítani képes „in the wild” Linux vírusok hiánya csak a vírusírók kezére játszanak. A Linux fájloknál sajnos megszokott és rendkívül helytelen gyakorlat, hogy még az Internet gyanús forrásaiból származó fájlokat is vírusellenőrzés nélkül futtatják le. Micsoda remek vadászterület a vírusok és trójai programok számára! Az az egyetlen oka annak, hogy még eddig nem volt a Linux alatt egy a LoveBug- hoz hasonló nagyságrendű vírusjárvány, hogy a Linux még mindig nem egy széles körben elterjedt platform és még mindig nem olyan desktop szabvány, amelyet PC-k millióin használnának világszerte az összes iparágban. Minden ellenkező híresztelés ellenére a Linux népszerűsége ma még messze a Windows-é mögött kullog, és ezért a vírusírók figyelmét kevésbé vonja magára ez az operációs rendszer.
42 Ez annak ellenére igaz, hogy csaknem hetente fedeznek fel új Linux vírusokat. És bár közülük sok hitvány kontármunka, ezek a kísérletek egyre agresszívebbekké válnak, s ami még ennél is sokkal rémisztőbb, közülük sok sikeresen terjed. Nyilvánvaló, hogy a Linux vírusok globális járványa van a láthatáron.
43 3. Malware, avagy rosszindulatú programok
Gyakran tapasztalhatjuk, hogy a (nem szakmai) napisajtóban megjelenő írások szerzői vírusként aposztrofálnak olyan programokat is, amelyeknek csak két közös tulajdonságuk van a számítógépvírusokkal: programok, és rombolnak. E programcsoportok képviselőit mindenképp érdemes a vírusoktól különválasztva, azok mellett ismertetni, mivel terjedésük és az elterjesztésükkel megcélzott felhasználókör ezt egyértelműen indokolja. A szakma a rosszindulatú programokat malware gyűjtőnéven foglalja össze. Az alábbi, sokszor nehezen megkülönböztethető malware kategóriákat különböztetjük meg: - Levélbombák, időzített bombák - Kémprogramok, fülelők, jelszólopók - Dropperek (pottyantók) - Interloper programok - Adat-túszejtők - Tűzfal támadók - Félreértések, vakriasztások - Vírusok - Programférgek - Trójai programok - Backdoor programok - Root-kitek - Hoaxok, lánclevelek - Vírusfejlesztő kitek, automaták
Levélbombák, időzített bombák
A levélbombák olyan kisméretű alkalmazások, amelyek egyetlen funkciója a pusztítás. Elnevezésük onnan ered, hogy gyakran érkeznek e-mail-ekhez csatolva. Az időzített bombák olyan programkártevők, amelyek néha külön programként, de jóval gyakrabban nagyméretű és bonyolult szoftverek belső, rejtett rutinjaiként kerülnek be a számítógépes rendszerekbe. Az angol nyelvű szakirodalom számos ilyen esetet ismertet. Ezek többségét olyan programozók követték el, akik bizonytalan vagy annak érzett pozíciójukat rejtett időzített bombák elhelyezésével igyekeztek megerősíteni. A rosszindulatú, a rendszer leállásával és sokszor teljes összeomlásával járó rutinok akkor aktivizálódtak, ha programozójuk például
44 lekerült a fizetési listákról vagy elmulasztotta átírni a késleltetési periódust megszabó programrészleteket. A DOS világában az ilyen programoknak nem volt túl nagy tere, inkább Unix alatt és a többi nagygépes rendszerekben fordultak elő. A Windows-os és egyéb 32 bites rendszerkörnyezetekben, valamint a nagyvállalati ügyviteli szoftverekben újfent várható felbukkanásuk.
Kémprogramok, fülelők, jelszólopók
Unix környezetben, ahol mindennaposak a háttérben, közvetlen felhasználói felügyelet nélkül működő alkalmazások, már több mint egy évtizede nem számítanak újdonságnak a kémprogramok és jelszólopó programok. Mára azonban a Windows 9x/ME és a Windows NT/2000 rendszerek is megfelelően rugalmas környezetté fejlődtek az ilyen alkalmazások számára. Az Interneten számtalan programgyűjteményben találunk olyan segédprogramokat, amelyeket kifejezetten arra hoztak létre, hogy segítsenek törölni vagy visszaállítani elfelejtett jelszavainkat. Ha e programok nem megfelelő kézbe kerülnek, akkor a hálózatbiztonságra, a rendszeren őrzött, tárolt és kezelt adatokra nagy veszélyt jelentenek. A Microsoft szakemberei nehezen megingatható magabiztossággal szokták a különböző szemináriumokon és sajtótájékoztatókon hangsúlyozni rendszereik biztonságát. Azonban komoly kétségeket ébreszt az emberben egy-egy olyan levél, amelyet a különböző levelező listákon olvashatunk a jelszófeltörésekkel kapcsolatban. Például egy listán [6] ajánlottak egy programcsomagot, amelyből egy lecsupaszított Linux bootlemezt lehet előállítani, majd erről indítva az egyébként Windows NT alatt üzemelő számítógépet, bármelyik helyi felhasználó jelszava átírható, beleértve az adminisztrátor, illetve a rendszergazda nevű felhasználókat is. Ha pedig valaki ezt már megszerezte, akkor szinte bármit megtehet az adott géppel. További kétségeket ébreszt az emberben, amikor a Microsoft rendszereit érintő számítógépes betörésekről olvashatunk. 2000 októberében még arról hallhattunk a hivatalos fórumokon, hogy a Microsoft Proxy Server 2.0 utódja, a Microsoft Internet Security and Acceleration Server 2000 egy minden igényt kielégítő kombinált gyorsító- és tűzfalszoftver lesz. Majd alig pár héttel később a Microsoft képviselői felháborodottan tiltakoztak amiatt, hogy (egyelőre) ismeretlen hackerek betörtek a Microsoft rendszereibe, és ki tudja, mit vittek el onnan. Most vagy a szoftver képességeivel van probléma, vagy elfelejtették alkalmazni saját védelmi szoftvereiket. Meg kell jegyeznünk, hogy a fent nevezett szerver szoftver része a Microsoft Small Business Server 2000 csomagnak.
45 A jelszólopók két konkrét példája is megérdemli – mindkettő 2000 nyarán okozott először komoly fejfájást a hálózatbiztonsági szakembereknek –, hogy e fejezetben is külön kiemeljük. Az első a LoveBug, illetve LoveLetter néven elhíresült programféreg és számtalan átirata, amelyek terjedésük mellett egy jelszófigyelő programot próbáltak/próbálnak letölteni az Internetről, és azt elindítva egy sor információt szivárogtatnának ki a féreg programkódjába bedrótozott címekre elküldött üzenetek formájában. A másik konkrét példáról a Union Bank of Switzerland (UBS) szakemberei adtak hírt. A VBScript kódot tartalmazó programféreg célpontja a főleg németországi és svájci ügyfelekkel rendelkező bank által kiadott UBS nevű számlakezelő program. Amennyiben a nevezett programféreg talál a rendszerben egy ilyen programot, akkor megkísérel letölteni egy nyilvános FTP oldalról egy Hooker nevű programot, és megpróbálja elindítani. Ez először betelepíti magát a rendszerbe, majd rögzíti a gép IP címét, bejelentkező nevét és jelszavát, majd minden billentyűleütést naplóz, s e naplójegyzeteit három különböző e-mail címre próbálja meg elküldeni. Ezekből egy gyakorlott hacker vissza tud fejteni szinte mindent: a felhasználó bankszámlájának számát és jelszavát, PIN kódját. A szakértők szerint egy átlagos képességű hackernek nem jelenthet különösebb gondot a programféreg átdolgozása az amerikai bankok ügyfeleinek megtámadására. Szerencsére a támadásra – az érintett bank közlése szerint – még az előtt fény derült, hogy ügyfeleiknek konkrét anyagi kárt okozhatott volna. Az eset tehát szerencsés végkifejletet vett, de ez nem tölthet el bennünket hiú reménnyel. Érdemes felkészülni rá, mivel az ilyen jellegű támadások várhatóan a jövőben is egymás után jelentkeznek, megkeserítve mindannyiunk életét.
Dropperek (pottyantók)
A vírusok, trójai és egyéb malware programok számtalan úton juthatnak be korábban védettnek hitt rendszereinkbe. A vírusfejlesztők egyik sűrűn alkalmazott technikája a dropperek, azaz pottyantók alkalmazása. A dropperek olyan programok, amelyek önállóan szaporodó vírusokat, trójai programokat, programférgeket vagy egyéb rosszindulatú programokat juttatnak be a megtámadott rendszerekbe. A makróvírusok körében számtalan dropper-változattal is találkozhatunk. E víruskörben mindennapos, hogy a Visual Basic (a korábbi Word változatokban WordBASIC) alapú víruskód, mely bináris programkódú hagyományos vírust/vírusokat is rászabadít a megtámadott rendszerre. Különösen hatékony technikának bizonyulhat ez a technika bináris víruskód bejuttatására, hiszen a számítógépek input-csatornáit már régóta alapos ellenőrzésnek vetik alá a különböző antivírus szoftverek. Ezek azonban mit sem érnek, ha a víruskód észrevétlenül szaporodhat ki szövegfájlokból, Word és/vagy Excel dokumentumokból.
46 A vírusok fejlesztői és (szándékos) terjesztői előszeretettel alkalmazzák arra a dropper típusú hordozókat, hogy „műveiket” minél kisebb feltűnéssel juttassák be a megcélzott rendszerekbe. Erre igen jó példa az az 1999-ben elcsípett Word 97 fertőző makróvírus, amely "alaptevékenysége" mellett adott jelre egy CIH vírus klónt szabadít a gépre, amely azonnal pusztításba kezd, s nem vár a hónap 26. napjáig.
Interloper programok
Ez egy olyan programtípus, amelynek képviselői más programokba beépülve annak végrehajtása során valahol átveszik a vezérlést egy rövid időre. A vírusokat is ide sorolhatjuk és az olyan programokat is, amelyek például nyomtatáskor rövidebb-hosszabb üzeneteket fűznek hozzá a kinyomtatásra kerülő szöveghez. A makróvírusok között az egyik legjellegzetesebb és legismertebb példa erre a programtípusra a WM/Nuclear, amely a Csendes-óceánon végrehajtott francia atomkísérletek ellen tiltakozó sorokkal "gazdagítja" a fertőzött gépeken a nyomtatás során papírra kerülő szövegeket.
Adat-túszejtők
Főleg számítógépvírusoknál találkozhatunk olyan viselkedéssel, hogy adott feltételek teljesülése esetén a vírus a fájlok, vagy lemezterületek elkódolásával hozzáférhetetlenné teszi a számítógép merevlemezén tárolt adatokat és programokat. Ilyen volt például a részletesen ismertetett [7.] AIDS-tájékoztató lemezen terjesztett programkártevő. Annak idején igen nagy port vert fel az eset. Amíg a közönséges vírusok egyszerűen csak törlik az adatokat, az adat-túszejtők csak olyan helyzetet állítanak elő, amelyben van még esély a fertőzés előtti állapot visszaállítására, ha sikerül hozzájutni az elkódoláshoz alkalmazott kódokhoz. Egyesek, mint a WM/Talon sorozat tagjai vagy a WM/Atom makróvírus-család tagjai, a Word saját titkosító rutinjait felhasználva kódolnak el dokumentumfájlokat, más vírusok, mint például a OneHalf nevű kéttámadáspontú (egyidejűleg fájlfertőző és bootszektor-fertőző) vírus a teljes merevlemez tartalmát képesek idővel elkódolni. Ennek az a következménye, hogy az ilyen rutinokkal felvértezett vírusok eltávolítása során nem elegendő magát a vírust eltakarítani a rendszerből és a rendszerben használt összes (!) cserélhető adathordozóról, hanem ezen felül a megfelelő visszakódolást is biztosítani kell.
47 Tűzfal-támadók
Az Internet és az Intranetek használata szemmel láthatóan fokozatosan beépül a hivatalok, gazdasági, kormányzati és önkormányzati szervezetek, valamint a vállalkozások mindennapi életébe. Ezek biztonságáról, az Interneten keresztüli behatolási kísérletek blokkolásáról a különböző tűzfal (Firewall) és proxy programok hivatottak gondoskodni. A tűzfal típusú védelmek kijátszására vagy kikapcsolására szakosodott programokat soroljuk a tűzfal- támadók közé. Ezek többnyire azt használják ki, hogy a tűzfal program nem megfelelő beállítása komoly biztonsági réseket eredményezhet, s e réseken keresztül lehetőség nyílik a rendszerbe kívülről való bejutásra, másrészt szélesebb kaput lehet nyitni a megtámadott rendszerekbe bejuttatott kémprogramok és jelszólopók számára a begyűjtött adatok kijuttatásához.
Félreértések, vakriasztások
Számtalan esetben fordul elő, hogy egy hibás, sérült, vagy EXE/COM tömörítővel zsugorított programot a víruskeresők vírusként jeleznek. E téves riasztásokat csak alapos ellenőrzések után szabad figyelmen kívül hagyni vagy az adott fájlokat az ellenőrzés alól kivonni. Az sem ritkaság, hogy egy-egy rosszul megválasztott azonosító miatt tévesen vírusnak minősít az ellenőrző program néhány ártalmatlan programfájlt.
3.1. Vírusok
A számítógépvírus Buruzs Tamás féle klasszikus meghatározása A számítógépvírus fogalmának egyik legfrappánsabb meghatározása még a nyolcvanas évek közepe táján született. Buruzs Tamás ma is érvényes sorait azóta számos számítógépes vírusokról szóló könyv átvette:
"A számítógépvírus intelligencia és mesterséges értelem, de erkölcs és érzelem nélkül. Intelligenciáját a programozójától kapta, és annyira lehet erkölcstelen, amennyire a program írója is az. Már ma is lehetséges olyan programot írni, amely belátható id•n belül tönkreteheti egy teljes számítógép generáció m•ködését. Például egy vagy két esztend•n belül lehetetlenné tehet•, hogy valaki MS-DOS alatt futó programot
48 alkalmazzon. A vírusprogram valójában az él• anyag m•ködését utánzó életképes modell. Olyan, mint a biológiai fegyver, mert miután kiengedték a laboratóriumból, még maga az alkotója is elveszti az ellen•rzést felette."
A fentiekhez pár apró kiegészítés: A vírus intelligens, mert létrehozásához mély számítástechnikai ismeret szükséges. Erkölcstelen, mert alattomosan kihasználja a számítógépek sebezhetőségét. Értelmetlen, mert egy vírus terjedése, pusztítása mindössze öncélú erőfitogtatás.
Két apró rész szorul csak módosításra e meghatározásból:
1. A vírusgyártó készletek felhasználásával ma már különösebb számítástechnikai, programozói előképzettség nélkül is létre lehet hozni új vírusokat, akár sorozatgyártásban is.
2. A makró- és scriptvírusok megjelenésével megdőlt az a dogma, hogy vírus csak programfájlokban rejtőzködhet. Ugyanezen vírusok vezettek ahhoz is, hogy a platformfüggőség visszaszorult, hisz a legkülönbözőbb hardvereken és operációs rendszereken is alapszolgáltatás ma már a JavaScript, VBScript és a Visual Basic makróprogramok használata.
Némileg technikaibb megközelítésnek tekinthető az alábbi definíció: „A számítógépvírusok programok, amelyek saját kódjukat valamilyen módon hozzáfűzik más végrehajtható programokhoz, és a megfertőzött gazdaprogram indításakor áveszik attól ideiglenesen a vezérlést, majd végrehajtják a beléjük programozott utasításokat. A biológiai vírusokhoz hasonlóan a számítógépvírusok is önmagukban életképtelenek, működésükhöz megfelelő hardver- és szoftverkörnyezet szükséges. Az igazán sikeres (széles körben, sokáig és gyorsan terjedő) vírusok többsége valamilyen rejtőzködő technikát alkalmaz, és sok esetben a terjedésért, valamint rejtőzködésért felelős rutinokon kívül további úgynevezett büntetőrutinokat (payload) is tartalmaz. Ezek indítása rendszerint valamilyen időzítéshez (dátum, időpont), eseményhez vagy egyéb feltételhez kötött.” A fenti meghatározásokon túl számtalan kísérlet történt a (számítógép)vírus fogalmának korrekt és teljes körű meghatározására, ám ezek összefoglalása maga is megtöltene néhány kötetet. Ezzel azonban nem kívánjuk feleslegesen terhelni olvasóinkat, hiszen nem a
49 definíciók tömkelegére vagyunk elsősorban kíváncsiak, hanem a gyakorlatban hasznosítható dolgokra. Az első számítógépvírust és magát a számítógépvírus megnevezést Fred Cohen alkotta meg Ph.D. disszertációjához még 1983-84-ben. Az első nem laboratóriumi közegben terjedő, és világméretű fertőzést okozó számítógépvírus – ez egy Brain néven hírhedtté vált bootvírus volt – 1986-ban bukkant fel. Az ismert számítógépvírusok száma ma már jóval ötvenezer (!) felett van, amelyben még nincsenek benne sem a trójai programok, sem napjaink „divatos” kártevői a programférgek. A számítógépvírusokat rendszerint ártó szándékkal hozzák létre, bár néhány példány kísérleti céllal, vagy játékból készült. Véletlenül, valamely normális program sérüléséből nem keletkezik, nem keletkezhet számítógépvírus, hisz a sérülések nem hoznak létre olyan mesterséges intelligenciát, amely a víruskód szaporításához és sok esetben azt elrejtéséhez is szükséges. A vírusok alkotói, de sok esetben csupán létrehozói, az operációs rendszerek, illetve az MS Office programkörnyezetek biztonsági réseit kihasználva készítik el programjaikat, és a minél szélesebb körű terjedés érdekében olyan célcsoportokat igyekszenek megcélozni, amelyek kellően nagy létszámúak, lehetőleg egymással fájlcserét folytatnak, nem gyanakszanak a fájlcserével kapott fájlokra és nem használnak vírusellenőrző szoftvereket a beérkező fájlok szűrésére, vagy azokat nem képesek megfelelően beszabályozni a kellő szintű és mélységű ellenőrzés automatikus elvégzésére. A vírusok alapvetően két technikával fertőzhetnek. A primitívebb típusok, melyek egyértelműen pusztító, romboló céllal készültek, s programozójuk nem rendelkezett mélyebb programozástechnikai ismeretekkel, a fertőzés során a megtámadott programon belül hosszabb-rövidebb kódrészleteket felülírnak a víruskóddal. Így a fertőzött programok egyértelműen és véglegesen sérülnek, egyes funkcióikat elvesztik. Ez mint tünet maga is alkalmas lehet a fertőzés észlelésére. A fejlettebb technikákat alkalmazó számítógépvírusok azonban a fertőzés során nem egyszerűen felülírják a megtámadott programok kódját, hanem azt úgy módosítják, hogy a fertőzött program futtatásakor a víruskód is végrehajtásra kerüljön. Az már mellékes kérdés, hogy a fertőzött programon belül a víruskód a programfájl elejére, végére vagy a belsejébe kerül, hiszen a víruskód lefuttatása után az azt hordozó program visszakapja a vezérlést és fut tovább, mintha mi sem történt volna. E tekintetben a vírus mintegy trojanizálja a megfertőzött programot.
50 3.1.1. A vírusok szerkezeti elemei és funkciói
Funkcióelemzéssel négy alapvető programrészt különböztethetünk meg a víruskódokban: replikációs, feltételvizsgáló, rejtőzködő és büntetőrutinokat. Ezek közül az első, amely kötelező elem, a többi jelenléte a vírus készítőjének szándékaitól függ. A replikációért, azaz a vírus szaporodásáért felelős kódrészlet kivétel nélkül minden vírusban megtalálható. Enélkül legfeljebb csak trójai programról vagy időzített bombáról beszélhetnénk. Az ismert számítógépvírusok mintegy harmada nem is tartalmaz egyebet, ám a többi vírusban feltételvizsgáló rutinokat is találhatunk, amelyek vagy a szaporodási folyamatot lassítják – nehogy túl gyors és ezáltal túlzottan feltűnő legyen a megfertőzött rendszereken belül a vírus terjedése –, vagy a negyedik programmodul, vagyis a büntetőrutinok indítását kötik a vírus programozója által megadott feltételekhez. A rejtőzködés alapvető érdeke a vírusnak. Minél később fedezik fel jelenlétét, annál több esélye van a terjedésre, szaporodásra. Sok vírusfejlesztő mindössze annyit tesz a vírus hatékonyabb rejtőzködésének érdekében, hogy megválogatja a vírus célpontjait, és nem engedi meg ugyanazon fájl kétszeri megfertőzését. Mások különböző rejtőzködési technikákat is alkalmaznak. A számítógépvírusok számos kifinomult technikát alkalmaznak jelenlétük leplezésére. Alkalmazhatnak lopakodó technikákat, a mutáló és a polimorf vírusok saját programkódjukat is képesek változtatni fertőzésről-fertőzésre, sőt olyan víruspéldányokkal is találkozhatunk, amelyek adott számú fertőzés elvégzése után a vírust eltávolítják egy-egy számítógépen belül egyes fájlokból, vagy akár az összes fertőzött fájlból. Ezt a technikát azért dolgozták ki, hogy megnehezítsék a fertőzések útvonalsorainak felderítését és a kiindulási góc(ok), és a fertőzést indító számítógép egyértelmű azonosítását. A büntetőrutinok ismét opcionális elemek a víruskódon belül. Sok vírus egyáltalán nem tartalmaz büntetőrutinokat, mások viszont komoly károkat okozhatnak. A büntetőrutinok közé sorolhatók a hangeffektusok (például: Jankee Doodle), képek, üzenetek megjelenítése (például a W32/Hybris spirálja), fájlok, könyvtárak módosítása, felülírása, törlése, fájlok, merevlemez partíciók titkosítása, elkódolása (WM/Talon, OneHalf). Ezeken túl számos egyéb hatást is kifejthetnek a vírusok a megtámadott rendszeren. Lásd a Mit okozhatnak a vírusok? című fejezetet. A makróvírusok között sokféle megoldással találkozhatunk. Vannak egyszerűbb példányok, amelyek csupán egyetlen makrómodulon belül oldják meg a három fő vírusfunkció ellátását, mások azonban néha 15-20 alprogramból tevődnek össze és kódjukban igen nehezen lehet(ne) csak szétválasztani az egyes vírusfunkciókért felelős szegmenseket.
51 3.1.2. Vírusalfajok a terjedési mód szerint
A vírusok számtalan faját különböztethetjük meg. Egy részük a lemezek boot-területét fertőzi meg, és a merevlemezeken vagy a floppy lemezeken található bootprogramot átírva jut hozzá a gép indításakor a vezérléshez. Ezek a bootvírusok. Mások a bináris programkódot tartalmazó programfájlokat támadják, és abban helyezik el a futtatandó víruskódot. Ezek fájlvírusok. A két víruscsalád ma már nem különül el élesen, és több tucatnyi olyan vírust ismerünk (az egyik legnevezetesebb a OneHalf néven elhíresült víruscsalád), amely mind a boot-területet, mind a programfájlokat képes megfertőzni, és e kétlakiságnak köszönhetően nagyobb eséllyel éli túl a fertőzés észlelése után elvégzett tisztogatást. A harmadik nagy víruscsalád tagjai a fentiekkel ellentétben nem bináris kódú programokat fertőznek, hanem dokumentumfájlok belsejében helyezik el szerkeszthető szövegként vagy védetten, rejtetten programkódjukat, és célpontjaik, támadáspontjaik többsége is elsősorban, bár nem kizárólag, további dokumentumokra irányul. Ezt a víruscsaládot nevezzük makróvírusoknak. A makróvírusok elsősorban a Microsoft Office programjainak belső programozhatóságát lehetővé tevő VisualBasic (a korábbi változatok a WordBasic) nyelvhez kötődnek, bár mintaként más makrónyelvekre, programokra is készítettek már vírust (Ami Pró: GreenStripe, Lotus 123). A makróvírusok mind a mai napig elsősorban a Word és az Excel dokumentumokat támadják és használják fel a fertőzés továbbterjesztésére, bár már több tucatnyi olyan vírust is találtak a vírusvadászok, amelyek a PowerPoint prezentációk, illetve az Access adatbázisok belsejében lapulnak. Hasonlóan a „hagyományos” vírusokhoz, a makróvírusokra szintén igaz az, hogy elsősorban a víruskód elterjesztése a vírusszerzők célja. A makróvírusok ma már nem feltétlenül kötődnek egyetlen Office alkalmazáshoz, és számtalan olyan változattal találkozhattunk a korábbiakban, amelyek különböző kombinációkban képesek megfertőzni a Word, az Excel, a PowerPoint és az Access dokumentumfájljait. Mindamellett továbbra is a Word és az Excel dokumentumok a makróvírusok központi célpontjai. Mintegy mellékszolgáltatásként egyes makróvírusok képesek „hagyományos” bináris víruskód elszórására is (dropperek), valamint több tucatnyi makróvírus-fejlesztő készletet is ismerünk, amelyekkel bármiféle előképzettség nélkül is lehet újabb vírusváltozatokat is gyártani. A makróvírusok után egy újabb értelmezőt igénylő víruscsalád is megjelent, a scriptvírusok. Amíg a makróvírusok kódja bonyolult fájlszerkezetű dokumentum fájlokban rejtőzködik, addig a scriptvírusok többsége közönséges szövegfájlokban vagy áttekinthető és dokumentált struktúrát használó HTML fájlokban található.
52 Az utolsó típus voltaképpen nem a felépítés, hanem a preferált szaporodási mód miatt alkot egy egyre bővülő csoportot. Ez a levelező vírusok csoportja.
3.1.2.1. Bootvírusok
A Pakistani Brain bootvírus volt az első, amelyet 1986-ban indítottak útnak egy másolásvédelem büntető rutinjaként. Ez a bootvírus ma már csak gyűjteményekben fordul elő. Az 1980-as évek végén, amikor az összes ismert vírusok száma még 4000 alatt volt, mindössze mintegy 60-70 bootvírust ismertek. A nyilvántartott vírusfertőzések között azonban közel 70 % volt a bootvírus incidensek aránya. Ezen ellentmondás arra volt visszavezethető, hogy kezdetben igen nagy volt a programcsereberék aránya és a felkészületlen felhasználók is sokszor hagytak bent figyelmetlenségből a gép újraindításakor floppy lemezt az A: meghajtóban. A bootvírusok közös jellemzője, hogy a víruskód az operációs rendszer előtt töltődik be a floppyról vagy merevlemezről a memóriába, majd természetesen megpróbálja betölteni az operációs rendszert is. Mivel a régebbi bootvírusok csak a FAT16-ot ismerték, gyakran helyrehozhatatlanul vagy nagyon nehezen javíthatóan teszik tönkre, írják felül a modernebb partíciók, mint az NTFS, FAT32, VFAT, HPFS, stb. boot- és partíciós szektorait. Ahhoz, hogy egy bootvírus szaporodni is tudjon, azaz kódját a fertőzött floppyról a merevlemezre, majd újabb floppykra másolhassa, a vírusnak meg kell szereznie a vezérlést, és legalább addig a memóriában kell maradnia, amíg megpróbálja kódját továbbszaporítani. A legtöbb esetben itt bukik meg a vírus. A bootvírusok elleni védekezéshez többféle megoldást is javasoltak/javasolnak: - A floppy kiszerelése véd ugyan a bootvírusok bejutása ellen, de nehézkessé teheti az adatcserét, a biztonsági mentéseket, a programfrissítéseket. - Egy időben floppyzárakat is kínáltak, de a megoldás nem lett népszerű (a kulcs másolható, elveszíthető, használata továbbra is a felhasználótól függ). - A bootsorrend átállítása "C only"-ra a CMOS setup-ban már jóval nagyobb segítséget ad, hiszen a bootolási folyamat védelme mellett továbbra is megmarad a lemezes adatátvitel lehetősége, és az egyszeri beállítás után nem a felhasználótól függ a védelem alkalmazása. - Az operációs rendszer EPROM-ból vagy CD-ről való indítása fertőzhetetlenné teszi a rendszert, de a megoldás munka- és eszközigényes, a hardverbővítések után új bootprogramot kell készíteni. Ez nehézkessé és bizonytalanná teszi a rendszert.
53 A bootvírusoknak egy egyedi alfaját képviseli a OneHalf vírus és néhány hozzá hasonló technikát alkalmazó két- vagy többtámadáspontú kártevő. Nevezetesen a OneHalf floppy lemezeken érkezik fertőzött fájlokban, sőt ilyen formában is bekerül a fertőzött merevlemezre, ám a fertőzött programok elindítása után a vezérléshez jutva azonnal betelepszik a merevlemez(ek) bootszektorába is.
3.1.2.2. Fájlvírusok
A fájlfertőző vírusok olyan programok, amelyek vezérléshez jutva (a fertőzött programok elindítása után) megkeresik a floppykon és merevlemezeken, valamint a hálózati meghajtókon az arra alkalmas programfájlokat és azok kódjához valamilyen módon hozzáfűzik saját programkódjukat. A hozzáfűzés történhet a meglévő tartalom felülírásával (ilyenkor a fertőzött programfájl mérete nem változik meg) vagy a víruskód hozzáíró jellegű beszúrásával. Ez utóbbi esetben a fertőzött fájl mérete megváltozik (megnő a víruskódot tartalmazó résszel) és a fájl eredeti programtartalma csak minimálisan sérül. Mindkét esetben a vírus elhelyez a programfájl elején egy ugró utasítást, amely a programindítást követően a vírusprogramnak adja át a vezérlést. A víruskód végére kerül az az ugróutasítás, amely a program eredeti belépőhelyére ugrik és átadja a gazdaprogramnak a vezérlést. A víruskód a programfájlon belül több helyre is kerülhet. Az egyik alkalmazott vírustechnika a fertőzött fájl elejéhez fűzi hozzá a víruskódot (például a Péntek 13), egy másik technika a programfájl végén helyezi el a víruskódot, egy harmadik technológia pedig a programfájl belsejében keres egy arra megfelelő területet. Egy teljesen új technológiát képvisel az a megoldás, ahol a vírus olyan "üres" területet keres a megfertőzésre kiszemelt programfájl belsejében, amelyben kényelmesen elfér a víruskód. Ilyen "üres" területek bizony bőven akadnak a mai nagyméretű programfájlokban, s ha a napi működés során az érintett programterület tartalma az eredeti program számára közömbös, akkor az ilyen fertőzés nem csökkenti önmagában a program használhatóságát, annak eredeti funkciói nem sérülnek. A programfájlok nem egyformák. Más a struktúrája és ez által fertőzhetősége a .COM kiterjesztésű fájloknak és az .EXE programoknak. A .COM fájlok esetén ráadásul arra is ügyelnie kell a vírusprogramok fejlesztőinek, hogy a DOS csak a 64 KB-nál kisebb COM fájlokat képes futtatni. A különböző programfájlok struktúrájának különbözősége ahhoz vezetett, hogy a fejlettebb vírusokba olyan feltételrendszereket építettek be, amelyek megakadályozták a vírusokat a vírushordozónak alkalmatlan fájlok megfertőzését. Az intelligensebb programkártevők a leginkább ellenőrzött operációs rendszer fájlokat (mint a COMMAND.COM) nem fertőzik meg, és elkerülik az antivírus programok önellenőrző programjait is.
54
A Companion vírusok A fájlvírusok egyik kis létszámú alfaja a Companion, azaz társ-vírusok csoportja. Ezek a klasszikus fájlfertőző vírusoktól abban különböznek, hogy egyetlen bájttal sem változtatják meg a megfertőzött programot. Működésükhöz a CEB szabályt használják fel (lásd alább!). Jellegzetes képviselője e programtípusnak a Shadowguard néven nyilvántartott kártevő. A companion típusú vírusok a célpontként kiszemelt .EXE programfájlok mellé másolják a víruskódot egy .COM kiterjesztésű fájlba. Amikor pedig a programindítás kerül sorra, először a .COM kiterjesztésű, víruskódot tartalmazó programfájl töltődik be a memóriába, és csak ezután következik az eredeti programfájl indítása.
A CEB szabály A programfájlok kiterjesztése nem csak a listázások megkönnyítésére szolgál. A DOS alapú, illetve DOS programok futtatására alkalmas rendszerek szembe kerülhetnek olyan esettel is, amikor azonos nevű, de eltérő kiterjesztésekkel ellátott fájlok vannak a könyvtárakban. A CEB szabály nevét onnan kapta, hogy ha azonos nevű de .COM és .EXE kiterjesztésű fájlokat kell indítani, akkor az operációs rendszer a .COM fájlt indítja, hacsak az indításhoz nem adják meg az indítandó fájl kiterjesztését is. Ha azonos nevű .EXE és .BAT fájlok közül kell választani, akkor az .EXE indul. Összesítve a preferencia sorrend: .Com, .Exe és .Bat, innen tehát a név a szabályra.
Egy FAT fertőző vírus: a DIR2-FAT A fájlfertőző vírusok egyedülálló képviselője a Dir2/FAT néven elhíresült kártevő. E vírus, társai többségétől eltérően és a companion vírusokhoz hasonlóan, nem módosítja egyetlen bájttal sem a megfertőzött fájlokat. A FAT típusú vírus mindössze egy példányban rakja fel magát a lemezre, annak egy tetszőleges clusterébe. Minden végrehajtható fertőzött fájl kezdő clusterszámát a katalógusjegyzékben átirányítja magára, a további FAT láncolást kódolja. Ha elindítunk egy fertőzött fájlt, akkor a clusterszám átadása miatt a vírus indul el. Ennek volt köszönhető, hogy 1990-ben világszerte az egyik legelterjedtebb vírus a DIR2/FAT volt. Tulajdonképpen a FAT- vírus – elnevezésétől eltérően – nem a FAT-et fertőzi meg, hanem a könyvtárbejegyzést. A FAT elnevezés inkább arra utal, hogy a FAT-lánc szervezését használja ki.
Célpontok szerinti csoportosítás
55 A fájlvírusokat aszerint is osztályozzuk, hogyan válogatják meg célpontjaikat. Vannak .COM fertőzők, vannak .EXE fertőzők, vannak olyan DOS vírusok, amelyek egyaránt fertőznek COM és EXE fájlokat. Az .EXE fertőzők között az utóbbi években kezdenek megjelenni a 32 bites Windows EXE programokat (PE) fertőző vírusok, amelyek csak a Windows 9x és/vagy Windows NT/2000 programjait fertőzik.
3.1.2.3. Makróvírusok
Az eddigiekben csupa olyan vírusról volt szó, melyek bináris, az operációs rendszer által közvetlenül végrehajtható programkódot tartalmaznak. Egyes szakértők már korábban is megjósolták, hogy előbb-utóbb meg fognak jelenni olyan vírusprogramok, amelyek nem az operációs rendszerre települnek, hanem más környezetet hasznosítanak működésükhöz és terjedésükhöz, például az Office programcsomagok belső programozásában alkalmazott makrónyelveket, de előrejelzésüket a többség mereven elutasította. Az élet sajnos igazolta az előzetes félelmeket. 1995 augusztusában fel is bukkant az első makróvírus (a WM/Concept), amely a WinWord 6 makrónyelvére épülve Word dokumentumokat fertőzött. Az elsőt hamarosan követték a többiek és egy év alatt már 50 fölé emelkedett az ismert makróvírusok száma. A Word után az Excel volt a következő rendszer, amelyre makróvírusokat készítettek. Az MS Office 97 megjelenésével a programok makrónyelve egységes lett, s ezt kihasználva a víruskészítők elkészítették az első PowerPoint és Access dokumentumokban terjedő makróvírusokat. A Microsoft termékein kívül más Office programcsomagokba is építettek makróértelmező programokat, ám ezekre alig néhány vírus született. Az Ami Pró egyetlen vírusa (GreenStripe) csak annak demonstrálására elegendő, hogy a lehetőség megvan más makrórendszerekben is a vírusprogramok készítésére, de túl kevesen használnak Ami Pró-t, ahhoz, hogy bármiféle vírusjárvány kialakulhasson. A többi rendszert úgy tűnik, átgondoltabban tervezték meg, s jóval nehezebb makrónyelvükön vírust fejleszteni. Vírusprogram írására és futtatására három dolog biztosít lehetőséget egy makrónyelven belül: 1. A makróprogramot a rendszer a dokumentumfájlon belül tárolja, 2. vannak automatikusan induló makrók, 3. a rugalmasan paraméterezhető makrónyelvet fájlműveletek elvégzésére is felkészítették. A WordBasic-ben írt makróvírusokat még szövegként tárolta a WinWord, a mai Word 97/2000 már Visual Basic-ben programozható, s a makróprogramok kódját tokenizálva tartalmazza a dokumentum.
56 A makróvírusok elsősorban a Microsoft Office programjainak belső programozhatóságát lehetővé tevő Visual Basic for Applications, röviden VBA (a korábbi változatok a WordBasic) nyelvhez kötődnek, bár mintaként más makrónyelvekre, programokra is készítettek már vírust (Ami Pró: GreenStripe). A makróvírusok mind a mai napig elsősorban a Word és az Excel dokumentumokat támadják és használják fel a fertőzés továbbterjesztésére, bár már több tucatnyi olyan vírust is találtak a vírusvadászok, amelyek a PowerPoint prezentációk, illetve az Access adatbázisok belsejében lapulnak. Hasonlóan a „hagyományos” vírusokhoz, a makróvírusokra szintén igaz az, hogy elsősorban a víruskód elterjesztése a vírusszerzők célja. A makróvírusok ma már nem feltétlenül kötődnek egyetlen Office alkalmazáshoz, és számtalan olyan változattal találkozhattunk a korábbiakban, amelyek különbőző kombinációkban képesek megfertőzni a Word, az Excel, a PowerPoint és az Access dokumentumfájljait. Mindamellett továbbra is a Word és az Excel dokumentumok a makróvírusok központi célpontjai. Makróvírusok ma elsősorban floppykon és CD lemezeken, helyi hálózatokon és az elektronikus levelező rendszereken keresztül érkeznek a számítógépekhez. A levélforgalom zöme ma már Word és Excel dokumentum, így biztonságosabb minden egyes beérkező dokumentumot potenciális vírushordozóként kezelni.
3.1.2.4. Scriptvírusok
A scriptvírusok két fő csoportjával érdemes itt foglalkoznunk. A VBScript kártevők és a JavaScript vírusok, férgek (pédául a JS/KakWorm) érkezhetnek az elektronikus levelező rendszeren keresztül csatolt állományként (VBS/LoveLetter) vagy a levéltörzsbe beágyazva (VBS/BubbleBoy). Emellett jöhetnek "hagyományos" útvonalakon floppy lemezen vagy a helyi hálózaton keresztül, érkezhetnek fertőzött weboldalakról vagy fertőzött Word dokumentumokból (többtámadáspontú vegyes makró- és scriptvírusok, dropperek). A VBScript programkártevők besorolása közelebb áll a programféreghez, mint a klasszikus vírusokhoz, hiszen csak néhány képviselőjük képes valódi vírus típusú fertőzésre, amikor az eredeti programkód is (legalább részben) érintetlenül és működőképesen megmarad. A scriptvírusok rejtőzhetnek .VBS, WSH, CSS, HTM, HTA és egy sor egyéb kiterjesztés mögé rejtőzve. Gyakori a kettős kiterjesztés használata, amikor az elektronikus levél mellékleteként érkező csatolt fájl (például love-letter-for-you.txt.vbs) kettős kiterjesztéséből a valódit nem látjuk (a Windows az alapbeállításokkal például elrejti a regisztrált kiterjesztéseket, mint amilyen a nevezett .VBS is). A scriptvírusok erősen kötődnek a script-értelmezőkhöz, így azokon a gépeken, ahol például nincs JavaScript értelmező telepítve, a JavaScript wormok hatástalanok. A VisualBasic
57 nyelvhez tartozó scriptértelmezőt nehezebb eltávolítani a rendszerből, hiszen sok rendszeradminisztrációs feladathoz is felhasználjuk segítségét és sok weboldalnál VBScript programok segítik a válogatást, információgyűjtést és letöltést.
3.1.2.5. Levelező vírusok
Általánosságban azokat a vírusokat, programférgeket és egyéb programkártevőket szoktuk levelező vírusként emlegetni, amelyek szaporodásukhoz részben vagy egészben az elektronikus levelező rendszereket használják fel. Tágabb értelemben véve így bármely vírus – legyen bináris kódú fájlfertőző, makróvírus vagy scriptvírus – ebbe a csoportba sorolható, ha levélmellékletként érkezik. A szűkebb értelemben vett levelező vírusok nem csupán passzív módon utaznak elektronikus levelek mellékleteként, hanem aktív módon maguk gondoskodnak – lehetőleg a felhasználó közbeiktatása nélkül – a víruskód elektronikus levelezésen keresztül való továbbításáról. A levelező vírusok egyik csoportja scriptek segítségével szerzi meg a vezérlést és a szaporodáshoz, azaz a címlista kigyűjtéséhez és a szétpostázáshoz is script kódokat használ (pl. VBS/Rabbit, VBS/LoveLetter). Egy másik "tiszta" csoport a levelező makróvírusoké (például a WM97/Melissa), amely az Office programok közös makrónyelvét, a Visual Basic- et alkalmazza ugyanerre a feladatra. A levelező vírusok és programférgek egy harmadik csoportja a 32 bites Windows környezethez alkalmazkodva szerez vezérlést és szaporodik. A levelező vírusok két módszert is alkalmazhatnak a víruskód hatékony szétpostázásának megszervezésére. Az egyik lényege abban áll, hogy a víruskód ugyan nem marad rezidens módon a memóriában, de amikor vezérléshez jut, a címlistából kinyert címekre szétpostázza a fertőzött leveleket. A rejtőzködés érdekében sok levelező vírus korlátozza a víruskód szétpostázását (egy gépről csak egyszer szaporodik vagy csak korlátozott számú levelet küld ki). Az ilyen vírusok egy jelölőfájlt vagy egy Registry bejegyzést készítenek az újrafertőzés vagy a felesleges postázások elkerülésének érdekében. A másik levelező módszer azon alapszik, hogy a vírus vagy programféreg a SYSTEM.INI, megfelelő batch fájlok, a CONFIG.SYS, az AUTOEXEC.BAT vagy a Registry módosításával gondoskodik a Windows indításakor a memóriába kerüléshez. Ezután az e csoportba tartozó kártevők a memóriarezidens DOS vírusokhoz hasonlóan hozzákapcsolják magukat a levélküldésekhez. Szélsőséges esetben ez azt jelenti, hogy minden kimenő levél vírusfertőzött, vagy az elküldött levelek után további, vírushordozó levelek is kiindulnak. A legújabb típusú levelező vírusok között olyanokat is találhatunk, amelyek meghamisítják a kimenő levelek fejléc-adatait, s így más nevében fertőznek.
58 Teendőink vírusfertőzés esetén Amennyiben vírusfertőzött levelet kapunk, illetve fertőzést azonosítunk leveleink, levélmellékleteink között, több teendőnk is van. 1. Az első feladat természetesen a támadó azonosítása és a fertőzött levél, levelek blokkolása. 2. A következő lépés a vírus eltávolítása a rendszerből (a postafiókokból és lemezekről) és a korábban vezérléshez jutott, elindított víruspéldányok okozta károk helyreállítása. Ezzel azonban nem zárultak le teendőink. 3. Ha bejövő üzenetben találtunk vírusfertőzést, akkor haladéktalanul értesíteni kell a fertőzött levél/levelek feladóját, hogy vírusfertőzött leveleket küld, s meg kell adni a vírus azonosító adatait, az azt megtaláló és eltávolító program nevét, verzió- és egyéb adatait, hogy egyértelművé tegyük, milyen problémával is áll szemben, s hogy minél gyorsabban megszabadulhasson a fertőzéstől. 4. Értesítenünk kell mindazokat a levelező partnereinket, akiknek gépünk fertőzöttségének – remélhetőleg rövid – időszakában gépünk vírusfertőzött leveleket továbbított, s fel kell ajánlanunk segítségünket a vírus eltávolításában és a helyreállításban. 5. Megelőző eljárásokat kell kidolgoznunk és foganatosítanunk a további hasonló fertőzések elkerülésére. 6. NEM SZABAD LETAGADNI ÉS ELTITKOLNI a fertőzés tényét, mert ez hiteltelenné tenne. Az még magában nem megalázó dolog, hogy áldozatául váltunk egy vírusfertőzésnek. Szégyenkeznünk csak akkor kellene, ha nem törődnénk vele vagy nem tennénk semmit ellene és a hasonló esetek megelőzésére.
A mai e-mail vírusok – elenyésző számú kivételtől eltekintve – kizárólag az Outlook és Outlook Express különböző változatait támadják, s veszik igénybe a levelező rendszeren keresztüli terjedésükhöz. A Microsoft évente mintegy 100 javítócsomagot ad ki levelező programjaihoz. Ezt a mennyiséget követni is nehéz, hát még a programokat frissen tartani. Sok vírus azt használja ki, hogy a HTML formátumú leveleket az Outlook 5.0 és 5.5-ös verziószámú kiadásai az Internet Explorer (IE) segítségével jelenítik meg. Mivel az Internet Explorernek több száz már ismert biztonsági rése van, az ezeket kihasználó vírusok tárt kapukon jutnak be a rendszerekbe.
Ismert hibalisták találhatók az Outlook és IE biztonsági réseiről [8].
59 A vírusok a levélbe beágyazva érkenek. Lehetnek csatolt fájlban vagy a szövegtörzsben. Lehetnek bináris formában, vagy scriptként jelen. Ha olyan programmal levelezünk (Microsoft Outlook vagy Outlook Express), amely nyitott és képes a bejövő üzenetekben lévő programkód automatikus, a felhasználó jóváhagyását nem igénylő végrehajtására, akkor komolyan veszélyeztetjük rendszerünk biztonságát. Ha e programok használatát nem tudjuk más szoftverekkel kiváltani, akkor legalább egy (vagy két) megfelelő vírusvédelmi szoftvert célszerű beszereznünk. Védhetjük csak az ügyféloldalt, csak a szerveroldalt – ma már tucatnyi termék kapható a levelező szerverek (MS Exchange, Lotus Notes, stb.) vírusvédelmére –, vagy mindkettőt. Erről azonban lesz még szó később, a Levelező rendszerek vírusvédelme című fejezetben.
A javasolható alternatív levelező programok listája megtalálható az Interneten [9].
Ezeken túl a programok szinte minden programgyűjteményben megtalálhatók a COMM vagy hasonló, kommunikációra utaló nevű szekciókban.
3.1.3. Vírusalfajok a rejtőzködés eszközei szerint
Érdemes a vírusokat az alkalmazott rejtőzködési technikák szerint is megkülönböztetni, mivel az ellenük kialakítandó védekezés hatékonysága és megbízhatósága nagymértékben függ attól, hogy képesek vagyunk-e megtalálni és inaktiválni, majd elpusztítani a rendszerbe behatoló programkártevőket. A vírusok rejtőzködési, védekezési technikáinak több szintje van. A legalsó szint nem alkalmaz aktív technikákat, csak passzív rejtőzködési eszközöket. Ide sorolható, hogy a vírusok megválogatják támadáspontjaikat, nem maradnak tartósan a memóriában, nem módosítják a megtámadott programfájlok tartalmát (FAT-fertőzők és Companion vírusok) vagy méretét (felülíró vírusok, "Cavity-fertőzők"). A második szintet az jelenti, hogy a memóriába kerülő bootvírusok elfedik jelenlétüket a merev- és floppy lemezeken. Ez azonban kiderülhet, ha ellenőrizni tudjuk víruskeresőnkkel a memóriafoglaltságot is. A harmadik szint az elkódolás, amely az azonosító sztringek használatán alapuló víruskeresők ellen rejti el a vírusokat. A mutáló vírusok a víruskódot egy rövid kicsomagoló rész kivételével fertőzésről fertőzésre változtatják. Ennek a módszernek az előzményei közé sorolhatjuk a NOP technikát. Ez nem automatizmus, ami magától működik, hanem egy programozási trükk, amelyet arra használtak, hogy a víruskódba véletlenszerűen semleges utasításokat helyeznek el, amellyel olyan új vírusmutációkat lehet létrehozni, amelyeket a
60 kereső, illetve vírusellenőr programok nem találnak meg, ha csak vírusazonosító sztringekkel dolgoznak. A típus lefejlettebb tagjai a polimorf vírusok, amelyek oly hatékony elkódolást alkalmaznak, hogy a víruskódnak csupán két vagy három bájtnyi szakasza marad két fertőzés között azonos. A legjobb védekezés a támadás. Ezt az alapelvet alkalmazzák azok a vírusok, amelyek megpróbálják kikapcsolni vagy program- és adatfájljaik tönkretételével, törlésével futásképtelenné tenni a vírusvédelmeket. Ilyeneket a fájlfertőző- és a makróvírusok között egyaránt találunk. Az alábbiakban röviden bemutatjuk a főbb típusokat.
3.1.3.1. Felülíró vírusok
A primitívebb (és általában kisebb méretű) vírusok között sok olyan van, amely – éppen a mindenáron való méretcsökkentés érdekében – nem foglalkozik azzal, hogy a megfertőzött program működőképességét és teljes funkcionalitását megőrizze, hanem egyszerűen saját kódjával átírja a megfertőzött programok kódjának egy részét. Az 1980-as évek végén és az 1990-es évek elején a víruskészítők abban is vetélkedtek, hogy ki tudja a legrövidebb víruskódot létrehozni. E vetélkedő eredménye az a több száz apró, 100 bájtnál rövidebb vírusprogram, melyben csak a célpont keresésének és a fertőző rutinoknak volt hely. A legrövidebb ismert víruskód mindössze 25 bájt(!) hosszú. Ha ilyen vírus fertőzi meg programjainkat, nincs esély a sérülés automatikus helyreállítására. Az egyetlen lehetőség a fertőzött fájlok törlése (a víruseltávolító programok is ezt kínálják fel, illetve végzik el) és újratelepítése az eredeti telepítő csomagokról, vagy visszatelepítése a fertőzés előtt készített biztonsági másolatokból.
3.1.3.2. Append (hozzáíró) vírusok
A fejlettebb vírustípusok épp rejtőzésük érdekében igyekeznek megőrizni a fertőzött programok funkcionalitását. Ennek érdekében három módosítást végeznek a megfertőzött programfájlok kódjában. A vírus – fajtától függően a fájl végére, elejére vagy valahová középre – beszúrja víruskód szekvenciáit a programkódba. Második lépésként a vírus módosítja a program legelején azt az ugróutasítást, amely a program tényleges indításának első lépése. Ide egy olyan bejegyzés kerül, amely a vírusprogramnak adja át a vezérlést. Végül a víruskód végére kerül egy olyan utasítás, amely a program eredeti belépési címére mutat.
61 Az append technikával fertőző vírusok – ha a programkódban, illetve a fájlrendszerben és könyvtárstruktúrában nem okoznak helyrehozhatatlan károkat – nyom nélkül eltávolíthatók a fertőzött programokból. A víruseltávolító programok kétféle megközelítéssel is dolgozhatnak. Az egyik lényege abban áll, hogy a vírus egyértelmű beazonosítása után a program adatbázisában levő adatoknak megfelelően a vírusirtó program a fertőzött fájlból sebészi pontossággal kivágja a víruskódot és visszaírja a program elején az eredeti indítóutasítás címét. A módszer gyengéje, hogy léteznek olyan vírusmutációk, átiratok, amelyek csak hosszukban különböznek. Ha a víruseltávolító program ilyennel találkozik, hibásan végzi el a víruskód kimetszését, s a vírusmentesített gazdaprogram – bár vírusmentes lesz – továbbra is sérült marad, hibásan működik. A második megközelítés abban áll, hogy a fertőzés elemzésével a program helyben végzi el a vírus azonosítását és pontos méretének meghatározását. Ez hatékonyabban működik, mint az első megközelítés, mivel a vírusvariánsokat is megfelelően kezeli. Hátránya, hogy fejlettebb programozástechnikai ismereteket igényel és lassítja a víruskeresést és -mentesítést.
3.1.3.3. Vírusátiratok, mutáló vírusok, polimorf vírusok
Az egyik legrégebbi vírusazonosító eljárás azon alapul, hogy olyan kódsorozatokat keresnek a fertőzött programfájlokban (vírusazonosító sztring), amelyek nem találhatók meg közönséges programokban, csak víruskódban és csak egyetlen, százszázalékosan beazonosítható vírusra jellemzőek. A fenti módszer természetesen a víruskészítők előtt is ismert, így csakhamar elkezdtek először vírusátiratokat gyártani, majd elemezve a víruskeresők vírusazonosító-sztring adatbázisait, sorozatban készültek az olyan vírusátiratok, amelyeket a statikus és/vagy nem kellően pontos adatbázist alkalmazó víruskeresők nem vagy tévesen azonosítottak. A következő technológiai lépés az volt, hogy a víruskészítők többféle mutációs technikát is kidolgoztak, amelyekkel fertőzésről-fertőzésre a vírus maga átkódolta a működőképesség megtartásával a víruskód egy részét, vagy egészét. Ez a technika egy ideig kétségessé tette azt, hogy valaha is lehetséges lesz-e hatékony víruskereső programot készíteni, ám idővel a vírusvadászok rájöttek gyenge pontjaira. A polimorfizmus "csúcsát" azok a vírusok jelentik, amelyek kódjában csak 2-3 bájt marad azonos két fertőzés között. Az ilyenek ellen természetszerűen nem lehet hatékony az azonosító sztringes keresés, így új megközelítések után kellett nézni. A megoldást a heurisztikus módszerek alkalmazása jelentette. A heurisztikus víruskeresés azon alapszik, hogy a vírusnak szaporodásához néhány olyan alapvető funkciót kell végeznie, amelyeket egy normális, nem vírus jellegű program nem végez (például programfájlba vagy bootszektorba
62 ír). Természetesen megfelelő ellenőrzések után lehet csak egy programot vírusfertőzöttnek minősíteni, azonban ez a technika lehetővé teszi a korábban nem ismert vírusok okozta fertőzések azonosítását is.
3.1.3.4. Companion (CEB) vírusok
A fájlfertőző vírusprogramok ismertetésénél már szóltunk a Companion (társ) vírusokról és a CEB szabályról. Most csak a lényeget ismételjük meg. A Companion vírusok egyetlen bájttal sem módosítják a megfertőzött .EXE programokat, hanem a program mellé azonos névvel, de .COM kiterjesztéssel elhelyezik egy másik programfájlban a vírus kódját. Mivel a DOS és a DOS kompatibilis rendszerek névazonosság esetén előbb a .COM fájlokat indítják, a vírus lehetőséget kap a memóriába kerülésre és a vezérlés megszerzésére. Miután a víruskód végrehajtásra került, a vírus az eredeti, .EXE kiterjesztésű programot is elindítja. Szerencsére kevés ilyen példát ismerünk. A Companion vírusok irtása egyszerű, csupán törölni kell a fertőzött programok mellett lévő, a víruskódot tartalmazó .COM fájlokat.
3.1.3.5. Dropperek (pottyantók)
A rosszindulatú programok egy speciális fajtája a droppereké. Ezek a trójai jellegű programok nevüket onnan kapták, hogy indításuk után vírust vagy egyéb rosszindulatú programot juttatnak a megtámadott gép memóriájába, illetve merevlemezére. A dropperek maguk nem szaporodnak, azért veszélyesek, mert a bennük lapuló víruskódot kódolva tárolják, így a víruskeresők előtt az rejtve maradhat. Sok esetben a vírusfejlesztők droppereket alkalmazva juttatják új vírusaik első példányait a nyilvános hozzáférésű programgyűjteményekbe.
3.1.3.6. Vírusgyártó kitek
A hagyományos fájlfertőző vagy bootvírusok készítése komoly szakértelmet, programozói tudást követelt a vírusírótól. A vírus forráskódok hozzáférhetővé válásával azonban megnőtt azon átiratok száma, amelyek az eredeti vírustól a vírusműködést tekintve csak lényegtelen, a víruseltávolítást illetően azonban jelentős mértékben különböztek, s melyek készítéséhez nem kellett komoly szakmai tudás. Az 1980-as évek végén kezdtek megjelenni a különböző vírusgyártó készletek, kitek, amelyeket bárki használhat programozói tudás nélkül is. A vírusfejlesztő kitek előre elkészített modulokból rakják össze a kit kezelője által kiválasztott elemeket, és lehetőséget adnak üzenetek, képek, hangfájlok elhelyezésére a frissen kialakítandó víruskódban.
63 Ilyen fejlesztő kiteket nem csupán bináris kódot tartalmazó fájl- és bootfertőző vírusok készítésére alakítottak ki, hanem makróvírusok, sőt scriptvírusok fejlesztésére is. A legaktívabbak ezen a téren a német vírusíró csoportok voltak. A gyűjteményünkben levő vírusfejlesztő kitek többsége – az előbbieket igazolandó – német "fejlesztők" munkája.
3.1.3.7. Multitarget (többcélpontú) vírusok
A vírusok szaporodásának, terjedésének hatékonyságát növeli, ha a vírus több helyre is betelepedhet, valamint a visszafertőződés esélyeit is növeli, ha rejtett helyekről is előbukkanhat. Egy jellegzetes példa a multitarget vírusokra a Szlovákiából származó OneHalf vírus, amely amellett, hogy programfájlokat fertőz, a megtámadott számítógépek merevlemezének bootszektorába is beül. Hiába irtják ki a vírust a bootszektorból és a fertőzött programok többségéről, ha csak egyetlen másolata is érintetlenül marad, az hamar visszafertőzheti a rendszert. A makróvírusoknál is léteznek hasonló megoldások. Számos olyan makróvírust ismerünk, amelyek egyaránt fertőznek Word és Excel fájlokat, sőt olyat is ismerünk (OM97/Triplicate), amely Word és Excel dokumentumokon kívül PowerPoint prezentációkba is beülnek. Az említetteknél nagyobb különbségeket hidalnak át azok a vírusok, amelyek a makróvírusok és a bináris kódú fájlfertőző- és bootvírusok között teremtenek kapcsolatokat. Ilyen az orosz fejlesztők által készített Anarchy.6093, illetve azok a Word dokumentumokat fertőző makróvírusok, amelyek dropperként a OneHalf vagy a CIH átiratait szórják el. A WM97/Melissa és társai amellett, hogy hagyományos Word vagy Excel makróvírusként is terjednek, a levelező rendszert is felhasználják a víruskód terjesztésére. A többtámadáspontú vírusok egy teljesen új típusát képviseli a 2001 augusztusában felbukkant W32/Nimda, amely e-mail-ekben és weboldalakon keresztül is terjedhet.
3.1.4. Kis vírustörténelem
Régi igazság, hogy a fegyverekkel mindkét irányba lehet lőni. Amelyik csak az egyik irányban használható, az már nem is fegyver. Valahogy így van ez a programokkal. Amióta számítógépek léteznek, azóta programokat írnak. Amennyiben egy program a számítógép üzemeltetője számára hasznos dolgokat végez és segíti a munkáját, akkor hasznos programról beszélünk, ha nem ezt teszi, vagy a gép kezelőjének tudomása, illetve hozzájárulása nélkül működik, akkor káros, rosszindulatú programokról beszélünk. Az alábbiakban közreadjuk az elmúlt negyven év kronológiáját – legalábbis ami a vírusokat és egyéb vandál programokat illeti. Induljunk hát a kezdetektől.
64
3.1.4.1. Az 1960-as évek végétől az 1970-es évek elejéig
Ebben az időszakban még nem léteztek személyi számítógépek. A számítástechnikát az egyetemeken, kutató és hadi intézetekben működő mainframe gépek jelentették. Ennek az időszaknak a programjai mindennek voltak nevezhetők, csak felhasználóbarátnak nem. Ennek ellenére zseniális emberek számos olyan programot alkottak, amelyek mintegy "önálló életre keltek" a gépeken belül. Így például ebben az időszakban rendszeresen megjelentek egyes "rabbit"-nak (nyuszi) nevezett programok másolatai a mainframe gépeken. Ezek a programok klónozták (lemásolták, többszörözték) magukat, rendszer-erőforrásokat foglaltak le, így csökkentve a rendszer teljesítményét. Az ilyen "rabbit" (azaz nyúl) programok azonban többnyire nem másolták át magukat az egyik rendszerről a másikra és határozottan megmaradtak a helyi jelenség szintjén. Ezek a számítógépeket karbantartó, üzemeltető rendszerprogramozók hibái vagy piszkos tréfái ("pranks") voltak. Az első olyan incidens, amelyet valóban "számítógépvírus járványnak" nevezhetünk, egy Univax-1108 rendszeren fordult elő. A Pervading Animal-nak nevezett vírus a végrehajtható fájlok végéhez fűzte hozzá magát, tehát virtuálisan ugyanazt csinálta, mint a mai, harmincegynéhány évvel későbbi vírusok ezrei.
3.1.4.2. Az 1970-es évek első felében
A Tenex operációs rendszer alatt kifejlesztett The Creeper vírus a globális számítógép- hálózatot használta fel saját kódjának terjesztésére. Képes volt arra, hogy magától belépjen modemen keresztül egy hálózatba és átküldje egy másolatát a távoli rendszerre. A vírus elleni harcra alkották meg a "The Reeper" nevű programot, amely így az első antivírus program címre tarthat jogosan igényt.
3.1.4.3. Az 1980-as évek elején
A számítógépek egyre népszerűbbé váltak. Egyre nagyobb számban jelentek meg olyan programok, amelyeket nem szoftvertársaságok írtak, hanem magánszemélyek, mi több ezeket a programokat szabadon lehetett terjeszteni és cserélni a nyilvánosan hozzáférhető szervereken, a BBS-eken keresztül. Ez volt a shareware, freeware és public domain típusú szoftverterjesztési koncepció kialakulásának korszaka. A fentiek eredményeképpen hatalmas
65 számban jelentek meg különféle "trójai ló" típusú programok, amelyek valamilyen kárt okoztak, ha elindították őket.
3.1.4.4. 1981 eseményei
Egy Elk Cloner nevű bootvírus okozott vírusjárványokat az Apple II számítógépeken. A vírus hozzácsatolta saját programkódját a floppy lemezek bootszektorához, valahányszor csak elindították. Többféleképpen is felhívta magára a figyelmet – átkapcsolta a képernyőt, villogtatta a szöveges képernyőt és különféle üzeneteket jelenített meg.
3.1.4.5. 1986 eseményei
Az első IBM PC vírus, a Pakistani Brain (vagy Brain) világméretű elterjedése okozott kiterjedt járványokat az IBM kompatibilis PC-k körében. Ez a 360 KB-os lemezeket fertőző bootvírus szinte pillanatszerűen terjedt el az egész világon. E "siker" titka abban állt, hogy akkoriban a számítógépes társadalom teljesen felkészületlen volt az olyan jelenségre, mint amilyen a számítógépvírus volt. A vírust Pakisztánban készítette egy testvérpár: Basit és Amjad Farooq Alvi. A vírus kódján belül elhelyeztek egy üzenetet nevükkel és telefonszámukkal. A vírus megalkotói azt állítják, hogy szoftverkereskedők, és szerették volna megtudni, mennyire elterjedt a szoftverkalózkodás hazájukban. Szerencsétlen módon a kísérlet továbblépett Pakisztán határain. Az is érdekes, hogy a Brain volt az első lopakodó (stealth) vírus. Ha valaki vagy valami megpróbált a fertőzött lemezszektorból olvasni, a vírus annak tartalmát az eredeti, tiszta szektor tartalmával helyettesítette. Ugyancsak 1986-ban történt, hogy egy Ralph Burger nevű programozó rájött, hogy egy program másolatokat készíthet saját kódjáról úgy, hogy azt végrehajtható DOS programok kódjához fűzi hozzá. Első vírusa, amelyet VirDem-nek nevezett el, demonstrálta ezt a képességet. Ez a vírus 1986 decemberében jelent meg egy földalatti számítógépes fórumon, amelyet olyan hackerek tartottak, akik akkoriban éppen VAX/VMS rendszerek feltörésére specializálódtak. Ez a Chaos Computer Club volt Hamburgban.
3.1.4.6. 1987 eseményei
Megjelent a Vienna vírus. Ralph Burger, akiről már volt szó, megszerezte a vírus egy példányát, visszafejtette, és ennek eredményét közzétette "Computer Viruses: a High-tech
66 Disease" című könyvében. Burger könyve népszerűvé tette a vírusírást, elmagyarázva azt, hogyan is kell csinálni, s ezzel bátorította vírusok százainak és ezreinek megalkotását, olyan vírusokét, amelyekben felhasználták a könyvből vett ötleteket. Néhány további IBM-PC vírust is írtak egymástól függetlenül ugyanebben az évben. Ezek a következők voltak: a Lehigh csak a COMMAND.COM fájlt fertőzte, a Suriv-1, más néven April1st a .COM fájlokat fertőzte. A Suriv-2 volt a legelső .EXE fájl fertőző vírus, és a Suriv- 3 már képes volt megfertőzni mind a .COM, mind pedig az .EXE fájlokat. Néhány bootvírus is felbukkant, például az USA-ban a Yale, Új-Zélandon a Stoned, Olaszországban a PingPong, és ebben az évben jelent meg a legelső öntitkosító fájlvírus, a Cascade. A nem IBM kompatibilis gépekről sem szabad elfeledkeznünk. Találtak néhány vírust Apple Macintosh, Commodore Amiga és Atari ST számítógépeken is. 1987 decemberében esett meg az első teljes hálózatot érintő járvány, amit a REXX nyelven írt Christmas Tree okozott, amely VM/CMS operációs rendszer alatt terjedt. December 9-én juttatták be a vírust a Bitnet hálózatba az egyik nyugatnémet egyetemen, azután a kapugépeken keresztül a vírus már bejutott az Európai Akadémiai Kutatási Hálózatba (European Academic Research Network, EARN) és onnan az IBM Vnet rendszerébe. Négy nappal később (december 13-án) lebénította a hálózatot, amelyet túlterheltek a vírus másolatai. Induláskor a vírus (a mai meghatározások szerint inkább féregnek kellene neveznünk) kirajzolt a képernyőre egy karácsonyfát és azután elpostázta másolatait az összes hálózati címre a felhasználóknak, amelyet a megfelelő NETLOG és NAMES nevű rendszerfájlokban talált.
3.1.4.7. 1988 eseményei
1988-ban pénteken 13-án a világ sok országának vállalatainál és egyetemein ismerkedtek meg a Jerusalem vírussal. Azon a napon a vírus tönkretette azokat a fájlokat, amelyeket megpróbáltak futtatni. Talán ez volt az egyik legelső MS-DOS vírus, amely egy valódi világméretű járványt okozott. Hírek érkeztek vírusfertőzött számítógépekről Európából, Amerikából és a Közel-Keletről is. A vírus véletlenül nevét is az egyik olyan helyről kapta – a Jerusalemi Egyetemről –, ahol lecsapott. A Jerusalem néhány további vírussal együtt (Cascade, Stoned, Vienna) még mindig észrevétlenül számítógépek ezreit fertőzte meg, mivel a vírusellenes programok akkoriban még messze nem voltak olyan általánosan elérhetők, mint manapság. Közben sok felhasználó, sőt szakemberek is egyszerűen nem hitték el a számítógépvírusok létezését. Érdemes megjegyeznünk, hogy Peter Norton, a legendás komputer-guru ebben az évben még azt jelentette ki, hogy számítógépvírusok pedig nincsenek. Mítosznak nevezte az egészet,
67 valami olyannak, mint amikor hírt adnak arról, hogy aligátorok élnek New York csatornáiban. Mindazonáltal ez az illúziórombolás nem gátolta meg a Symantec céget abban, hogy nem sokkal később elindítsa saját antivírus projektjét Norton Antivirus néven. Rendszeresen kezdtek megjelenni különféle hamis vírusriadók, pánikot okozva a számítógép- felhasználók között. Az ilyen rémhírek (Hoax) egyik első képviselője egy bizonyos Mike RoChenle nevéhez kötődött, aki rengeteg üzenetet töltött fel BBS rendszerekre, leírva bennük, hogy a feltételezett vírus az egyik BBS-ről a másikra a modemen keresztül 2400 baud sebességgel másolja át magát. Ennek az lett a következménye, hogy sok felhasználó adta fel az akkori idők 2000 baudos standardját és kapcsolta vissza modemjének sebességét 1200 baudra. Hasonló rémhírek manapság is megjelennek. Közülük a leghíresebbek a Good Times és az AOL4Free Hoax hoaxok.
3.1.4.8. 1988. november
Egy totális hálózati járványt okozott a Morris (más néven Internet Worm) féreg. A vírus több mint 6000 számítógéprendszert fertőzött meg az USA-ban, beleértve a NASA kutatóintézetét is, és gyakorlatilag teljesen megbénította munkájukat. A vírusban lévő programhiba miatt a vírus végtelen számú másolatot küldött szét saját kódjából a hálózaton (mint a Christmas Tree nevű féreg), és ezért bénultak le a fertőzött rendszerek hálózati erőforrásai. A Morris féreg okozta károkat összesen mintegy 96 millió dollárra becsülték. Ez a vírus a VAX és a Sun Microsystems Unix rendszereinek hibáját kihasználva terjedt. A Unix hibája mellett a vírus néhány jóval eredetibb ötletet is felhasznált, például összegyűjtötte a felhasználói jelszavakat.
3.1.4.9. 1988. december
Folytatódott a programférgek évszaka, ezúttal a DECNet-en. A HI.COM néven ismertté vált féreg egy lucfenyő képét rajzolta ki és azt közölte a felhasználókkal, hogy "stop computing and have a good time at home!!!", azaz fejezzétek be a számítógépezést és érezzétek jól magatokat otthon! Néhány új antivírus program is feltűnt, mint például a Doctor Solomon's Antivirus Toolkit, amely (amíg a NAI meg nem vette, és bele nem építették a McAfee Antivírus-ba), egyike volt a leghatékonyabb antivírus szoftvereknek.
3.1.4.10. 1989 eseményei
68 Olyan új vírusok jelentek meg, mint a Datacrime, a Fu Manchu, és egész víruscsaládok is, mint a Vacsina és a Yankee Doodle. Az első rendkívül veszélyes volt, mivel október 13. és december 31. között leformázta a merevlemezeket. Ez a vírus már nem csak kutató- laboratóriumokban fordult elő, hanem rászabadult az egész világra, és teljes tömeghisztériát okozott a médiákban Hollandiában és Nagy-Britanniában. 1989. szeptember: Egy újabb antivírus programot kezdtek el szállítani: az IBM Antivírust. 1989. október: Egy újabb féreg okozta járvány a DECNet-en, a Wank Worm. 1989. december: Egy azóta is példátlan trójai eset: az AIDS-tájékoztató lemez. 20,000 lemezt kézbesítettek ki "AIDS Information Diskette Version 2.0" címkével. 90 bootolás után a trójai program elkódolta a lemezen lévő összes fájlnevet és rejtetté tette azokat. Mindössze egyetlen fájl maradt olvasható, egy számla, amely 189 dollárról szólt, amelyet egy panamai postafiókra kellett (volna) befizetni. A vírus készítőjét természetesen letartóztatták és börtönbüntetésre ítélték. Oroszországban 1989-ben kiterjedt vírusfertőzéseket okozott a Cascade, a Jerusalem és a Vienna. Szerencsére az orosz programozók hamar rájöttek a vírusok működésére és szinte azonnal egy sereg antivírus program jelent meg, közöttük az AVP (AntiViral Toolkit Pro), ami akkoriban még csak mint "-V" (minus virus) szerepelt. Shareware kiadása ma Kaspersky AntiVirus néven található az Internet programgyűjteményeiben.
3.1.4.11. 1990 eseményei
Ez az év néhány nevezetes eseményt hozott. Az első az volt, hogy megjelent a Chameleon, az első polimorfikus víruscsalád, melynek tagjai "V2P1", "V2P2" és "V2P6" néven ismertek. Egészen eddig az antivírus programok maszkokat – víruskód részleteket, vírusazonosító sztringeket – használtak (méghozzá eredményesen) víruskeresésre. A Chameleon megjelenése után az antivírus programok fejlesztőinek más módszereket kellett találniuk a víruskeresésre. A második esemény a bolgár vírusgyár megjelenése volt: hatalmas mennyiségben kerültek elő Bulgáriából származó új vírusok. Nevezetesebb vírusjárványokat okoztak a következő víruscsaládok: Murphy, Nomenclatura, Beast (más néven 512 vagy Number-of-Beast) és az Eddie vírus átiratai. Egy Dark Avenger néven "publikáló" programozó rendkívüli aktivitást mutatott, több olyan vírust is készített évente, amelyek alapvetően új algoritmusokat alkalmaztak a fertőzéshez és a vírus nyomainak eltüntetéséhez. Szintén Bulgária volt az az ország, ahol a legelső kifejezetten víruskód- és a vírusírók számára hasznos információk cseréjére szakosodott BBS megnyílt.
69 1990 júliusában a "PC Today" nevű, Nagy-Britanniában megjelenő számítógép magazin floppy mellékletére véletlenül felkerült a DiskKiller nevű vírus. A fertőzött melléklettel megjelent lapszámból több mint 50 ezer példányt értékesítettek. 1990 második felében két lopakodó ("stealth") technikát alkalmazó szörnyeteg bukkant fel. A Frodo és a Whale. Mindkét vírus rendkívül összetett lopakodó algoritmust használ, sőt a 9 KB-os (akkoriban, a 30-3000 bájtos átlagmérethez képest hihetetlenül hatalmas méretűnek számító ) "Whale" többszintű titkosító és visszafejtést akadályozó technikákat is alkalmazott.
3.1.4.12. 1991 eseményei
A számítógépvírusok száma hatalmas sebességgel növekedett, már több száz fölé emelkedett az ismert vírusok száma. A vírusvadászok is növekvő aktivitást mutattak. Két szoftveróriás is megjelentetett egy időben antivírus programokat: a Symantec a Norton Antivírust és a Central Point a Central Point Antivirust. Ezeket további, kevésbé ismert antivírus programok követték az Xtree és a Fifth Generation kiadásában. Az év áprilisában egy kiterjedt vírusjárványt okozott a fájlfertőző és polimorf bootvírus tulajdonságokat mutató Tequila, majd szeptemberben ugyanez történt az Amoeba nevű vírussal. 1991 nyarán világszerte nagy pusztítást és kiterjedt járványokat okozott az új vírustípust képviselő Dir2. Ez a vírus alapvetően új technikát alkalmazott a fertőzésre. Ahelyett, hogy a programfájlok belsejébe írta volna a kódját, mint az addig ismert vírusok többsége, a FAT link (azaz hivatkozási) bejegyzéseit irányította magára. A vírus agresszív terjedésére jellemző, hogy olyan floppy lemezeken is megtalálhattuk, amelyekre, mint vírusmentesítő lemezre, a McAfee VirusScan akkor aktuális változatát másolták fel. Az egyetlen probléma az volt, hogy az adott víruskereső verzió még nem ismerte fel a fertőzést, sőt az ilyen lemezek komoly forrásai voltak a Dir2 járványoknak.
3.1.4.13. 1992 eseményei
Az év jelentős fordulatot hozott: szinte teljesen eltűntek azok a vírusok, amelyek nem IBM PC-ket és nem MS-DOS rendszereket fertőztek. A nyilvános hozzáférésű hálózatok "lyukait" lezárták, a hibákat kijavították és a hálózatokat fertőző férgek elvesztették a lehetőségüket a szaporodásra. A legnépszerűbb és legelterjedtebb számítógéptípust (IBM PC) és operációs rendszert fertőző fájl-, boot- és kombinált fájl-boot vírusok egyre fontosabbá váltak. A vírusok száma exponenciálisan növekedett, s csaknem minden napra különböző új vírusincidensek estek. Különféle antivírus programokat fejlesztettek ki és több tucatnyi
70 antivírus programokkal foglalkozó könyv, időszaki kiadvány, magazin jelent meg. Néhány dolgot érdemes kiemelnünk. 1992 elején bukkant fel az első polimorf vírusok sorozatgyártására szolgáló programgenerátor, az MtE (Mutation Engine). A programgenerátort természetesen azonnal fel is használták, és jó néhány polimorf vírust gyártottak le vele. Az MtE volt a következő néhány polimorf generátor prototípusa is. 1993 márciusában a Michelangelo vírus okozott nem csupán valóban kiterjedt, világméretű vírusjárványt, de egyfajta hisztériát is a sajtóban. Talán ez volt az első eset, amikor a vírusvadász cégek kinyilvánították, hogy az e vírus elleni eszközök nem védenek meg minden veszélytől, és figyelmet magukra felhívva igyekezték növelni profitjukat. Egy amerikai antivírus cég például gyakorlatilag azt jelentette ki, hogy március 6-án (a Michelangelo pusztító rutinjait aktivizáló napon) több mint 5 millió számítógép adatai fognak megsemmisülni. A felhajtás eredményeként a különböző antivírus cégek profitja többszörösére ugrott, miközben csak mintegy 10 ezer számítógépet érintett a Michelangelo okozta vírusfertőzés. 1992 júliusában jelentek meg az első víruskészítő programcsomagok, név szerint a VCL (Virus Construction Laboratory) és a PS-MPC. Ezek tovább növelték az új vírusok amúgy sem csekély számát. E kitek megjelenése arra ösztönözte a vírusfejlesztőket, hogy további, még hatékonyabb konstrukciós készleteket készítsenek, éppen úgy, ahogy az MtE esetében történt. 1992 végén jelentek meg a legelső Windows vírusok, amelyek kifejezetten a Windows végrehajtható .EXE fájljait fertőzték és új fejezetet indítottak a víruskészítésben.
3.1.4.14. 1993 eseményei
A víruskészítők már komoly károkat kezdtek okozni. A pusztító rutinok nélküli (úgynevezett "jóindulatú"), a gazdafájlokat és rendszereket nem károsító vírusok százai, a teljesen polimorf generátorok és vírusgyártó kitek, s a víruskészítők új elektronikus megjelenései mellett egyre több olyan vírus jelent meg, amelyek korábban szokatlan fájlfertőzési módszereket alkalmaztak, s amelyek új módokon jutottak be a rendszerekbe. A legnevezetesebb, legfontosabb példák: PMBS – Az első olyan vírus, amelyben Intel 80386 védett (protected) módú programozást alkalmaztak. Strange vagy Hmm – a lopakodó (stealth) technológia "mesterdarabja", amely az INT 0Dh és INT 76h hardver-megszakításokra épült. A Shadowguard és Carbuncle a Companion vírusok lassan népesedő családját szaporították.
71 Az Emmie, a Metallica, a Bomber, az Uruguay és a Cruncher alapvetően új technikákat alkalmaztak arra, hogy elrejtsék saját, a fertőzött programokba beépülő kódjukat. 1993 tavaszán a Microsoft bejelentette saját antivírus programját (MSAV), amely a Central Point CPAV-ján alapult. Megdöbbentő "hatékonysága" (45 %, szemben az élvonalbeli rendszerek 90 % feletti észlelési hatásfokával) eleve meghatározta a program sorsát, vagyis hosszabb távon az eltűnést.
3.1.4.15. 1994 eseményei
A CD lemezeken érkező vírusok száma ugrásszerűen megnövekedett. Mivel a CD-ROM lemezek hatalmas népszerűségre tettek szert, a CD-k a vírusterjesztés fontos médiájává váltak. Az esetek a mesterlemez fertőzésével indulnak. A nagy számú, több tízezres tételben gyártott fertőzött lemezek nem javíthatók, a teljes vírusmentesítéshez be kell az összes fertőzött CD-t zúzni. Az év elején Nagy-Britanniában két rendkívül összetett polimorf vírus (az SMEG.Pathogen és az SMEG.Queeg) került a CD-kre, amelyeket még most sem tudnak az antivírus programok 100 %-os biztonsággal észlelni. A vírusok szerzője egy BBS-re tette ki fertőzött fájljait, s így valódi pánikot okozott és a média a járványtól rettegett. Egy újabb pánikhullámot keltett egy hamis üzenet, amely egy feltételezett vírusról, a Good Times-ról adott hírt. Az állítólagos vírusról azt írta a "híradás", hogy az Interneten keresztül terjed, és akkor fertőzi meg a számítógépeket, amikor fertőzött e-mail-t kapnak. Ilyen vírus NEM LÉTEZIK! Ez egy rémhír, azaz Hoax. Nem sokkal később feltűnt egy szokványos DOS vírus is, amely a "Good Times" szöveget tartalmazta. Ezt a vírust a szakma "GT-Spoof" néven törzskönyvezte. A törvénykezés követni kezdte az életet. 1994 nyarán a SMEG vírusok szerzőjét letartóztatták. Ezzel közel egy időben ugyancsak Nagy-Britanniában letartóztatták a vírusírók egy egész csoportját, akik magukat ARCV-nek (Association for Really Cruel Viruses, társaság a valóban kegyetlen vírusokért) nevezték. Nem sokkal később egy további vírusszerzőt tartóztattak le Norvégiában. Az év folyamán néhány meglehetősen szokatlan vírus is felbukkant: 1994 januárjában a Shifter, az első olyan vírus, amely object modulokat (.OBJ fájlokat) fertőzött. A Phantom1 vírus okozta Moszkvában az első polimorf vírusra visszavezethető tömegjárványt. 1994 áprilisában jelentkezett a SrcVir, a program forráskódokat (C és Pascal nyelvű) fertőző víruscsalád legelső tagja. 1994 júniusában jelen meg Szlovákiában a OneHalf, amely mind a mai napig vissza-visszatér.
72 1994 szeptemberében a 3APA3A nevű bootvírus okozott járványokat, elsősorban Oroszországban. Ez a vírus meglehetősen szokatlan módját választotta annak, hogy bejusson az MS-DOS rendszerbe, s ma is nehéz feladat elé állítja az antivírus szoftvereket. 1994 tavaszán a vezető vírusvadász cégek egyike, a Central Point beszüntette működését, mivel felvásárolta a Symantec, amely akkoriban több kisebb antivírus területen működő társaságot is bekebelezett (Peter Norton Computing, Cetus International és Fifth Generation Systems).
3.1.4.16. 1995 eseményei
A DOS vírusok között semmi különleges nem történt, bár megjelent néhány meglehetősen összetett vírus szörnyeteg, mint a NightFall, a Nutcracker, és emellett néhány fura vírus, mint a "biszexuális" RMNS vírus és a Winstart nevű BAT vírus. A BayWay és a DieHard2 vírusok széles körben terjedtek, és a világ minden részéről érkeztek hírek számítógépeket fertőző vírusokról. 1995 februárjában történt meg az a szomorú esemény, hogy a Windows 95 demólemezei Form vírussal fertőzötten kerültek ki a sokszorosításból. E lemezeket a Microsoft küldte bétatesztelőinek, s a teszterek egyike vette a fáradságot és ellenőrizte a lemezeket. 1995 tavaszán két antivírus fejlesztőcég – az ESaSS (ThunderBYTE antivírus) és a Norman Data Defense (Norman Virus Control) – szövetségre lépett. Ez a két cég, melyek mindegyike eléggé hatékony antivírus programokat fejlesztett, egyesítette erőfeszítéseit és egy közös antivírus rendszer fejlesztésébe kezdett. 1995 augusztusában következett be az eddigi legnagyobb fordulópont a vírusok és az antivírus szoftverek történetében. Megjelent a Microsoft Word dokumentumaiban szaporodó első "élő" vírus (a WM/Concept). Pár hónap alatt körbeutazta a világot, beszennyezve a Microsoft Word felhasználók számítógépeit és szilárd elsőséget szerzett hosszú hónapokra a különböző számítógépes magazinok vírusfertőzési statisztikáiban.
3.1.4.17. 1996 eseményei
1996 januárjában jelentős eseménynek lehettünk tanúi: Megjelent az első Windows 95 vírus (a Win95/Boza). 1996 márciusában tanúi lehettünk az első Windows 3.x vírus okozta járványának. A vírus neve Win/Tentacle volt. Ez a vírus Franciaországban egy kórházi számítógép-hálózaton okozott fertőzéseket és néhány további intézményben. Azért érdekes ez az eset, mert ez volt a legelső szabadon terjedő Windows vírus. Ezelőtt, amennyire tudjuk, az összes Windows vírus csak zárt gyűjteményekben és a vírusírók magazinjaiban létezett, s
73 amennyire tudjuk, csak bootvírusok, DOS vírusok és makróvírusok fordultak elő szabadon ("in the wild"). 1996 júniusában bukkant fel az OS2/AEP, az első OS/2-re írt vírus, amely korrektül fertőzi meg ennek az operációs rendszernek az EXE fájljait. Korábban az OS/2 alatt csak olyan vírusok léteztek (felülíró vírusok), amelyek a megtámadott program helyébe írták be magukat, tönkretéve azt, vagy companion vírusként mellé telepedtek. 1996 júliusában a Word után az Excel következett. Elcsípték az XM/Laroux, az első Excel fertőző makróvírus első példányait, egyidejűleg egy alaszkai olajtársaságnál és a Dél-Afrikai Köztársaságban. A Laroux alapötlete, hasonlóan a Microsoft Word vírusaihoz, azon alapult, hogy a dokumentumokban el lehet helyezni úgynevezett makrókat (vagy Basic programokat). Ilyen programokat mind az Excel elektronikus számolótábláiban, mind a Word dokumentumaiban el lehet helyezni. Mint kiderült, a Microsoft Excelbe épített VisualBasic programnyelv is alkalmas volt vírusok létrehozására és futtatására. 1996 decemberében a Win95/Punch volt a legelső Windows 95-re írt memóriarezidens vírus. Ez VxD meghajtóként maradt a Windows memóriában, rátelepedett a fájl-hozzáférésekre és megnyitáskor fertőzte meg a Windows EXE fájlokat. Általánosságban véve 1996 volt az az év, amikor széles körben elkezdődött a vírustámadás a 32 bites Windows operációs rendszerek (Windows 95 és Windows NT) és a Microsoft Office alkalmazások ellen. Ebben és a következő évben néhány tucat Windows vírus és néhány száz makróvírus jelent meg. Közülük jó néhány új technológiákat és új fertőzési módszereket alkalmazott, beleértve a lopakodó és polimorfikus képességeket. Ez volt a vírus evolúció következő köre. Két év alatt ezek a vírusok követték a DOS vírusoknál is megfigyelt fejlődési utakat. Lépésről lépésre ugyanazokat a dolgokat kezdték csinálni, amit a DOS vírusok is tettek jó 10 évvel korábban, de egy magasabb technológiai szinten.
3.1.4.18. 1997 eseményei
1997 februárjában jelent meg az első Linuxra kifejlesztett vírus, a Linux.Bliss. A vírusok egyre inkább hasonlítani kezdtek biológiai megfelelőikhez. 1997 februárja és áprilisa között a makróvírusok meghódították a Microsoft Office 97-et. Az első ilyenek a Word 6/7/95 makróvírusainak automatikus lefordításával keletkeztek, de szinte azonnal feltűntek a kifejezetten Office 97 dokumentumokra írt makróvírusok. 1997 márciusában a WM.ShareFun nevű Word 6/7 dokumentumokat fertőző makróvírus jelentkezett. Ez amellett, hogy a Word szokásos eszközeinek felhasználásával szaporodott, az MS-Mail segítségével is szétküldte a fertőzött dokumentumok másolatait.
74 1997 áprilisában észlelték először a első olyan hálózati programférget, amely saját kódjának szaporítására az FTP (File Transfer Protocol) protokollt alkalmazta. 1997 júniusában jelent meg az első önkódoló Windows 95 vírus. Az orosz fejlesztésű vírust több BBS-re is felküldték, ami aztán kiterjedt járványokat okozott. 1997 őszén a CHIP magazin CD mellékletére vírus került (HDD-Cleaner). A szerkesztőség dicséretes módon minden lehetséges csatornán értesítette olvasóit és ingyen CD cserét kínált fel. A sajnálatos baleset Magyarországon is rávilágított a CD lemezek veszélyeire és a szerkesztőségek felelősségére. Az esetnek szerencsére nem lettek (talán a megfelelő intenzitású figyelmeztető kampánynak is köszönhetően) komolyabb következményei. 1997 novemberében adták közre az Esperanto vírust. Ez volt az első vírus, amelyet eleve arra terveztek, hogy ne csak DOS és Windows32 végrehajtható fájlokat fertőzzön meg, hanem terjedjen Mac OS (Macintosh) alatt is. Szerencsénkre a vírus a benne maradt programozási hibák miatt nem volt képes a keresztplatformos szaporodásra. 1997 decemberében egy új vírustípus jelent meg, az úgynevezett mIRC wormok. Az egyik legnépszerűbb Internetes csevegő (Internet Relay Chat, IRC) eszköz, a mIRC mint bebizonyosodott, rést nyitott a rendszerek védelmén, lehetővé téve azt, hogy vírus scriptek továbbítsák kódjukat az IRC csatornák között. A következő IRC kiadás már blokkolta ezt a rést és a mIRC wormok lassan kihalásnak indultak. 1997 októberében az AVP fejlesztői és a finn DataFellows aláírtak egy egyezményt, aminek értelmében a DataFellows licencelte az AVP technológiákat az új fejlesztésű F-Secure Antivirus (FSAV) csomagjában. A DataFellows korábban az F-PROT néven forgalmazott antivírus program fejlesztője és forgalmazója volt. Ez év eseményei közé tartozik még az is, hogy a McAfee márkanév megmaradt ugyan, de a McAfee Associates és a Network General egy új cégben, Network Associates (NAI) néven egyesítette erőit és szolgáltatásait kiterjesztette az antivírus szoftvereken túl az általános számítógép-biztonsági rendszerekre, titkosításra és hálózat-menedzselésére. Ettől kezdve a McAfee-re való hivatkozások a NAI-hoz vezetnek.
3.1.4.19. 1998 eseményei
Továbbra sem gyengültek a Windows, a Microsoft Office és a hálózati alkalmazások elleni támadások. Új vírusokat fedeztek fel, amelyek még sokkal összetettebb csapásokat mértek a számítógépek megfertőzésekor és fejlett eszközöket alkalmaztak a hálózatokról a számítógépekre való behatolásoknál. A számos trójai típusú Internet hozzáférést biztosító jelszavakat lopó programok mellett többféle lappangó rendszeradminisztrációs program is
75 létrejött a számítógépes világban. Előfordultak vírusfertőzött CD lemezek a magazinok mellékletei között (főleg CIH és Marburg vírusok). Az év a W32/HLLP.DeTroie víruscsalád fertőzéseivel kezdődött, amely nem csupán a végrehajtott Windows32 programokat fertőzi, de emellett képes továbbítani "tulajdonosának", vagyis a vírus készítőjének a megfertőzött számítógép információit. Ez a felfedezés valósággal sokkolta a számítógépes világot. Mivel a vírus speciális könyvtárakat alkalmaz, amelyeket csak a Windows francia kiadásában találni meg, a fertőzés csak a francia nyelvű országokat érintette. 1998 februárjában az Excel táblázatokat fertőző vírusok egy új típusára bukkantak. Ez az Excel4.Paix (más néven Formula.Paix, XF/Paix) volt. Ez a fajta makróvírus, miközben beleépül az Excel számolótáblákba, a víruskód tárolására nem a szokásos makróterületet használja, hanem a formulák területét, amelyek megfelelő tároló és szaporodási helynek bizonyultak. 1998 februárjában és márciusában detektálták a Win95.HPS és Win95.Marburg vírusokat, amelyek az első "szabadon tenyésző" (in the wild) polimorf Windows32 vírusok voltak. Az antivírus programok fejlesztőinek nem volt egyéb dolga, mint az eddig csak DOS vírusokhoz tervezett, polimorf vírusokat detektáló technikák hozzáigazítása az új feltételekhez. 1998 márciusában jelent meg az AM.AccessIV, az első Microsoft Access makróvírus. E vírusnál nem volt hasonló felfutás, mint a WM.Concept és XM.Laroux vírusoknál. Mivel azonban meglehetősen kevesen cserélnek Access adatbázisokat, ennél a víruscsaládnál valószínűtlen lenne kiterjedt járványok kialakulása. Ugyancsak 1998 márciusában jelent meg a OM97.Cross makróvírus, amely két különböző Office program, az Access és a Word dokumentumait is képes megfertőzni. Ezután még néhány további vírus is előkerült, amelyek kódjukat két vagy több Office program között is át tudták vinni (célpontjaik általában a Word és az Excel adatfájljai). 1998 májusában jelent meg a Windows EXE fájlokat fertőző és a fertőzött fájlokat az Eudora e-mail levelező program segítségével is terjesztő RedTeam vírus első, majd hamarosan a "javított" második kiadása is. Az év közepén, 1998 júniusában a Win95/CIH vírus okozott tömegméretű járványokat. A Tajvanról származó vírust eredetileg egy Internet konferencia site-ra küldték be, így hamar eljutott Amerikába, ahol népszerű webszervereket is megfertőzött és a róluk származó fertőzött játékprogramokkal rengeteg helyre jutott el világszerte. A fertőzési statisztikák szerint a Win95/CIH még a WM.CAP és XM.Laroux vírusokat is háttérbe szorította. A vírusra mégsem ezért hívjuk fel olvasóink figyelmét, hanem azért, mert adott időpontban (április 26-án, vagy a vírus egy másik változata minden hónap 26-án) megpróbálta – és sok
76 esetben sikerrel – a Pentium processzoros PC-k flash-EPROM alapú BIOS-át felülírni, törölni. Ez a tönkretett flash-EPROM cseréjéig vagy újraprogramozásáig használhatatlanná teszi a számítógép alaplapját, s ezáltal az egész rendszert. 1998 augusztusában egy szenzációs, BackOrifice nevű (BO vagy Backdoor.BO néven is emlegetik a víruskereső programok) számítógép és hálózat távmenedzselő (hacker) segédprogram jelent meg. A BackOrifice programot egy sor hasonló segédprogram – NetBus, Phase, Sub7, stb. – követte. Ugyancsak augusztusi esemény volt az első Java alapú végrehajtható programokat fertőző vírus, a Java/StrangeBrew megjelenése. E vírus egyelőre nem jelent semmiféle veszélyt az Internet felhasználóira, mivel nincs rá mód, hogy a vírus szaporodási funkciói bármely távoli számítógépen működjenek. Azonban a StrangeBrew megjelenése már magában is rávilágított arra, hogy a Webszervereket böngésző gépeket is érheti vírustámadás. Ugyancsak ez év augusztusának végére esett, hogy a magyar PC-GURU nevű magazin CD mellékletére vírus került. A CIH fertőzés igen nagy port vert fel, különösen a lap szerkesztőségének nemtörődöm magatartása miatt. 1998 novemberében jelent meg a VBS.Rabbit nevű víruscsalád, mely a Webes fejlesztésekben kiterjedten használt VisualBasic scripteket alkalmazta. E vírusok után logikus továbblépésként következett a VBS.HTML.1nternal, amely egy teljes értékű HTML vírus. A víruskészítők erőfeszítéseiket szemmel láthatóan a hálózati alkalmazások felé fordították és olyan új hálózati férgeket, vírusokat fejlesztenek, amelyek a Microsoft Windows és az Office programok eszközeit használják fel a távoli számítógépek és webszerverek megfertőzésére és/vagy agresszív módon terjesztik saját kódjukat az elektronikus levelező rendszereket felhasználva. Az antivírus szoftvereket fejlesztő cégek köre is átalakult. 1998 májusában a Symantec és az IBM bejelentették, hogy egyesítik erőiket az antivírus piacon. Az IBM Antivirus (IBMAV) ezennel befejezte pályafutását és a Norton Antivirusban él tovább. Ezután a Dr.Solomon és a NAI (korábban McAfee) programok összeolvadása következett.
3.1.4.20. 1999 eseményei
Tavaszig csak a szokásos események történtek, ám március végén, egészen pontosan március 26-án megjelent a WM97/Melissa néven törzskönyvezett levelező Word makróvírus, amely új irányba terelte a vírusfejlesztőket. A Melissa volt az első olyan makróvírus, amely hatékonyan oldotta meg a levelező rendszerek felhasználását a víruskód terjesztésére. Napok alatt az egész világon elterjedt és több milliónyi számítógépet fertőzött meg és levelező szerverek tucatjait terhelte túl a vírus által kiváltott levélözön.
77 A Melissa nyomán – mindössze pár hetes késéssel – és a Melissa tapasztalatait hasznosítva egy másik vírusszerző megalkotta, és szabadon eresztette a XM97/Papa nevű levelező Excel makróvírust. A Melissa első változata 50 címre küldte el magát, a már csak kizárólag a levelező rendszeren keresztül szaporodó Papa makróvírus 60 helyre postázza el a víruskódot hordozó fertőzött leveleket. A két nevezett makróvírus megjelenése mintha egy pszichológiai gátat szakított volna el, mivel százával jelentek meg a Melissa és Papa átiratok, majd újabb, már ezekkel nem rokonítható makróvírusok. A fejlődés sajnos a scriptvírusok terén sem állt meg. A VBScript és JavaScript vírusok hihetetlen bőséggel bukkantak fel. A script alapú kártevők közül egyedülálló tulajdonságot azonban csak kevés mutatott. Ezek egyike azonban, nevezetesen a VBS/BubbleBoy a maga nemében egyedülálló módszert használt a vezérlés megszerzésére: Az Outlook egyik biztonsági rését kihasználva (azóta a Microsoft már elkészítette és ingyenesen letölthető csomagként weboldalain elhelyezte a javítócsomagot) fertőz. A trükk a következő: nem csatolt fájlban, hanem magában a levéltörzsben van a víruskód, és az nemcsak a megnyitáskor hajtódik végre, hanem már akkor, ha a Preview (előzetes megtekintés) ablakba kerül a fertőzött levél néhány első sora. A HTML formátumú levelekben elhelyezett script kódot ugyanis már ilyenkor is végrehajtja az Outlook. A Microsoft hozzáállására jellemző, hogy először majd fél évig tagadta a veszélyt, majd megjelentette a javítócsomagot, de mind a mai napig a hibás program telepszik a gyári telepítő CD lemezekről. Sőt a 2001 végén megjelent Outlook 6.0, amely az Office XP része, és az Outlook Express 6, amely a Windows XP része, már nem csupán a HTML formátumú, de az ASCII text típusú e-mail-ekben elhelyezett script programokat (például vírusokat, programférgeket) is automatikusan végrehajtja, amint a dokumentum első sorai az Outlook Preview ablakában megjelennek. Ebből jól látható, hogy hangzatos nyilatkozatai ellenére mennyire ügyel a világ legnagyobb szoftvercége a felhasználók biztonságára. A Scriptvírusok családja 1999-től már nem csupán a VBScript vírusokat, de JavaScript programkártevőket, sőt CorelScript vírusokat is tartalmaz. A 32 bites programférgek közül a Happy99 érdemel említést.
3.1.4.21. 2000 eseményei
2000-ben folytatódott a scriptvírusok előretörése. A fertőzési statisztikák szerint a makróvírusok bizony visszaszorultak a második helyre. A harmadik helyet a 32 bites Windows vírusok és programférgek foglalták el, míg a hagyományos fájlfertőző és bootvírusok a statisztika végére kerültek.
78 Ebben az évben olyan kártevők bukkantak fel, mint a W32/ExploreZip, a W32/Hybris, a W32/Navidad és a W32/Sircam. E programkártevők szinte kizárólag az elektronikus levelezés útján kerülnek a megfertőzött számítógépekre és eltávolításuk, majd a rendszer újra működőképessé tétele rengeteg időt, energiát és költséget emészt fel. E kártevők igen komoly sajtóvisszhangot kaptak, s az emberek végre kezdték megérteni, hogy valóban mindenkinek szüksége van valamilyen komolyabb vírusvédelemre, de legalább néhány biztonsági alapszabály szigorú betartására. A script-kártevők közül a legnagyobb hírverést a VBS/LoveLetter kapta, melynek megalkotóját is sikerült kézre kerítenie a helyi hatóságokkal (Fülöp Szigetek) együttműködő FBI-nak. Továbbra is érkeznek új makróvírusok, de a fertőzési statisztikákat már a script- kártevők és a 32 bites levelező programférgek vezetik.
3.1.4.22. 2001 eseményei
A W32/CodeRedAlert két hullámban is körüljárta a világot 2001-ben. A Windows 2000 szervereken futó IIS biztonsági réseit kihasználó program számos Internet-szolgáltatónál és több ezer kisebb cégnél okozott gondokat. A Kínából származó programféreg meglepően sok kárt okozott, de mégis sokkal kevesebbet, mint amit a sajtójelentések alapján vártunk volna. A magyarázat egyszerű. A Windows rendszerek általános túlsúlya az Internetes szerverek között visszaszorulóban van, és a Unix, valamint Linux alapú szerverek, ahol nem fut IIS, védettek a CodeRedAlert néven elhíresült féreg támadásai ellen. A fent említett CodeRedAlert tanulságait "hasznosította" a W32/Nimda (Admin megfordítva!) készítője. A féreg egyike a legagresszívabb kártevőknek és hónapokig a fertőzési statisztikák élén állt. A közhiedelem szerint, amit a vírusszakértők többsége is támogat, a Linux sokkal biztonságosabb, mint a Windows, legalábbis vírusvédelmi szempontokból. Egy megfelelően beállított Linux rendszer valóban biztonságos, de mint tudjuk, az életben ritkán találkozni ideális rendszerekkel. Ennek egyik jele, hogy a már eddig ismert Linux programférgek száma inkább több mint kevesebb két tucatnál, s ráadásul a Linux/Winux, illetve Lindose néven ismert kártevő nem egyszerűen egy Linux programféreg, hanem az Esperanto után a második olyan programkártevő, amelyet mind a Windows, mind a Linux rendszerek megfertőzésére, megtámadására felkészítettek. A 2001. szeptember 11-i Amerika elleni terrortámadások (WTC és Pentagon) következményei már a vírusfronton is határozottan jelentkeztek. Bezártak, illetve felszámoltak vírusterjesztő weboldalakat, csoportokat, sőt a víruskészítők között is több olyan
79 akadt, aki a terrortámadáson felháborodva felkínálta szolgálatait a támadásokat elkövetők, tervezők, és támogatóik felkutatására, megbüntetésére. Az év elején számos DOS (Denial Of Service) támadást regisztráltak világszerte, természetesen elsősorban az USA-ban. Az Internetes szolgáltatók és Internetes vállalkozások elleni támadások lényege az, hogy a támadó mások gépeit felhasználva indít összehangolt támadásokat a célpontként kiszemelt szerverek (például az amazon.com) ellen.
3.1.4.23. 2002 eseményei
A 2002-es fertőzési statisztikákat a 32 bites Windows programférgek vezetik, de mögöttük szoros a verseny a makróvírusok és a script-kártevők között. A tendenciákat jelzi, hogy megugrott a Linux rendszereken (is) futó – elsősorban féreg típusú – script-kártevők száma. A fő célpont a Microsoft Outlook levelező ügyfélprogram és a Microsoft Internet Information Server (IIS). A számtalan biztonsági rés szinte ki- és elfogyhatatlan támadási felületet kínál a víruskészítők számára. Az év legagresszívebben terjedő kártevője a W32/Klez, amelynek átiratai különféle egyéb vírusokat, így például a CIH egy új, augusztus 2-án pusztító változatát ereszt rá a megfertőzött gépekre. Az első négy hónap fertőzési statisztikái szerint csak a W32/Sircam és a W32/BadTrans terjedt gyorsabban és nagyobb számban.
3.2. Programférgek (Wormok)
A programférgek a rosszindulatú programok második típusa. A vírusoktól annyiban különböznek, hogy kódjukat nem a lemezek bootszektorába és nem más programok belsejébe építik, hanem azt egyszerűen önálló fájlban tartalmazzák, és ezt másolva sokszorozzák. A szaporodás során természetesen módosítják azokat a fájlokat is, ahonnan programindítás lehetséges, így ismerünk programférgeket, amelyek a CONFIG.SYS-be építik be indító parancsukat, vagy az AUTOEXEC.BAT-ba, a SYSTEM.INI-be, illetve egyéb megfelelő fájlokba, illetve a Registry-be. Az elektronikus levelezéssel és a hálózatos alkalmazások elterjedésével a programférgeknek számtalan új típusa alakult ki. A programférgek észlelése, felderítése és működésének megakadályozása nem egyszerű feladat. A vírusok esetén a keresőprogramok a normális programok anomáliáit elemezve találnak rá a vírusokra. Mivel a programférgek nem módosítják más programfájlok kódját, a detektálás eszközkészlete is szűkebb. Nincs bennük olyan illegálisnak tekinthető programfunkció, mint amilyen az .EXE és .COM fájlok módosítása. Olyan programférget is
80 ismerünk (például a 2001. június végén felbukkant, de járványszerűen csak 2001. november végétől terjedő W32/Aliz), amely nem ír bele a Registry-be, nem menti el merevlemezre az alig 4 KB-os WHATEWER.EXE nevű csatolt fájlban érkező víruskódot, csak egyszerűen szaporodik, azaz elküldi magát az Outlook Inbox-ában várakozó még olvasatlan levelek feladóinak. Nem csoda hát, ha a lemezre írást ellenőrző vírusvédelmeken könnyűszerrel áthatol.
3.3. Trójai programok
A vírusokkal sok rokon vonást mutat fel a rosszindulatú programok következő csoportja, a trójai programok. Ezek közös jellemzője, hogy valamely más program programkódjába rejtve tartalmaznak oda nem illő, rendszerint kártékony hatású programrutinokat. A trójai program – amíg el nem indítják, és kártékony munkáját el nem végzi – hasznosnak látszik. Igen gyakran más hasznos, ismert program preparált változata. Sokkal könnyebb trójai típusú programot készíteni, mint vírust vagy férget. Bár terjesztése nehézkesebb, hisz nem tartalmaz szaporító rutint, így e malware programtípus tagjainak álcázása sokkal egyszerűbb. Néha igen nehéz a fertőzés nyomára jutni, mivel olyan programokat érinthet, melyeket gépeinken naponta rendszeresen rutinszerűen használunk, s melyek eredetiségében és tisztaságában megbízunk. A trójai programok célpontjai azok a számítógép-felhasználók, akik ellenőrzés nélkül indítanak el az Internetről letöltött, elektronikus levélben kapott, vagy más, rendszerint ismeretlen és ellenőrizetlen (sokszor teljesen ellenőrizhetetlen) forrásból származó programokat. Megfelelő – automatikus vagy kézi – ellenőrzéssel ugyanis e kártékony programok javarészt kiszűrhetők lennének. A trójai programok büntetőrutinjai bármit tartalmazhatnak. Ismerünk olyan példányokat (mint például a WM/FormatC), amelyek azonnali és végleges adatvesztést okoznak, mások bizonyos könyvtárakat és/vagy fájlokat tesznek tönkre, semmisítenek meg. Vannak olyan trójai programok is, amelyek kémprogramokat, jelszólopókat, backdoor programokat tartalmaznak, de ezeken kívül is sok más változatot különböztethetünk meg. A trójai típusú kártevőknek létrejöttüket tekintve két alapvető típusa van. Az első típusba az utólag trojanizált programokat soroljuk, amikor egy már korábban is meglévő – és rendszerint széles körben elterjedt, közkedvelt – program kódját módosítják utólagosan, és helyeznek el benne olyan rutinokat, amelyek nem a program eredeti funkcióinak ellátását szolgálják. Ismerünk olyan változatokat, amelyek teljesen vagy részben meghagyják a trojanizált program eredeti funkcióit, de olyanokkal is találkozhatunk, amelyek már a programindításkor teljesen átveszik a gazdaprogramtól a vezérlést, és nem is adják vissza. Ez utóbbi esetben a trójai rutinokat hordozó gazdaprogram akár teljesen el is veszítheti eredeti funkcióit. A másik
81 típusba azon trójai programok sorolhatók, amelyek eleve trójai programként készülnek, és csak a velük adott kísérő dokumentáció állítja, a megcélzott felhasználói kör megtévesztése céljából, hogy az adott program hasznos szolgáltatásokat nyújt. A trójai programok azonosítása sok esetben azért nehéz, mivel a hordozó gazdaprogram eredeti funkciójával semmi kapcsolata nincs az utólagosan beépített trójai rutinoknak, illetve egyes esetekben ezzel pontosan ellenkező a helyzet, vagyis lemezkezelő, fájlkezelő, illetve levelező, Internetböngésző segédprogramokra ültetnek rá rosszindulatú rutinokat, amelyek minden jelzés és engedélykérés nélkül futnak le a gazdaprogram indítását követően.
3.4. Backdoor programok, root-kitek
Backdoor programoknak azokat az általában legalább kétkomponensű szoftvereket nevezzük, amelyek alkalmasak arra, hogy a helyi hálózaton, soros vagy párhuzamos porton vagy modemen keresztül nem csupán összeköttetést teremtsenek és adatcserét biztosítsanak a megtámadott gépre felkerült szerver-komponens és a támadónál üzemelő kliens-komponens között, hanem – a megtámadott gép felhasználójának tudomása és engedélye nélkül – a támadó adatokat tölthet le a megtámadott gépről, illetve azon keresztül a megtámadott hálózatról (ez fordítva is megy, azaz feltöltést is biztosít a backdoor), sőt az adott program, megoldásaitól függően, átveheti a vezérlést a rendszer felett. Magában ez a funkció még nem tenne egy programot backdoor-rá, illetve hacker eszközzé, hiszen a távmenedzselés (Remote Management) szoftverei mindennaposak a mai hálózatoknál. A hangsúly azon van, hogy "a megtámadott gép felhasználójának tudomása és engedélye nélkül!"
3.4.1. Ismert (nevesebb) backdoor programok:
Tágabb értelemben backdoornak minősül minden olyan alkalmazás, amelynek legális funkciói között ugyan nem szerepel a fent említett kapunyitás, ám mégis nyújtja ezt a "szolgáltatást" is. Ilyen kiskapukat számtalan programba építettek be a fejlesztők, köztük a Windows nem egy rendszerprogramjába. A fejlettebb backdoor, illetve távmenedzselő szoftverek lehetőséget adnak a távirányítást végző személy számára a kapcsolatépítés felhasználónévhez és/vagy jelszóhoz kötésére. A távoli menedzselés a következőket foglal(hat)ja magában: – A képernyőkimenet átvétele. – A billentyűzet és az egér átvétele. – A helyi billentyűzeten végzett billentyűlenyomások naplózása.
82 – Fájlok le- és feltöltése, átnevezése, áthelyezése, törlése, módosítása, indítása. – Programok, szolgáltatások indítása, leállítása. – Registry módosítása. – Hang- és zenefájlok lejátszása. – Beállítások (hálózati, hangerő, videó, stb.) megváltoztatása. – Gép leállítása vagy újraindítása. – A CD tálca kiadása. Stb.
3.4.2. Root-kitek
Azt a funkciót, amit a Windows rendszereken a backdoor programok és a távadminisztrációs programok töltenek be, azt a Linux alatt futó számítógép-rendszereken a root-kiteknek nevezzük. E programokat azzal a céllal készítik, hogy a nem kellő védettségű gépekre bejuttatva megszerezzék a root jelszót és a gépen használt azonosító neveket és jelszavakat. Ezek birtokában a Linux alatt működő számítógép feletti ellenőrzés egyszerűen átvehető, hisz a Linuxba távolról is be lehet jelentkezni a már ismertté vált jelszavakkal.
A legismertebb root-kitek
lrk3, lrk4, lrk5, lrk6 (és néhány további variáns) Solaris root-kit FreeBSD root-kit t0rn (beleértve a legújabb variánsokat is) Ambient's Root-kit for Linux (ARK) Ramen Worm rh[67]-shaper RSHA Romanian root-kit RK17 Lion Worm Adore Worm.Adore Worm Linux/Root-kit
3.5. Hoaxok, rémhírek, lánclevelek
83 Az elektronikus levelezés célja az emberek közötti (értelmes) írásbeli kommunikáció. A világ azonban tele van mindenféle rosszindulatú és néha korlátozott felfogóképességű emberekkel, akik úgy gondolják, hogy jó szórakozás értéktelen, idegesítő, zavaró üzenetekkel terhelni a nyilvános levelezést, és akik úgy gondolják jó vicc, ha hatalmas fölösleges forgalmat generálnak a hálózaton. Olyan forgalmat, amelynek semmi egyéb célja nincs, csak hogy másokat zavarjon. Nem kevés azoknak a száma sem – és ez ugrásszerűen növekszik –, akik bár tudásuk bizonyos területeken igencsak korlátozott, vagyonuk, társadalmi, politikai helyzetük vagy születésük jogán mindenkinél okosabbnak hiszik magukat, de az is lehet, hogy csak egyszerűen felelőtlenek, s nem csupán bedőlnek a levélben érkező hamis híreknek, üzeneteknek, de bármiféle ellenőrzés nélkül gátlástalanul tovább is terjesztik azokat. Az e-mail – akár értelmes, akár egy átverés, azaz Hoax – önmagában nem program, magától nem terjed. Ehhez találnia kell valamit vagy valakit, ami, vagy aki (az ilyen szemetet) sokszorosítja. Az egyetlen lehetőség levélszemét sokszorosítására az emberek felhasználása. Ennek illusztrációjára kiváló példa egy tréfás szöveg, amely több helyen, több változatban is megtalálható. Itt egy példa, mely igazán tanulságos. Ugyanez palesztin és afgán változatban is létezik már.
"Ez egy alban virus. Mivel igen mostohan vagyunk ellatva fejleszto eszkozokkel, kerjuk, kuldje tovabb ezt a levelet minden ismerosenek, majd lepjen be a Windows konyvtaraba es adja ki a "del *.*" parancsot. Segitseget elore is koszonjuk. - Az alban crackerek."
Térjünk azonban vissza a komoly dolgokhoz. Az ilyen levelek igazi címzettjei azok, akik nem gondolkodás nélkül képesek az adott levelet akár több száz példányban is továbbküldeni. Ha egy ilyen egyén kap egy levelet, amelyben olyan szöveg szerepel, hogy "ha továbbküldöd 20 ismerősödnek 5 napon belül, akkor nagy szerencse ér", akkor a megadott számban fűnek- fának továbbküldi és várja a beígért örömet. Nagyon hatásos az érzelmi húrok megpendítése például hasonló szöveggel: "szegény szerencsétlen rákos gyermekek, akik 1 dollárt kapnak minden elküldött levélért", vagy az "ummabumma törzs éhező tányértáncoltatói, akik egy szem rizst kapnak minden XY helyre küldött levélért". Nagyon népszerű – ezt a 2001 novemberében 48 hours vagy Help néven terjedő hoax is igazolja – az e-mail vírusokra való figyelmeztetés. "Ha elolvasod a ``REKETTYEBOKOR'' fejlécű leveledet, akkor a géped felrobban, és a kishúgod elveszíti szüzességét!!!" olvashatjuk
84 a jószándékú figyelmeztetést, és persze az elmaradhatatlan "ezt a jószándékú figyelmeztetést küldd el minden ismerősödnek, de legalább 50 embernek!!" kérést, mely oly bagatellnek tűnik e fontos figyelmeztetés súlyához képest. Népszerű módszer a számítástechnikai témák megemlítése, mellyel a kevésbé hiszékeny embereket is meg lehet téveszteni. Különösen hatásosak a hamis vírusriasztások, mint a "Budweiser frog" nevű, évek óta rendszeresen vissza-visszatérő vakriasztás.
3.5.1. Hoax kategóriák
Az alábbi kategóriákba csoportosíthatjuk a hamis (hír)leveleket:
Vakriasztások Figyelmeztetések rosszindulatú programokra (vírusokra és trójai programokra). Az ilyen levelek olyan trójai programokra, vírusokra és egyéb rosszindulatú programokra figyelmeztetnek, amelyek a valóságban nem léteznek. Erre jó példa az egyik legrégebbi (már 1994-ben is ismert) "The Good Times" hoax és hasonszőrű társai. A maiak közül a korábban már említett "48 hours" vagy "Help" néven katalogizált hoaxot kell megemlítenünk.
Városi legendák (Urban Myths, Urban Legends) A hoaxok egyik népes alfaja a városi legenda, városi mítosz (Urban Legend, Urban Myths) típusú leveleké. E modern legendák nem csak hitelesnek látszó beugratások, de mint ilyenek, hosszú éveken keresztül aktívan tartják a gyanútlan és felkészületlen levelezők tömkelegeit, akik szorgosan és fáradhatatlanul sokszorosítják őket. Ennek egy másik fajtája a jóindulatú legenda, mely nem kapcsolódik szorosan a témánkhoz, de érdemes megemlíteni: ezek azok a modern korban játszódó, hiteles vagy hihető mesék, történetek, melyek – mint a legendák általában – szájról-szájra terjedve nyerik el végső formájukat, folyamatosan alakulva, fejlődve. Figyelmeztetések és soha meg nem történt eseményekről szóló történetek tartoznak ide. Ilyenek például a Forró víz a mikrosütőben, Tűk a színházi ülésekben, stb. hamis üzenetek.
Ingyen Ajándékok (Give Aways) Sok álhír szól olyan ajándékokról, amelyeket nagy cégek osztogatnak fűnek-fának. Hogy ha a levelet továbbküldjük, akkor a nevezett cég pénzt, ruhát, ingyenes nyaralást, ingyen telefont, stb. fog ajándékozni. 2000-ben egy mobiltelefon-társasággal kapcsolatos álhír-levelet fordítottak le magyar nyelvre is - Ajándékok (Give Aways) - és küldtek szét lánclevélként a
85 gyanútlan olvasóknak. Aki bedől az ilyen leveleknek, az bizony igen hosszú ideig várhat, mire bármit is kap, beleértve a levélben megnevezett cég válaszát is.
Zagyva és/vagy elévült, elavult figyelmeztetések (Inconsequential Warnings) Elavult, időszerűtlen figyelmeztetések olyan valóságos problémákról, dolgokról, amelyeket valójában már megoldottak és nem jelentenek, nem jelenthetnek problémát.
Szimpátia-felkeltő levelek, segítségkérések másoknak Ide azok a levelek sorolhatók, amelyek szimpátiánkat igyekeznek felkelteni, és segítséget kérnek bajba jutott, balesetet szenvedett vagy beteg embereknek.
Hagyományos lánclevelek (Traditional Chain Letters) Hagyományos, korábban "csigapostával" terjedő lánclevelek, amelyek rossz szerencsével fenyegetnek, amennyiben a levelet nem küldjük tovább X példányban ismerőseinknek, barátainknak. Sok esetben arra is felkérnek az ilyen levelek, hogy a lista elején szereplő néhány embernek pénzt is küldjünk.
Fenyegető lánclevelek. (Threat Chains) Azokat a leveleket soroljuk ide, amelyek azzal fenyegetnek, hogy amennyiben nem küldjük tovább az üzenetet, akkor valami baleset fog történni velünk vagy szeretteinkkel, elromlik a számítógépünk vagy egyéb kárt szenvedünk.
Hamis céges levelek (Scam Chains) Olyan levelek, amelyek látszólag egy létező cégtől érkeznek (például a Microsofttól, IBM-től vagy a Symantec-től, stb.), de valójában hamisítványok.
Rémhírek (Scare Chains) Olyan üzenetek, amelyek szörnyű eseményekről szólnak.
Tréfák (Jokes) Olyan figyelmeztető üzenetek, amelyeket aligha képzelhető, hogy bárki is elhisz.
Igazi legendák (True Legends) Valódi történetek, amelyek nem rémhírek, de vissza-visszatérve keringenek az Interneten. E csoport jeligéje ez is lehetne: "Egy újszülöttnek minden vicc új!"
86 3.5.1.1. Vakriasztások, rémhírek
Ide azokat a rémhíreket soroljuk be, amelyek olyan eseményeket, fenyegetéseket írnak le, amelyeknek az égvilágon semmi alapja nincs vagy már nincs. Pusztán valamilyen eseményre, hírre hivatkozva állítanak valótlan dolgokat, melyeket az emberek többsége sajnos azonnal hitelesnek fogad el.
Néhány ismertebb vakriasztás 2400 Baud Modem Virus 2400 Baud Modem Virus spoof AIDS Hoax America Online Upgrade AOL4Free Hoax AOL V4.0 Cookie - Blue Mountain Cards BUDDYLST.SIP Virus Hoax Budweiser Frog (Budsaver) Hoax Bug's Life Screen Saver Cat Colonic Hoax Death Ray Deeyenda Elf Bowling and Frogapult Hoax Chain Letter Family Pictures Hoax intifadah.cjb.net Hoax Irina Ghost Good Times Good Times Spoof Join the Crew Lump of Coal Virus Hoax Make Money Fast vírus Hoax Mobile Phone Virus Hoax Naughty Robot PENPAL GREETINGS! PKZ300 SULFNBK.EXE Hoax
87 Takes Guts to Say Jesus Hoax Time Bomb (AKA: Win95, October 1) Virtual Card Hoax Win a Holiday Hoax Wobbler and California Virus Hoax
3.5.1.2. Városi mítoszok és legendák
A városi mítoszok és legendák (Urban myths and legends) már emberemlékezet óta léteznek és valószínűleg a jövőben sem tűnnek el véglegesen. Ezek általában olyan, az író szerint igaz történetek, amelyek arról szólnak, hogy valakivel vagy valamilyen állattal valami rossz történt. Ezek valószínűleg sok olyan elemet tartalmaznak, amelyek elhitetik az olvasóval, hogy a történet megírója egy valóságos személy és hogy pontosan tudja, miről is beszél. Minden esetben azonban, ha vesszük a fáradságot és megpróbáljuk ellenőrizni a levél írójának személyét, azt fogjuk találni, hogy nem létezik, vagy ha mégis, akkor semmi köze a nevezett levélhez (és szeretné végre elérni, hogy az emberek végre ne kérdezősködjenek tőle a levélről). Beérkezett leveleinket olvasgatva az alábbi nevezetesebb vakriasztásokkal találkozhatunk, melyeket a városi mítoszok és legendák (Urban myths and legends) címszó alá sorolhatunk be:
Városi mítoszok és legendák A napfény vakságot okoz A parfümárus rosszfiú Aspartame Hoax Az FCC megbünteti a vallásos adásokat Credit Info Opt Out Hoax E-mail Tax Geeks Bearing Gifts Halálos patkányvizelet Hamis Nostradamus próféciák Húsevő Banán Instant Messanger Hoax Internet Access Charge Internet Cleanup Day
88 Izzadásgátló és a mellrák Kentucky Fried Hoax Kidney Harvest Klingerman Virus LSD a telefonon Mérgezett borítékok a bankautomatákban Needles Needles in the ball pit OutBack Steakhouse Hoax 2 Paget's Disease PBS and NPR - Petition Pókok a vécében Hoax Procter & Gamble Hoax Rákkeltő shampon Rosszfiú a hátsóülésen Sad Story, Cocane Baby Svábbogár a Taco Bellnél Hoax Svábbogár az enyvben Hoax Tamponok, azbeszt és dioxin Tűk az üzemanyagtöltőben Tűk a színházi ülésekben
3.5.1.3. Ingyen Ajándékok (Give Aways)
Az itt felsorolt levelek részletesen leírják, milyen jutalmat vagy ajándékot fogunk kapni valamilyen nagyvállalattól, ha a levelet minden ismerősünknek továbbítjuk. Csupán azt felejtik leírni, hogy az adott cég honnan a csudából értesülhet arról, hogy egyáltalán továbbküldtük-e a levelet, s ha igen, hány helyre.
Ingyen ajándékok Bank ajándékok Hoax Bath & Bodyworks ajándékok Hoax Bill Gates Hoax Coca-Cola ajándékok Columbia House ajándékok Hoax Cracker Barrel ajándékok Hoax
89 Disney ajándékok Hoax Ericsson és Nokia telefon ajándékok Hoax GAP ajándékok Hoax GAP ajándékok #2 Hoax Honda ajándékok Hoax IBM ajándékok Hoax Intel és AOL egyesülése Hoax J. Crew ajándékok Hoax M & M ajándékok Hoax Microsoft és AOL egyesülése Hoax Miller ingyen söre Netscape-AOL ajándékok Hoax Newell ajándékok Hoax Old Navy ajándékok Hoax RH Power/Outback Steakhouse ajándékok Hoax Tickle Me Elmo Hoax Victoria's Secret ajándékok Hoax
3.5.1.4. Zagyva, elévült, elavult figyelmeztetések (Inconsequential Warnings)
E csoportba azokat a hamis leveleket soroljuk, melyek ugyan egy valós problémát írnak le, de a levélben szereplő problémát már évekkel korábban megoldották, a problémával együtt járó kockázat triviális, nem igényel semmiféle magyarázatot, vagy a javasolt megoldás még veszélyesebb lenne, mint a probléma, amelynek megszüntetésére javasolták. Azaz, miközben ezek a levelek nem igazi hoaxok, nem érdemes mindenkinek továbbküldeni az Interneten. A levelek okozta félelem több kárt okoz, mint azok az "események", amelyekre figyelmeztetni kíván.
Elévült figyelmeztetések 90# Warning Exploding Gel Candles Warning Heart Attack Warning Forróvíz a Mikrosütőben Phenylpropanolamine Drug Warning
90 3.5.1.5. Szimpátia-felkeltő levelek, segítségkérések másoknak
A szimpátia-felkeltő levelek általában olyan embereket vagy cégeket írnak le, akikkel valami szörnyű dolog történt. Egy baleset, vagy egy betegség, stb. Egyes esetekben azonban bár ezek a hoax levelek valóságos személyeket írnak le, az illető már azóta felnőtt, meggyógyult, kikezelték, és már nagyon szeretné, ha nem küldözgetnének neki ezerszámra e-mail-eket. Az igazi probléma az ilyen levelek továbbküldésében abban áll, hogy nincs mód a lánc megállítására, miután a probléma így vagy úgy, de megoldódott. Bár jó módszernek látszik segíteni a világ emberein azzal, hogy továbbküldjük az elveszett gyerekeket kereső leveleket, érdemes meggyőződni, hogy a levélben említett probléma megoldódott-e már, mielőtt a levélmásolatokat barátaink postaládáiba zúdítanánk. Amennyiben mi kerülnénk olyan helyzetbe, hogy körlevélben kelljen segítséget kérni, érdemes valamiféle lejárati határidőt is belevenni levelünkbe, mielőtt az is hoax-szá válna.
Szimpátia-felkeltő levelek, segítségkérések
A Little Girl Dying A Little Girl Dying Again??? Aaron Russell Steinmetz Amy Bruce Hoax Anthony Parkin Boy With Just A Head Spoof Craig Shelford Make-A-Wish Request Dave Matthews García Márquez búcsúlevél Jada Cohen Hoax Jessica Mydek Kalin Relek Hoax Kelsey Brooke Jones figyelmeztetés Krystava Schmidt figyelmeztetés Tamara Martin Timothy Flyte Hoax
3.5.1.6. Hagyományos lánclevelek (Traditional Chain Letters)
A lánclevelek közé soroljuk általában azokat a leveleket, amelyek "szerencsét" vagy pénzt ígérnek abban az esetben, ha továbbítjuk, és rossz szerencsét (bad luck), azaz balsorsot abban
91 az esetben, ha megszakítjuk a láncot azzal, hogy a levelet nem postázzuk ki további címekre, általában ismerőseinknek, barátainknak. A lánclevelek könnyen felismerhetők "hagyományos szerkezetükről, mely az ötven évvel ezelőtt divatban volt hagyományos, azaz levélpapíron terjesztett lánclevelektől származik. A különbség csupán annyi, hogy itt nem kell postai bélyeget fizetni és nem papíron körmüljük újra leveleinket, hanem levelező programunk Forward vagy Továbbküldés gombjával/menüjével kezdünk neki a szétpostázásnak. Egyszóval a régi trükkök modern környezetben élednek újjá a mai lánclevelekben. A lánclevelek tartalmazhatnak "figyelmeztetéseket" a végzet előre kiszámítható eseményeiről, szólhatnak valamilyen nyomorúságos körülmények között tengődő lélekről, számítógépes rendszereink végzetéről, stb. Csupa olyan baljós dologról, amelyet elkerülhetünk, amennyiben ezekről az üzenet továbbításával értesítjük összes barátunkat. Lépjünk be hát az Internet láncleveleinek világába. A számítógépek megjelenése és elterjedése előtti években a lánclevelek mindennaposak voltak és a postán való továbbküldéshez bélyeget kellett venni. Erre a látszólag jelentéktelen apróságra vezethető vissza, hogy a lánclevelek csak bizonyos korlátokon belül terjedtek. A korlátot a bélyeg és papírköltségek jelentették, bármely csekély is volt az, valamint az a nem elhanyagolható tény, hogy az ilyen levelek kézi másolása, sokszorosítása szerencsére sokakat elrettentett az amúgy is teljesen felesleges erőfeszítésektől és kiadásoktól. Azokat a leveleket pedig, amelyben a levél küldője valami kisebb összeg, például egy dollár elküldésére buzdított, minden épeszű ember amúgy is rendszerint azonnal a szemétbe dobta. A fentiekkel ellentétben ma, az elektronikus levelek korában már sokkal könnyebb az embereket a levelek továbbküldésére rávenni. Nem kell x példányban újra körmölni a levél szövegét, hisz pár egérkattintással elküldhetjük akár sok ezer, a címlistánkban szereplő címre is, ráadásul postaköltség sem terhel és a postahivatalba vagy a postaládához sem kell elzarándokolni, legfeljebb virtuálisan. Ennyi "sétát" pedig bárki meg szokott engedni magának. És ismételten ki kell hangsúlyoznom, extra költségek nélkül. Ilyen körülmények között, ha az úgynevezett irgalmas szamaritánusok mindegyike csak tíz címre küldi tovább a levelet (miközben tudjuk, hogy sokunk címlistája több száz, sőt több ezer élő e-mail címet is tartalmaz!), akkor a kilencedik levélküldési hullámban a levelek már egymilliárdnyi címre is eljuthatnak, legalábbis elméletben. Ekkora mennyiségű levéláradat pedig a világ legrobosztusabb levelező rendszerén is komoly terhelést, torlódásokat okozna, megzavarva, meggátolva a legitim email-ek továbbítását. Időveszteséget, s így költségeket okoz e levelek elolvasása és törlése is, amely számszerűsített formában is megjelenik néha a vállalatok, szervezetek költségvetéseiben, beszámolóiban.
92 Az olyan levelek, amelyek pénz küldésére szólítanak fel, az amerikai törvények értelmében törvénysértőnek számítanak, csakúgy, mint a Piramisjáték alapú "pénzkeresési" rendszerek. Akit a dolog jogi része is érdekel, az a következő keresősztring alapján számíthat találatokra: "PYRAMID SCHEMES"
Néhány hagyományos lánclevél
Everything You Never Wanted Cool Video Hoax Csőrike (Tweety Bird Wish) Hoax Hawaiian jószerencse totem Little Girl Song Hoax Make a Loan Pyramid Hoax McDonalds vs. Taco Bell Mrs. Ary's 2nd Grade Class Hoax Old Lady With A Box Hoax Send a Report Pyramid Hoax World Record Hoax
3.5.1.7. Fenyegető lánclevelek (Threat Chains)
A fenyegető lánclevelek olyan lánclevelek, amelyek azzal fenyegetik az olvasóikat, hogy valami kellemetlen, rossz esemény fog történni azzal, aki nem küldi tovább a levelet, s így mintegy megszakítja a láncot. A kellemetlenség érintheti a számítógépet, magát a személyt vagy bárki, bármi mást a környezetéből. Az e csoportba sorolt levelek általában azt állítják, hogy képesek nyomon követni, kinek küldtük tovább a levelet, illetve továbbküldtük-e egyáltalán, miközben erre semmilyen lehetőség nincs! Ugyanilyen valótlan állítások szerepelnek az Ingyen Ajándékokról szóló hamis levelekben.
Fenyegető lánclevelek
Not a Joke Virus fenyegetés AOL pánik, 1998. június 1.
93
3.5.1.8. Hamis céges levelek (Scam Chains)
A hamis céges levelek (Scam Chains) azt a látszatot keltik, mintha egy létező vállalattól érkeztek volna, de ez csak egy trükk a levél készítője részéről. Rendszerint arra hivatkoznak, hogy valami gond merült fel felhasználói azonosítónkkal, hitelkártyánkkal stb. és arra kérnek, hogy adjunk meg válaszlevelünkben egy sor személyes jellegű és bizalmas információt, mint például felhasználói nevünket és a hozzá tartozó jelszót. Gyakran egy előkészített weboldalra való hivatkozást is tartalmaznak, amely látszólag egy kitöltendő űrlapot tartalmaz, vagy egy bejelentkező (Login) képernyőnek látszik egy olyan szervezetnél, amellyel kapcsolatban állunk. Azonban, ha egy ilyen oldalon megadjuk a kért adatokat, azzal csak a hamis céges levelet beküldő személy számára szolgáltatjuk ki bizalmas adatainkat.
Hamis céges levelek
AOL Database Corruption Scam AOL Giveaways Scam Area Code 809 Scam Nigerian 419 Scam World Currency Cartel
3.5.1.9. Tréfák (Jokes)
A következő leveleket a neten mint téfákat vagy szatírákat helyezték el, és olyannyira blődek, hogy meglepő, hogy mégis akadnak, akik bedőlnek nekik.
Néhány példa ilyen tréfákra
Bonsai cicák Indíts egy nukleáris csapást most Fényképfelvétel a monitorodon keresztül
3.5.1.10. Igazi legendák (True Legends)
94 Az ide sorolható levelek és üzenetek valódi, létező dolgokról szólnak, melyek esetében nem triviális, hogy elavult, elévült dolgokról van szó. Amíg ezek valódiak, kérem, ne indítsanak újabb láncleveleket azzal, hogy továbbküldjük mindenkinek, akiről azt hisszük, még nem ismeri a témát.
Igazi legendák
Afgán nők Az amerikaiak Gordon Sinclair szerint
3.5.2. A Hoax levelek felismerése
A kérdés az, hogy megfékezhetők-e a hoaxok, valamint az általuk generált levéláradat s miként? Az első válasz: gondolkodni kell, nem pedig kritikátlanul elfogadni bármit, amit írnak. Milyen módon tudunk meggyőződni arról, hogy a levél, amit kaptunk sokszorosításra valójában csak értéktelen szemét?
Hiteles forrás Az ismeretlen címekről, személyektől érkező leveleket fenntartásokkal olvassuk. Csak olyan leveleknek higgyünk, amelynek feladóját ismerjünk, s akiről tudjuk, hogy továbbadás előtt minden hírt gondosan ellenőriz.
Hitelesnek látszó forrás Ha a levél hitelesnek látszó forrásra hivatkozik ("az Amerikai Űrkutatási Hivatal körlevelet bocsátott ki, miszerint a 62563256-2313-231 számlára befizetett $150-ért bárki beszélgethet az Uránuszról jött űremberkékkel"), akkor egyszerűen ellenőrizzük a forrást. Ha körlevél, kérdezzük meg azt, akitől a levelet kaptuk, hogy hol van ez a körlevél. A neten a hivatalos cégek, ügynökségek lapjain minden közlemény, levél, felhívás megtalálható. Ha nem lelünk ilyet, vagy a feladó azt mondja, hogy ő nem tudja, akkor biztos lehetünk benne, hogy átverés!
Ellentmondások Egy kis agytorna az egész, már kezdhetünk is gyanakodni, ha ellentmondásokat találunk a levelekben. Kezdjünk el kételkedni, ha az eredeti levelet (állítólag) egy hétéves gyermek adta fel, miközben a levél a fekete lyukak atomfizikájából vett példákkal támasztja alá a Föld közeli pusztulását. Hasonló módon kételkedjünk a XVII. századi keresztes lovagok által feladott e-mail-eken, melyeket továbbküldve megnyerhetjük az Isztambuli Csatát.
95 E-mail címek Amennyiben a levél az eredeti feladó e-mail címét is tartalmazza, vagy olyan címet, melyre levelet, pénzt, akármit kell küldeni, minimális erőfeszítéssel megállapítható a levél valódisága. Egyszerűen azzal, hogy odaküldünk egy levelet, hogy igaz-e amit olvastunk! Az esetek 99.99 %-ban (a maradék mérési hiba) a hamis levelekben megadott levélcím nem létezik, vagy megszűnt, mert ezrek, sőt tízezrek küldtek oda levelet, és ezt nyilván a legnagyobb levelező szerverek sem bírják sokáig (nem beszélve a szolgáltatók idegeiről).
Az információ hitelessége Ha magunk nem tudjuk eldönteni egy bejövő levélről, hogy hihető-e akkor a legegyszerűbb módszer erről a feladót megkérdezni. Ha ő ellenőrizte, máris nyertünk! Ha nem, akkor meg nyilvánvaló, hogy ellenőrizetlen információt küldözget a világba, és innen visszavezettük az esetet a "Hiteles forrás" alatt olvasható esetre.
3.6. Vírusfejlesztő kitek
Az 1980-as években a vírusírás csak beavatott kevesek kiváltsága volt, mivel ehhez magas szintű programozási tudás (többnyire az Assembler, Pascal vagy a C/C++ nyelv ismerete) szükségeltetett. Ez azonban ma már a múlté. Először csak olyan vírusfejlesztő kitek kerültek ki a vírusfejlesztő laboratóriumokból (MtE, VCL, PS-MPC), amelyek speciális vírusfunkciókat biztosító rutinokat tartalmaztak és használatukhoz kellettek bizonyos programozói eszközök és ismeretek. Igazi jelentőségük az volt, hogy lerövidítették egy-egy újabb vírus és/vagy vírusváltozat kifejlesztéséhez szükséges időt. A vírusfejlesztő készletek későbbi generációi azonban teljes támogatást nyújtottak a vírusfertőzéssel próbálkozóknak. Közöttük számtalan olyan akad, amelyek szabályos (többnyire Windows-os) telepítő készlet formájában érkezik. Nincs nehéz dolga annak, aki ezekkel próbál fejleszteni. Pár kattintás az egérrel, majd be kell írni az üzenet szövegeket, ki kell választani a célpont típusát, a fertőzés és pusztítás feltételeit, s ezek után a vírusfejlesztőre már csak az olyan kérdések megválaszolása marad, mint a vírussal alkalmazandó grafikák, hangeffektusok és a pusztító rutinok kiválasztása, valamint hasonló fajsúlyos kérdések. Nem meglepő hát, hogy e kitek megjelenése után a vírusok számának ugrásszerű növekedését figyelhettük meg. A vírusfejlesztő kitek csúcsai a Word és Excel makróvírusok gyártására szolgáló fejlesztő kitek Ezekkel azonban nem csupán makróvírusokat, de trójai programokat és droppereket is lehet (sajnos!) nagy tömegben gyártani. A legfejlettebb változatokban az ilyen program
96 használójának arra is lehetősége van, hogy maga definiáljon és adjon meg "hagyományos" vírusok kódsorozatait tartalmazó debug scripteket, amelyeket a készítendő vírusok a megfertőzött gépeken a JIT (Just In Time) elveket alkalmazva helyben legyártanak, és belőlük elkészítik (és terítik) az adott vírust a DOS, Windows 9x vagy Windows NT Debug programjával. Szerencsére a vírusfejlesztő kitek jelentős része német nyelvterületen készült, a német Word- re optimalizálva. Az angol és magyar Word makróértelmezőjével a német változat nem teljesen kompatibilis. Ez áll az ilyen kitekkel készített makróvírusokra is. A Word, illetve a Word makrók nyelvi változatainak különbözőségeiről, illetve a Word eltérő nyelvi változatai által okozott problémákról lesz még szó. Mindenesetre nem ezek a fő forrásai a vírusmutációk elszaporodásának. A vírusgyártó, különösen a makróvírus- és scriptvírus-fejlesztő kitek közös jellemzője (mivel automatizált fejlesztő eszközről van szó), hogy a velük készített vírusok programozástechnikai szempontból eléggé egysíkúak s ezért könnyen felismerhetők. Az ilyen kitekkel készült vírusok közül kevés megy át a jobb víruskereső programok szűrőin. Ezzel szemben a víruseltávolítást és a vírusok okozta károk helyreállítását jelentősen megnehezítik az ilyen programkártevők. A nagyszámú vírusváltozat miatt ugyanis roppant nehéz százszázalékos biztonsággal beazonosítani, melyik mutációt is kell eltávolítani a fertőzött fájlokból.
3.7. Levelező vírusok
A levelező vírusok elnevezés egy közkeletű meghatározás mindazon program- és dokumentum-kártevőkre, amelyek programkódja a levelezőrendszer igénybevételével (is) terjed(het). A klasszikus program- és dokumentum-kártevők – itt most elsősorban a vírusokra, a trójai programokra és a programkártevőkre gondolunk – akkor is érkezhetnek az elektronikus postával, ha bennük nyoma sincs a levelező rendszer felé fordulásnak. Elég, ha egy vírusfertőzött programot vagy dokumentumot hozzácsatolnak a levélhez, s az máris úton van újabb védtelen célpontok felé. A valódi, szűkebb értelemben vett levelező vírusok programkódja nem csupán véletlenszerűen kerül be a levelezési rendszerek adatfolyamába, hanem speciális rutinok szolgálnak arra a víruskódban, hogy elegendő számú címre kerüljenek el a fertőzött levelek, illetve maga a vírus (vagy féreg) aktivizálja a gép felhasználójának tudomása, sőt engedélye nélkül a levélküldést, fájl átvitelt. A fentieket tükrözi ismertetőnk is, hisz egy kissé mások a teendők a klasszikus és a levelezésre szakosodott kártevők támadásai esetén.
97 Ebben a fejezetben az alábbiakra térünk ki részletesebben:
Levelezés útján (is) terjedő bináris vírusok Klasszikus levelező programférgek Bináris kódú levelező vírusok A klasszikus makróvírusok és az elektronikus levelezés Scriptvírusok és programférgek
3.7.1. Levelezés útján (is) terjedő bináris vírusok
Az 1980-as években a számítógép használók elsősorban programjaikat csereberélték, így a víruspopuláció fejlődése is ezt követte. Az 1990-es évek közepéig a bootvírusok és a különböző fájlfertőző bináris kódú programvírusok jelentették az első számú fenyegetést. A programokat elsősorban floppy lemezeken vitték át az egyik gépről a másikra, így a vírusokat is úgy programozták, hogy tartsa kézben a floppyra (és merevlemezre) történő írást, hisz ezzel a módszerrel juthattak el újabb megtámadható célpontokhoz. A helyi hálózatok térnyerésével, és a programtelepítések szigorúbb ellenőrzésével, kézben tartásával az ilyen fertőzések visszaszorultak, ellenben olyan új vírusok és programférgek jelentek meg, amelyek a PC alapú helyi hálózatokon terjedtek közvetlenül munkaállomásról munkaállomásra, vagy a szerveren keresztül. Az Internet és az elektronikus levelezés robbanásszerű terjedése, a több milliónyi potenciális – és természetesen védtelen – új célpont megjelenése arra ösztönözte a vírusfejlesztőket, hogy vírusaikba olyan szaporodó rutinokat (is) építsenek, amelyek az új csatornát veszik igénybe. Ezek a bináris kódú levelező vírusok. Kezdetben ez a terjedési mód még csak kiegészítés volt a korábbi módszerek mellett, ma azonban már a levelező bináris kódú vírusok és programférgek elsősorban a levelező rendszereken keresztül szaporodnak és a hagyományos floppys, illetve helyi hálózaton keresztüli terjedés visszaszorulni látszik.
3.7.2. Klasszikus levelező programférgek
Már a nagy hálózatok kialakulásának elején megjelentek a levelező programférgek, hisz az akkori hálózatok sebessége miatt a WAN-ok elsődleges felhasználása a levelezés volt. E féregprogramok programozói ujjgyakorlatnak voltak tekinthetők, hisz eddigi ismereteink szerint nem károkozási céllal készültek és indultak útnak, hanem csak azért, mert lehetőség volt ilyen típusú programok készítésére, és már megfelelő számú védtelen célpont létezett és volt elérhető a hálózatokon. A programférgek nem pusztításukkal okoztak – igaz, néha
98 kifejezetten súlyos – károkat, hanem azzal, hogy a végletekig leterhelték a hálózatot, az üzenetküldő rendszert és komoly erőforrásokat vontak magukhoz, megnehezítve vagy lehetetlenné téve a számítógépek és a hálózatok használatát.
A klasszikus levelező férgek közül az alábbiakat kell megemlíteni
Christmas Tree HI.COM Internet Worm Pervading Animal The Creeper Wank Worm
3.7.3. Bináris kódú levelező vírusok
E víruscsoportba azokat a vírusokat soroljuk, amelyek fő vagy kizárólagos szaporodási módszerként az egyik gépről a másikra való átjutásban az Internetes levelező rendszereken keresztüli levélküldést használják. A család nem túl népes – egyelőre –, mivel meglehetősen összetett feladat egy olyan kód létrehozása, amely operációs rendszertől függetlenül képes futni és fertőzni a megtámadott gépeken. A bináris kódú levelező vírusok közül az alábbiakról érdemes részletesebben olvasni: Esperanto és RedTeam.
3.7.4. A klasszikus makróvírusok és az elektronikus levelezés
Már akkor megjelentek makróvírusok az elektronikus levelek mellékleteiben, amikor még semmiféle olyan kódrészlet nem volt bennük, amely a levélben való továbbítást célozta volna. Egyszerűen arról volt és van szó, hogy az emberek programok helyett dokumentumokat cseréltek/cserélnek az Interneten keresztül. A WM/Concept, a WM/CAP és társai egyformán terjedtek és terjednek floppy lemezeken, a helyi hálózatokon, az Internetes fájlgyűjteményeken, az FTP, Gopher és Weboldalakon, valamint az elektronikus levelekben. Csupán a felhasználói szokások alakulása, fejlődése, az Internet és az elektronikus levelezés
99 korábban nem várt előretörése, térnyerése vezetett oda, hogy ma a hagyományos makróvírusok is elsősorban a levelezéssel kerülnek át újabb gépekre. Az e-mail-re szakosodott makróvírusok már nem csupán passzív módon utaznak az elektronikus levelek mellékleteként, hanem a makrónyelvek lehetőségeit és az operációs rendszer, valamint a levelező rendszerek programozhatóságát kihasználva aktívan részt is vesznek az új célpontok felkutatásában és a víruskód automatikus, a felhasználó tudta nélküli szétpostázásában. Az ilyen vírusok szisztematikus nevében nem véletlenül szerepel a levelezésre, azon belül is a nagyszámú levél küldésére utaló "@MM" (mass mailing) utótag.
Néhány példa
WM/Concept WM/DMV XM/DMV WM/CAP WM/ShareFun WM97/Melissa OM97/Triplicate XM/Laroux XM97/Papa
3.7.5. Scriptvírusok és a script alapú programférgek
A script-kártevők – a makróvírusokkal ellentétben – amelyek létezésük első éveiben főként helyi hálózatokat érintő fertőzéseket, járványokat okoztak – eleve az Interneten keresztüli terjedésre építették és építik ma is szaporodásukat, terjedésüket. A scriptvírusok és programférgek fertőzött weboldalakról, Intranet oldalakról (.HTML fájlok, például VBS/HTML.1nternal), fertőzött levelek mellékleteiből (.vbs és .js fájlok, például VBS/LoveLetter, JS/Unicle), a fertőzött levéltörzsből (VBS/BubbleBoy, JS/KakWorm) vagy a helyi hálózat szervereire, és megosztott könyvtárakat is tartalmazó munkaállomásaira a megfelelő ellenőrzés hiányában felhelyezett script programokból kerülnek rá a gépre. A scriptvírusok, -férgek és dropperek ajtáiról, a víruspopuláció bővüléséről a nemzetközi és a hazai szaksajtón kívül a napi sajtó is rendszeres híradásokat ad. Önmagában ez az információ keveseket érdekelne, de a téma összekapcsolódik azzal a kérdéssel is, Miért veszélyesek az Internet wormok?
100
3.7.6. Nevezetes Internet wormok
Az utóbbi évek, hónapok leggyakrabban előforduló féregprogramjairól sokan és sokszor kérdezősködnek, ezért az alábbiakban a "legnépszerűbb" Internetes programférgek ismertetőit láthatajuk.
Néhány a legismertebb Internet wormok közül
VBS/BubbleBoy Happy99 A LoveBug család és a NewLove VBS/Stages worm A KakWorm W32/Navidad W32/Hybris W32/Sircam A Code Red Alert W32/Nimda
3.7.7. Levelező 32 bites programférgek Windows környezetben
Az első programférgek csak a levelező rendszert használták, illetve az FTP-t. A Win32/SKA néven is ismert Happy99 csatolt fájlként érkezik, és csak akkor indul el, ha a vigyázatlan címzett rákattint a nevére vagy ikonjára. Ez általában igaz a többi 32 bites Windows programféregre is. Csak az utóbbi hónapokban jelentek meg olyan kombinált féregprogram- csomagok, amelyek a fő féreghordozó Win32-es programfájl mellett egy számukra automatikus indítást biztosító script programocskát is beleágyaznak az e-mail szövegtörzsébe. A 2001-es év legfelkapottabb 32 bites programférgei ábécérendben a következők voltak: W32/Aliz, W32/Goner, W32/Hybris, W32/Navidad, W32/Sircam és a CodeRed Alert. A 32 bites Windows alapú programférgek többféle tevékenységet is végeznek. Legfontosabb feladatuk természetesen a féregkód továbbküldése más gépekre, rendszerekre, ám emellett gondoskodniuk kell – pontosan fő feladatuk támogatására – arról is, hogy vezérlést kapjanak.
101 Sokuk fájlokat, információkat juttat ki a megfertőzött gépekről, mások hátsóajtót (backdoor) nyitnak a védelmi rendszereken, és vezérléshez jutatják a férget készítő és/vagy beküldő hackert. A programférgek egy része helyi pusztításra is be van programozva, ám az ilyenek száma szerencsénkre még elenyésző.
3.8. E-mail-re szakosodott makróvírusok
A makróvírusok nagy része még ma is csak véletlenül kerül bele a levelezésbe, nem tartalmaz semmiféle speciális rutint, amely a levelező rendszert használná a szaporodásra. Ezek nem igazi levelező makróvírusok, bármilyen úton érkezzenek is. A valódi levelező makróvírusokból (beleértve a programférgeket és trójai makrókat is) nem hiányoznak azok a programrészek, amelyek aktív módon keresik a levelező rendszert, és a víruskód terjedésében fő vagy kizárólagos szerepet kap a levelező rendszer(ek)en keresztüli terjedés. Ebben a részben az alábbi alfejezetekkel találkozhatnak kedves olvasóink:
A levelező makróvírusok célpontjai Levelező Word makróvírusok Levelező Excel makróvírusok Levelező PowerPoint makróvírusok Többtámadáspontú levelező Office makróvírusok A megelőzés lehetőségei és eszközei Mit okozhatnak a levelező makróvírusok? A Melissa-affér tanulságai
3.8.1. A levelező makróvírusok célpontjai
A levelező makróvírusok, mint korábban már írtuk, szaporodásukhoz az elektronikus levelező rendszert is fel tudják használni. Zömmel a hagyományos dokumentumból dokumentumra történő fertőzési módszerekkel is élnek, de emellett, és néhány esetbe e helyett a makróvírusok szaporodásában komoly szerepet kap az e-mail, FTP vagy IRC rendszereken keresztüli terjedés is. Makróvírusok azokon a rendszereken létezhetnek, amelyeket úgy alkottak meg, hogy: - A makróprogramok kódja nem külön fájlban, hanem magukban a dokumentumfájlokban helyezhető el. - A megnyitott dokumentumfájlokban lévő makróprogramok automatikusan, a felhasználó értesítése, sőt jóváhagyása nélkül is elindulhatnak.
102 - A makróértelmezőt is tartalmazó program vagy rendszer kellően elterjedt, azaz van elegendő számú potenciális és védtelen célpontja a kártevőknek. - Az adott makrónyelv rendelkezik olyan programozástechnikai eszközökkel, amelyekkel megoldható a programkód sokszorozása és "terítése" a felhasználó levelező partnerei között. - Az adott makrónyelv rendelkezik olyan eszközökkel, amelyeket felhasználva a rosszindulatú programok hatékony romboló rutinokkal szerelhetők fel. A fenti feltételeknek ma a Microsoft Office programcsomag programjai felelnek meg leginkább, hisz a PC kategóriájú számítógépeken a legelterjedtebb irodai programcsomagról van szó, lehetséges, mi több, felettébb egyszerű dolog az Office dokumentumokban makróprogramokat elhelyezni, akár úgy, hogy kifejezetten elrejtik a számítógép felhasználói elől. Az Office programok ma már egységesen beépített Visual Basic, illetve VBScript programértelmezővel rendelkeznek, amely támogatja a dokumentumokban érkező makróprogramok automatikus lefuttatását. A makróvírusok talán elsődleges célpontjai még ma is a sablonfájlok (a Word esetén a NORMAL.DOT fájl, valamint a Word STARTUP és az Excel XLStart folderében elhelyezett vagy elhelyezhető sablonfájlok). Természetesen célpont lehet minden Word, Excel és PowerPoint dokumentum, Access adatbázis és HTML fájl, legyen az weboldal, Internet oldal, vagy más, MS Office programokkal kezelhető dokumentumfájl. A továbbiakban külön-külön foglalkozunk a Word, az Excel, és a PowerPoint makróvírusokkal, valamint a többtámadáspontú levelező Office makróvírusokkal. Kitérünk a megelőzés lehetőségeire és eszközeire, valamint arra is, hogy mi mindent okozhatnak a levelező makróvírusok. Végül csemegének egy összefoglalót terveztünk összeállításunk végére az 1999 márciusában oly nagy port felvert Melissa vírus affér fejleményeiről és tanulságairól.
3.8.2. Levelező Word makróvírusok
A Word makrónyelve az Office 97, vagyis a Word 97 (Word8) megjelenésével minőségi változáson esett át. A Word belső felhasználói programozására korábban használt WordBasic helyett a VisualBasic egy speciális változata (VBA, Visual Basic for Applications) került bele a programba. Annak érdekében, hogy a korábbi programkiadásokkal való kompatibilitást megőrizzék, a makróértelmező kiegészült egy WordBasic modullal, amely a korábbi változathoz készített makróprogramok futtatását tette lehetővé. A Microsoft irodai programjainak későbbi kiadásaiban egyértelműen az egységes programozhatóság lett a fő szempont a rendszer megtervezésekor, s így a WordBasic lassan kihalóban van, s vele együtt
103 azok a makróvírusok is, amelyeket a Word maga vagy a vírusfejlesztők nem konvertáltak át a VisualBasic programértelmező használatára. Minden ellenkező híresztelés dacára már a WordBasic-et használó makróvírusok között is találhattunk olyanokat, amelyek a levelező rendszert is igénybe vették kódjuk tovább terjesztésére. Ennek egy jellegzetes példája a WM/ShareFun néven ismertté vált Word makróvírus. Tekintve azonban, hogy a víruskészítőktől magas fokú programozási ismereteket követelt (volna) meg az, hogy WordBasic-ből indítsanak el egy levelező programot, és azzal küldjenek szét vírusfertőzött dokumentumokat, nem kell meglepődnünk az ilyen képességekkel rendelkező makróvírusok viszonylag csekély számán. A változás és a nyitás a levelező makróvírusok tömeges megjelenése felé a WM97/Melissa makróvírus nevéhez fűződik. A Melissa mintha valami gátat szabadított volna fel, megjelenését követően szinte azonnal özönleni kezdtek a mintájára megírt újabb levelező makróvírusok. A mai levelező Word makróvírusok között számos különlegesség akad. A WM97/Marker víruscsalád például saját programkódjának végére olyan megjegyzéssorokat fűz, amely a "meglátogatott" és megfertőzött gépekről tartalmaz felhasználói információkat. A várható kártételek azonban nem mindig ilyen enyhék, hisz a levelező makróvírusok között sem ritka az olyan, amelybe fájlokat, könyvtárakat törlő, merevlemez partíciókat leformázó, dokumentumokat eltitkosító rutinokat építettek, vagy hagyományos fájlvírusokat – köztük a CIH változatait – gyártanak le azon melegében, és azokat mérlegelés nélkül vagy adott feltételek teljesítése esetén rászabadítják a rendszerre. A közvetlen pusztítás mellett azonban a bizalmasság elvesztése, titkos, bizalmas dokumentumaink, jelszavaink rossz kézbe kerülése is következménye lehet egy-egy levelező makróvírus fertőzésnek. E téren azonban van egy egyszerű trükk, amellyel némileg lecsökkenthető a kockázat. A makróvírusok egy részébe olyan kereső modulokat építettek, amely csak a "C:\My Documents" folder tartalmában kutakodik – ez az alapértelmezett dokumentumtároló folder a Word számára – megfertőzhető és szétpostázható Word fájlok után. Az ilyen vírusok szerencsénkre "nem látják" a más folderekben elhelyezett dokumentumokat. Ha tehát a Word számára egy másik dokumentumkönyvtárat adunk meg, e vírusok nem találnak megfertőzhető és szétküldhető célpontokat.
3.8.3. Levelező Excel makróvírusok
A dokumentumcserék elsősorban a Word dokumentumfájljait érintik, de szorosan mögötte az Excel számolótáblák következnek. Mivel az Excel a Word-höz hasonlóan hajlamos gyári alapbeállításban a felhasználó megkérdezése, engedélye nélkül automatikusan végrehajtani a
104 megnyitott számolótáblákban rejtőzködő programkódot, éppen olyan céltábla a vírusok, így a levelező makróvírusok számára, mint a Word. Az Excel makróvírusai (XM, XM97, XF és XF97) ugyanazt a VisualBasic programértelmezőt használják, mint a Word makróvírusai. Az Excel makróvírusok többsége csak véletlenül utazik e-mail-ekhez csatolva, hisz a hagyományos Excel makróvírusok többsége nem tartalmaz olyan programrészleteket, amelyek a víruskód terjesztéséhez az Internet különböző csatornáit – s köztük elsősorban az elektronikus levelezést – használnák fel. A nagy áttörés 1999-ben következett be, amikor alig két héttel a WM97/Melissa nevű levelező Word makróvírus megjelenése után felbukkant a XM97/Papa. A vírusfertőzési statisztikákat elemezve egyértelmű tendencia, hogy az Excel makróvírusok között a levelező makróvírusok számának növekedése nem mutat olyan dinamikát, mint amilyet a Word makróvírusainak esetében tapasztalhattunk.
3.8.4. Levelező PowerPoint makróvírusok
A víruskészítők természetesen a PowerPointot sem kímélték. Mivel ez az Office alkalmazás is ugyanazt a makróértelmezőt tartalmazza (egy kis eltéréssel), mint a Word és az Excel, csak idő kérdése volt, hogy mikor jelennek meg az első PowerPoint makróvírusok. A konkrét veszélyt több dolog is jelentősen lecsökkenti a felhasználók és rendszergazdák nagy szerencséjére. Az első, hogy az elektronikus levelezésben és egyéb csatornákon csereberélt dokumentumok között elenyésző a PowerPoint dokumentumok aránya. Egyrészt kevesen élnek az Office csomag prezentációkészítő programjával – és még kevesebben csereberélnek kész vagy félig kész .ppt fájlokat –, másrészt a PowerPoint prezentációkban nem lehet olyasféle automatikusan induló makrókat elhelyezni az eltérő felhasználás miatt – a többség nem szerkesztésre, hanem lejátszásra használja prezentáció készítőjét –, s így más vírusindító "triggerek" után kellett a víruskészítőknek nézniük. A PowerPoint fájlok mindennapos csereberéje ellen szól az is, hogy egy jól elkészített, gazdagon megformázott, nagyfelbontású színes képekkel feldíszített előadásanyag mérete nem ritkán többször tíz megabájt, sőt a 100 MB feletti prezentációk sem számítanak kirívónak.
A következő alfejezetben szereplő többtámadáspontú levelező Office makróvírusok között néhány olyan is található, amelyek a Word és Excel mellett PowerPoint .ppt fájlokba is beülhetnek. Ez a fajta fertőzés azonban nem a fertőzés fő eszközét jelenti, hanem csupán egyfajta "biztonsági mentésként" szolgál a makróvírusok számára. Miért? Mert a Word és Excel dokumentumokról ma már mindenki tudja, hogy a vírustámadások célpontjai, s ennek
105 megfelelően egyre ritkábban marad el az ellenőrzésük, miközben sokan megfeledkeznek még ma is a prezentáció fájlok vírusellenőrzéséről.
3.8.5. Többtámadáspontú levelező Office makróvírusok
Az MS Office rendszerek makrónyelve az Office 97 megjelenésétől kezdve határozottan egységesedést mutat. A közös nevező a Visual Basic, és a programok olyannyira integrált rendszert alkotnak, hogy amellett, hogy különböző típusú Office dokumentumokat is egymásba lehet építeni, semmi akadálya annak, hogy Word-ből, Excelből, Access-ből vagy PowerPointból nyissanak meg más típusú dokumentumokat, indítsanak, használjanak további Office programokat. A fentiek lehetővé tették és teszik ma is, hogy olyan programok készüljenek, amelyek további Office dokumentumokba ültetik be saját kódjukat. Az ilyen jelleggel rendelkező makrókat nevezzük többtámadáspontú Office makróvírusoknak. Ezek nem csupán azért veszélyesek, mert már Access, illetve PowerPoint dokumentumokat fertőzhetnek, hanem azért, mert a .PPT és .MDB fájlok vírusellenőrzése ma még nem olyan magától értetődő, mint a sokkal kiterjedtebben alkalmazott Word és Excel fájloké. Továbbá a fentiekből következően a ritkán használt és nemigen ellenőrzött PowerPoint prezentációk és Access adatbázisok kiváló búvóhelynek számítanak, és a Word és Excel fájlokra korlátozott vírusmentesítő tisztogatások után a rendszer, előbb-utóbb újrafertőződhet a korábban már kitakarított makróvírusokkal. A többtámadáspontú makróvírusok – mivel az egyes MS Office alkalmazások makrónyelve az eltérő szolgáltatások miatt nem teljesen azonos – több (két-három-négy), az egyes alkalmazásokra optimalizált változatban tartalmazzák a víruskódot. Ennek köszönhetően extrém víruskód-méretek is előfordulnak. Ez azonban nem feltétlenül tűnik fel a felhasználóknak, hisz az Access adatbázisok amúgy sem a kis méretükről híresek és a Word és Excel fájloknál sem ritkaság a több megabájtos fájlméret, amelyben könnyen elvész akár a 300 KB-os nagyságrendet elérő víruskód is. A méretfaktor miatt a levelezés zömében nem jellemző "szolgáltatása" a többtámadáspontú makróvírusoknak, s az OM97/Cross, az OM97/Cybernet, az OM97/Jerk és az OM97/Triplicate csak véletlenszerűen terjed a levelezési csatornákon. Ez azonban nem zárja ki, hogy a közeli- vagy távolabbi jövőben olyan többtámadáspontú Office makróvírusok jelenjenek meg, amelyek szaporodásában kiemelt és aktív szerepet szán programozójuk a levelező rendszereknek.
3.8.6. A megelőzés lehetőségei és eszközei
106 A makróvírusok, s köztük a levelező makróvírusok fertőzése közel százszázalékos biztonsággal megelőzhető – lenne – már ma is, ha élnénk/élnének a rendelkezésre álló eszközökkel. Ezek az eszközök nem feltétlenül és nem csupán antivírus célprogramok, hanem az MS Office programok biztonsági szolgáltatásai (biztonsági szint, makrók használatának tiltása, korlátozása, engedélyhez kötése , stb.). A megfelelő adatkezelési politika kialakítása és szigorú betartása (minden bejövő dokumentum gyanúsként kezelendő és megnyitás előtt ellenőrizendő, tiltott vagy előzetes engedélyhez kötött a külső forrásból származó/érkező dokumentumok makróinak végrehajtása), megfelelő vírusmentes dokumentum-formátum (például RTF) alkalmazása. A levelező makróvírusok szaporodási és túlélési esélyeit igen jelentősen le lehet csökkenteni, ha olyan levelező rendszert használunk kliens programként (és nem Outlook programokat!), amely nem a Word-del és az Excel-lel, illetve PowerPoint programmal nyitja meg automatikusan a beérkező dokumentumokat. Erre ott vannak az Office csomagok telepítő CD- in megtalálható kukker (XXXviewer) programok, amelyek nem tartalmaznak makróértelmezőt és így nem melegágyai a makróvírus fertőzéseknek. A levelező makróvírusok többségére az is jellemző, hogy az Outlook címlistájából válogatják össze célpontjaikat. A megelőző megoldás ebből: az Outlook helyett egyéb, nem vírustanya levelező program használata, amely saját, (vírus)makróból nem vagy nehezebben hozzáférhető címlistát alkalmaz. A megelőzés eszközének tekintendők természetesen a hatékony vírusellenőr programok. Itt (is) négy fő megoldásirány alakult ki, melyek együtt, akár egymást kiegészítve is alkalmazhatók a biztonság növelésének érdekében. On Demand (memóriában nem maradó) vírusellenőr programok, kliens (ügyfél) oldali On Access (állandóan futó, memóriarezidens) vírusellenőr programok, szerver (kiszolgáló) oldali állandóan futó vírusellenőr programok, a levelező rendszerbe települő vírusvédelmi programok. A hagyományos (makró)víruskereső, -eltávolító programok (On Demand), amelyek futás után kilépnek a memóriából, olyan helyeken jelenthetnek komoly segítséget, ahol a védendő rendszerek erőforrásai korlátozottak (lassú processzor, kevés memória, stb.). Otthoni vagy szóló gépeken célszerű egy ellenőrző könyvtár kialakítása, és minden lemezen, CD-n vagy levélben, stb. beérkező, illetve elküldésre szánt program vagy dokumentum kötelező és alapos vírusellenőrzése. Vállalati, intézményi, zömében hálózatos környezetben célszerű lehet a fentiek mintájára egy vagy több, megfelelő napi-heti frissítésekkel ellátott vírusellenőrző munkaállomás kialakítása. Angol és amerikai cégeknél, egyetemeken régóta bevált költségkímélő gyakorlat, hogy a nem kábelen érkező programok és dokumentumok csak egy ilyen előzetes ellenőrzés után kerülhetek át a hálózatba. E módszerrel elérhető, hogy egyetlen programpéldány alkalmazásával akár gépek százainak vírusvédelméről gondoskodjunk. A
107 megoldás gyengéje, hogy a hálózaton, elektronikus levelezésen keresztül érkező rosszindulatú programok ellen önmagában nem véd. A kliens oldali On Access víruskeresők kínálata hihetetlenül bőséges, az élvonalbeli programok 99 % feletti felismerési hatékonyságot ígérnek. Hátrányuk, hogy alaposan leterhelik, lefoglalják a védett számítógépek erőforrásait, s a legtöbb esetben jelentősen le is lassíthatják a napi munkát. A jól beállított és rendszeres (automatikusan érkező és települő) frissítésekkel ellátott On Access védelmek előnye, hogy ha már beállították, úgy védenek, hogy nem molesztálják felesleges kérdésekkel a felhasználót. A "jól beállítás" alatt azt is értjük, hogy a fokozottan vírusveszélyes helyeken, s főleg vállalati, hálózatos környezetben csak a vírusokkal kapcsolatos kérdésekben tájékozott rendszergazda kapcsolhatja ki, illetve módosíthatja a vírusellenőr program beállításait. Az ilyen védelmek minden esetben aktivizálódnak, ha vírusfertőzött vagy vírusgyanús fájlt akarunk futtatni, menteni, vagy éppen megnyitni, akár egy beletekintés vagy másolás erejéig is. A szerver oldali állandóan futó vírusellenőr programokkal a központi kiszolgálón lévő program és adatfájlok vírusmentességét biztosíthatjuk, méghozzá központi felügyelettel, amely nem terheli a hálózati felhasználókat. Ez a rendszer nem terheli a munkaállomások helyi erőforrásait, ám gyengéje, hogy nem biztosítja a munkaállomások lokális háttér- adattárolóinak vírusvédelmét. A levelező rendszerbe települő modern vírusvédelmi programok azt biztosítják, hogy a beérkező levelek szövegtörzsében és/vagy levélmellékleteiben érkező rosszindulatú programok ne juthassanak el a címzettek postafiókjaiba. A levelező rendszer adminisztrátora így a levelek továbbításán túl a vírusvédelem jelentős feladatait is felügyeli.
3.8.7. Mit okozhatnak a levelező makróvírusok?
A kérdés jogos. A válasz pedig egyértelmű: minden rosszat, amit el lehet képzelni. Kezdve a fájlok elkódolásával, titkosításával, a fájlok, könyvtárak törlésén át a merevlemez partíciók leformázásáig bármit okozhatnak. Sajnos mindenfajta kártételre van már élő példa. A fentieken túl a levelező makróvírusok kiszolgáltathatják adatainkat, jelszavainkat a vírust útjára bocsátó hackernek és másoknak, kiskaput nyithatnak az Internet felől érkező támadásoknak egy backdoor program telepítésével vagy a védelmi beállítások kikapcsolásával, takarékra állításával. A levelező rendszer túlterhelésével (lásd WM97/Melissa és társai) a levelező makróvírusok könnyen megbéníthatják az informatikai eszközöket intenzíven használó szervezetek, vállalatok napi működését, életét. Maga a Microsoft is többször volt kénytelen ilyen jellegű vírustámadások miatt rövidebb-hosszabb időre leállítani saját belső levelező rendszerét.
108 A levelező makróvírusok hordozói és pottyantói (dropperek) lehetnek más, hagyományos vírusoknak, amelyek már "saját jogon" okozhatnak további fertőzéseket és károkat. Ezek közül is kiemelkednek azok a makróvírusok, melyek a Flash-EPROM-ban lévő BIOS-t átíró CIH mutánsait gyártják le és szabadítják rá a megtámadott számítógépekre. Sajnos már ez sem csupán lehetőség, hisz élő példákkal rendelkeznek a vírusvadász cégek az ilyen dokumentum-kártevőkből is. A levelező makróvírusok tönkretehetik azt a bizalmat, ami az ügyfelek és a fejlesztők- forgalmazók között épül ki, amennyiben többször is a vállalkozók e-mail címéről érkezik makróvírus az ügyfelekhez.
3.9. Scriptvírusok, -férgek és dropperek
Minden operációs rendszer rendelkezik valamiféle script-nyelvvel, amellyel a rendszer működését, a programok indítását automatizálni lehet. A DOS és DOS kompatibilis rendszerek esetén a .BAT kiterjesztésű batch fájlokkal lehet ilyen alapszintű programozást megvalósítani. Az OS/2 egy igazi script nyelvet, a REXX-et használja a rendszer működtetésére és a paraméterek beállítására. Mivel e nyelvek – ha korlátozottan is – lehetőséget adnak fájlműveletek végzésére és kellően rugalmasak, alkalmasak programférgek, vírusok létrehozására. Bár nem nagy számban, a nagyobb vírusgyűjteményekben találhatunk néhány tucatnyi batch fájlokban terjedő vírust, trójait és programférget. A Windows fejlesztői a Visual Basic egy speciális változatát fejlesztették ki VBScript néven a Windows belső, rendszergazdai szintű programozásának támogatására. E nyelv lehetőséget ad a programozóknak DOS és Windows programok paraméterezett indítására, a programok közötti adatcserére, a futtatási környezetek megváltoztatására, fájlok beolvasására, módosítására és mentésére, stb. 1998 óta ismerünk olyan VBScript nyelven írt programokat, amelyek vírustulajdonságokat mutatnak. Ezek a programok nem csupán víruslaborokban fordulnak elő, hanem szabadon is, "in the wild" – ahogy a szakzsargon emlegeti. Az Internet elterjedésével a VBScript mellett más script-nyelvek is elterjedtek, mint a Netscape által favorizált JavaScript, a Corel programoknál használt CorelScript, és a webszervereken gyakori CGI script, valamint a Unix/Linux rendszerekről indult, és ma már Windows alatt is rendelkezésre álló PERL és egyéb script nyelvek. Nem szabad kihagynunk a felsorolásból a csevegő csatornák (IRC) programjai által használt scripteket (IRC, mIRC et al.) és az .INF fájlokban/ból fertőző féregszerű programkártevőket (INF-ektorok). E fejezetben igyekszünk összefoglalni VBScript malware, a JavaScript kartevők és a CorelScript vírusok, férgek illusztris képviselőit. Egy VBScript programféreg kapcsán egy esettanulmányt is közreadunk (A LoveBug (LoveLetter) eset utóélete).
109
3.9.1. VBScript malware
A VBScript programok futtatásáról az Internet Explorerrel települő Windows Scripting Host (WSH) nevű programértelmező gondoskodik. Kezdetben a .VBS és HTML fájlokban elhelyezett script programok a rendszer beállítását voltak hivatottak megkönnyíteni, de voltaképpen bármire képesek, amit a programozójuk kigondol. E programok veszélyességét elsősorban az jelenti, hogy olyan felhasználók is elindíthatják őket, akiknek semmi fogalmuk nincsen sem a programozásról, sem a vírusokról. Sőt sok esetben olyan helyzet áll elő, hogy a rendszer a külső forrásból érkező fájlokban lapuló VBScript programkódokat automatikusan, mindenféle ellenőrzés és engedélykérés nélkül elindítja. Belátható, ez tragikus következményekhez is vezethet, mint azt az olyan programférgek hihetetlen sebességű elterjedése is igazolja, mint a VBS/BubbleBoy, a VBS/HTML.1nternal, a VBS/Kurnikova vagy a VBS/LoveLetter. A VBS/Rabbit 1998-ban még csak ügyetlen próbálkozás volt, a VBS/Stages azonban már komoly programozói munka eredménye. És nincs megállás.
3.9.2. JavaScript kártevők
A JavaScript sokkal biztonságosabb nyelv, legalábbis vírusvédelmi szempontból, mint a VBScript. Azt például mindenesetre sokkal nehezebb megoldani egy JavaScript (JS) programban, hogy a háttértárolókra írjon és a zárt "dobozából" kiszabaduljon. Nehéz, de sajnos nem lehetetlen. Ezt az alábbi kártevők megléte és ügyködése is bizonyítja:
JavaScript kártevők
JS/Congrats JS/CoolSite JS/Gigger JS/Kak JS/Seeker JS/Unicle
3.9.3. CorelScript vírusok, férgek
110 A Corel saját belső programnyelvet fejlesztett ki népszerű grafikai programjaihoz. Ez olyannyira hatékony script nyelvvé vált, hogy a vírusfejlesztők érdeklődését is felkeltette. Az eredmény: már ismerünk legalább egy, a Corel speciális script nyelvére szakosodott kártevőt: CSC/CSV Túlzottan nem kell félnünk az ilyen jellegű vírusok és programférgek elterjedésétől, mivel szaporodásuk nem túl hatékony. A víruskeresőket is felkészítették már az ilyen típusú támadásokra, így nem mindig ismeretlen ellenféllel állunk szemben.
3.9.4. A LoveBug (LoveLetter) eset utóélete
A VBS/LoveLetter néven ismertté vált programféreg azon kevesek közé tartozik, melyeknek megalkotóját, szerzőjét nem csupán név szerint is sikerült azonosítani, de "némi" büntetőjogi intézkedésre is sor került az ügy kapcsán. A féreg készítőjét a helyi (Fülöp-szigetek) rendőrség az FBI szakértőinek segítségével azonosította és le is tartóztatta, ám az ügy végén Onel de Guzman mégsem kapott többéves börtönbüntetést és komolyabb pénzbírságot, mivel a helyi törvények a per idején még nem ismerték, s így nem is szankcionálták vírusprogramok készítését és terjesztését. Hiába foglalták le Guzman számítógépét, s találták meg rajta a vírus fejlesztésének minden bizonyítékát, a szigorú büntetés elmaradt. Az eset egyetlen következménye, hogy a Fülöp-szigetek ide vonatkozó törvényeit kiegészítették a korábban hiányzó passzusokkal, hogy a hasonló bűntettek a jövőben ne maradhassanak büntetlenek.
3.10. Backdoor típusú programok
Backdoor programoknak azokat a segédprogramokat nevezzük, amelyek lehetőséget adnak arra, hogy egy távoli számítógép felett – a gép felhasználójának a tudta és engedélye nélkül – átvehessük a vezérlést. Az ilyen programok az operációs rendszer biztonsági réseit kihasználva juttathatók be a megtámadni kívánt rendszerekbe és futtathatók ott. A négy leghíresebb vagy inkább leghírhedtebb ilyen program a BackOrifice, a BackOrifice 2000, a NetBus és a Sub7. Ezek azonban csak a jéghegy csúcsát jelentik, hiszen További backdoor programok is találhatók, méghozzá igen szép számban, ha az ember rászánja magát a keresgélésre. A backdoor funkciók önmagukban se nem veszélyesek, se nem különlegesek. A programtovábbítás nem a backdoor programok kiváltsága. Már a DOS-os Norton Commander és a népszerű FastLinx (FX) program is rendelkezett azzal a lehetőséggel, hogy soros porton
111 keresztül áttelepüljön egy másik gépre. Ettől azonban még nem minősülnek rosszindulatú programoknak. A Windows rendszerek távmenedzselésére sok nagyszerű programot kínálnak a forgalmazók, némelyiket igen drágán. E programok – talán meglepő – ugyanúgy alkalmasak arra, hogy a felhasználó értesítése és engedélye nélkül fájlokat, adatokat mozgassanak a távoli gép és a kezelő munkaállomás között, programokat indítsanak vagy állítsanak le, telepítsenek. De mivel kereskedelmi programok és fejlesztőik sem egy hackercsoport tagjai, a PC-Remote és társai nem kapnak a víruskereső programoktól vírus minősítést.
3.10.1. BackOrifice, BO
A Cult of the Dead Cow (cDc) nevű amerikai hackercsoport többek között egy BackOrifice vagy rövidebben BO nevű távmenedzselő (remote access) programot is kiadott. A Windows 95/98 gépeken futó program elsősorban backdoor programként kerül alkalmazásra. A kétféle alkalmazás között a határ szinte teljesen elmosódott. Talán az az egyetlen különbség, hogy a távmenedzselő programok hivatalosan vannak meg a rendszergazdánál, míg backdoorként hackerek és crackerek alkalmazzák. A programcsomag két fő részből (BOSERVE.EXE és BOCLIENT.EXE), néhány kiegészítő segédprogramból (BOCONFIG.EXE, BOGUI.EXE, MELT.EXE és FREEZE.EXE), valamint számtalan külső fejlesztőtől származó pluginból áll össze. Konfigurálás nélkül a szerverprogram a 31337-es porton keresztül kommunikál, méghozzá jelszó nélkül és a programot " .exe" (Figyelem! Egy szóköz van a ".exe" előtt!) néven telepíti be a Windowsba. Ennek köszönhetően bár megjelenik a taszklistában, de nem "látható" a szerverprogram. A BO a szokásos kínálattal rendelkezik: fájlokat mozgathat mindkét irányba, képeket jeleníthet meg, programokat indíthat és állíthat le, nyitogathatja a CD olvasót, rögzítheti és elpostázhatja a billentyűleütéseket, stb. Egyszóval hasznos kis segédprogram, amíg rossz célra nem használják.
112
A program kísérő dokumentációjának végén a fejlesztők megadják elérhetőségüket is [10]: .-. _ _ .-. / \ .-. ((___)) .-. / \ /.ooM \ / \ .-. [ x x ] .-. / \ /.ooM \ -/------\------/-----\-----/---\--\ /--/---\-----/-----\------/------\- /lucky 13\ / \ / `-(' ')-' \ / \ /lucky 13\ \ / `-' (U) `-' \ / `-' the original e-zine `-' _ Oooo eastside westside / ) __ /)(\ ( \ WORLDWIDE / ( / \ \__/ ) / Copyright (c) 1998 cDc communications and the author. \ ) \)(/ (_/ CULT OF THE DEAD COW is a registered trademark of oooO cDc communications, PO Box 53011, Lubbock, TX, 79453, USA. _ oooO All rights reserved. __ ( \ / ) /)(\ / \ ) \ \ ( \__/ Save yourself! Go outside! Do something! \)(/ ( / \_) xXx BOW to the COW xXx Oooo
113
A fejlesztés nem állt le, az új verzió, a BackOrifice 2000 még tökéletesebb hozzáférést biztosít a távoli számítógépekhez.
3.10.2. BackOrifice 2000, BO2K
A BackOrifice javított kiadását meglepő módon nem hackerprogramként, hanem ingyenes és legális távadminisztrációs programként jelentette be a cDc (Cult of the Dead Cow). Természetesen a konkurrencia azonnal támadásba lendült és szinte az összes víruskereső program vírusként azonosítja és automatikusan igyekszik eltávolítani a BackOrifice 2000 fájljait. A program immár nem csupán Windows 95 és Windows 98 alatt használható, hanem az összes 32 bites Windows kiadásban. A fejlesztők weboldalairól [11] nem csupán a kész program tölthető le ingyenesen, hanem a forráskód is, így a gyanakvóbb szakemberek maguk is ellenőrizhetik, mit is telepítenek fel rendszereikre. A program ezen verziójához is több tucatnyi plugint kínálnak, melyek megadott célfeladatok végzését egyszerűsítik. A pluginok többségének a forráskódja is elérhető.
3.10.3. NetBus
Az 1998 óta folyamatosan fejlesztett NetBus program egy remek távadminisztációs eszköz, amely lehetőséget ad arra, hogy egy TCP/IP protokoll alatt működő helyi hálózaton, vagy akár az Interneten keresztül matassunk a távoli gépeken. Carl-Frederik Neikter programja két részből áll. A szerver programot (általában, de nem mindig PATCH.EXE) kell a távoli gépre bejuttatni, és ezt lehet távolról vezérelni a kliens programmal. A NetBus esetén, mint a többi backdoor programnál is, a kritikus elem ennek a szerverprogramnak a bejuttatása a kiszemelt rendszerbe és elindítása a felhasználó, azaz az ember közreműködésével vagy nélküle. A szerver modul, azaz a PATCH.EXE alapértelmezésként az első indításkor betelepszik a megtámadott rendszerbe és gondoskodik arról, hogy automatikusan elinduljon a Windows minden (újra)indításakor. A taszk menedzser nem nagy segítség a NetBus program jelenlétének jelzésére, mivel a program alaposan elrejtőzik és nem látható, legalábbis a gyakorlatlan szem számára a taszklistán. A kliens programnál a sok távoli gép között az IP cím vagy a számítógép "host" neve alapján célozhatjuk meg a választott távoli számítógépet. A szerver programot, amely Windows 9x/NT és újabb Windows változatok alatt működőképes, parancssori paraméterekkel is vezérelhetjük, amennyiben szándékosan magunk indítjuk el.
114 A /noadd kapcsolóval arra utasítható a program, hogy ne telepedjen be a Windowsba, ne akarjon minden Windows indításkor elindulni. Elsősorban teszt jellegű feladatoknál alkalmazzuk. A /remove kapcsoló hatására a NetBus szervermodulja nyom nélkül eltávozik a memóriából, sőt a Registry rá vonatkozó bejegyzéseit is rendbe teszi. A szerverprogramhoz való hozzáférés jelszóval korlátozható. Ehhez a /pass:KaQkk illetve hasonló jelszavas kapcsolót kell beleírni a programot végül elindító parancssorba. Amennyiben megadtunk a program számára egy jelszót, csak azzal a kliens programmal veszi fel az adatkapcsolatot, amelyik megadja a szerverprogram számára ugyanazt a jelszót. A /port:portszám kapcsolóval meghatározható, melyik porton keresztül üzemeljen a program, amennyiben nem az alapértelmezett 12345-ös porton keresztül kívánjuk használni.
A szerverprogram úgy is konfigurálható, hogy akár kapcsolók alkalmazása nélkül is a kívánt paraméterekkel induljon el. Az 1.7-es verziótól kezdődően a program beállítható, hogy csak néhány megadott IP címről legyen elérhető. A NetBus 1.7-es kiadása (1998-ban készült!) az alábbi lehetőségeket kínálja: • A CD-ROM tálcáját kiadja/behúzza egyszer, vagy másodpercekben adott intervallumokban. • Megjeleníthet egy megadott .BMP vagy .JPG képet. Ezt – ha elérési útvonal nélkül adjuk meg – a Path-on levő könyvtárakban keresi. • Felcserélheti az egérgombok működését. • Megadott programokat indíthat. • Lejátszhat egy .WAV fájlt. Itt is a Path könyvtáraiban keresi a lejátszandó fájlt, ha nem adunk meg annak nevében elérési útvonalat. • Az egérkurzort a képernyő tetszőleges pontjára mozgathatja át. A távirányított gép egérkurzorának irányítását teljesen átveheti a hacker. • Üzenetet jeleníthet meg a képernyőn. A válasz mindig eljut a hackerhez. • A rendszert le lehet zárni (shutdown) vagy ki lehet lépni az aktuális felhasználóból. • Megnyithatunk az alapértelmezett webböngészővel egy URL-t. • A távoli számítógépen futó programba átküldhetünk a NetBus segítségével megadott billentyűleütés sorozatokat. A kliens program "Message/text" mezőjében megadott szöveg kerül át a távoli gépen futó alkalmazásba a kurzor alatt levő helyre. A "|" karakter segítségével akár többsoros szövegek is átküldhetők. • A NetBus szerver modulja figyelheti, rögzítheti, és gazdájának átküldheti a billentyűleütéseket.
115 • A program képes az aktuális képernyőképet lelopni, ám ezt a képet csak gyorsabb kapcsolatokon keresztül képes megfelelő sebességgel továbbítani. • A megtámadott gépről adatokat, fájlokat küldhet át gazdájának. • Növelheti-csökkentheti a hangerőt a távoli gép hangszóróján. • Rögzítheti a hangkártyához kapcsolódó mikrofonra beérkező hangokat. • Kattogtathatja a billentyűt gépeléskor. Megadott billentyűk kikapcsolhatók. • Letölthet és törölhet fájlokat. • A program vezérlését, felügyeletét jelszóhoz lehet kötni. • Áthelyezheti a fókuszt a távoli gépen. • A szerverprogram akár a saját gépen is előkészíthető, még az átküldés előtt. A program újabb, professzionális kiadásai további szolgáltatásokat is kínálnak. Mivel a program 1998-ban hihetetlenül népszerű volt, a felkutatására és eltávolítására is nagyszámú program született, melyek közül egyik-másik igen komoly tudású program.
3.10.4. Sub7
1999 decembere óta ismert a Sub7 nevű hackerprogram, amely főként mint backdoor alkalmazás kerül besorolásra a különböző programgyűjteményekben. 2001. március 9. óta az í 2.2 beta verzió is az Interneten kering. A trójai programok közé is besorolható programot szerzője folyamatosan fejleszti. A Sub7 lehetővé teszi a hozzáférést az Interneten keresztül a felhasználó fájljaihoz és adataihoz. Alapbeállításban, vagyis ha a beküldő hacker vagy a rendszergazda másként nem rendelkezik, a Sub7 program a 27374-es TCP portot használja, de ez a programon belül egyszerűen megváltoztatható. Amikor nem legálisan kerül a gépre, azaz nem maga a felhasználó vagy az erre feljogosított rendszergazda telepíti be, a program egy .JPG vagy .BMP képnek álcázott Win32 PE típusú dropper (pottyantó) fájlban érkezik a megfertőzendő számítógépre. Ha ezt elindítják, akkor két fájlt telepít a Windows könyvtárába a felhasználó merevlemezén. Ezek egyike az MSREXE.EXE nevű szerver program, a másik az ezt betöltő (loader), amely többnyire, de nem kötelezően RUN.EXE, WINDOS.EXE vagy MUEEXE.EXE névre hallgat. A fenti fájlnevek, mint jeleztük, az alapértelmezett fájlnevek és megváltoztathatók a trójai program konfigurációs programjával. Két további program is kapcsolódik a trójaihoz, nevezetesen a már fentebb említett konfigurációs program, s a kliensprogram, mely utóbbi arra szolgál, hogy beküldője kapcsolatot teremthessen és kommunikálhasson a szerver programmal. Mivel ezek a fájlok nem kapcsolódnak hozzá szorosan az operációs rendszerhez, így biztonságosan törölhetjük rendszerünkről, ha nem kívánt jelenlétüket észleljük.
116
A fertőzés tünetei rém egyszerűek. Szembeötlő jelnek számít, hogy megjelennek a fent felsorolt fájlok a Windows könyvtárában, változások történnek a Registry bejegyzéseiben (lásd alább) és furcsa, nehezen vagy nem magyarázható párbeszéddobozok jelennek meg az érintett számítógépen, vagy azt vesszük észre, hogy valaki vagy valami mintha a billentyűzetről adott volna ki parancsot, miközben ahhoz senki sem nyúlt. A fertőzés voltaképpen az alábbi mechanizmussal játszódik le: A Sub7 az alábbi négy módszer valamelyikével (akár többel is!) hozzáköti magát az operációs rendszerhez: A WIN.INI fájl [Windows] szekcióján belül a "run=" kezdetű sort kiegészíti a szerverprogram nevével. Ezzel eléri, hogy a backdoor minden rendszerinduláskor betöltődik és garantáltan vezérlést is kap. (Ez még 16 bites örökség!) A SYSTEM.INI fájl [boot] szekciójában a "shell=" kezdetű sor végére beírja a szerverprogram nevét. A szerverprogram két alábbi kulcsához hozzárendeli a szerverprogram nevét: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\ és HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ . Megváltoztatja a Registry alábbi módosításával az .EXE programok futtatásának mikéntjét: HKCR\exefile\shell\open\command\(Default) (ahol HKLM = HKEY_LOCAL_MACHINE, HKCR = HKEY_CLASSES_ROOT). Itt az ""%1" %*" értéket "mueexe.exe "%1" %*"-re írja át. Hasonló eszközökkel él egy sor Win32-es programféreg is (például a W32/Navidad, a W32/Nimda és a W32/Sircam). Ha ezt a módosítást a backdoornak sikerül elvégeznie, akkor a rendszer minden egyes alkalommal, amikor a fertőzött gépe egy .EXE programot indítanak, lefuttatja a Sub7 betöltő programját. Ennek hatására .EXE programok indításakor először mindig a fenti betöltő program indul el, majd elindítja a fő szerver programot, ha az még nem futna, és ez után indul el az a program, amit a felhasználó (és az operációs rendszer) eredetileg futtatni akart. A trójai arról is gondoskodik, hogy a .dl kiterjesztést futtathatóként regisztrálja. Ha ezzel megbirkózott, akkor az operációs rendszer a .dl kiterjesztésű fájlokat épp olyan futtathatóként kezeli, mintha .exe kiterjesztésűek lennének. Ez a trükk módot ad a hackernek arra, hogy fájlokat töltsön le az áldozatul esett rendszerekre és azokat le is futtassa. Mivel ez a .dl kiterjesztés általában nem kötődik a végrehajtható fájlokhoz, egyes víruskeresők nem ellenőrzik, s az áldozatokban még csak fel sem merül a gyanú, hogy ők már fertőzöttek lehetnek.
117 A Sub7 szerverprogram és segédprogramjai, segédfájljai eltávolítására használhatjuk víruskereső programunkat is, de "kézimunkázhatunk" is. Igaz ez utóbbi nagy körültekintést igényel, mivel az alkalmazandó módszerek attól is függenek, hogy milyen mélyen épült már bele a backdoor program az operációs rendszerbe. Egy mindenképp ajánlható és esetenként igen hasznos trükk, hogy a Windows REGEDIT.EXE programjáról készítünk egy másolatot REGEDIT.COM néven. Ezzel elejét vehetjük annak, hogy a fertőzést aktivizálja a Regedit EXE programként való elindítása, és akkor is hozzáférünk a Registry bejegyzéseihez, ha az .EXE programok futtatása a muuexe.exe törlése miatt gátolt. Mivel az .EXE kiterjesztésre számtalan programféreg települhet rá, az ellenük való védekezésben is hasznát vehetjük a REGEDIT.COM programfájlnak. A Sub7 kézi eltávolításakor az alábbi teendők várnak ránk: 1. Azonosítsuk és jegyezzük fel a víruskereső programunk által backdoorként vagy trójaiként jelzett fájlokat. 2. A Start menü Futtat (Run) parancsára előbukkanó parancssorban adjuk ki a COMMAND /C COPY %WINDIR%\REGEDIT.EXE %WINDIR%\REGEDIT.COM parancsot és az Enter billentyű leütésével hajtassuk is végre. 3. Indítsuk el a Start menü Futtat (Run) parancsán keresztül a frissen legyártott REGEDIT.COM programot. 4. Távolítsuk el a trójaira, illetve backdoorra utaló bejegyzéseket a Registryből: HKCR\exefile\shell\open\command\HKLM\Software\CLASSES\exefile\shell\open\co mmand itt az érték csak a szögletes zárójelek közötti sztinget kell, tartalmazza: [''%1'' %*]. 5. Nézzünk körül a Registry bejegyzései között, és távolítsunk el minden olyan kulcsot, bejegyzést, amely a Registry-ből indítaná a backdoor-t: HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\ HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ HKLM\Software\Microsoft\Active Setup\Installed Components\KeyName\ . 6. Töröljük az alábbi Registry bejegyztést, amennyiben létezik: HKEY_CLASSES_ROOT\.dl majd lépjünk ki a Regedit programból. 7. Ellenőrizzük a WIN.INI fájl bejegyzéseit és a [windows] szekcióban levő "run=" kezdetű sorból töröljük az esetleg ott található utalást a backdoor-ra. 8. A SYSTEM.INI fájl [boot] szekciójában ellenőrizzük a "shell=" kezdetű sort távolítsuk el belőle az esetleg a backdoorra mutató hivatkozást. Itt csak az EXPLORER.EXE neve szerepelhet.
118 9. Indítsuk újra a rendszert és 10. töröljök a backdoor program fellelhető példányait. Ha minden rendben zajlott le, akkor a backdoort tartalmazó fájlokat simán tudjuk törölni. Amennyiben azt a rendszerüzenetet kapnánk, hogy a windows nem képes törölni a fertőzést hordozó fájlokat, mert azokat használja valaki vagy valami, akkor valami hibát követhettünk el a lépések során, és ismételjük meg az 1-9 pontokat.
3.10.5. További backdoor programok
A kínálat természetesen nem korlátozódik a BackOrifice, BO2K, NetBus és Sub7 programokra, hanem nagyszámú további backdoorként (is) használható programot tölthetünk le a netről. Ezek közül a Phase és a WinCrash érdemel említést, bár a többi program is remekül beválik távmenedzselési vagy éppenséggel backdoor célokra.
3.10.5.1. Phase, Backdoor.Phase, Phase Server
A Phase egy a nevezetes BackOrifice programhoz hasonló rejtett hacker távadminisztrációs segédprogram. Mint ilyet, egyaránt besorolhatjuk a trójai és a backdoor programok közé is. A Phase lehetővé teszi, hogy egy távoli konzolról átvegyék az érintett számítógépek vezérlését, fájlokat vegyenek át, módosítsák, s akár károsítsák a telepített szoftvereket. A Phase társaihoz hasonlóan lehetővé teszi fájlok távvezérelt fel- és letöltését, paraméterezett végrehajtását, könyvtárak listázását, megváltoztatását, létrehozását és törlését. Lehetőséget ad a szerver programot távvezérlő hackernek fájlok helyi másolására, áthelyezésére, átnevezésére, törlésére, a szerver program lezárására, eltávolítására, Registry kulcsok létrehozására, törlésére, olvasására és módosítására.
119 4. Védekezési stratégiák
A számítógépeken tárolt adatok sérülékenyek. Bár az operációs rendszerek maguk is biztosítják, hogy normális üzemben ne lépjen fel adatvesztés, állományok sérülése és/vagy elvesztése, balesetek, emberi hibák, hardver- vagy szoftverhibák, áramszünetek, vírustámadások, szándékos károkozások bármikor előfordulhatnak. Ezek teljesen sohasem zárhatók ki, ám hatásaik minimalizálhatók, az adatvesztés kockázata az elviselhető szintre vagy akár az alá csökkenthető, amennyiben megtesszük a szükséges megelőző intézkedéseket. Összeállításunk e fejezetében az alábbi témakörökkel foglalkozunk: Megelőzés Szervezeti és szervezési eszközök Lemezek, programok, bejövő anyagok ellenőrzése használatba vétel előtt Backup stratégiák Megelőző védekezés programférgek ellen Folyamatos ellenőrzés Antivírus- és adathelyreállító szoftverek On access keresők Ad hoc keresők Levelező rendszerek vírusvédelme Az antivírus szoftverek adatbázisainak és keresőmotorjának rendszeres frissítése Antivírus programok a script- és makrókártevők ellen Vészhelyzetterv Vállalati adatvédelmi és vírusvédelmi stratégiák, IBSZ Az oktatás szerepe és szükségessége
4.1. Néhány gyakorlati kérdés
A vírusokról, rosszindulatú programokról szóló információ lehet ugyan önmagában is érdekes, de gyakorlat értékét az adja, hogy hasznosítani lehet a másutt megszerzett tapasztalatokat. Ebben a fejezetben olyan kérdésekkel foglalkozunk, amelyek a vírusfertőzések felismerését, a vírus okozta károk felmérését, a kárérték becslését teszi lehetővé. Az alábbiakban kitérünk pár népszerű, ám megvalósíthatatlan elképzelésre és összefoglaljuk a leggyakrabban feltett kérdéseket. A legelső és talán legtöbbször feltett kérdés: Miről ismerhető fel egy fertőzés? A vírusfertőzéseknek számos nyilvánvaló és legalább annyi rejtett jele, tünete van, amelyek gyanúsak lehetnek. Nem szabad azonban beugrani a megtévesztő jeleknek, hisz vannak olyan
120 tünetek, tünetegyüttesek, amelyek nem csak vírusfertőzést jelezhetnek, de a számítógép működésének egyéb rendellenességeit is jelezhetik. A leggyakrabban feltett kérdések között szerepel az is, hogy: Mit okozhatnak a vírusok? Természetes, hogy az ember kíváncsi és szeretné tudni, hogy mit is jelent számára a fertőzés. Nem véletlen, hogy a vírusvadász cégek – csökkentendő ügyfélszolgálatuk terhelését – a keresőprogramokat olyan vírusinformációs adatbázisokkal is felszerelték, amely az egyes vírusok okozta károkról ad lexikonszerű tájékoztatást. A megvalósítások között találunk táblázatos, a laikusok számára kevéssé informatív példákat (mint a McAfee VirusScan programnál) és komplett víruslexikonokat is. A nevesebb cégek weboldalaikon külön fejezetbe gyűjtötték és nyilvánosan (és ingyenesen!) elérhetővé tették vírusismertető anyagaikat. Az oldalak között a legtöbb – természetesen – angol nyelvű, de örvendetesen gyarapodnak a magyar nyelvű tájékoztató oldalak is. A vírusok így vagy úgy, de mindenképpen kárt okoznak. A kárérték számolása nem egyszerű feladat, hisz sok mindent figyelembe kell venni a vírusfertőzésre visszavezethető károk értékének kiszámolásakor.
4.1.1. Miről ismerhető fel egy fertőzés?
A vírusokkal kapcsolatban az egyik legfontosabb kérdés az, hogy miről ismerhető fel, ha egy rendszer vírusfertőzötté válik? Mivel az ismert számítógépvírusok száma mára már alaposan meghaladja az 50 ezret, sokféle tünet jelezheti a fertőzés tényét. Ezek többsége azonban önmagában legfeljebb gyanúra ad okot, de még nem bizonyosság. A felesleges vakriasztások kizárására érdemes egy ellenőrző listát összeállítani mindazokról a jelenségekről, amelyek vírusfertőzésre utalhatnak. Ügyelnünk kell arra, hogy könnyen megtéveszthet a rendszer nem várt működése, az adathordozók sérülése vagy egy egyszerű emberi hiba, mulasztás. Nem minden vírus tehát, ami első pillantásra annak látszik. Mielőtt véglegesen vírusfertőzöttnek minősítenénk egy rendszert, nem árt arra alkalmas programokkal is alaposan ellenőrizni.
A vírusfertőzés jelei tehát az alábbiak közül kerülhetnek ki Víruskereső, vírusellenőr programunk Ha ritkán is, de lehet téves, úgynevezett 1 vírusfertőzöttnek jelez egy vagy több fájlt, vakriasztás. lemezt, merevlemezt, CD-t, stb. Önellenőrző rutinnal ellátott programjaink Okozhatja az adathordozó sérülése vagy 2 azt jelzik, hogy programkódjukat valami akár egy memóriahiba is. megváltoztatta.
121 Megváltozik ellenőrzőösszeges védelemmel Okozhatja az adathordozó sérülése vagy 3 ellátott fájljaink tartalma. akár egy lappangó memóriahiba is. Vannak programállományok, amelyek konfigurációs, regisztrációs adataikat 4 Megváltozik néhány programunk fájlmérete. nem külső állományban, hanem a programállomány belsejében tárolják. Okozhatja memóriahiba vagy egyéb Nem vagy hibásan futnak le egyes 5 hardverhiba, a konfigurációs beállítások programjaink. véletlen megváltoztatása, stb. Ugyanez a tünet, ha kevés a memória és a merevlemez hely, illetve már nagyon 6 Észrevehetően lelassul a rendszer. régen végeztek a merevlemezeken töredezettség-mentesítést. Előfordulhat, hogy mellényúlunk. A Nem várt üzenetek, képek jelennek meg 7 Wordben több száz kevéssé ismert programfutás közben. billentyűkombináció van. Feltűnően sokat foglalkozik a rendszer a Lehet hogy egyszerűen csak ráfér a 8 floppy lemezekkel. floppyra egy alapos újraformázás. Megváltoznak, eltűnnek fájljaink, 9 Kollégáink is törölhettek. könyvtáraink. 10 Valami leformázta a merevlemezt. Lehet emberi hiba is. Ha véletlenül elállítják a CMOS 11 Eltűnnek egyes partíciók a merevlemezről. Setupban a merevlemez adatait, annak is ez a tünete. Nyomtatáskor idegen szövegrészek kerülnek 12 a kinyomtatott dokumentumokba. Sok az olyan kimenő levél, amiről nem 13 A levelező rendszer leterheltté válik. tudunk. Megváltozik a Word, az Excel vagy az 14 Okozhatják készen vett új szoftverek is. Access menüszerkezete. Családtagjaink, munkatársaink is 15 Idegen fájlok jelennek meg lemezeinken. telepíthettek szoftvereket. 16 Hangeffektusok jelentkeznek. Például: "Yankee Doodle" Ingyenes programok gátlástalan 17 Megtelik ikonokkal az asztallap. telepítésekor is előfordulhat.
122 Mivel az itt felsorolt tünetekre más, ésszerű magyarázat is lehet, s ezek közül párat mi is jeleztünk, először mindenképpen ellenőrizni kell a rendszert, mielőtt egy-két gyanús tünet alapján vírusfertőzöttnek minősítenénk.
4.1.2. Mit okozhatnak a vírusok? - Vírus okozta károk
A vírusfertőzések okozta károkat szintekre oszthatjuk.
Elsődleges károk: A víruskódban lévő pusztító, romboló algoritmusok következményei, mint - a programok sérülése; - a hardver sérülése (például a Flash-BIOS tönkremegy – Win95/CIH); - a tárolt adatok sérülése – pótolni, javítani, ellenőrizni kell a sérült állományokat; - hibás nyomtatás ("WM/Nuclear"); - a vírusok egyes adat vagy programfájlokat titkosíthatnak – WM.Talon, WM.Atom; - a vírusok vagy más rosszindulatú programok kiszolgáltathatják adatainkat, jelszavainkat, dokumentumainkat arra nem jogosult személyeknek; - gépidő-kiesés; - az eltávolítás és helyreállítás költségei.
Másodlagos károk Hitelvesztés – sok cégnél még ma is eltitkolják a vírusfertőzés tényét, mivel rossz fényt vetne a cégre.
Harmadlagos hatások - Pánik miatti adatvesztés – vírusriasztásra a főkapcsolóval kapcsolják ki a gépeket; - Pánik miatti gépidő-kiesés; – a hoaxok, vagyis rémhírek pusztán e módszerrel is károkat okozhatnak; - Hozzá nem értő víruseltávolítás – a OneHalf nem csak fertőz, de el is kódolja a merevlemezt.
Negyedleges hatások A korábban fel nem sorolt káros hatásokat, veszteségeket, költségeket sorolhatjuk ide.
123 4.1.3. A kárérték kiszámolása
A vírus definíciója egyértelművé teszi, hogy minden fertőzés valamilyen károkozással jár. Ez lehet kisebb vagy nagyobb, elhanyagolható vagy súlyos, de a rendszer nem marad semmiképpen érintetlen. A tényleges kárérték kiszámításához az alábbi kérdésekre kell megtalálnunk a választ:
Okozott-e adatvesztést, s ha igen, a kár helyreállítása milyen költségekkel jár? Ide tartoznak az újbóli adatrögzítés, az ismételt ellenőrzés, a gépidő kiesés és az adatszolgáltatás időleges kiesése miatti költségek és bevételkiesés is.
Sérültek-e a program- és konfigurációs fájlok? Ha igen, akkor a vírusmentesítés költségein túl az újratelepítés, illetve programjavítás, helyreállítás és beállítás költségei jelentkeznek. Egyes önellenőrző programoknál a vírusfertőzés utáni nem tökéletes helyreállítás a program működésképtelenné válásához vagy hibás működéséhez vezethet. Amíg vissza nem állítjuk az eredeti, a fertőzés előtti állapotot, a program működésképtelennek tekinthető, s a kárértékbe az ebből levezethető költségeket és bevételkiesést is bele kell kalkulálni. A rendszergazda fáradságos munkáját is meg kell fizetni, amit a vírusok okozta károk helyreállítása, megszüntetése érdekében végez!
Mennyire befolyásolja/befolyásolta partnereink, ügyfeleink hozzánk való viszonyát a fertőzés nyilvánosságra kerülése? Azzal, akinél gyakran lép fel fertőzés, nem szívesen tartanak kapcsolatot. Néhány amerikai és angol cég abba bukott bele, hogy ügyfelei a sorozatos vírusfertőzések és leállások miatt elpártoltak.
Sérült-e és mennyire az érintett rendszer hitelessége és a kezelt adatok bizalmassága? A mai levelező makró- és scriptvírusok, levelező programférgek között sok olyan található, amely a fertőzött rendszerről dokumentumfájlokat küld ki. Hatalmas károkat okozhat, ha így titkos, bizalmas információk, adatok szivárognak ki és kerülnek rossz kezekbe. A rendszer hitelessége és a bizalmasság nagy érték. Nem szabad elveszíteni!
4.1.4. Miért nincsenek "hasznos" vírusok?
Időről időre fel-feltűnik a színen a „jóindulatú”, illetve a „hasznos” vírus elvetélt koncepciója. Fred Cohen, aki sajnos maga is e téveszmék támogatói közé sorolható, a következőket írta:
124
„Jóindulatú egy vírus, ha egyszer•en jó célokra használják fel, de ez mindenképpen környezetfügg•. Például még egy rendkívül rosszindulatú vírust is el lehet ennek alapján fogadni jóindulatúnak, amennyiben egy ellenség ellenében használjuk fel. A jó és a rossz mindig viszonylagos. Az általam jóindulatúnak tekintett vírusok többsége gyakorlatilag olyan önmagukat sokszorozó szimbólumsorozatokból áll, amelyeknek nincs semmi ismert rosszindulatú mellékhatása. Az úgynevezett „fenntartó” vírusok például, amelyek automatizálnák a rendszeradminisztráció funkcióit, csak azt végzik, amit az embereknek máskülönben manuálisan kellene elvégezniük. Ezek egy csomó felesleges munkát megspórolnak azzal, hogy automatikusan sokszorozzák és terjesztik önmagukat, stb., de egyébként éppen olyanok, mint bármi más program.”
A fenti érveléssel szemben áll Vesselin Bontschev itt következő válasza:
„Szilárd meggy•z•désem, hogy az, amit a legtöbb ember számítógépvírus alatt ért, egyszer•en nem lehet jóindulatú. Amikor egy átlagos felhasználó meghallja a számítógépvírus kifejezést, csaknem teljesen biztos, hogy nincs érvényes meghatározása rá, de abban bizonyosak lehetünk, hogy tiszta elképzelése van arról, mire is szolgál ez a meghatározás. Ezt én valódi számítógépvírusnak nevezem. A valódi számítógépvírusok pedig mindig rosszindulatúak… A hangsúly azon a három megállapításon van, hogy - engedély nélkül lépett be; - szaporodik, azaz végrehajtható objektumokat (programokat) módosít, gépid•t, rendszer er•forrásokat és lemezterületet pazarolva;
125 - lehetséges, hogy kárt okoz, s az, hogy szándékosan vagy véletlenül, a körülmények kedvez•tlen összjátéka folytán, az már másodlagos kérdés. ”
A fentieken kívül számtalan véleményt találhatunk az Internet különböző fórumain a témában, ám ezek túlnyomó többsége határozottan és egyértelműen elutasítja a "jóindulatú számítógépvírus" fogalmát. A kivételek közül az egyik, Shane Coursen írása, aki 1992 óta foglalkozik antivírus kutatással és jelenleg a WildList Organization International elnöke (CEO). A 2001. szeptember 9-én a TechWeb fórumán megjelent írás címe:
'Good' viruses have a future – avagy a "jó" vírusoknak van jövője
Harcolhatunk-e újabb vírusokkal a vírusok ellen? Az őrült cyber-tudósok gúnyt űztek a morális kérdésből. Az önreprodukáló programok elmélete 1949-ben született, amikor Neumann János megjelentette írását "Theory and Organization of Complicated Automata", azaz magyarul "Egy összetett automata elmélete és szervezete" címmel. Sokunk szerint az ilyen programokat vírusoknak kell neveznünk, és ritkán tesszük ezt örömmel. A közvélemény szerint a vírusok gonosz dolgok. Két újonnan kiadott program megkérdőjelezi ezt a hitet és felelevenítette újra a régi vitát, amely arról szólt, hogy készíthetünk és szabadon ereszthetünk-e úgynevezett "jó vírusokat", hogy a rosszak ellen harcoljanak. A 'Code Green' és a 'CRclean' programok a tüzet tűzzel alapon harcolnak a Code Red féreg ellen. A segédprogramocskák közös, jóindulatú célja, hogy lefuttassanak egy olyan folyamatot, amely a Microsoft MS01-033 nevű patch-ét alkalmazza, az olyan rendszerekre, többnyire jóindulatú céllal, amelyek ki vannak téve a Code Red támadásainak, s így a rendszert védetté teszik e féreggel szemben. Mindegyik segédprogram emberi közreműködésnek köszönheti létének kezdetét. De ha egyszer szabadon eresztették, mindegyik automatikusan más számítógépeket keres és áttelepíti azokra is magát. A programok hatékonyan végeznek egy hasznos dolgot, de vírus módjára teszik, olyan módon, amelyet a múltban mindig rossznak ítéltünk. A módszer hátulütője, hogy ezek a segédprogramok férgek százai előtt nyitották meg az utat.
Vírus vírus ellen Tulajdonképpen a Code Green és a CRclean ésszerű megoldások. A Code Red által okozott járvány ily módon rendkívül könnyedén kezelhető, mégis tudnunk kell, hogy egy patch nem
126 alkalmazható minden rendszerre minden időben. Azt is tudjuk, hogy a számítógépvírusok elleni harcban a győzelem kulcsa az, hogy gyorsabban pusztítsuk el a vírusokat, minthogy azok új másolatokat készíthessenek magukról.
A számítástechnika tudománya túl gyorsan fejlődik ahhoz, hogy a számítógépes etika lépést tarthasson vele. Használhatnánk vírust a víruselleni harcban. Az ötlet magában véve nem lenne rossz. Mert el kell fogadnunk, hogy csak egy dolog van, amely gyorsabb a mai számítógépeknél: még több mai számítógép. És csak egyetlen dolog van, amely gyorsan képes kijavítani egy vírusjárvány okozta károkat, az egy másik program, amely a vírus hatékonyságával bír. Ebből a nézőpontból tehát a tűz ellen tűzet módszer a leghatékonyabb módszernek tűnhet. A világ többsége azonban még nincs felkészülve a jóindulatú számítógépvírusok megjelenésére. Éppen úgy, ahogy a genetikában a klónozásnál, a tudomány – ebben az esetben a számítógépes szoftver fejlesztésének tudománya – túl gyorsan fejlődik ahhoz, hogy lépést tarthasson vele bármiféle erkölcsi vagy etikai testület. És ahogy a genetikával foglalkozó mérnökök is nyomás alatt voltak, hogy megtanulják, hogyan klónozható az élet, mielőtt még megállj-t parancsolhattak volna nekik, mivel a klónozás talán mégsem olyan jó ötlet, most a szoftverfejlesztők is nyomás alatt vannak, hogy új szoftvereket fejlesszenek ki, amelyek néha kétes eredetű technológiákat is alkalmaznak. A CRclean terjedési mechanizmusa sérülten érkezett, a szerzője szándékosan rongálta meg, és mind a Code Green, mind a CRclean mellett ott van a figyelmeztetés, hogy vírustechnológiákat alkalmaznak. Mindenesetre a Code Green és a CRclean olyan programok mintapéldányai, amelyek megkérdőjelezhető technikákat alkalmaznak. Az előbbieket félretéve a valóság az, hogy a jóindulatú vírusok, hasonlóan a genetikában a klónozáshoz, már most is léteznek. Mivel a vita holtpontra jutott, átléphetünk a következő kérdésre: hogyan tovább? Már nem az a kérdés, hogy vajon szabad-e vagy sem ilyen programokat létrehoznunk, hanem az, hogy meddig mehetünk el velük.
A fenti írásra számos válasz érkezett, amelyek mindegyike vitatta a "hasznos vírus" koncepció tarthatóságát és megvalósíthatóságát. A levélírók zöme azt emelte ki, azzal, hogy egy elismerten káros vírustól megszabadít, a vírusként terjedő "javító" programok maguk is károkat okoznak, éppen a vírusszerű terjedés miatt. Az operációs rendszerek és a "javítandó" szoftverelemek sokfélesége miatt nem oldható meg, hogy a "javító vírusok" 100 %-os
127 biztonsággal végezzék feladataikat. Így azonban az általuk okozott kár sok esetben nagyságrendekkel is meghaladhatja a megcélzott vírusok okozta károkat. Egy másik szempont is felmerült a levelekben. Ahogy a vírusokat is visszafejtik, átírják, így a ma még ártalmatlan - vagy legalábbis annak szánt - "javító vírusok" is minden bizonnyal hasonló sorsra juthatnának, s az utólagosan beléjük plántált pusztító funkciók, rutinok ismét a veszélyt növelnék.
4.1.5. Honnan jönnek a vandál programok?
Számtalan elképzelés létezik arról, honnan jönnek, honnan jöhetnek a rosszindulatú programok. Ezek nagy része valóban igaz, ám nem elég azt tudni, honnan jönnek, az is fontos hogy miért készítenek és eresztenek szabadon rosszindulatú programokat, közöttük a vírusokat. A malware, azaz a rosszindulatú programok az alábbi helyekről kerül(het)nek ki:
Egyetemi kutatólaborok (lásd Fred Cohen Ph.D tézisei vagy a Lehigh vírus); Katonai kutatólaboratóriumok (például a Whale vírus); Terrorista szervezetek (például a Jerusalem vírus); Másolásvédelmek mellékterméke (például a Pakistani Brain); Anarchista programozók, klubok (például a WM97.Melissa); Munkakörülményeikkel, alkalmazóikkal elégedetlen programozók; Felelőtlen programozók, gyerekek (LoveLetter és a Kurnikova vírus) Amatőrök (makróvírusok és scriptvírusok tömegei).
A fent említett kérdéseket az alábbiakban tárgyaljuk: Kik írnak vírusokat? Miért írnak vírusokat? Miért eresztik rá a világra?
4.1.5.1. Kik írnak vírusokat?
Programozók, amatőrök, katonák, terroristák, diákok. A Microsoft Office 97 és benne a Word 97 megjelenésével egy sor (több tucatnyi, később már több száz) olyan makróvírus is felbukkant, amelyek korábbi, WordBasic-ben megírt makróvírusok átiratai voltak. A Word 97-ben ugyanis olyan módon oldották meg a korábbi Word kiadásokkal való kompatibilitást, hogy beemelték a WordBasic-et a programba, de a Word 97 a makrókat tartalmazó
128 dokumentum és/vagy sablonfájlok beolvasásakor egy automatikus makró-konverziót végez, s mint valami gigantikus vírusgyár, ontja az átkonvertált makróvírusokat. A vírusgyártó kitek megjelenése előtt a víruskészítés a megfelelő szaktudással rendelkező kevesek "kiváltsága" volt. Ma már bárki készíthet új vírust vagy vírusátiratot. Elegendő, ha egy már létező makróvírus vagy scriptvírus egyszerűen átszerkeszthető, kibővíthető programkódját pár sorral módosítják. Az információ szabadsága sajnos azzal is együtt jár, hogy erkölcsi alapok nélküli emberek is hozzájutnak programfejlesztő eszközökhöz és a vírusok írásához szükséges információhoz, dokumentációhoz, segédprogramokhoz.
4.1.5.2. Miért írnak vírusokat?
A hírnév miatt. A hiúság hihetetlenül nagy hajtóerő. Egyes vírusszerzők kifejezetten boldogok, ha vírusaik széles körben terjednek. Mivel a vírusszerzők – elenyésző számú kivételtől eltekintve – álneveket használnak, csak a beavatottak szűk köre tudja, kit is takarnak a híradásokban szereplő nevek. Ma már egyre több országban lehet a vírusszerzőket büntetőjogilag is felelősségre vonni, így a hírnév veszélyes is lehet. A CIH vírus tajvani szerzője például már le is ülte a vírusmegírásáért és szabadon eresztéséért kiszabott 2 évet és a napokban folyik a W32/Goner szerzőinek (14-15 éves izraeli srácok!) pere. De a bíróságon végezte a WM97/Melissa szerzője (David L. Smith) és a LoveLetter Fülöp-szigeti megalkotója is.
A kihívás miatt. Egy időben (a nyolcvanas években) az a mondás járta, csak az az igazi programozó, aki vírust is tud írni! Ez a vírusgenerátorok megjelenése óta már nem igaz. Annak idején egyfajta félresikerült tudáspróba volt a vírusírás. Így például Magyarországon egyetemi és főiskolai kollégiumok vetélkedtek abban, ki ír "jobb" vírusokat.
Kíváncsiság Láttam egy érdekesen működő vírust. Vajon én is tudok ilyet írni? Egyáltalán hogyan működik, és mit csinál? Ha az ember elkezd kísérletezni, előbb-utóbb sikerül. A makróvírusok és a scriptvírusok többsége bizonyíthatóan ennek a kíváncsiságnak köszönheti létét.
Ipari kémkedés Viszonylag kis számú példánk van ilyen céllal írt kártevőkre, de a mai levelező vírusok közül ide sorolhatók azok, amelyek levélmellékletként dokumentumokat küldözgetnek szét levelező
129 listákra vagy megadott e-mail címekre a megfertőzött gépről, és azok is, amelyek hátsó ajtókat (backdoor) nyitnak a beküldő hacker vagy inkább cracker számára. Az ilyen tevékenység már több mint móka, ez már betörés, még ha csak elektronikusan is.
Hatalom A hatalom érzése is vírusírásra vezethet. Erre főképp a trójai faló és az időzített bomba típusú kártevők jellemzőek. A vírusírás úgymond lehetőséget ad a fejlesztőnek, programozónak, hogy egy adott rendszerbe olyan szolgáltatás(oka)t tegyen be, ami miatt nélkülözhetetlenné válik a cégnél. Ez egy lehetséges védelmi illetve pénz- és munkaszerzési módszer. Ha a program például nincs évente újrafordítva, akkor véletlenszerűen hibákat üzen. - Egy idő után fel szokták keresni a fejlesztőt javításért, új verzió(k)ért. Pusztán anarchizmusból is írtak már vírust, "pusztuljon a rend és a hatalom!" felkiáltással.
Kísérletezés Több olyan vírust ismerünk, amelyeket terjedési kísérletként, a terjedés gyorsaságának vizsgálatára engedtek szabadon. Akkor válik kellemetlenné a dolog, ha rosszul tesztelik, és nem vagy hibásan működik a vírus önpusztító része, vegyes környezetbe kerülve "mutálódik", esetleg olyan dolog történik, amire nem számított a fejlesztő. A vírus végül nem pusztítja el saját magát és elszabadul. Ennek elkerülésére szoktak a vírusba olyan ellenőrző modulokat tenni, amelyek megakadályozzák, hogy a fejlesztő gépén elinduljanak a vírus pusztító (és néha szaporító) rutinjai.
Lehet cél vírussal vírust irtani. De elvetendő, lásd Miért nincsenek "hasznos" vírusok? A vírussal történő vírusirtásról kezdenek leszokni, pedig elméletileg egy-egy vírus végleges kiirtásának nagyon hatékony módja lenne. Ehhez azonban alaposan kell tudni programozni, tesztelni, illetve nagyon pontos és alapos információkkal kell rendelkezni arról a környezetről, ahol a vírusok futnak. Mindannyian tudjuk, hogy a Microsoft világa zárt, sötét és rejtélyes.
Összefoglalva: Miért ne, ha egyszer lehet, és nem büntetik annyira, amennyire lehetne, sőt kellene.
4.1.5.3. Miért eresztik rá a világra a vírusokat?
Csak. Mert lehet, bár a legtöbb jogállamban már tilos. Ahogy az egyik gyűjteményben olvastam, a víruskészítők némelyike úgy okoskodik, mivel vírusaik megírásával mesterséges
130 intelligenciát, "életet" hoznak létre, meg kell adniuk vírusaik számára a túlélés lehetőségét. Kíváncsi volnék persze, hogy az illető mit szólna, ha egy náthás őszi vagy tavaszi időszakban az orvos nem a betegeken segítene, hanem az embereket pusztítaná le az influenzavírusról. Néhány vírus heccből, ismerősök, kollégák, főnökök, cégek bosszantására került ki a fejlesztő laborokból. Másokat (például a nevezetes Jerusalem vírust) szándékosan, romboló céllal eresztették rá a világra. Sok vírus eredetileg csak a fióknak készült, ám a nem megfelelő tárolás miatt kerültek ki. A fejlesztőn kívül mások is hozzájutottak a víruskészlethez, gyűjteményhez. A fentieknél sokkal nagyobb mennyiségben találni olyan vírusokat, főleg a levelező vírusok körében, ahol a gép gazdája nem is tud a fertőzésről, s a vírus a háttérben terjed.
4.1.6. Hackerek és crackerek
A hackerek, crackerek és a számítógépvírusok fogalmai egyre inkább összefonódnak, összekapcsolódnak. Bár a napisajtóban még ma is számtalan téves információ jelenik meg a hackerek és a crackerek tevékenységéről, céljairól, valamint a vírusokról, programférgekről és egyéb rosszindulatú programokról, lassan mégis összeáll egy kép a laikus számítógép- felhasználók előtt is. A komputerkalózok többsége szereti magát az információszabadság bajnokaként feltüntetni. Sok programozó és még több gátlástalanul és valódi erkölcsi érzék nélküli programozó-palánta véli úgy, hogy mindenféle védelmet fel kell törni s e tetteikről hírt is kell adniuk minden fórumon. A „szabadság” e bajnokai közül a hackerek itt meg is állnak, hisz számukra elegendő a védelmek feltörése és az információ „felszabadítása”. Aki ennél tovább megy és törli vagy módosítja a feltört rendszer adatait, aki különböző időzített bombákat helyez el, az már nem hacker, hanem a crackerek közé sorolandó. A hackerek és crackerek többsége egyszerű bitvadászként indul, aki meg akarja ismerni a használt programok működését, javítani akar rajta, és ezirányú információit másokkal is meg akarja osztani. Egy levelező fórumon az alábbi párhuzammal próbáltak rávilágítani a hacker és a cracker közötti alapvető különbségre:
"Ha reggel az autódhoz érve azt veszed észre, hogy az ajtó nyitva van, ugyanakkor valaki megjavította a rádiót és már a hetek óta rossz CD lejátszó is újra m•ködik, akkor egy hacker látogatott meg. Ha azonban azt találod, hogy kocsid oldalsó ablakait féltéglával bezúzták és kitépték a rádiót, valamint az összes
131 beszerelt értékesebb elektronikát a helyér•l, akkor egy cracker látogatott meg."
A vírushelyzet (látszólag) évek óta fokozatosan romlik, ám ma már van némi halvány remény arra, hogy megtanuljunk együtt élni a kockázatokkal, veszélyforrásokkal. Néhány alapvető szabály betartásával (ezek ismertetésére a kötetben később térünk ki) akár nagyságrendekkel csökkenthetjük a nem kívánt malware programok bejutásának és pusztításának esélyeit. Sajnos általános tendencia, hogy a víruscserélő (VX) csoportok fokozatosan kiszélesítik érdeklődési köreiket, és a hackercsoportok is terjeszkednek a VX-rokon területek felé; a vírusvadász (AV) cégek pedig nem csupán a valódi vírusok keresését építették be víruskereső és vírusellenőrző programjaikba, de egy szélesebb, malware-nek nevezett programkör keresését és észlelését is. A trójai, backdoor és egyéb, úgynevezett „security tools”, azaz biztonsági eszközök közé sorolható szoftverek hihetetlenül magas száma arra kényszerítette az AV cégeket, hogy ezeket a segédprogramokat is detektálják. Annak ellenére, hogy ezek nem vagy nem feltétlenül vírus-jellegű programok, mégis sok – egyéb iránt igen jól karbantartott – vírusgyűjteményt is felhígítanak pusztán amiatt, mert az AV szoftverek sok esetben tévesen és feleslegesen vírusként vagy trójai programként detektálták őket. A teljesen funkcionális és élő „single-file” vírusokkal ellentétben a legtöbb backdoor-ként azonosított minta nem működőképes az eredeti csomagban mellette elhelyezett segédfájlok nélkül. Az általában automatikusra beállított vírusmentesítést követően a gyanúsnak minősített szoftver így csonkul és használhatatlan lesz. A fentieken túlmenően sok víruscsereberét támogató weboldal azzal is felkavarja az amúgy is zavaros vizet, hogy szabadon letölthető anyagaik közé korlátozások nélkül felveszik a backdoor és trójai jellegű programokat is. Nagyon valószínű, hogy ezen weboldalak gazdái még azzal sincsenek tisztában, hogy van-e és miféle különbség ezen anyagok és a vírusok között.
Kevin Mitnicken kívül, aki összeállításunkban külön fejezetet érdemelt ki, több neves hackert is ismerünk, akik büszkén viselik a hacker jelzőt. Ezek egyike, Erik Bloodaxe például egy Legion of Doom nevű klubot vezet. Egy másik notórius hacker Phiber Optik néven ismert. A leghírhedtebb hacker azonban Death Vegetable vagy Veggie, aki a The Cult of the Dead Cow nevű hackerklub (cDc) ma is aktív tagja. A hackerkultúra hatóságot elutasító természetének jellegzetes példája saját weblapjuk. A cDc előre figyelmezteti a véletlenül odatévedő látogatókat, hogy weboldala nem a nyugodt életre vágyóknak való:
132 "may contain explicit descriptions of, or advocate one or more of the following: nudity, satanism, suicide, sodomy, incest, bestiality, sadomasochism, adultery, murder, morbid violence, bad grammar, or any deviate sexual conduct in a violent context, or the use of illegal drugs or alcohol."
Magyarán szólva ezen az oldalon az alábbi szörnyűségek valamelyikével találkozhat az odatévedt látogató: meztelenség, sátánizmus, öngyilkosság, szodómia, vérfertőzés, bestialitás, szado-mazochizmus, felnőtt anyagok, gyilkosság, morbid erőszak, rossz nyelvhasználat, vagy bármilyen deviáns szexuális viselkedés egy erőszakos kapcsolatban, illegális drogok vagy alkohol használata. A fent említett oldal egy Thomas Jefferson idézetet is tartalmaz, amely a hacker-etikának azt a kitételét illusztrálja, hogy az információ szabad. A következő szöveg az idézet:
"Those who desire to give up freedom in order to gain security, will not have, nor do they deserve, either one."
Magyarul: akik a biztonságuk érdekében feladják a szabadságukat, azok se szabadok nem lesznek se biztonságban nem lesznek és nem is érdemlik meg egyiket sem! Az 1985-ben alapított cDc büszkén vallja, hogy ők a legrégebben alapított még ma is aktív hacker-klub a számítógépes alvilágban, és az egyetlen amely évente megtartja közgyűlését (HoHoCon). Ezzel ugyan a Németországban működő Chaos Computer Club tagjai és hívei tudnának vitatkozni, de ez nem az a fórum. Összeállításunk e fejezetében az alábbi témák kapnak kiemelt hangsúlyt: Egy hírhedt cracker - Kevin Mitnick A Chaos Computer Club
Az alábbi idézetek a fent ajánlott, weben át is elérhető Hacker szótárból valók [12]:
hacker n. [originally, someone who makes furniture with an axe] 1. A person who enjoys exploring the details of programmable systems and how to stretch their
133 capabilities, as opposed to most users, who prefer to learn only the minimum necessary. 2. One who programs enthusiastically (even obsessively) or who enjoys programming rather than just theorizing about programming. 3. A person capable of appreciating hack value. 4. A person who is good at programming quickly. 5. An expert at a particular program, or one who frequently does work using it or on it; as in `a Unix hacker'. (Definitions 1 through 5 are correlated, and people who fit them congregate.) 6. An expert or enthusiast of any kind. One might be an astronomy hacker, for example. 7. One who enjoys the intellectual challenge of creatively overcoming or circumventing limitations. 8. [deprecated] A malicious meddler who tries to discover sensitive information by poking around. Hence `password hacker', `network hacker'. The correct term for this sense is cracker.
The term `hacker' also tends to connote membership in the global community defined by the net (see the network and Internet address). For discussion of some of the basics of this culture, see the How To Become A Hacker FAQ. It also implies that the person described is seen to subscribe to some version of the hacker ethic (see hacker ethic).
It is better to be described as a hacker by others than to describe oneself that way. Hackers consider themselves something of an elite (a meritocracy based on ability), though one to which new members are gladly welcome. There is thus a certain ego satisfaction to be had in identifying yourself as a hacker (but if you claim to be one and are not, you'll quickly be labeled bogus). See also geek, wannabee.
134
This term seems to have been first adopted as a badge in the 1960s by the hacker culture surrounding TMRC and the MIT AI Lab. We have a report that it was used in a sense close to this entry's by teenage radio hams and electronics tinkerers in the mid-1950s.
4.1.6.1. Az információ szabad!
A másolásvédelmet sokan összekeverik – általában tudatosan – a hozzáférési jogok, illetve a szelektív hozzáférés biztosításával, pedig két különböző dologról van szó. A www.origo.hu weboldalon van egy fórum, amelynek az indító kérdése a következő: A hackereknek a börtönben vagy az irodában a helyük? Az alábbiakban következzen néhány idézet a beküldött levelekből:
1. Röviden a hacker egy olyan szakember, aki szakterületén igyekszik a lehet• legjobbat nyújtani, és tudását jóindulattal használja fel. Például az egyik alapgondolat az, hogy soha semmit nem szabad tenni valami ELLEN, mindig valamiért kell tenni. Hackerek írták a szabad szoftverek túlnyomó részét is; Linux, BSD, stb. A crackerek többnyire 12-17 év közötti kisfiúk, akik szereztek valahonnan egy szoftvert, amivel ki lehet használni egyes rendszerek biztonsági hibáit, és ezt rendkívül szórakoztatónak vélik. Ez koruk sajátossága. Hát ennyi. Szerintem nem kell bezárni senkit sem, ha olyan operációs rendszert használsz netezéshez, ami nem fekszik meg az els• kóbor crackernek, akkor nem érhet baj.
2. És azt is vitatom, hogy az a hacker, akire a szó eredetileg vonatkozik, vonatkozott, anti-szociális lenne; a szabadszellem•séggel már inkább egyetértek (ez akár külön téma is lehetne), viszont megfelel•en inspiráló környezetben, értelmes feladattal és
135 csapattal szerintem igenis nagyon jó munkaetikájúak, s•t: a hack angol jelentése olyasmi, mint magyarul a "tákolás" vagy "barkácsolás", vagyis a hackelés eredetileg "cseles" kreatív m•szaki alkotást jelent - ez a hacker f• mozgatórugója, vagyis a kreatív, ötletes, m•szaki megoldás keresése, a tökéletességre törekvés - és a büszkeség: "Milyen jól megoldottam! Milyen jól m•ködik!" Amiben - legalábbis amikor én dolgozom, de nem hiszem, hogy ezzel egyedül vagyok - benne van az is: "Mennyivel könnyebb, jobb lesz ezzel mások munkája, élete!"
3. Nos, úgy látom itt komoly problémák vannak a hacker és cracker fogalmak definiálásánál. A legnagyobb tévedés: a hacker nem tör fel hálózatokat még hobbiból sem, a hackerek igen kiemelked• tudású szakemberek. Igaz, hogy sok rendszerbe be tudnának hatolni, de aki ezt megteszi, az nem nevezheti magát igazán hackernek. Igazi hackerek irányítása alatt mennek a legnagyobb rendszerek, •k azért dolgoznak hogy a hálózat, és a net minél jobb, tökéletesebb legyen. Keress rá a neten a hacker howto szavakra ha részleteket akarsz. A hackerek a média áldozatai. Mindenhol hackereket emlegetnek ahol behatolásról van szó, mert igazán nincs rá jó és elfogadott szavunk a behatolókra, és a hacker szót mindenki ismeri. Így lettek a jófiúkból börtönbe való terroristák:-( Crackerügyileg már kissé jobb a helyzet, hisz mindenki találkozott már crackekkel, ami programok védelmét szüntette meg például. Ha már tiszták a fogalmak akkor elmondom, hogy szerintem ki mit érdemel :-)) Hacker: nagy-nagy megbecsülést. Behatoló: ha valaki illetéktelen jön be a szerveremre és utána kapok egy mailt hogy itt és itt hibádzik a védelmem, akkor egy nagy köszönetet érdemel (volt már
136 rá példa) Ha a behatoló kárt akar okozni, megkaphatja a börtönt. Cracker: itt is a szándék alapján választanám szét •ket: - aki cracket csinál (tehát hozzáférés- és másolásvédelmeket szüntet meg a programokban), és nem a saját hasznára teszi, az elfogadott, de ha pénzért árusítja, akkor szintén a dutyit érdemli. Szerintem nem lehet megmondani hogy a behatolás vagy a crackkészítés jó vagy rossz, s•t mindkett• jó valahol, hisz aki például a saját rendszerébe próbál behatolni, az sokat tanulhat bel•le, ugyanígy van a crackkészítéssel is, nagyon sokat lehet bel•le tanulni, és ez jó. Mindkét dolgot a szándék alapján kellene megítélni, ez pedig igen nehéz. Macer, aki reméli hogy egyszer igazi hacker válik bel•le
4. Azért ennyire nem egyszer• a kérdés. Nehogymá megkelljen dicsérnem bárkit, aki be tud jönni a személyes dolgaimat is tartalmazó gépemre. Ez éppen olyan, mintha én addig kukucskálnák be a lakásod ablakán, meg az ajtó kulcslyukán, amíg be nem tudok menni hozzátok az engedélyed nélkül. Neked meg csak a tett megköszönésének a joga maradt azután, hogy megnéztem mindenedet a lakásodban, még azt is, hogy milyen fehérnem•ket visel a feleséged, vagy az anyád. Na ne má!!!! Dutyiba mindegyikkel. De például én személyesen már egy pár taknyost pofon is vertem ilyen dolgokért.
Mint a kiragadott példákból látható, sok még a tisztázandó kérdés.
4.1.6.2. A hackerek 12 parancsolata
A sajtó híradásaival ellentétben a hackerek célja nem a pusztítás, hanem éppen ellenkezőleg, az alkotás, a meglevő rendszerek hibáinak felkutatása és kijavítása, új rendszerek létrehozása
137 és az információ szabadságának minél teljesebb biztosítása. Az igazi hackerek – bár nem mindig legális eszközökkel dolgoznak – komoly etikai normákat fogalmaztak meg saját maguk számára, és ezeket igyekeznek is követni, betartani. A hackerek erkölcsi alapállását meghatározó tizenkét parancsolat világosan megfogalmazza a hackertársadalom számára, mit tehet meg és mit kell elkerülnie [7].
1.Vírust ne írj, víruskódot ne adj oda kívülállónak, ne terjessz, mert következményei beláthatatlanok! 2.A kommunikációs hálózatokat használd ki, derítsd fel! Szolgáltatást lopni nem b•n. De ne tedd tönkre ezeket a rendszereket, amelyek a te kényelmedet szolgálják. 3.A fizet• adatbankokat ingyenesen nyisd meg magad és a mások számára! Információt lophatsz, de azokat a rendszerekben módosítani és törölni tilos. 4.Ha egy érzékeny (katonai, nemzetbiztonsági, stb.) rendszerbe sikerült bejutnod, akkor a hackertársadalom megbecsült tagjainak segítségével és a rendszerben elhelyezett információval hívd fel a gazdák figyelmét arra, hogy lyukas a védelmük. Ne feledd, nemcsak hecc az adatlopás, hanem hatalmi téboly és terrorista •rület is fel tudja használni ezeket az adatokat, s téged is kényszeríthetnek tudásod kiadására. Egy esetleges atom- vagy biológiai háború kirobbantása neked sem lehetne érdeked, mert azt te sem élnéd túl. 5.Noha a banki, pénzügyi rendszerek nem érzékenyek, azok módosítása éppen olyan, mintha fegyverrel rabolnál bankot. A következményei is ugyanazok! 6.Amit megtudtál az egyes számítógépes rendszerekr•l, az nem lehet üzleti alku tárgya. Csak egymás közt adható tovább, mert különben terroristák, ipari vagy politikai kémek célpontjává válsz! 7.Vírus és másolásvédelem írásához sem pénzért, sem szívességb•l senkinek ne nyújts segítséget! Ha valakit ilyesmin kapsz, tegyél meg mindent az általa okozott kár következményeinek enyhítésére.
138 8.Lépj fel minden olyan jelenséggel vagy cselekedettel szemben, amely az informatikai társadalom stabilitását veszélyezteti! Ne rombolj, hanem járulj hozzá konstruktívan. A magánszféra számítógépes ellen•rzését azonban saját eszközeiddel minden módon akadályozd meg! 9.Másolásvédett program védelem nélküli verzióját ingyen add oda annak, aki kéri, hogy minél kevesebb programot tudjanak védetten eladni. 10.Ha védett program feltörését kérik, tedd meg, ha tudod. Ha nem megy, keresd meg azt, aki képes rá. A felhasználót se vágd meg, mert nem illik komoly hasznot húzni olyan dologból, amit magad is elítélsz! 11.Másolásvédelem nélkül, elérhet• áron forgalmazott programot olyannak odaadni, aki azt nyugodtan megvehetné, illetlenség. Mit szólnál hozzá, ha az általad készített olcsó programokból minimális bevételed sem lenne? A védelmeket leszed• programokat viszont mindig ingyenesen add tovább! 12.Egy program rendszerüzeneteit átírhatod, de a szerz•i jog jelzését átírni tiszteletlenség. Különösen erkölcstelen dolog az ilyen programot sajátként árusítani.
4.1.6.3. Egy hírhedt cracker - Kevin D. Mitnick
1999. augusztus 11-én a San Francisco-i Kerületi Bíróság többszöri halasztás után ítéletet hirdetett a történelem leghírhedtebb hackerének ügyében. Kevin Mitnick, aki egyesek számára hős, mások számára minden idők legveszélyesebb kiber-bűnözője, végül enyhe büntetést, négy év öt hónap és 22 nap börtönt kapott. Mivel azonban Mitnick már négy évet töltött előzetes letartóztatásban az ítélethirdetés előtt, a ténylegesen hátralévő letöltendő büntetés nem egészen egy év volt. Az ítélet sokak számára talán túlontúl enyhének tűnhet, ám az Amerikai Egyesült Államok ítélkezési rendszerében rendkívül bonyolult a bizonyítási eljárás a számítógépekkel
139 kapcsolatos ügyekben. Ez már abból is jól látható, hogy csak minden ötödik ilyen ügy záródik végrehajtandó bűntető ítélettel. A börtönbüntetés mellett mellékbüntetésként Mitnicket 4125 dollár kártérítésre is ítélték. Ez természetesen sokkal kevesebb, mint az a 1,5 millió dollár, amit a szövetségi ügyész kért a vádiratban. Marianna Pfaelzer bírónő azzal magyarázta a pénzbüntetés ilyen mérvű csökkentését, hogy ítéletében olyan pénzbüntetést igyekezett kiszabni, amelyet a hacker ki is tud fizetni, nem a kár összegével arányos pénzbüntetést, amelyet valószínűtlen, hogy valaha is ki tudna fizetni és bár tudjuk jól, hogy a közösségnek okozott kár ennél sokkalta nagyobb. Kevin Mitnicket, mint már írtuk, minden idők legmegrögzöttebb számítógépes bűnözőjének tartják. Ami azt illeti, a Guinness Book of World Records 1999-es kiadásában pontosan így szerepel. Akciói sok neves céget érintettek, melyek között olyanok is szerepelnek, mint a Fujitsu, a Motorola, az USC, a WELL, az US West, az Air Touch, az MCI, a Pacific Bell, a Sun Microsystems és a San Diego Supercomputer Center. Ezek mind megtapasztalhatták, hogyan hatolt be Mitnick rendszereikbe, bizalmas információk megszerzése céljából. Miközben Mitnick a börtönben ült, a hackerek világszerte mindent elkövettek, hogy elérjék szabadon engedését. E kampány során az FBI, a Pentagon és a New York Times szervereit és még sok más szervert is folyamatosan támadták a Mitnick szabadon engedését követelő hackerek. "Szabadságot Kevinnek" volt az akció harci kiáltása. A szélesebb közvélemény különböző szektorai eközben folyamatosan követelték, hogy határozott ítéletet hozzanak a hacker ellen, s döntsék el végre, hogy bűnös-e vagy ártatlan, vagy pedig engedjék végre szabadon. Az ítélet tartalmaz egy olyan pontot is, amely kétségtelenül sokunkat megnyugtat, és amely talán egy kissé elfogadhatóbbá teszi az ítéletet. Szabadlábra helyezését követően felügyelőtisztjének írásbeli engedélye nélkül Mitnicknek ugyanis tilos számítógép, mobiltelefon vagy bármely más olyan eszköz közelébe kerülnie, amellyel hozzáférhetne egy számítógéprendszerhez. További érdekességek a témában: Előzmények Kevin Mitnicket kiengedték a börtönből Ne bízz senkiben! A leendő tévésztár Social Engineering (társadalommérnökség)
Előzmények A világ legveszélyesebbnek kikiáltott hackerét, az Amerikában évek óta körözött Kevin D. Mitnicket két hónapos digitális bújócska és fogócska után fogta el egy adatvédelmi szakértő.
140 A számítógépkalózra az FBI, Tsutomu Shimomura cyberdetektívre pedig az új típusú hősökre vadászó amerikai média csapott le az esős februári hajnalon. Kevin nem az az anyagias típus. Bár tinédzser kora óta bohócot csinált bármely digitális rendszervédelemből és az általa eltulajdonított szupertitkos dokumentumok, friss fejlesztésű szoftverek és egyéb nagyértékű információk összértékét több százmillió dollárra becsülik, pénzhiány miatt mégis csak egy hivatalból kirendelt ügyvéd védi. Az őt rendőrkézre juttató végzetes hibát 1994 karácsonyán követte el. Tsutomu Shimomura, az USA egyik vezető adatvédelmi szakértője, aki a San Diego Supercomputer Center-nél dolgozott, éppen szokásos évi síszabadságát töltötte, amikor munkatársai értesítették, hogy 1994. december 25-én valaki behatolt az Interneten át a tengerparti házában működő számítógéprendszerbe, kipakolta a legújabb adatbiztonsági programjait, tréfás hangüzenetet hagyott merevlemezen és távozott. Az ismeretlen hacker a Unix egy olyan biztonsági rését használta ki amelynek elméleti lehetőségét egy másik híres számítógépbetyár, az Internet Worm hálózati pszeudo-vírust kiagyaló Robert T. Morris már 1985-ben felvetette. Az cyberzsaru azonnal felvette a kapcsolatot az FBI képviselőivel, és ezzel megkezdődött a számítógépes zsenik sakkjátszmája. A sors iróniája, hogy az első nyomot január végén egy Számítógépek, Szabadság és Privátszféra elnevezésű alapítvány Internetes postafiókjában találták, ahová az információszabadság akkor még névtelen bajnoka felmásolta a Shimomurától lopott adatvédelmi dokumentációt. Az alapítvány nem értékelte a gesztust, hanem azonnal értesítették a hatóságokat. Nem telt bele 24 óra, és Shimomura az e célra készített speciális megfigyelő programja segítségével már laptopja képernyőjén követte nyomon az alapítvány Internet-szolgáltatójánál, a kaliforniai Berkeley Whole Earth 'lectronic Link (Well) szerverén történt újabb behatolást. Az elkövető profizmusa, stílusa és módszerei egyaránt az évek óta illegalitásban tevékenykedő Mitnickre terelték a gyanút. Mitnick élettörténete egy folytatásos digitális ámokfutás. A lapok címoldalaira először 1982- ben került fel, amikor bejutott az amerikai légvédelem egyik szuperkomputerébe. Tizenhét évesen egy telefonfülkéből feltörte a Pacific Bell számítógéprendszerét, több telefonszámlát lenullázott és ellopott mintegy 200000 dollár értékű adatot. Ezért a tettéért hat hónap nevelőintézetben letöltendő büntetést kapott, próbaidővel szabadult, de azonnal törölte az ügy részleteit a rendőrség adatbázisából. Megsemmisítette a bíró bankszámláját egy bankban, majd Izraelbe menekült. Amikor a dolog elfelejtődött, visszatért az államokba, de nemsokára ismét hallatott magáról. Mindig igyekezett megsemmisíteni minden személyére utaló adatot, de 1988-ban (ekkor 25 éves volt) több hiábavaló kisérlet után végül sikerült rábizonyítani, hogy 4 millió dollár értékű kárt okozott az egyik vezető amerikai számítógépgyár, a Digital Equipment Corporation
141 (DEC) adatbázisaiban biztonsági szoftverek és titkos kódok eltulajdonításával. A tárgyalás során az ügyész rámutatott: "Ez az ember nagyon, nagyon veszélyes, a saját és a társadalom érdekében távol kell tartanunk minden számítógéptől!" Ezért a börtönben még telefonközelbe sem engedték. Ügyvéde bizonyította, hogy kliense számítógép-függőségben szenved, így egy éves börtönbüntetés után próbaidőre bocsátották és egy Los Angelesi terápiás intézetben helyezték el. Szabadulása után rögtön megsértette a próbaidő feltételeit és 1992 óta eltűnt a hatóságok szeme elől. A cybertérben időről időre felbukkant azóta is, többek között lopott FBI kódokkal behatolt több állami adatbázisba, és nagy rádiótelefon-gyártó cégektől (mint például a Motorola, NEC, Nokia) pedig rendszeresen elemelte az operációs rendszerszoftvereket. 1995. február 9-én egy másik Internet-szolgáltató, a San Jose székhelyű Netcom illetékesei felfedezték, hogy valaki mintegy 20000 felhasználójuk hitelkártyaszámát vitte el. Ez súlyos könnyelműség volt Mitnick részéről, mert a Netcom dial-up, vagyis telefonvonalon elérhető szolgáltatást biztosít, a támadás is telefonon keresztül érte, így kitalálható hogy ez volt a hacker kiindulópontja, az a bázis, ahol a telefonhálózaton keresztül csatlakozott az Internet számítógép-világhálózatra. Shimomura és stábja áthelyezte székhelyét a Netcom-hoz, s gyakorlatilag nem volt más dolguk, mint ellenőrizni a telefontársaságok adatbázisaiban minden egyes bejövő hívást. Hamarosan rájöttek, hogy a hacker egy fiktív rádiótelefonról dolgozik. Hívásait két megpiszkált adatbázisú lokális központ egyaránt a másiknak tulajdonította. Shimomura és az FBI a helyszínen, munka közben bemérték, és február 16-án hajnalban elfogták Mitnicket. Az amerikai sajtó egyre növekvő érdeklődéssel figyelte az ügyet, amely a Masters of Deception fedőnevű hackertársaság óta a legfelkapottabb cyber-szenzáció. A New York Times folyamatosan tudósított az ügyről, hasábjain Shimomura posztmodern hérosszá magasztosult. A Hyperion kiadó máris 600000 dollár foglalót adott a Shimomura és John Markoff, a New York Times riportere által írandó könyvre, Hollywood is érdeklődik, meg nem erősített hírek szerint maga Spielberg rendezné a filmváltozatot. Az Internetet komolyan megosztotta az ügy. A többség elmarasztalja Mitnicket a hacker-etika megsértése miatt. A legkomolyabb érv az Internet alapvetően kölcsönös bizalomra, és nem high-tech adatvédelemre épülő struktúrájának megkérdőjelezését rója fel a megszállott crackernek. A jelenség komolyan hátráltathatja az Internet utóbbi időben egyre inkább tettenérhető kommercializálódását, ami viszont már inkább dícséret az egyre halványuló nonprofit jelleget támogatók részéről. A mátrix eredendően anarchista tulajdonságait kedvelő számítógépes alvilági körökben pedig napról-napra terebélyesedik a Condor fedőnevű cyberpunk mítosza. Az a tény, hogy Mitnick nem próbált meggazdagodni akciói révén, és
142 hogy a SUN Microsystems, a nyílt számítógépes rendszerek gyártója és hálózati szoftverek fejlesztője biztonság-tesztelési szempontból egyenesen hasznosnak tartja az efféle betöréseket, egyaránt megkérdőjelezi a deviáns zsenit börtönbe juttató jogrendszer helytállóságát.
Kevin Mitnicket kiengedték a börtönből Öt év után kiengedték a börtönből Kevin Mitnick-et, a világ egyik legismertebb hackerét, aki az idők folyamán igazi legendává nőtte ki magát, számos rajongója van. Mitnick-et ugyan feltételesen szabadon bocsátották, de azzal a kikötéssel, hogy felügyelőtisztjének engedélye nélkül további három évig nem használhat semmilyen számítógépet. Most, amikor végre kiszabadult, a legendás hackert családja, valamint a tucatnyi riporter várta a börtön előtt. Az pedig, hogy tisztes polgár lesz-e belőle, vagy folytatja eddigi életét valószínűleg igen hamar kiderül, mindenesetre igen nehéz lesz elviselnie a további 3 évnyi számítógépmentes életet.
Ne bízz senkiben! A híres hacker mindenkit figyelmeztet, hogy egy cégen belül a legfelsőbb vezetőktől kezdve a recepciósokig mindenkinek tisztába kell lennie azokkal a módszerekkel, amelyek segítségével az idegenek betörhetnek számítógépes rendszereikbe. A vezetők és az alkalmazottak megfelelő képzettsége nélkül sem a nagyhálózatok, sem a kikötők nem érezhetik magukat biztonságban a hackerektől. Miután 2001 januárjában kikerült a börtönből, Kevin Mitnick megtartotta első beszédét az "Infrastructures for E-Business" konferencián. A férfi szerint a biztonság kulcsa a korai felismerés és a megfelelő reakció.
"Istenben bízzunk. Mindenki más gyanús. Az emberek a lánc leggyengébb szemei, ha a biztonságról van szó. A kérdés pedig nem az, hogy a hackerek célba veszik-e az Ön elektronikus vállalkozását, hanem az, hogy mikor?! Ezt a kérdést mindenkinek fel kell tennie magának."
Mire kell figyelni? Mitnick szerint minden alkalmazottnak tisztában kell lennie azokkal a technikákkal, amelyeket a támadók arra használnak, hogy hozzáférést nyerjenek a belső számítógépekhez. A technológia magában nem elég. Az alkalmazottaknak jó jelszavakat kell választaniuk, továbbá védeniük kell a vállalkozást a vírusoktól, és a rosszindulatú programoktól.
143 Mindenkinek segítenie kell a biztonság fenntartásában, mert a világon nincs az a technológia, amely önmagában képes lenne erre. [14]
A leendő tévésztár A világ egyik legnagyobb tudású hackere, valamint a világ legtöbbször feltört operációs rendszereinek és szoftvereinek szellemi atyja egyaránt feltűnik majd az amerikai televíziókban a közeljövőben sugárzandó tévésorozatok epizódjaiban. Kevin Mitnick az amerikai ABC televízió egyik legnézettebb műsorában, az Alias című thrillerben tűnik majd fel a közeljövőben, mégpedig mint egy a CIA-nek dolgozó számítógépes szakember, Bill Gates pedig a konkurens NBC televízió korábban Emmy-díjat is elnyert Frasier című sorozat egyik novemberi epizódjában tűnik majd fel. Mitnick a filmben a CIA-ügynökeként betör a rosszfiúk SD-6 nevet viselő csoportjának a számítógépes hálózatába, Gates azonban nem mást, mint saját magát alakítja majd. Mitnick és J. J. Abrams, az Alias producere egyaránt rendkívül viccesnek tartja, hogy a börtönviselt Mitnick a sorozatban a jó ügy érdekében tör be a gonoszok hálózatába, és hogy a CIA-nek dolgozik. Aki esetleg nem tudná, Mitnick a közelmúltban majd öt évet töltött börtönben, mert a bíróság bűnösnek találta különböző cégek számítógépes hálózataiba történt betörések ügyeiben. Mitnick a mai napig tagadja az ellene felhozott vádak nagy részét. Persze azt sem állítja, hogy teljesen bűntelen lenne.
"Évek óta folyamatosan követem Kevin történetét, mely történetet rendkívül érdekesnek és izgalmasnak találok. • annyi mindenen ment keresztül, hogy nekem egy kicsit a h•s szerepében tetszeleg. Éppen ezért már régóta foglalkoztatott a gondolat, hogy mi lenne, ha Kevint szerepeltetném egy televíziós sorozatban" – nyilatkozta Abrams.
Bill Gates szerepe szerint egy rádiós műsorba bejövő telefonhívásokra válaszolgat, és folyamatosan dícséri a Microsoft szoftvereit, ami mind a betelefonálókat, mind a műsor készítőit idegesíti. Gatestől egyébként a Windows XP manhattani bemutatásakor megkérdezték, hogy megnézi-e majd Mitnick alakítását az Aliasban, mire ő azt válaszolta, hogy még nem tudja, de lehet, hogy megnézi, majd visszakérdezett, hogy Mitnick vajon nézi- e az ő tévés szereplését? [15]
144 4.1.6.4. Social Engineering (társadalommérnökség)
Az emberek manipulálásával lehet a legkönnyebben bejutni egy számítógépes rendszerbe. Ne higgyük, hogy ez nem igazi hacker módszer. Ezt alkalmazta sokszor maga a nagy hacker, Kevin Mitnick is. A hackerek és crackerek között nagyon kevés a nő, mégis vannak meghatározó személyek. Ilyen, asocial engineering módszert nagyon magas szinten alkalmazó nő volt: Susan Thunder, aki mellesleg Kevin Mitnick környezetében tartózkodott. Nézzünk meg, Susan hogyan bizonyította be, hogy a módszer milyen hatékony. A betörés helye egy tárgyalóterem volt, ahol a tengerészet és a légierő magas rangú tisztjei ültek. Susannak egy borítékot adtak, amiben megadták a computerközpont nevét, amelybe be kellett törni. A cél érdekében bármilyen eszközt igénybe vehetett (számítógép, modem, telefon). Susan rögtön rácsatlakozott a könnyen hozzáférhető katonai számítógépre, és kikereste a legfőbb adatokat. A lényeg az volt, hogy kikereste a gépet karbantartó emberke nevét. Felhívta telefonon a bázist, és kiderítette, hogy ki a parancsnok. Nem kellett mást tennie csak használni a szakzsargont, és máris az ölébe hullott a kívánt infó, azaz hogy Hasting őrnagy az, akit keres. Még azt is sikerült kiderítenie, hogy az őrnagy titkárnőjét Hastingsnak hívják. Már ennyi elég volt, hogy felhívja a feltörendő számítógép-központot. A következők hangzottak el. – Buchanan vagyok. Az őrnagy megbízásából telefonálok, mert nem tud beloggolni a rendszerbe. Az őrnagy kérdezi, hogy ennek mi az oka? A rendszergazda megtagadta a választ, s ekkor Susan keményebb hangnemre váltott. – Nézze, nem azért telefonáltam, hogy az időmet fecséreljem! Mi a neve, beosztása, és szolgálati száma? Még 20 perc sem telt el és Susan birtokában voltak az első titkos infók. Mielőtt továbblépett volna, a tábornok felállt az asztaltól és csak annyit mondott, hogy ennyi egyelőre elég lesz. Tehát bebizonyosodott az, hogy minden rendszer leggyengébb láncszeme az ember. Az se véletlen, hogy a számítógépes betörések nagy részét belső emberek követik el. Egy hacker számára a legegyszerűbb megoldás pénzzel, zsarolással belső kapcsolatra szert tenni. Éppen erre szolgál a Social Engineering. Akinek nincs elég pénze lefizetni egy rendszergazdát az vezzese félre azt. El kell vele hitetni, hogy ő egy jogosult felhasználó. Már említettem hogy Kevin Mitnick is előszerettel használta ezt a módszert. Lássuk, hogyan tette. A Los Angelesi COSMOS központjába lopakodott. Rövid egyeztetés után Mitnick és két társa, Roscoe és Mark Rossl egyszerűen besétált az épületbe és odament az ügyeletes tisztviselő asztalához. A Pacific Bell alkalmazottainak adták ki magukat. Azt a szöveget nyomták, hogy másnapra meg kell írniuk egy jelentést. Még az azonosítószámukat sem
145 kérték… Az út szabad volt, így megkeresték a 108-as szobát. Már előzetes informálódás során kiderítették, hogy a szoba érdekes nekik. Majd a rendszergazda szobájába találtak 6 darab kézikönyvet, amiben a Cosmos computerről volt minden információ. Magukhoz is vették egyből. Majd kisétáltak. Több cikket is olvastam különböző külfoldi lapokon erről a témáról, és mindegyiken máshogy szerepelnek az adatok/tények, a módszer lényeget leírtam, az ugyanaz volt mindegyikben. [16]
4.1.6.5. A Chaos Computer Club (CCC)
A CCC weblapjának alját az alábbi idézet díszíti:
"I am chaos. I am the substance from which your artists and scientists build rhythms. I am the spirit with which your children and clowns laugh in happy anarchy. I am chaos. I am alive, and tell you that you are free." Eris, Goddess Of Chaos, Discord & Confusion
Az alábi szabad fordításban közreadott pár pont remekül jellemzi a lényeget:
1. Nem szabad korlátozni a számítógépekhez való hozzáférést, továbbá semmi olyan eszközhöz sem, ami megmutatja, hogyan működik a világunk. 2. Az információ szabad kell, hogy legyen. 3. Ne bízz a hatóságban - a cél a decentralizálás. 4. A hackert tettei minősítik és nem az, hogy hogy néz ki, mennyi idős, milyen népcsoportba tartozik, és az sem, hogy szegény-e vagy gazdag. 5. A számítógéppel művészi alkotásokat, szépséget is létre lehet hozni. 6. A számítógépek jobbá tehetik az életünket. 7. Ne szemetelj más emberek fájljaiba! 8. A nyilvános adatokat használni, a privát adatokat védeni kell.
Bárki a klub tagja lehet, amennyiben vállalja a klub játékszabályait, fizeti a tagsági díjat. 10 Euro a belépési díj, majd évente 72 Euro a rendes tagoknak, illetve ennek fele, évente 36 Euro az egyetemistáknak, diákoknak, munkanélkülieknek, átképzősöknek, nyugdíjasoknak.
146 4.1.6.6. KGB-s Hackerek
1986 augusztusában Clifford Stoll, a Lawrence Berkeley Labs-nál (LBL) dolgozó egykori csillagász elkezdett nyomon követni számítógépes rendszerükön egy 75 centes könyvelési hibát. Viszonylag gyorsan felfedezte, hogy egy olyan felhasználói azonosítót (accountot) hoztak létre a rendszerén, amelyről a rendszert menedzselő csapat egyik tagja sem tudott. Pár nappal később levélüzenetet kapott egy másik számítógépes rendszer kezelőjétől, amelyben arról értesítették, hogy valaki az LBL rendszer egyik gépéből akart betörni az ő számítógépeikbe. A további vizsgálódás során Cliff kiderítette, hogy valaki illegálisan használta a rendszerjogokat. A hacker egyszerű kizárása helyett a kíváncsi szakember úgy döntött, hogy a legjobb módszer az lesz, hogy továbbra is megengedi a hackernek az LBL számítógépének a használatát, mert így vissza tudja nyomozni a hackert, egészen a forrásig. Az első kapcsolatfelvételi kísérletek a rendőrséggel és az FBI-jal nem vezettek eredményre. Ők ekkor még csak a 75 cent ellopásának a problémáját látták az esetben, és nem a titoksértést. A következő néhány hónapban Stoll rájött, hogy a hacker néhány katonai projektről gyűjtött információt és a TYMNET és az Internet számítógépeinek százaiba tört be. És bár a hálózatba kötött számítógépeken szerencsére nem tartottak minősített információt, sokat meg lehetett tudni arról, mi is megy rajtuk. Néhány kör után a hackert visszakövették az országon keresztül. Végül egy a Keleti Parton dolgozó FBI ügynök is komolyan érdeklődni kezdett az ügy iránt. Ez volt az igazi áttörés. A nyomkövetés folytatódott és a hackereket végül Nyugat-Németországban találták meg. Az ügybe és a nyomozásba egymás után bevonták a CIA-t, majd az NSA-t, s végül a nyugatnémet rendőrséget is. Cliff barátnőjének volt egy remek ötlete arra, hogyan tarthatnák hosszabb ideig a vonalban a hackereket. Elkezdtek egy SDINET nevű, kitalált titkos hálózattal kapcsolatos fájlokat gyártani. Végül ez a terv segített a hackerek elfogásában. A hackerekről végül kiderült, hogy a Chaos Computer Club tagjai. A CCC a nyugatnémet számítógépes hackerek klubja, akiknek az a hitvallása, hogy minden információnak nyilvánosan hozzáférhetőnek kell lennie. Az ügyben érintett klubtagok amerikai katonai információkat adtak el a KGB-nek, a Szovjet titkosszolgálatnak. A nyugatnémet rendőrség lefoglalta a hackerek számítógépes felszereléseit, lemezeit és nyomtatott anyagait. Egy kivételével az összes hacker azonnal beszüntette tevékenységét. Egy évvel később a hackerek közül néhányan beismerték, hogy részt vettek az incidensben és segítséget nyújtottak a rendőrségnek. A társaság többi, az esetben érintett tagjára büntetéseket szabtak ki. A végén három hackert próbaidőre bocsátottak, egy további hacker pedig öngyilkosságba menekült.
147 Az említett hackerek által használt módszereket, beleértve a Unix biztonsági réseinek kihasználását és a gyatra jelszó-menedzsmentet, egyes rendszeradminisztrátorok is alkalmazzák. Ezeket a Unix biztonsági réseket azóta kijavították. A fentiekkel közel egyidőben a CCC más tagjai a SPAN ellen intéztek támadást a VMS 4.4 biztonsági rendszerében bent maradt hibákat kihasználva. Ezt a hibát is kijavították azóta.
4.1.7. Miért veszélyesek az Internet wormok
A közvélemény – tévesen – azt tartja az Internet wormokról, hogy ártalmatlan jószágok. Ez talán így lehetett az első férgek megalkotóinak szándékaiban, de a végeredmény ennek éppen az ellenkezője lett. Ha maga a programféreg nem is tartalmaz kifejezetten romboló céllal megírt büntető rutinokat, lefoglalja a megtámadott rendszerek erőforrásait, feleslegesen nagy forgalmat generál. Azt pedig senki nem biztosíthatja, hogy az eredetileg "ártalmatlan" férgek kódját nem egészítik ki romboló rutinokkal. Sok ilyen példát láthattunk már! Ebben a részben arra a kérdésre próbálunk meg válaszolni, hogy mit okozhatnak, szó lesz bizalom elvesztéséről, a levelező rendszerek túlterhelődéséről és összeomlásáról. A programférgek több szinten fejtik ki hatásukat. Legközvetlenebbül a lokális hatások jelentkeznek, de a távolabbi, másodlagos és harmadlagos hatásokkal is számolnia kell annak, aki a féregprogramokkal közelebbi kapcsolatba kerül. Az Internet wormok közül néhányat nem pusztító rutinokkal láttak el, hanem inkább azzal a célzattal készítették, hogy adatokat szerezzenek meg általuk a megfertőzött számítógépekről, rendszerekről. Az ilyen programférgeket a Kémprogramok (spyware) közé soroljuk. Az Internet wormok jellemző "melléktevékenysége" a címlopás. Ennek veszélyessége nem közvetlen, hanem közvetett hatásokban jelentkezik.
4.1.7.1. Mit okozhatnak?
Az Internet wormok ma már nem olyan veszélytelenek, mint az első, még tréfaszámba menő féregprogramok. Az csak egy dolog a bűnlajstromukon, hogy feleslegesen nagy forgalmat generálva leterhelik – sokszor a leállásig túlterhelik – a levelező rendszert és a helyi és nagytávolságú hálózatokat. A következő károkozás, amire sajnos számos példa van, az a rendszer jelszavainak összegyűjtése, és illetéktelen – általában külső – személyekhez való eljuttatása. A féregprogramok helyi "mellékhatásai" közé sorolhatjuk, hogy néha létfontosságú Windows állományokat írnak felül, vagy azok indítására rátelepednek, mint ahogy a W32/Hybris és egy sor, hasonló féreg- és vírusprogram az .EXE kiterjesztésű Windows programok indítására.
148 A féregprogramok távoli elérést is biztosíthatnak a megtámadott rendszerekhez az őket beküldő hackereknek. Nem egy esetben fordul elő, hogy a féreg megpróbál letölteni és elindítani egy backdoor szerver programot, amivel széles kaput tud nyitni a behatolni szándékozóknak. A fentieken túl komoly károkat okozhat a vállalatoknál a bizalom elvesztése, a címlopás és kémprogramok telepítése a megtámadott rendszerekre.
A bizalom elvesztése
Az üzleti élet alapja a bizalom, hogy a postafiókunkba érkező levelek valóban abból a forrásból és attól a személytől érkeznek, ahonnan, és akitől várjuk. Ennek biztosítására dolgozták ki a digitális aláírás különböző változatait, melynek elfogadásáról 2001 őszén fogadtak el Magyarországon is törvényt. A digitális aláírás egyelőre még nem annyira elterjedt, hogy használatát kötelezővé lehetne tenni. Ennek eredményeként a címlopás ténye nehezen ismerhető fel a kellő azonosító procedúrák nélkül. Az informatikára szakosodott főiskolákon és egyetemeken, valamint a számítógépes hackerklubokban az alapismeretek közé tartozik annak a tudásnak az elsajátítása, hogy hogyan lehet címet lopni, azaz hogyan lehet más nevében úgy elektronikus levelet küldeni, hogy a cím gazdája ne tudjon róla. E trükk elterjedt alkalmazása oda vezetett, hogy ma komoly üzleti kapcsolatokban feltétlenül szükséges a megfelelő felhasználó- azonosítás és valamilyen digitális aláírás alkalmazása a partnerek közötti nyilvános hálózatokon (Internet) keresztüli dokumentumcserékben.
A levelező rendszerek túlterhelődése és összeomlása
A levelező szerverek nem végtelen kapacitásúak. A beérkező vagy kiküldendő levelek számának megugrása alaposan leterhelheti a rendszert. Ha a terhelés egy az adott rendszerre jellemző határt túllép, az egész rendszer leállhat. A levelező vírusok és férgek nem egy esetben pontosan ezt idézik elő azzal, hogy a fertőzött számítógépekről egyszerre levelek százait-ezreit küldik ki. Amíg ez csupán egyetlen számítógépet érint, addig a probléma bosszantó, de még a kezelhető határokon belül marad. Ha azonban egy helyi hálózat több tucatnyi, több száz vagy több ezer számítógépe fertőződik meg és a fertőzött munkaállomások egy időben akarják vírusfertőzött leveleiket szerteküldeni, ez olyan hatalmas terhelést jelent a levelező szerver számára, amely egyszerűen tervezhetetlen és kezelhetetlen. A WM97/Melissa volt az első olyan tömegesen leveleket küldő kártevő – történetesen egy Word 97 makróvírus –, amely elsősorban a levelező rendszeren keresztül – az Outlook és az
149 Outlook Express programokat felhasználva – terjesztette saját kódját. Ebből a szempontból tehát féregszerű terjedési tulajdonságokat mutat. A makróvírus első kiadása a megfertőzött gépről 100 címre küldte el a fertőzést tartalmazó LIST.DOC nevű Word 97 dokumentumot. Az átiratok között olyat is találhatunk, amelyeknél 40 vagy kevesebb levélre korlátozták a fertőzött dokumentumok szétküldését, de olyan is akadt, ahol egyszerűen kiemelték belőle a felső korlátot. A Melissa eset után egy másik típusú, de ugyancsak az Outlook és Outlook Express közvetítésével szaporodó programféreg következett: a VBS/LoveLetter. A vírus (pontosabban programféreg) készítője nem volt ilyen óvatoskodó. A LoveLetter első változataiban nincs mennyiségi korlátozás, azaz az összes levélcímre megpróbálja elpostázni magát, amelyeket az Outlook címjegyzékében talál. Elképzelhető, mekkora terhelést jelenthet ez nagyvállalati környezetben, ahol mindenkinek több ezres levelezési listája van. A W32/Navidad majd a W32/Hybris, később a W32/Sircam hasonló nagyságrendű terheléseket jelentettek a levelező rendszereknek, hisz ezek a programférgek a helyi hálózatba kapcsolt számítógépek között is csak a belső vagy Internetes levelezés útján terjedtek. A W32/Nimda már egy új típusú támadó család első képviselője volt, hisz több csatornán keresztül is igyekszik saját programkódját terjeszteni mind a WAN, mind a LAN hálózatokon.
Lokális hatások
A féregprogramok a levelező rendszer leterhelésén túl egyéb "huncutságokkal" is traktálhatják áldozataikat. Ezek között gyakran fordul elő, hogy egyes (Windows) rendszerfájlokat lecserélnek a saját kódjukat tartalmazó, vagy abból kibontott "helyettesítő" fájlokra. Ennek célja az, hogy a féregprogram a lehető legnagyobb valószínűséggel minden gépindítás vagy újraindítás után betöltődjön, és vezérlést szerezhessen. A W32/Hybris kapcsán esett szó arról, hogy a féreg mintegy "ráül" az .EXE programok indítására. Emiatt a vírus-, illetve féregmentesítés során nem elég a fertőző kártevő programkódját eltávolítani, hanem a Registry ide vonatkozó bejegyzései közül egyeseket törölni kell, másokat pedig vissza kell állítani alapállapotba, hogy az .EXE programok újra indíthatókká válhassanak. Ezek takarítása leegyszerűsíthető, ha a vírusvadász cégek weboldalain található megfelelő .REG fájlokat letöltjük és elindítjuk. A programférgek lokális hatásai között szerepelhet olyan korábban inkább vírusokra jellemző tevékenység is, mint megadott fájlok, könyvtárak törlése, az indító állományok (mint például az AUTOEXEC.BAT és a CONFIG.SYS, valamint a WinStart.bat) újabb, romboló hatású parancssorokkal való kiegészítése. Egy ilyenre példa a 2002 januárjában felfedezett JS/Gigger, amely megpróbálja megformázni a merevlemezt.
150
Kémprogramok (spyware)
Az esetenként programférgekbe is beépített kémprogramok két fő tevékenységet látnak, illetve láthatnak el. Egyrészt egy háttérben futó rutint vagy programot indítva begyűjthetik a felhasználóneveket és a hozzájuk tartozó jelszavakat, s azok listáját e-mail-ben vagy más módon elküldhetik a féregprogramot beküldő hackernek, másrészt a rendszer konfigurációs állományait, INI fájljait és természetesen a gépen tárolt dokumentumokat is kiküldhetik az Interneten keresztül a rendszert támadó hacker(ek)nek vagy hacker csoport(ok)nak. Az ilyen kémprogramok sok esetben egy backdoor alprogramot is tartalmaznak, amely segítségével a megfelelő ismeretek birtokában (például a korábban kijuttatott IP címek és programbeállítások ismeretében) a hacker beléphet nem csak a féreggel vagy vírussal fertőzött számítógépbe, de azon keresztül a helyi hálózatba is. És hogy egy konkrét példát is bemutassunk, most következzen pár szó a VX2 néven emlegetett kémprogramról. A VX2 egy új kémprogram, amely észrevétlenül betelepszik a PC-re, folyamatosan monitorozza a net böngészését, s az eredményt beküldi a VX2 cégnek. Az ilyen programtípust a szakirodalom "data transponder"-ként nevezi meg. Sokan megtalálták a kémprogramot tartalmazó VX2.DLL fájlt a gépükön, mivel ez többek között a népszerű AudioGalaxy letöltésben is benne rejtőzik, valamint az Onflow, a Blackstone és egyéb programokban. Megtalálható például egyes Internetről ingyenesen letölthető képernyővédő programokban, stb. További angol nyelvű információ is található az Interneten [17].
A nevezett VX2 abban különbözik a többi kémprogramtól, hogy a fejlesztő weboldalán és pár további oldalon [18] komplett leírás található a program teljes eltávolításának lépéseiről és eszközeiről, valamint töröltetni lehet a VX2 adatbázisából a ránk vonatkozó adatokat.
Címlopás
A nagytávolságú hálózatokon (WAN, Wide Area Network) a legáltalánosabban előforduló biztonsági rés a válaszcím az elektronikus levelekben. A BITNET-en, az Interneten, a DECnet-en, az UUCP-n és valószínűleg az egyéb hálózatokon is lehetséges az e-mail címek eltulajdonítása, meghamisítása. Mivel a felhasználók többsége nincsen tisztában azzal, hogy címüket mások is megszerezhetik és használhatják, azt hiszik, a cím nem hamisítható. Ez azonban az ismert példák szerint sajnos nem igaz. Ha egy levél eredetiségével kapcsolatban kétségeink vannak, s nem áll módunkban a feladót például telefonon felhívni s megkérdezni,
151 valóban ő küldte-e a szóban forgó levelet, a legegyszerűbb módszer annak eldöntésére, hogy egy levél valódi-e, a feladó stílusának és a levél fejlécének elemzése. Erre egy konkrét napi probléma a W32/Klez programféreghez köthető. A féreg a megtámadott gépen az Outlook címlistájának adataiból emel ki e-mail címeket és nem csupán a "címzett" rovatot tölti ki e címekkel, de a "feladó" rovatot is. E piszkos trükkjének köszönhetően sok vírusmentes rendszert kevert és kever alaptalanul gyanúba. Igazi védelmet a címlopás és hamis levelek ellen csak az jelent, ha digitális aláírással látjuk el leveleinket. Erre számos program használható, többek között a PGP ingyenes változata is, valamint a TheBat! nevű levelezőprogram, amelybe a fejlesztők már beleépítették a PGP egy ingyenes változatát, s ki-ki maga elkészítheti privát kulcsát és levelező partnereinek lemezen vagy külön levélben elküldhető nyilvános kulcsát.
IDE BONTCHEVET!!!
4.2. Megelőzés
Katonáktól származik – valószínűleg – a mondás: a legjobb védekezés a támadás! Esetünkben ez azt jelenti, hogy az adatvesztések kockázatának csökkentéséhez először fel kell kutatnunk a veszélyforrásokat és támadáspontokat. Ezeket felmérve lehet, sőt kell tervezni három szinten is rendszereink védelmét. Szervezeti és szervezési eszközök: – a szervezet szintjén elsősorban az emberi tényező okozta veszélyforrásokat csökkenthetjük. Ez magában még nem igényel sem hardver-, sem szoftverfejlesztéseket, csupán a számítógépes rendszer és az informatikai eszközök használatát szabályozza a menedzsment által is érthető, kézben tartható adminisztratív eszközökkel. Lemezek, programok, bejövő anyagok ellen – a hardver szinten arról intézkedhetünk, hogy a konkrét adathordozó média, vagy adatátviteli, adatkapcsolati csatorna ellenőrzését kell megoldani, és folyamatosan biztosítani. Backup stratégiák – egy félig-meddig különálló szint a biztonsági mentések témaköre. A biztonsági mentések készítése maga sem meggátolni, sem megelőzni nem képes az adatok sérülését, ám eszközei révén lehetőséget nyújt a kártételek csökkentésére, a mentett adatok többé-kevésbé naprakész állapotba való helyreállítására. A megelőzés egyik aktuális kérdése a napjainkban sűrű hullámokban támadó levelező programférgek és vírusok elleni védekezés. Itt is érvényes az aranyigazság: jobb a megelőzés, mint a károk utólagos kijavítása.
152 Sokan azt várják, hogy a hálózat valamilyen védelmet nyújt a hackerek és programférgek ellen. Ez azonban egyáltalán nincs így, hiszen annak eldöntése, hogy mi a különbség egy legitim alkalmazás és egy vírus között, egy ember számára is nehéz, nemhogy egy programnak! Ez a helyzet azonban nem csak a számítástechnika sajátja. A nyilvános telefonhálózatokon sincs mód arra, hogy a hívások közül kiszűrjük és kizárjuk az obszcén telefonhívásokat. Mint ahogy már említettük, a biztonsági rendszerek fontos eleme a megfelelő jelszavak kiválasztása. Ahol túlságosan egyszerű, könnyen kitalálható jelszavakat használnak, ott könnyen be lehet hatolni a rendszerbe. A jó jelszó legalább hat karakterből áll és nem egy szótárban is megtalálható szó. Rossz választás a felhasználónév, vagy a felhasználó keresztneve. Egyes rendszerek, mint a VAX jelszó generátor programok használatát is lehetővé teszik (itt például VAX rendszereken a "SET PASSWORD/GENERATE" parancs segítségével választhatunk megfelelő jelszavakat). Fontos, hogy ne áruljuk el másoknak jelszavainkat! És soha, de soha ne írjuk fel olyan öntapadós cédulára, amit aztán a számítógép monitorára ragasztunk. Kerüljük el azt is, hogy jelszavaink közönséges szövegfájlba kerüljenek a számítógépen, ahová bárki beleolvashat. A rendszergazdák feladata az IT biztonságot érintő balesetek megelőzésére az adatvédelmet, adatbiztonságot és vírusvédelmet érintő biztonsági hibajavítások letöltése és telepítése. E feladattal nem érdemes késlekedni, megvárni, amíg valami bejön a réseken. A fentiek mellé még egy megszívlelendő jó tanács: sohase futtassunk ismeretlen forrásból származó programot! Ha a hálózaton keresztül kapunk egy másik felhasználótól egy programot, célszerű elkérni a forráskódját is és alaposan ellenőrizni, mit csinál és hogyan. S ha már szóba kerültek a jelszavak, érdemes korlátok között tartani azok számát, akiknek hozzáférést biztosítunk számítógépünk programjaihoz, fájljaihoz.
4.2.1. Biztonsági mentés – Backup
Ha nem csak játszunk a gépünkkel, akkor feltétlenül gondoskodni kell adataink rendszeres biztonsági mentéséről is. Ehhez olyan adattárolót, illetve cserélhető, kivehető adathordozót célszerű választani, amelyet a rendszertől fizikailag elválasztva tudunk a mentések elkészítése után tárolni. Adattárolásra a belső, külső vagy hálózati háttértárakat használhatjuk fel, melyek adathordozó médiái lineáris (mágnesszalagos egységek) vagy véletlenszerű hozzáférést biztosítanak. A jól szervezett rendszerben készített biztonsági mentések nem csupán a beépített adathordozó sérülése vagy vírusfertőzések miatti adatvesztés esetén adnak lehetőséget az adatok és/vagy
153 programok, beállítások helyreállítására, hanem programhiba, emberi hiba vagy bármi más probléma esetén is módot adnak valamely előző adatállapot veszteségmentes visszaállítására. A sorozatban készített biztonsági mentések többféle technikával készülhetnek. A full, azaz teljes backup a mentendő háttértárak teljes tartalmát kiírja a backup médiára, a differenciális mentés pedig az utolsó (teljes) mentés óta megváltozott fájlokat és könyvtárakat helyezi el a backup médián. A rendszer értékétől, a mentendő, illetve tárolt adatok mennyiségétől, a mentésre rendelkezésre álló időtől (a napi 24 órában működő rendszereken elfogadhatatlan lehet a többórás leállás a biztonsági másolatok elkészítéséhez) és a kockázati tényezőktől függően kell kialakítani a mentések rendszerét. Egy átlagos otthoni számítógép esetén elég, ha írható/újraírható CD-re, streamer szalagra vagy egyéb kivehető adathordozót tartalmazó háttértárra készítjük biztonsági mentéseinket, sőt sok esetben a mentendő anyagokat floppy lemezeken is biztonságba helyezhetjük, természetesen veszteségmentes adattömörítést alkalmazva. Ki-ki kedve szerint válogathat az e célra is felhasználható freeware és shareware tömörítőprogramok közül. A legnépszerűbbek ma a PKZIP 16 és 32 bites változatai és klónjai, valamint az ARJ és a RAR változatai és klónjai. A biztonsági mentések minél egyszerűbbé tételére már az operációs rendszerek készítői is gondoltak. A Windows, a Unix és a Linux rendszerek egyaránt tartalmaznak erre (is) szolgáló célprogramokat, s a hardverforgalmazók az erre alkalmazható háttértárak mellé speciális backup célszoftvereket is kínálnak. Az alkalmazott programtól függetlenül szalagos háttértároló eszközök esetén az alábbi rendszert érdemes alkalmazni: A mentéseket olyan időszakra kell beállítani, amikor az adott napon legalább a mentés időtartamára a mentendő adatok nem változnak. Például egy átlagos irodában reggel 7:00 és délután 18:00 között dolgoznak. A 21:30-ra időzített mentés remélhetőleg a túlórákkal sem ütközik, és a reggeli nyitásig az ellenőrzéssel együtt is biztonsággal lezáródik. Havonta kell egy teljes (full) mentés, melynek adathordozóját a mentést követően egy évig biztonságos helyen (tűzbiztos páncélszekrényben) őrizzük. Ez évi 12 darab "havi" kazettát jelent. A heti mentéseket (ötnapos munkahetet feltételezve heti négy alkalommal) hétfőtől csütörtökig differenciális módszerrel érdemes készíttetni, s ezek a következő héten ismételten felhasználhatók. A hét utolsó mentését pénteken teljes mentéssel kell készíteni. A pénteki kazetták havi ciklusban forognak. Eddig tehát összesen 12 + 4 + 5, azaz huszonegy kazetta szükséges tehát egy jól kézben tartott backup rendszer kialakításához. Emellett célszerű egy tartalékkazettát is előkészíteni, valamint egy olyat, főleg új rendszerek előkészítésekor, amelyre az operációs rendszert és a telepített szoftvereket vesszük fel az alapbeállításokkal.
154 Így összesen 23 adat- és egy tisztítókazettával komplett biztonsági mentésrendszert alakíthatunk ki. A fent említett kazettás rendszernél három további teendőnk van. Az első a kazetták megfelelő felcímkézése. A második teendő a megfelelő hozzáférési jogosultságok biztosítása az alkalmazott backup szoftver számára. A harmadik teendő egy olyan munkanapló előkészítése és naprakész vezetése, amely a dátum mellett tartalmazza az alkalmazott kazetta azonosító jelét, a kazettacserét végző személy aláírását és az utolsó mentés eredményét (hibamentes vagy hibaüzenet volt). Sok biztonsági mentés céljából kifejlesztett szoftver olyan integrált rendszer része, amely a mentéskor, illetve helyreállításkor (Restore) vírusellenőrzést is végez.
4.2.2. Biztonságos géphasználat
A számítógépek és szoftverek működése nem mentes a hibáktól. Számtalan olyan kisebb vagy nagyobb esemény fordulhat elő, amely hibához vezethet. E hibák jó része nem veszélyes, sőt még észre sem vesszük, ám megszaporodásuk a rendszer működésének zavaraihoz, s ezen keresztül adatvesztéshez, rendszerleálláshoz vezethet. Napjaink számítógépei több odafigyelést kívánnak a biztonságos napi munkamenethez, mint az 1980-as évek zömmel DOS alapú masinái. Ennek elfogadásával és figyelembe vételével sokat javíthatunk rendszereink biztonságán és megnövelhetjük nem csupán rendszereink élettartamát, hanem a rendelkezésre állást is. Józan paraszti ésszel gondolkozva végigtekintve gépeink működését, könnyen megtalálhatjuk azokat a kritikus pontokat, amelyeken keresztül adataink sérülhetnek, azokat a támadáspontokat, amelyeken keresztül a különböző rosszindulatú programok (vírusok, férgek, trójai programok, stb.) és külső támadók (hackerek és crackerek) bejuthatnak és átvehetik a rendszer egésze vagy bizonyos folyamatai felett a vezérlést. A hardver és/vagy szoftver hibáira visszavezethető adatvesztések okai kevés kivételtől eltekintve jól körülhatárolhatóak. Ezek ismeretében viszonylag kis befektetéssel kidolgozhatók olyan technikák, amelyeket különösebb előképzettség nélkül is eredményesen használhatunk, és segítségükkel az adatvesztés és gépidő-kiesés ha teljesen nem is szüntethető meg, de jelentős mértékben visszaszorítható. Először a hardvert vegyük górcső alá. Vajon mi okozhat gépleállást, illetve adatvesztést rendszereinken? A számítógép belsejében az alkatrészeket különböző vezetékek kötik össze, a bővítőkártyák és memória kártyák szabványos csatlakozókon keresztül csatlakoznak a rendszerhez. Ezek mindegyike megannyi hibaforrás. Nem véletlen hát, hogy hiba esetén a hibakeresést minden szervizszakember a belső és külső csatlakozások alapos ellenőrzésével kezdi.
155 A számítógép memóriája is meghibásodhat, bár tapasztalataink szerint ennek valószínűsége meglehetősen alacsony. Sokkal gyakrabban fordul elő, hogy egy új szoftver telepítése után az addig stabilan működő rendszerünk működése bizonytalanná válik és alkalmanként látványosan össze is omlik.
4.2.2.1. Munka floppykkal
A fentieknél nagyságrendekkel gyakoribb hibaforrás a háttértároló(k) sérülése. Ez elsősorban a floppykra vonatkozik, bár a merevlemezek és egyéb mágneses adathordozók meghibásodása sem számít ritkaságnak. A floppy sérülékenysége azért is kiemelendő, mert ma is gyakori, hogy Word és Excel dokumentumokat – éppen az adatbiztonságra való hivatkozással – közvetlenül floppykról megnyitva és arra dolgozva szerkesztenek, írnak tovább. Ez a megoldás önveszélyes és garantáltan előbb-utóbb adatvesztéshez vezet. Miért? A floppyk közismerten korlátozott tárolókapacitása hamar elfogy, különösen, ha a Word vagy az Excel – a Windows hathatós közreműködésével – átmeneti állományait minden ellenkező utasítás és beállítás dacára a munkalemezen, azaz a floppyn helyezi el. Kivédhetők-e a közvetlen floppys adattárolás veszélyei? A válasz egyértelmű igen. Ha azt a módszert alkalmazzuk, hogy sohasem a floppyra/ról dolgozunk, hanem munkaanyagainkat kivétel nélkül a merevlemezen vagy valamely alkalmas hálózati meghajtón hozzuk létre és szerkesztjük, akkor megelőzhetjük floppys adatvesztéseink jelentős részét. Természetesen az továbbra is javasolható, hogy biztonsági másolatainkat floppyra is rögzítsük, hiszen ez évtizedek óta bevált módszer továbbra is alkalmazható, sőt alkalmazandó. Ha már a lemezes adat- és fájltovábbítás került szóba, meg kell említenünk, hogy egy lemez nem lemez. Ha csak egyetlen lemezen és egyetlen példányban őrizzük, továbbítjuk anyagainkat, jó esélyünk van az adatvesztésre. A mágneslemez sérülékeny, érzékeny a porra, nedvességre, hidegre, melegre, mágneses térre. Emiatt nem célszerű tévé vagy hangszóró tetejére helyezni floppyinkat, és villamoson, metróban vagy héven utazva is jobb nem letenni a lemezeket tartalmazó táskát a jármű padlójára. Ha biztosak akarunk lenni abban, hogy lemezre kiírt anyagaink célba jutnak, legalább két, de nem árt, ha néha több példányban is visszük a fájlokat. A hordozó lemezek kisebb fokú sérülése esetén így van még esély arra, hogy legalább az egyik másolat használható marad. További jó tanács, hogy fájljainkat, különösen a nagyméretű és bizalmas anyagokat tartalmazó dokumentumainkat vagy az olyan anyagokat, amelyeket adott fájlszerkezetben kell telepíteni és használni, érdemes tömörített formában szállítani. Amellett, hogy kevesebb helyet foglalnak el a lemezen és a helyreállítandó könyvtárszerkezetet is tárolhatják, a tömörített fájlok – mint a ZIP, az ARJ és a RAR archívumok – egy ellenőrző összeget is
156 alkalmaznak a bennük tárolt fájlok épségének ellenőrzésére, továbbá a tömörítő programok által alkalmazott titkosítás ha nem is feltörhetetlen, de alaposan megnehezítheti az illetéktelenek dolgát.
4.2.2.2. Jelszavak használata
Általános szabály a jelszavak használatakor, hogy csak a legszükségesebb keveseknek szabad jelszavainkat elárulni, ha egyáltalán kiadjuk jelszavainkat. Hol és milyen jelszavakat alkalmazhatunk? A szóló gépek és a hálózatba kötött személyi számítógépek között – a funkciókból adódóan – némi különbség van. Az utóbbiakban további jelszavas hozzáférési korlátozások léptethetők életbe. Az első korlátozási lehetőséget a BIOS nyújtja. A gépek többségén kétfajta jelszó is adható. Egy rendszergazdai szintű, amellyel a CMOS beállításait védhetjük meg az illetéktelen módosításoktól (Setup Password), és egy felhasználói jelszó, amellyel a számítógép indulását is jelszóhoz köthetjük. Az alkalmazható jelszavakkal kapcsolatban néhány megfontolandó észrevételt is közre kell adnunk. A jelszavas védelem nem sokat ér, ha a jelszó könnyen kitalálható. Épp ezért nem javasolt nevek, értelmes szavak, nevezetes számok használata. A rövid jelszavak könnyen megfejthetők a találgatásos módszerrel, ha megfelelő számítástechnikai háttérkapacitás áll rendelkezésre. Mivel a jelszavakban a kis és nagybetűket a rendszerek megkülönböztetik, ajánlott ezzel a lehetőséggel élni. Nem mindegy ugyanis, hogy ha az ékezetmentes angol ábécét használjuk, akkor 26 vagy 52 betű karaktert használhatunk fel. A szakértők azt szokták javasolni, hogy a fent nevezett 52 karakter mellett legalább egy számjegyet (0 és 9 között) is alkalmazzunk jelszavainkban, és szükség esetén, mivel szóköz általában nem alkalmazható, használjuk az aláhúzás jelet is. Az ékezetes karakterek használata nem feltétlenül javasolt. A BIOS jelszóval kapcsolatban érdemes megjegyezni, hogy a számítógépek bekapcsolásakor elenyésző kivétellel (például: német vagy francia import) a gép angol billentyűkiosztással indul. Ilyenkor a „z” és az „y” karakterek tényleges helye nem feltétlenül egyezik meg a magyar billentyűkiosztáséval. A következő jelszavas védelmi lehetőség a Windows indításának jelszóhoz kötése. Ez a Windows NT és Windows 2000 esetén nem kerülhető meg, legfeljebb automatikussá tehető, míg Windows 9x esetén az Esc billentyű lenyomásával meg lehet kerülni a bejelentkezést. Hálózatba kötött gépeken a hálózatba való bejelentkezéshez a megfelelő hálózati azonosító néven túl jelszó is szükségeltetik, ami nélkül nem érhetők el a hálózati erőforrások. Az Office alkalmazásokban (Word, Excel, Access, PowerPoint, stb.) a dokumentumokat különböző szintű jelszavas védelemmel lehet ellátni. Egyes jelszavak az állományokba való
157 betekintést engedélyezik, mások a hozzászerkesztést teszik lehetővé, de jelszóhoz köthető az állományok megnyitása is. A jelszavas védelem roppant előnyös lehet adatbiztonsági szempontból, ám megnehezíti a dokumentumok tartalmának vírusellenőrzését. A levelező rendszerek postafiókjainak megnyitása szintén jelszóhoz köthető. Itt is érvényes az a tanács, hogy legalább 6 karakteres, kis- és nagybetűket, valamint számokat vegyesen tartalmazó jelszavakat érdemes használni. Ahol többféle nyelvet és/vagy billentyűkiosztást is használnak, ott érdemes elkerülni az olyan jelszavakat, amelyekben „z” vagy „y” karakter is szerepel.
4.2.2.3. Jelszónyilvántartás vállalati környezetben
Vállalati, kisebb-nagyobb szervezeten belüli (zömében hálózatos) környezetben mindenképp nyilván kell tartani az alkalmazott azonosítókat és jelszavakat. Természetesen ez nem jelenti, nem jelentheti azt, hogy bárki bármihez hozzáférhet. Javasoljuk olyan rendszer kidolgozását, ahol írásban fektetik le az azonosítókat és jelszavakat, s ezt megfelelően elzárva páncélszekrényben őrzik, hogy akadályoztatás esetén is hozzáférhessenek a vállalat/szervezet számára létfontosságú fájlokhoz, adatokhoz.
4.2.2.4. Képernyővédők használata
Még egy jelszavas védelem van, amelyről érdemes szót ejtenünk, ez pedig nem más, mint a jelszavas képernyővédők használata. A képernyővédők használata általában alaposan megterheli a rendszert, erőforrásokat (operatív memóriát és processzoridőt) von el, ezért bizonyos erőforrásigényes alkalmazások – köztük a Microsoft Office programjai – rejtett hibái gyakrabban jelentkezhetnek, gyakoribb lehet az adatvesztés is.
4.2.2.5. A szabályos kikapcsolás fontossága
Az 1980-as években a személyi számítógépek többségén a DOS valamelyik változata volt az operációs rendszer. Ezeken a gépeken a programok lezárása után a kikapcsolás egy mozdulattal, a főkapcsoló lekapcsolásával történt. A Windows 95 és a Windows NT megjelenése és elterjedése ezen alapvetően változtatott, mivel e rendszerek kikapcsolása ennél hosszadalmasabb folyamat. A 32 bites Windows kiadások lekapcsolása azért hosszabb, mert a rendszernek egy sor háttérben futó folyamatot kell megfelelően lezárnia.
158 Az áramszünet miatti, vagy egyéb nem szabályos rendszerleállások is okozhatnak adatvesztést és sérüléseket a merevlemezek adattartalmában, ám ez nem kötelező. Ha a leáll(ít)ás pillanatában éppen lemezre írt a gép, akkor törvényszerű az adatok valamilyen fokú sérülése, különben a fellépő problémákat az operációs rendszer automatikus hibajavító mechanizmusai megoldják.
4.2.2.6. A szünetmentes áramellátás fontossága és biztosítása
Mint minden finom elektronikát tartalmazó eszköz, a számítógépek is érzékenyek az áramellátásban fellépő ingadozásokra. Egy átlagos városi irodában ugyan nem jellemző a gyakori feszültségingadozás, ám egyáltalán nem ismeretlenek a rövidebb-hosszabb áramkimaradások, feszültségesések. A számítógépek belső tápegysége, amely a betáplált 220 Voltot alakítja át a belső részegységek számára szükséges 5,12 Voltos törpefeszültséggé, fő feladata mellett mintegy „megszűri" a bejövő áramot és elsimítja a kisebb, pár tizedmásodperces ingadozásokat. Amennyiben ez már nem elegendő, akkor szünetmentes áramforrás beszerzésére lesz szükség. A túlzott várakozással le kell számolnunk. Egy 20-30 ezer forintos 2-400 VA-es szünetmentes tápegység nem ad több órán keresztül áramot. Egy átlagos PC (a monitorral együtt) energiaellátását legfeljebb 10-15 percig tudja biztosítani. Ez elegendő a rövidebb feszültségesések, áramkimaradások áthidalásához, de ha 5 percet meghaladó az áramkimaradás, akkor már célszerű inkább szabályosan lezárni minden futó programot, kikapcsolni a gépet és megvárni, amíg újra stabilan lesz áram. Egy további – sajnos szintén hamis – közhiedelem, hogy a szünetmentes áramforrások többsége a túlfeszültség ellen is védelmet ad. Ezt a szolgáltatást csak a magasabb árú, rendszerint szerverekhez szánt, nagyobb kapacitású eszközök biztosítják. Ahol a villám és túlfeszültség (feszültségtüskék) elleni védekezést komolyan gondolják, ott nem csupán a megfelelő földelésről és biztosítékokról gondoskodnak, de arra alkalmas túlfeszültség- védelmi eszközökről is. Az APC Back-UPS készülékei a szünetmentes áramellátáson túl némi zavarszűrést és túlfeszültség-védelmet is biztosítanak, s ez utóbbit az Internet kapcsolatok létesítésére gyakran használt telefonvonalakra is felkínálják.
4.2.3. Szervezeti és szervezési eszközök
Megfelelő hozzáférési és jogosultsági hierarchiák kialakításával csökkenthető az illetéktelen és jogosulatlan adat-hozzáférésekből eredő veszteségek kockázata. A pontosan és egyértelműen írásban rögzített feladatkörök és jogosultsági, hozzáférési szintek
159 minimalizálják az illetéktelen hozzáféréseket és a vírusfertőzések hatását is. Így egy esetleges vírusfertőzés szerencsés esetben az érintett munkacsoporton belül tartható. 5-10 felhasználó esetén a felhasználói csoportok használata még csak korlátozott előnyökkel jár 20 felhasználó fölött azonban már feltétlenül érdemes kihasználni a felhasználói csoportok nyújtotta előnyöket. A vállalatok Informatikai Biztonsági Szabályzatában (IBSZ) többek között a hierarchia- szinteket, az adatkezelést és a számítógép-használatot is szabályozni kell. A szabályozandó hierarchiaszintek a következők: - fizikai hozzáférés a számítógépekhez, perifériákhoz, adathordozókhoz; - bekapcsolás; - hálózatba való bejelentkezés; - alkalmazói programok indítása és használata; - Internet használat (böngészés, ftp, telnet, levelezés); - távmunka modemen, helyi hálózaton, Interneten keresztül; - titkosító, illetve digitális aláírást biztosító eszközök használata; - rendszerfelügyelet és karbantartás; - hálózati fejlesztések; - (leltári) nyilvántartások; - adattartalom szolgáltatása külső félnek. A szervezeti-szervezési eszközök közé tartozik a folyamatos ellenőrzés biztosítása a rendelkezésre álló antivírus- és adathelyreállító szoftverek segítségével. Azt helyileg kell eldönteni, hogy az ellenőrzést milyen fokig kell, illetve lehet automatizálni. A szervezetek számára alapvető fontosságú az adatbiztonság érdekében egy vészhelyzetterv, s egy katasztrófaterv írásban való lefektetése. Ebben rendelkezni kell arról, hogy a számítógépes rendszer megsemmisülése, illetve károsodása esetén is rövid időn belül újra lehessen indítani a számítógépes rendszert egy minimális funkciócsomaggal. Mivel a számítógépeket emberek kezelik, nem feledkezhetünk meg a dolgozók megfelelő szakképzéséről, illetve szinten tartó képzéséről. Erről szól összeállításunk Az oktatás szerepe és szükségessége című alfejezete.
4.2.4. Backup stratégiák
Alapvetően két fő típusa van a biztonsági mentéseknek (Backup). Az egyik (Rendszermentés) a rendszerprogramokat és a rendszer alapbeállításait menti, egy az eltávolítás után biztonságos helyen tárolható adathordozóra, a másik mentéstípus (Adatmentés) az adatok és az alkalmazások mentésére szolgál. A kettőt kombinálhatjuk is, de nem minden esetben érdemes.
160 Jobb különválasztani az alapvető rendszerprogramokat és rendszerbeállításokat a felhasználói programoktól és adatterülettől. Az első típusba (Rendszermentés) tartozó biztonsági mentést akkor érdemes elkészíteni, amikor a rendszert először üzembe állítják, és perifériáit, hálózati és egyéb adatkapcsolatait már beüzemelték. Ugyancsak e mentéskörbe tartozik a számítógép felhasználóinak adatbázisa és a Registry. Az alábbiakban pontokba szedve láthatjuk a már korábban is említett mentési struktúra kialakítához a lépéseket, melyeket figyelembe kell venni: 1. Egy Rendszermentést kell készíteni a gép üzembeállításakor. Amennyiben új eszközt, új programot telepítünk, vagy frissítjük a rendszerprogramokat vagy módosítottuk a felhasználói és hozzáférési jogosultsági adatbázist, újabb mentést kell készítenünk. A Rendszermentéseket új adathordozóra vagy új session-ként kell elkészítenünk a régi mögé, hogy szükség esetén az előző beállítások továbbra is visszaállíthatók maradjanak. 2. Az adatmentésekhez ki kell alakítani egy automatikusan lefutó ütemezett mentési procedúrát, amely az előre beállított időpontokban emberi közreműködés nélkül elindul. Mindössze az adathordozó cseréje és a naplózás maradjon emberi feladat. A mentések elkészítésére olyan időpontokat kell választani, amikor a mentendő adatterületet nem használják, nem írnak bele (például 21:00, amikor már az irodákban nagy valószínűséggel már nem dolgoznak), s a szerver mentés okozta terhelése (és az erre visszavezethető hálózat-lassulás) nem zavarja a napi munkát. 3. A helyi igényeknek, illetve a cég/szervezet előírásainak megfelelően kell beütemezni a napi mentéseket. Egy javasolt Adatmentési rendszer a következő lehet (feltételezve, hogy egy kivehető adathordozón, például mágnesszalagon csak egyetlen mentést készítünk): Hétfőtől csütörtökig differenciális mentést (az előző full, azaz teljes mentés óta megváltozott anyagok mentése) célszerű készíteni. Ezt az adathordozót megfelelően felcímkézve egy hétig kell tárolni, a következő mentés készítéséig. Pénteken készüljön egy full, azaz teljes mentés a megfelelően felcímkézett adathordozókra, amit csak havonta egyszer használunk fel. A hónap első vagy utolsó péntekjén készült mentést jelöljük külön és tároljuk külön, mivel azt évente csak egyszer frissítjük. Mágnesszalagos (streamer, DAT, DTL, stb.) mentéseknél így a teljes szalagigény a következő: Rendszermentési szalagok 2 db Hétköznapi szalagok 4 db (+ 1 tartalék) Pénteki szalagok 4 db Havi mentés szalagok12 db
161 Összesen22 + 1 darab 1-1 szalag éves mentés archiválási célokra szintén elrakható 4. Az éppen nem használt mágneses adathordozókat tűzbiztos páncélszekrényben (ha lehet egy másik épületben) célszerű tárolni. 5. A mentések készítését dokumentáljuk egy folyamatosan - és kötelezően - vezetett mentési naplóban! E naplóba kerüljön be, hogy mikor történt a kazettacsere, mi a kazetta neve és a mentés végeztével a program milyen jelentést készített (sikeres volt-e, előforduló hibák, intézkedések). 6. A mentések sikerét, megbízhatóságát ellenőrizzük hetente/havonta egyszer azzal is, hogy egy-egy véletlenszerűen kiválasztott fájlt és/vagy könyvtárat visszaállítunk egy erre előkészített munkakönyvtárba. 7. Ki kell dolgozni a visszaállítási és visszakeresési procedúrákat is, valamint be kell gyakoroltatni a helyreállítással, visszaállítással kapcsolatos teendőket is a mentéseket készítő rendszergazdákkal. 8. A rendszergazdákat és az erre felhatalmazott további munkatársakat ki kell képezni a mentéseken kívül a visszaállítások, helyreállítások készítésére is. 9. Elő kell készíteni egy olyan helyreállító készletet, amely lehetővé teszi, hogy egy kényszerű merevlemezcsere, formázás, stb. után egy floppyról és/vagy CD-ről indítva a rendszert eljussunk ahhoz az állapotig, hogy lehetővé váljon mind a rendszer, mind a korábbi adattartalom visszaállítása a korábban készített rendszer- és adatmentésekről. 10. Érdemes legalább félévente ellenőrizni a mentendő területek beállításait, és szükség esetén módosítani.
4.2.5. Lemezek, programok, bejövő anyagok ellenőrzése
Számítógépeink természetesen érzékenyek a rosszindulatú programok és a nem kívánt behatolók (hackerek és crackerek) okozta behatásokra, s könnyen megsérülhetnek adataink, programjaink, ha nem vigyázunk. Védeni kell hát minden olyan bejövő csatornát, ahol idegen programok érkezhetnek. Nem zárható ki ugyan teljes biztonsággal, hogy valaki a billentyűzeten keresztül vigyen be olyan programutasításokat, amelyek vírusként szaporodnak tovább a rendszerben (ehhez már elegendő lenne a kisméretű vírusok ismeretében akár 30-50 karakternyi programkód bevitele), ám ennek valószínűsége elenyészően csekély, mivel magas szintű programozói ismereteket feltételez és a vírusforrás (jelen esetben a kódot begépelő személy) gyorsan és egyértelműen azonosítható utólagosan is. A rosszindulatú programok szinte kizárólag a cserélhető adathordozókon (floppy, CD-ROM, ZIP lemez, stb.), a helyi hálózatokon (LAN) vagy nagytávolságú hálózatokon (WAN), illetve
162 a modemes (BBS, Internet, közvetlen gép-gép kapcsolat) vagy egyéb (soros port, nyomtató port, USB, stb.) eszközökön keresztüli kapcsolatokon keresztül juthatnak be a számítógépekbe. Ezek megfelelő ellenőrzésével megvalósíthatók a biztonságos munkavégzés és adatkezelés feltételei. A floppy lemezek ellenőrzése kiemelt fontossággal bír, mivel a hagyományos háttér adattárolók már a PC korszak kezdetétől a támadások kedvelt célpontjainak számítottak és számítanak ma is, bár fontosságuk nagymértékben lecsökkent. Ellenőrizni kell a floppy lemezek boot szektorát (bootvírusok keresése!), a lemezen található futtatható fájlokat és dokumentumokat, valamint tömörített és egyéb fájlokat. Mivel a floppyról bootolni is tud a gép, célszerű ezt a lehetőséget még a CMOS Setup-ban blokkolni. Így kisebb (szinte semmi) esélye marad a boot vírusoknak a vezérlés megszerzésére. A CD lemezekről szintén lehet bootolni, ha a gépünk ezt megengedi, de elhanyagolható annak az esélye, hogy életképes bootvírus kerüljön CD-ROM lemezekre. Amíg floppyt bárki írhat, bootolható CD-t kevesebben, és könnyű lenne a forrásig nyomon követni a CD-n terjedő bootvírust. Más hordozható háttértároló eszközökön is érkezhet vírusfertőzés, de ezek ellenőrzése csak azon múlik, hogy egy erre alkalmas programot beszerezzünk és bekonfiguráljunk. Ennek mikéntjéről még szólunk a Folyamatos ellenőrzés és Antivírus- és adathelyreállító szoftverek című fejezetekben. A helyi hálózaton keresztül érkező rosszindulatú programokat egy olyan védelemmel foghatjuk meg, amely a háttérben fut, ellenőriz és blokkolja a veszélyesnek és/vagy gyanúsnak talált programok futását. A BBS-ekről letöltött fájlokat célszerű ellenőrizni, csakúgy, mint az Internetről, vagy idegen gépekről, rendszerekről bármilyen csatornán keresztül érkező szoftvereket és potenciálisan (makró)program-hordozó dokumentumfájlokat. Külön ki kell térnünk az Internet veszélyeire (lásd még: Támadáspontok a rendszereken), és a levelező rendszeren keresztül támadó vírusokra, programférgekre, trójai típusú és egyéb rosszindulatú programokra (lásd még: Levelező vírusok és programférgek). A felsoroltakon kívül még közvetlen soros vagy párhuzamos port kábelkapcsolaton keresztül is érkezhetnek rosszindulatú programok, de egy megfelelően karbantartott és beállított védelmi rendszerrel e támadások könnyedén kiszűrhetők és semlegesíthetők. A lemezek ellenőrzésére vállalati környezetben javasolható olyan rendszer kialakítása, amely szerint a vállalati IBSZ-ben rögzíteni kell, hogy egy-egy osztályon, csoportban ki kell alakítani egy vírusellenőrző munkaállomást, és a rendszeren kívülről érkező floppy és CD lemezek használata csak azután engedélyezett, ha az ezen a gépen maximális érzékenységgel
163 elvégzett vírusellenőrzés vírusmentesnek igazolja a lemezt, vagy eltávolította róla a fertőzésnek még a nyomait is.
4.2.6. Megelőző védekezés programférgek ellen
Az elektronikus levelezést használó programférgek túlnyomó többsége a Microsoft Outlook vagy az Outlook Express szolgáltatásait veszi igénybe kódjának szerteküldéséhez. Ha nem áll módunkban az Outlook programok helyett más, biztonságosabb levelező szoftvert használni, legalább töltsük le és telepítsük a legfrissebb biztonsági hibajavító (patch) csomagokat a Microsoft weboldalairól. De ettől függetlenül is érdemes operációs rendszerünket és felhasználói programjainkat naprakészen tartani és telepíteni amint hozzáférhetőkké válnak, a legfrissebb javító csomagokat. A letöltést csak olyan helyről végezzük, amely hiteles, például a fejlesztő vagy hivatalos képviselő, forgalmazó web- vagy FTP oldalairól. Dolgozzunk óvatosan a csatolt állományokkal, akár küldünk, akár kapunk ilyeneket. Kapcsoljuk ki a Windows-nak a regisztrált kiterjesztéseket elrejtő funkcióját. Windows 2000 alatt ezt az Explorer Tools menüjén keresztül tehetjük meg: Tools/Folder Options/View itt szedjük ki az ellenőrző pipát a "Hide file extensions for known file types" mező kockájából. Ezzel legalább megnehezíthetjük, hogy a rosszindulatú, .EXE és .VBS kiterjesztésű fájlok ártalmatlan .TXT vagy .JPG fájlokként álcázzák magukat. Soha se nyissunk meg közvetlenül levélben érkező .VBS, .SHS vagy .PIF kiterjesztésű csatolt állományokat! Normális csatolt fájlként ilyet senki sem küld, annál gyakrabban használják ezeket a vírusok és programférgek. Sose nyissunk meg egyszerű rákattintással kettős kiterjesztésű fájlokat, mint a NAME.BMP.EXE vagy NAME.TXT.VBS Hacsak nem feltétlenül szükséges, foldereinket ne osszuk meg feleslegesen másokkal. Ha mégis szükség van erre, akkor próbáljunk meg úgy dolgozni, hogy az egész meghajtó vagy a Windows könyvtár megosztása helyett csak azt a foldert tesszük elérhetővé mások számára is, amelynek tartalma nyilvános. Amikor nem használjuk számítógépünket, bontsuk meg fizikailag is a bekötő hálózati vagy telefonkábelt, vagy egyszerűen kapcsoljuk ki a gépet. Ha mások is hozzáférhetnek távollétünkben, inkább kapcsoljuk ki, amennyiben meg szeretnénk védeni rajta tárolt adatainkat. Ha egy barátunk címéről érkező elektronikus levelet furcsának találunk – például idegen nyelvű szöveget tartalmaz, mikor a feltételezett küldő csak magyarul tud, vagy furcsa dolgokat állít –, hívjuk fel telefonon a feltételezett feladót, vajon ő küldte-e a szóban forgó levelet, s a válasz megérkeztéig semmiképpen ne nyissuk meg a gyanús levéllel érkező csatolt
164 állományokat. A kéretlenül érkező reklámlevelek hirdetései, csatolt fájljai és webhivatkozásai rosszindulatú programokat is bejuttathatnak rendszerünkbe. Kerüljük a szexuális jellegű fájlneveket hordozó csatolt fájlok, mint a PAMELA_NUDE.VBS vagy a PORNO.EXE megnyitását, elindítását. A levelező programférgek az emberek szexuális kíváncsiságára építve gyakran rejtőznek ilyen hangzatos fájlnevek mögé. Ne bízzunk meg a csatolt fájl ikonjában sem! A férgek gyakran tartalmaznak és alkalmaznak olyan végrehajtható programfájlokat a felhasználók átverésére, amelyek ikonfájlnak látszanak. Idegenek csatolt fájljaiban ne bízzunk meg. Különösen veszélyesek az online csevegő csatornák, fórumok, mint például az IRC, a mIRC, az ICQ vagy az AOL Instant Messenger. Ha nem feltétlenül muszáj, ne töltsünk le nyilvános hírcsoportokról (Usenet news, stb.) fájlokat! Ezeket a víruskészítők korábban gyakran felhasználták "termékeik" terjesztésére.
4.3. Folyamatos ellenőrzés
A DOS alá is készítettek folyamatos vírusellenőrzést biztosító, úgynevezett memóriarezidens vírusvédelmeket. Ezek azonban érthetően kisebb hatékonysággal ismerték fel és blokkolták a vírusokat, hisz kompromisszumot kellett kötni: ha igazán hatékony és megbízható védelmet akarunk megvalósítani, akkor fel kell áldozni a sebességet és az erőforrásokat. Ha pedig dolgozni is akarunk a gépen, akkor nem lehet az összes erőforrást átadni a vírusellenőr programoknak. Igazán hatékony vírusvédelmet csak megfelelő erőforrásokkal (sok fizikai memória, gyors merevlemez és processzor) felvértezett gépen, 32 bites operációs rendszeren lehet megvalósítani. Itt biztosítható – természetesen a processzor és az erőforrások jelentős leterhelésével – a folyamatos ellenőrzés. Ez azt jelenti, hogy a rendszer minden megnyitott állományon és lemezen teljes értékű vírusellenőrzést végez. A folyamatos ellenőrzés kézbentartása többféleképpen állítható be. A felhasználótól teljes mértékben elvehető az ellenőrző program leállításának és beállításának a lehetősége (nagyvállalati rendszerekben ez az általános gyakorlat!) vagy ez teljesen rá is bízható a felhasználóra. A valós életben alkalmazható és alkalmazandó módszerek a kettő között félúton találhatók. Vannak olyan helyzetek és rendszerek, ahol, és amikor ragaszkodni kell hozzá, hogy a laikus, vírusügyben kellő ismeretekkel nem rendelkező felhasználó ne állíthasson be, és ne állíthasson le semmit. Más rendszereken pedig részleges beállítási lehetőségeket kell számára biztosítani. A folyamatos ellenőrzés beállításakor intézkedni kell az ellenőrzendő fájltípusokról, arról, mely lemezeket, lemezterületeket kell ellenőrizni és mit nem (például a swap fájlokat), és
165 arról is, mi legyen a fertőzöttnek talált vagy gyanús fájlokkal. A felhasználói hozzáférések leblokkolása alapkövetelmény, de ezen túl választható a karanténba helyezés, a törlés, a fertőtlenítés vagy átnevezés, esetleg ezek néhány kombinációja. A folyamatos ellenőrzés – ha jól van beállítva – lehetővé teszi, hogy az összes bejövő csatornát blokkoljuk. Ha bármely csatornán fertőzés érkezik, azonnal lebukik, ha vezérléshez jutva a memóriába kerül vagy valamelyik háttértárolóra (floppy, merevlemez, CD, stb.) írni akar akár végleges, akár átmeneti fájlokat. A mai modern vírusellenőr programok számos technológiát alkalmaznak a rosszindulatú programok nyakon csípésére. A hagyományos sztring-keresésen túl ma már egyre nagyobb szerepe van az ellenőrzésben a heurisztikus módszerek alkalmazásának, amikor akár ismeretlen programkártevők is detektálhatók, ha csak vírusokra jellemző műveleteket végeznek. Ez a módszer rendkívül hatékony lehet, és sokkal kevésbé igényli a gyakori program- és adatbázis frissítéseket, mint a klasszikus víruskereső módszerek.
4.4. Antivírus- és adathelyreállító szoftverek
Az antivírus szoftverek vírusazonosító adatbázisaik és/vagy heurisztikus és egyéb módszereik segítségével ismerik fel az adathordozókon vagy a különféle elektronikus adatátviteli csatornákon keresztül támadó/érkező rosszindulatú programokat. A felismert fertőzéseket mindenképpen blokkolni kell. A kérdés, hogy hol, milyen szinten végeztetjük az ellenőrzést. Ahol korlátozottak a számítógépek erőforrásai és csekély a fertőzések kockázata, ott nem feltétlenül előnyös memóriarezidens (DOS rendszerekben) vagy a háttérben állandóan futó, úgynevezett On access keresőket alkalmazni. A víruskeresés – amennyiben hatékony és megbízhatóan működő védelmet akarunk megvalósítani – meglehetősen erőforrás-igényes, érdemes tehát azokra a helyekre koncentrálni, amelyek az ismert és elképzelhető támadáspontok. Ilyenek a floppyk és CD lemezek ellenőrzése – ez egy előkészített ellenőrző állomás felállításával és ennek kötelező használatával átvehető –, a levelezés és az Internetről való fájlletöltés ellenőrzése (lásd még a Levelező rendszerek vírusvédelme) – ez is központilag, a megfelelő szerver-alapú szolgáltatások kézbentartásával elérhető – s a programtelepítések központi felügyelete, kezelése. A központi, azaz a szervereken telepített vírusellenőrzés igen hatékony védelmet biztosít, amennyiben a munkaállomások adatállományaikat hálózati (a szerver hatáskörébe tartozó) meghajtókon hozzák létre és tárolják. Ilyen rendszereken viszonylag csekély a vírustámadások kockázata, s a szerverek vírusvédelme mellett a csekélyebb erőforrásokkal rendelkező munkaállomásokon az erőforrás-faló háttérben futó On access keresők helyett
166 elegendő az alkalmilag futtatandó, az egyes ellenőrzések lefutása után az addig lefoglalt erőforrásokat automatikusan felszabadító Ad hoc keresőket telepítenünk és használnunk. Bármelyik rendszert is választjuk, fontos napi feladata a főállású vagy megbízott rendszergazdáknak az antivírus szoftverek adatbázisának frissítése. Annak ellenére, hogy a heurisztikus módszerek fokozatosan előtérbe kerülnek, az eredményes víruseltávolításhoz továbbra is szükség van a naprakész vírusismeretre. A vírusmentesítés után azonban van még egy feladat, amelyről sokan elfeledkeznek, és ez a sérült adatok helyreállítása. Itt két programtípust tudunk ajánlani olvasóinknak: a backup (biztonsági másolat készítő és visszaállító) és az adatjavító (például Tiramisu) programokat. Az előbbiek a korábban készített biztonsági másolatok segítségével csökkenthetik az adatvesztés mértékét, az utóbbiak magán a sérült adathordozón próbálják meg a sérült állományok és könyvtárak eredeti adattartalmának visszaállítását. Külön érdemes szólnunk arról is, hogy az eltérő keresési-ellenőrzési feladatok miatt azok a programok, amelyek a bináris programkódot tartalmazó, úgynevezett klasszikus vírusok ellen hatékonyan védenek, nem feltétlenül hatékonyak a makró- és script nyelveket alkalmazó kártevők felkutatására és semlegesítésére. Nem véletlenül kapnak különösen nagy hangsúlyt összeállításunkban script- és makrókártevők ellen készített antivírus programok.
4.4.1. On access keresők
Az On access keresők közé soroljuk azokat a vírusellenőr programokat, amelyek a számítógép indítása után betöltődnek a gép memóriájába és a konfiguráláskor beállított paraméterekkel végzik a vírusellenőrzést. Az ilyen programok figyelik a használatba vett lemezek boot szektorát bootvírusok után kutatva, természetesen automatikusan ellenőrzik az összes megnyitott (nemcsak a futtatott, de a másolt) fájlt is. Az elindított programok ellenőrzésekor nem csupán azonosító sztringeken alapuló ellenőrzéseket végeznek, de többnyire az elindított programok viselkedését is elemzik. Az On access keresők ma már – a makróvírusok és script alapú kártevők rohamos terjedése miatt – a megnyitott dokumentumfájlokat is ellenőrzik. Ennek köszönhetően az ilyen programok használatakor sok e-mail-ben, a szövegtörzsben vagy mellékletként érkező vírus gyorsan "lebukik", amikor elindítja szaporító vagy pusztító, romboló rutinjait. Mint korábban már jeleztük, a folyamatos, és a háttérben zajló automatikus vírusellenőrzés meglehetősen erőforrás-igényes. Erre vezethető vissza, hogy sok türelmetlen felhasználó – kellő háttértudás és felelősségérzet híján – megpróbálja a háttérben futó vírusellenőrzést kikapcsolni. Ha a rendszergazda nem védi le, zárja el a felhasználók elől az ilyen vírusvédelem beállítási lehetőségeit, a felhasználók többsége egyszerűen kikapcsolja a
167 védelmet, majd a bekövetkező vírusfertőzés után azzal próbálja indokolni helytelen és nagy károkat okozó döntését, hogy lassította a munkát. Csak összevetésként: a gép indulásakor maximum fél perces többletvárakozás, illetve a floppy lemezek és e-mail-ek olvasásakor észlelhető pár másodpercnyi lassulás messze nincs arányban a vírusfertőzés miatti adatvesztésekkel és a kiesett többórányi gépidővel. A könyvek, folyóiratok és egyéb újságok floppyk és CD lemezmellékleteinek, valamint a gyári programtelepítő csomagoknak a vírusellenőrzését sok esetben hajlamosak elmulasztani mind a felhasználók, mind a túlterhelt és vírusvédelmi ügyekben nem feltétlenül kompetens rendszergazdák. Ez néha könnyelműség, hiszen számos esetet ismerünk, amikor eredeti gyári lemezek (CD-ROM-ok is!) vírusfertőzöttnek bizonyultak. A hazai esetek közül elég, ha a CHIP magazin 1998-as baleseteit (HD-Killer és WM/CAP) és a PC-GURU nevezetes CIH- fertőzését említjük meg. Az On access keresőknek alternatívája és egyúttal kiegészítése az Ad hoc keresők alkalmazása. A DOS-os keresők közül a McAfee NetShield és VShield programokat kell kiemelnünk, valamint a DOS-os TBAV csomag rendkívül hatékony memóriarezidens segédprogramját. A Magyarországon beszerezhető antivírus programok közül több hazai fejlesztés is méltán szerzett jó hírnevet (például a VirusBuster), a piacot viszont a nemzetközi forgalomban lévő programok uralták és uralják ma is. Az MS DOS részeként szállított Microsoft Antivírust a negatív példák között kell említenünk, gyatra felismerése (kiadásakor 30-35 %) és a fejlesztői-forgalmazói támogatás és a frissítések hiánya miatt. Az Internetről letölthető és/vagy az újságok CD mellékleteiről telepíthető programok jelentős része 32 bites és Windows rendszerek alá készült. Ezeknek freeware vagy shareware kiadásai inkább az Ad hoc típusú kereső programok közé tartoznak, ám tapasztalataink szerint a felhasználók inkább a háttérben futó On access keresőket kedvelik és telepítik.
4.4.2. Ad hoc keresők
Az Ad hoc keresők a legrégebbi, máig is igen hasznos, széles körben alkalmazott víruskereső módszereket képviselik. Bár az ellenőrzések indítását e programok a felhasználók kezébe adják, s így a folyamatos és automatikus ellenőrzés hiányában növelhetik a megfertőződés valószínűségét, használatuk mégis indokolt és célszerű. A folyamatos ellenőrzést biztosító rendszerekkel szemben tagadhatatlan előnyük, hogy sokkal kisebb az erőforrásigényük, így akár kiöregedett, egyéb irodai munkákra már nemigen alkalmazható számítógépekből is ki lehet alakítani vírusellenőrző munkaállomásokat.
168 A legtöbb mai vírusellenőr programnak van Ad hoc, vagy angolosan On demand típusú változata. A DOS alól vagy parancssorból indítható programok között a nemzetközi programok közül Magyarországon az F-PROT shareware kiadása (jelenleg 3.12 verzió) a legelterjedtebb, de mellette sokan kedvelik az olyan hatékony, parancssorból indítható, lefutás után a memóriából eltávozó programokat, mint az AVP, DrWeb, McAfee VirusScan. A parancssorból indítható Ad hoc keresők közös sajátossága, hogy parancssori paraméterezéssel vagy konfigurációs fájlon keresztül kell megadni a programok számára az ellenőrzendő lemezterületeket, valamint a keresési paramétereket. A programok jó része ma már a tömörített (.ARJ, .ZIP, .RAR, .LZH .CAB, stb.) fájlokba becsomagolt állományok vírusellenőrzését is képes elvégezni, csak a megfelelő kapcsolókkal kell a parancssort kiegészíteni. Az Ad hoc víruskeresők megfelelően megválasztott levelező programmal és előkészített batch fájlokkal kombinálva alkalmasak arra is, hogy a levelező rendszeren keresztül támadó vírusok ellenőrzését automatizáljuk. Ehhez a beérkező levelekre vonatkozó szabályokat kell úgy módosítani, hogy a csatolt fájlok egy-egy másolatát a rendszer automatikusan helyezze el egy ellenőrző könyvtárba, s az előkészített batch fájlokkal beparaméterezve eressze rá a könyvtárba kibontott fájlokra. A vírusellenőr programok az ERRORLEVEL nevű környezeti változón keresztül jelezhetik a vírusmentességet vagy a fertőzöttséget, s ennek a visszajelzésnek a segítségével akár az is megoldható némi kézimunkával és gyakorlattal, hogy vírusos e-mail érkezése után az érintett rendszer automatikusan figyelmeztető üzenetet küldjön a fertőzött drótlevél küldőjének.
4.4.3. Levelező rendszerek vírusvédelme
A levelező rendszerek vírusvédelme a nagyvállalatok, nagy létszámú szervezetek számára létkérdés, hisz egy-egy levelező vírus vagy programféreg akár teljesen lebéníthatja a belső és külső levelező rendszert, s akkor még nem is beszéltünk a pusztító célú mellékhatásokról. E rendszerek megvédésére több megoldás is van. Ha a kliens oldalról telepítünk programot, az az érintett munkaállomásokon fogyasztja az erőforrásokat és okoz lassulást. Ha a levelező szerverre telepítünk védelmet, az szintén lassulást okoz, de ezt a levelező rendszer és a hálózat jótékonyan elrejti a felhasználó elől. A problémát az okozza, ha olyan levelező rendszert alkalmaznak a hálózatnál, amelyhez nincs még – illetve Magyarországon még nem beszerezhető vagy nincs szakmai képviselete – megfelelő vírusellenőr plugin, segédprogram. Jelenleg az Exchange és Lotus Notes levelező szerver programokhoz minden nevesebb gyártó (McAfee, Symantec, F-Secure Antivirus Company, CA InoculateIT, Sophos, Panda, VirusBuster, stb.) kínál programokat. Ezeken felül a korábban AVP néven közismert
169 Kaspersky Antivirus a két Windowsos levelező mellett Linuxos levelező szerverekre is kínál ilyen jellegű vírusvédelmet. Talán nem felesleges kiemelnem, hogy ez mennyire jelentős dolog. A megbízható és kézben tartható működés, mérsékelt hardverigény, és nem utolsó sorban a vírusokkal szembeni fokozott ellenálló képesség miatt sok iskolában és vállalatnál Linux alapú levelező rendszereket valósítanak meg. Függetlenül attól, hogy a kliens gépek Linux vagy Windows alapúak, levelező rendszerük ugyanazoknak a támadásoknak van kitéve. A levelező rendszer szerverén telepített vírusellenőr program azzal az előnnyel is jár, hogy ha egy fertőzött levél több címre is megy, már az első ellenőrzéskor blokkolható, mielőtt még ki lenne osztva a megfelelő postafiókba, vagy ki lenne postázva több tucatnyi vagy akár több száz címre. Ezzel elérhető, hogy a védett rendszer mentesülhessen a fertőzések következtében fellépő túlterhelés miatti leállásoktól. A program karbantartásáról azonban nem szabad megfeledkezni, mert könnyen előfordulhat, hogy kisebb-nagyobb biztonsági rések maradnak, ha elmarad a keresőmotor és/vagy a vírusinformációs adatbázis soron következő frissítése. Szerencsére ez a feladat is automatizálható és a fejlesztők weboldalairól emberi közbeavatkozás nélkül is telepíthetők a frissítő csomagok. A levelező szerverek mellett (néha helyett) sok helyen a kliens programokat is felvértezik vírusellenes kiegészítőkkel, pluginokkal, amelyek szervesen beleépülnek a levelező programba. Erre szükség is van, hiszen sok esetben kódolt (titkosított) formában érkeznek elektronikus levelek, köztük a fertőzéseket hordozók is. Ezek vírusellenőrzése a hálózat nélkül vagy kevéssé felügyelt gépeken nem is igen oldható meg más módon. A legtöbb ilyen kiegészítés értelemszerűen az Outlook változataihoz készült, de más programokhoz is kifejlesztettek ilyen kiegészítéseket. A legfrissebb ezek közül a TheBat! nevű népszerű shareware levelező program 1.60-as kiadásához már letölthető DrWeb for The Bat!, amelynek telepítő csomagja drwebbav.zip néven található az antivírus programgyűjteményekben. A TheBat! gyártójától [19] számos elterjedt víruskereső (Sophos, NOD32, Panda, BitDefSt, Antivir, stb.) pluginjét lehet letölteni. A magyarok közül a VirusBuster már dolgozik a megfelelő plugin mielőbbi kiadásán.
4.5. Antivírus programok a srcipt- és makrókártevők ellen
Korábban már írtuk, hogy a makróvírusok és a script kártevők felismerése és eltávolítása újabb programokat, más megközelítéseket igényel. Éppen ezért alakította ki például az F- PROT fejlesztőcsapata először a DOS-os F-MACRO és F-SCRIPT, majd később a Windows
170 alá tervezett F-MACROW programokat. Sokáig, éveken keresztül ezek önálló programok voltak, de mára már beépültek az F-PROT, illetve F-Secure Antivírus programokba. A makróvírusok ellen igen hatékony eszköz volt az 1990-es évek végén a Szlovákiában fejlesztett HMVS program, amellyel nem csupán keresni és eltávolítani lehetett a Word, Excel és PowerPoint makróvírusokat, de azok forráskódját is ki lehetett nyerni a fertőzött dokumentumfájlokból. Ez a lehetőség azért bírt (és bír ma is) különös fontossággal, mivel sokáig nehezen lehetett információhoz jutni a makróvírusok célpontjait és szaporodását valamint büntető rutinjait illetően. A bárki által ma már szabadon felkereshető és tanulmányozható vírusinformációs adatbázisok minden szükséges információt megadnak a programkártevők felismeréséhez, eltávolításához és az általuk okozott egyéb károk kijavításához. A makrókártevők ellen viszonylag egyszerűbb a védekezés, hisz egyértelműen és jól körülhatárolható, mely kiterjesztésű fájlok (.DOC, .DOT, .XLS, .XLA, .PPT, .POT, MDB) a leginkább veszélyeztetettebbek, és melyek ellenőrzéséről kell minden körülmények között gondoskodni. Ezen kiterjesztések a mai programok gyári beállításában is az ellenőrizendők között szerepelnek. A script vírusok és programférgek között egészen más a helyzet. A nyilvánvalóan ellenőrizendő és gyanúsnak látszó .VBS, .WSH, HTM, .HTML kiterjesztések mellett a .HTA, .JS, .VBA, .CSS és sok egyéb kiterjesztést is kézzel kell vírusellenőr programjaink számára kötelező ellenőrzésre beállítanunk.
4.6. Az antivírus szoftverek adatbázisainak frissítése
Az antivírus szoftverek a bizalmi programok közé tartoznak. Csak olyat szabad választani és használni, amelynek megbízhatóságában és támogatottságában nem kételkedünk. Ezt a megbízhatóságot kérdőjelezheti meg, ha nem jelennek meg időben a frissítő csomagok vagy azokba többször is hiba kerül. Még 1991-ben fordult elő, hogy olyan McAfee VirusScan programok is keringtek, amelyekbe gonosz kezek Dir2/FAT vírust ültettek. Azóta is a víruskészítők célpontjai az antivírus programok. Az eset komoly tanulsággal szolgált mindannyiunk számára, beleértve a felhasználókat, a rendszergazdákat és a fejlesztőket. Ma már minden víruskereső komoly memóriaellenőrző és önellenőrző rutinokat futtat le, mielőtt a gép háttértárait ellenőrizné. Emellett a fejlesztők ingyenesen és mindenféle azonosító ellenőrzés nélkül letölthetővé tették a programjaikhoz tartozó adatbázis- és néha a keresőmotor-frissítéseket is. Ennyi segítséggel vétek lenne nem élni.
171 A vírusinformációs adatbázisok frissítéséhez – ha rövid időre is – le kell állítani a háttérben futó ellenőrzést. Ez szerencsére a felhasználók többsége számára észrevétlen marad, mivel általában a gép indulásakor, a vírusellenőr program betöltésekor zajlik le. A megfelelő frissítő csomagokat le lehet tölteni a fejlesztő FTP vagy weboldaláról, a hazai szakképviselet FTP- vagy weblapjairól vagy megbízható és általában naprakész internetes programgyűjteményekből. Ilyen gyűjtemény az évek óta méltán népszerű SAC, vagyis a Szlovák Antivírus Center [20] és hazai vagy külföldi tükrei (például a Közgázon [21]). Amennyiben kétségeink lennének azzal kapcsolatban, hogy vajon valóban vírusfertőzött-e a rendszerünk, sok fejlesztő cég olyan lehetőséget is kínál, hogy gyanús mintáinkat eljuttathatjuk, s válaszként megtudjuk, valóban vírus-e, s miféle, s hogyan távolítható el, ha lehet fájdalommentesen.
4.7. Vészhelyzetterv, katasztrófaterv
A Vészhelyzetterv és Katasztrófaterv nem kizárólag és talán nem is elsősorban a vírusokhoz kötődik. A vállalati számítógéprendszerek számos okból veszthetik el működőképességüket. Mivel a gazdasági élet ma egyre jobban támaszkodik a számítástechnikára és informatikára, alig pár órányi rendszerleállás, rendszerkiesés is katasztrofális hatással lehet a vállalat versenyképességére és fennmaradására. A Vészhelyzetterv arról intézkedik, hogyan kell előre felkészülni az előre nem látható eseményekre, mit és hogyan kell tenni ahhoz, hogy lehetőleg ne kerülhessünk olyan helyzetbe, amikor nem tudjuk egy-két napon belül újraindítani és a mentett, legfeljebb egy napos adatokkal újra feltölteni a rendszert. A Katasztrófaterv a tényleges intézkedési lépéseket, eszközöket és lehetőségeket rögzíti írásban. Fel kell benne tüntetni, hogy vírusfertőzés vagy bármilyen komolyabb(nak látszó) rendszerleállás esetén kit és hogyan kell értesíteni, miként kell naplózni az eseményeket, ki jogosult a rendszer helyreállítással és újraindítással kapcsolatos kérdésekben intézkedni s végül megfelelő beszámoló jelentéseket kell készíteni a vezetés számára. A katasztrófaterv a felelős felkutatásával és a vétkesek szankcionálásával nem foglalkozik, ez az IBSZ (azaz Informatikai Biztonsági Szabályzat) egy másik fejezetének központi témája.
4.8. Vállalati adatvédelmi és vírusvédelmi stratégiák, IBSZ
Vállalati, szervezeti környezetben a vezetésnek rendelkeznie kell adatvédelmi és vírusvédelmi stratégiával is, melyet a vállalatok, szervezetek számára rendszerint kötelezően elkészítendő és alkalmazandó IBSZ (Informatikai Biztonsági Szabályzat) határoz meg. Az IBSZ egyaránt
172 szabályozza a hagyományos, papíralapú adatkezelést és a számítógépes, elektronikus adatkezelést, valamint a mindkét típusú (papíralapú és elektronikus) adatkezeléshez tartozó adatvédelmet. A helyi IBSZ kialakítása a vezetői feladatok közé tartozik, létrehozásához segítséget kaphatunk az Információs Tárcaközi Bizottság (ITB) weboldalairól [22] letölthető segédletekből, és (kiegészítő) dokumentumokból. A vállalati, szervezeti IBSZ létrehozásában, fejlesztésében és karbantartásában többen is részt kell vegyenek. Karbantartása és fejlesztése olyan komplex és soha le nem záruló feladat, amelyet témakörönként az adott területekért (Informatika, Igazgatóság, Pénzügy-könyvelés, Biztonsági szolgálat, Munkaügy, stb.) felelős vezetőknek kell kézben tartaniuk.
4.9. Az oktatás szerepe és szükségessége
Minden számítógépes rendszert rendszergazdák és felhasználók üzemeltetnek és (remélhetőleg) hozzáértő szakemberek konfigurálnak, felügyelnek. A számítástechnika és informatika egészére jellemző, hogy folyamatos oktatást, továbbképzést, de legalább szinten tartó képzést kell biztosítani a dolgozók többségének. Ez természetesen a vírusvédelemmel, adatbiztonsággal kapcsolatban fokozottan igaz. A számítógépvírusok megjelenésekor sokat tagadták még a lehetőségét is annak, hogy vírusprogramok előfordulhatnak, s évekbe telt, hogy a vállalatok megtanultak együtt élni a fenyegetettséggel. Ma inkább azon van a hangsúly, hogy a felhasználók egyrészt tisztában legyenek legalább az ismert támadáspontokkal és megértsék, nem szabad a vírusvédelmet lekapcsolni holmi pár másodperces lassulás miatt. A rendszergazdák oktatása azért fontos, mivel a víruseltávolításon kívül a program- és adat- helyreállítás is az ő feladatuk és ehhez bizony nem kevés tanulnivalót kell elsajátítaniuk. Ugyancsak sok tanulnivaló vár mindenkire, aki meg kívánja érteni, mely fájltípusok, kiterjesztések állnak leginkább a vírustámadások középpontjában és miért. Ha ezt az ismeretet sikerül elsajátítani, akkor jó esély van arra, hogy akár néhány adminisztratív jellegű, inkább szervezési, mint informatikai intézkedés megtételével a töredékére csökkenjen az adatvesztéssel járó vírusfertőzések, és egyáltalán a rendszerbe bejutó és ott tovább terjedő, pusztító vírusfertőzések száma.
173 4.10. A vírusmentesítés és az adathelyreállítás eszközei, lehetőségei, korlátai
Vírusfertőzés észlelése vagy gyanúja esetén az a legfontosabb, hogy ne essünk pánikba. A számítógép azonnali kikapcsolása nem feltétlenül jelent jó megoldást, mert a nem szabályos programlezárás könnyen adatvesztéshez, és az éppen használatban lévő adathordozó sérüléséhez vezethet. Első feladatunk vírusfertőzés esetén vagy erre utaló jelek észlelésekor, hogy megfelelő víruskereső programok segítségével azonosítsuk a fertőzés(ek) okozóját, a fertőzés(ek) kiterjedtségét, az érintett fájlokat és könyvtárakat. Bár ma már alig vonható meg a határ a víruskereső és eltávolító programok között, hisz az antivírus programok többségét mindkét feladatra felkészítették, mégis külön lehet és kell választani a víruskereső és a víruseltávolító programokat. A rosszindulatú fertőzések nem csupán azzal okozhatnak és okoznak kárt, hogy a programokba és/vagy dokumentumfájlokba beépítik a víruskódot. Sajnos a direkt rombolás, adattörlés, adatmódosítás sem ritka. Ezzel megnő a szerepe és jelentősége az adatmentő, adat- visszaállító, angol kifejezéssel Backup/Restore típusú programoknak. E programokkal, eszközökkel ha teljesen meg nem is szüntethető, de egy elviselhető minimumra szoríthatjuk vállalati, szervezeti környezetben a rosszindulatú programok, hardver- és szoftverhibák, emberi mulasztások, figyelmetlenségek vagy vis maior jellegű események (rablás, lopás, természeti csapások, stb.) miatt fellépő adatvesztéseket, károkat. Nem lehet mindenről folyamatosan napra, percre kész biztonsági másolatokat készíteni. Néha két biztonsági mentés között is készülhetnek és sajnos meg is sérülhetnek, el is veszhetnek komoly értéket képviselő dokumentumok, adatállományok. Ezek védelmét, szükség esetén részleges vagy teljes visszaállítását szolgáló rendszerek az adatjavító, adat-helyreállító, adat- visszaállító programok. Ezek ismertetése nem véletlenül kapott külön alfejezetet. A vírusmentesítés, adat-helyreállítás számos okból lehet sikertelen, illetve vezethet pusztán fél sikerre. A helyreállító, javító programok sem mindenhatóak, mindegyiknek vannak a hiba természetéből, a fájlrendszerből és egyéb okokból adódó ismert korlátai. Ezekkel külön is foglalkozunk.
4.10.1. Víruskereső programok
Az antivírus programok közös feladata, hogy vírusmentes környezetet biztosítsanak a védett rendszereken a napi feladatok ellátásánál. Ennek eléréséhez két út vezet. Az egyik arra koncentrál, hogy a vírusfertőzött és/vagy vírusgyanús programokat blokkolja, gátolja a
174 rosszindulatú, elsősorban (de nem kizárólag) vírus jellegű programok működését, vezérléshez jutását, ám nem törődik, nem foglalkozik a rosszindulatú programkód eltávolításával, a rendszer, az adatok, a programok helyreállításával, illetve ez csak másodlagos feladata. Ilyen védelmet biztosítottak és biztosítanak egyes szoftveres megoldások és az olyan hardveres antivírus megoldások, mint az alaplapi BIOS-ba integrált vírusellenőr rendszerek (például: Chipaway) és a Magyarországon kifejlesztett TopGuard (vírusvédelmi) kártya. Egy ilyen rendszer például nem távolítja el a beépült víruskódot a fertőzött dokumentum- és programfájlokból, csak egyszerűen blokkolja bizonyos vírusfunkciók működését, így meggátolva a fertőzés továbbterjedését és a pusztító rutinok lefutását. Egy fertőzött fájl másolásakor egyes megoldások, mint a fentebb említett TopGuard is, a másolás során a fertőzést tartalmazó kódszakaszt kivágják, s így ha az eredeti fájl vírusmentesítése el is marad, a másolat már vírusmentes lesz. Sok helyen e rejtett lehetőséget kihasználva víruseltávolításra is fel tudták és tudják használni az eredetileg más céllal készült vírusvédelmi eszközöket. A vírusmentes környezet biztosításának másik, általánosabban elfogadott és alkalmazott útja, hogy az azonosított vírusfertőzést nem csupán blokkolja, de (automatikusan vagy egy másik menetben kézi indítással) el is távolítja az alkalmazott antivírus program. A megoldások egy részében ez az eltávolítás – mint már jeleztük – automatikus, tevőleges emberi közreműködést (irányítást, tételes jóváhagyást) nem igényel. Nos akkor milyen egy jó vírusvédelem? - Megbízható szakmai támogató háttér áll mögötte. - Vírusismerete naprakész. - Van magyar nyelven, Magyarországon is hozzáférhető támogató szakértői csapata. - Rendszeresen frissítik s a frissítő csomagok az Interneten keresztül bármikor ingyenesen letölthetők. - Nem "akad össze" más programokkal, az operációs rendszerrel. - Jól menedzselhető. A shareware és freeware programként is beszerezhető antivírus programcsomagok jelentős része a víruskereső programok közé tartozik. Sok programnál a fejlesztők kifejezetten kettéválasztották a vírusfelismerő és azonosító funkciókat és a víruseltávolítás még ennél is bonyolultabb feladatait. A shareware programoknál amúgy is jellemző funkciókorlátozás így az antivírus programok esetén sokszor úgy jelentkezik, hogy az ingyenes vagy próbaváltozat csak azonosít, vagy csak egy szűkebb körű (néhány tucat vagy néhány száz agresszív és aktuális vírusra kiterjedő) vírusmentesítést képes végezni.
175 A felhasználók számára részben karitatív céllal, részint marketing és adatgyűjtési jelleggel számos fejlesztő cég online ellenőrzési lehetőséget is kínál az Internet hozzáféréssel rendelkező érdeklődőknek: vírusminta feltöltési, ellenőrzési szolgáltatások.
4.10.2. Víruseltávolító programok
A víruseltávolító programok szintén végrehajtanak egyfajta igen alapos víruskeresést, de fő feladatuk ezen jelentősen túlmutat. A víruseltávolító programoknak az ismert, és az adott antivírus szoftver adatbázisában szereplő vírusokat, programférgeket, trójai és egyéb rosszindulatú programokat egyértelműen azonosítania kell. A vírusmentesítés négy fő módszerrel történhet: 1. Klasszikus víruseltávolítással, vagyis a víruskód sebészi pontosságú kimetélésével; 2. a fertőzött fájl(ok) átnevezésével, amikor nem futtatható, nem értelmezett kiterjesztéseket kapnak a fájlok; 3. a fertőzött fájl(ok) törlésével; 4. program- és/vagy adat-visszaállítás egy vírusmentes biztonsági másolatból vagy a gyári telepítőkészletből.
A víruseltakarító programok a fenti sorrendben próbálkoznak a vírusmentesítési technikák alkalmazásával. Ha az egyik módszer nem alkalmazható, akkor áttérnek a következőre és így tovább. A víruseltávolítás nem minden esetben oldható meg adatvesztés vagy a fertőzött programok sérülése nélkül. Ha a vírus a hordozó (gazda) fájl megfertőzésekor nem oldotta meg az eredeti fájlállapot tárolását, és például felülírt egyes programkódot tartalmazó területeket, akkor végleges megoldást csak az adott program újratelepítésével vagy egy vírusmentes biztonsági másolatból való helyreállítással kaphatunk. A klasszikus víruseltávolítás bájtra pontosan azonosítja a fertőzött fájlokon belül a víruskódot tartalmazó részlet(ek) elejét és végét, majd azt eltávolítja és visszaállítja az eredeti vagy az eredetivel majdnem megegyező programállapotot. Makróvírusok esetén ez a vírusmakrók vagy az összes a dokumentumban levő makró eltávolítását jelenti. Az átnevezés arra épít, hogy a DOS és a Windows rendszerek számára fontos a fájlok kiterjesztése. Ha az .EXE kiterjesztést .VXE-re írja át az antivírus program, akkor az átnevezett program már nem fog futni. Ugyanez igaz a Word dokumentumok (.DOC-ból .VOC, .DOT-ból .VOT) és Excel számolótáblák (.XLS-ből .VLS) esetén is. A fertőzött fájlok törlése egy olyan megoldás, amely nem teszi ugyan működőképessé a fertőzött rendszert, de legalább a további pusztításnak, terjedésnek elejét veszi.
176 Sokszor fordul elő, hogy a fertőzés olyan sérüléseket okoz a program- és adatfájlokban, hogy csak úgy javítható a sérülés, ha az érintett fájlokat felülírjuk egy korábbi, még vírusmentes állapotban készített biztonsági mentésről vagy a gyári telepítő készletekből. Egyes esetekben speciális adatjavító, adat-helyreállító, adat-visszaállító programok segítségével is élhetünk, de ezeket (például Tiramisu, Undelete, Unformat segédprogramok, stb.) nem elsősorban a víruskód eltávolítására, hanem a megrongált program- és adatfájlok kifoltozására szoktuk használni. Végül szeretnénk leszögezni, hogy az adat-helyreállítás nem mindig lehet sikeres (lásd: A helyreállítás ismert korlátai! című fejezet). A visszaállítás megbízhatósága jelentősen növelhető megfelelő biztonsági mentési stratégia alkalmazásával (Biztonsági mentés – Backup fejezetben).
4.10.3. Backup és Restore, azaz Adatmentés és Visszaállítás
Ami elromolhat, az el is romlik, ráadásul mindig a lehető legkellemetlenebb pillanatban. Az ilyen problémák megelőzésére alkalmazzák világszerte a különböző biztonsági másolat készítő rendszereket. Ez afféle biztosításnak tekinthető, amely ugyan nem küszöböli ki a károkat, de csökkentheti a veszteségeket és növeli a helyreállítás esélyeit. A biztonsági másolatok rendszerének kialakításakor több szempontot is figyelembe kell vennünk. Fontos, hogy a rendszer automatizálható legyen, olyan időszakra kell időzíteni, amikor az adatokat nem módosítják. Úgy kell megtervezni a méretezést, hogy az alkalmazott adathordozó évekig elegendő legyen a mentések tárolására, és a rendelkezésre álló (rendszerint nem túl hosszú) idő alatt elkészüljön a mentés, valamint az adathordozó média évekig biztonságosan és megbízhatóan tárolja a rajta rögzített anyagokat. Olyan adatmentési struktúrát kell kialakítani, hogy legyen egy külön őrzött mentés az operációs rendszerről és a szerveren telepített programokról, azok beállításairól, a felhasználói jogosultságokról, stb. Legyen egy mentés az alkalmazott programok adatbázisairól, a szervereken tárolt dokumentumokról, amelyet rendszeresen frissítenek. Az adatmentés beállításakor gondoskodni kell a munka naplózásáról. Egyrészt az alkalmazott backup program maga is készíthet naplófájlokat a mentett fájlokról, könyvtárakról, s ebben jelezheti, ha valahol problémája volt, másrészt a mentések felügyeletével megbízott rendszergazda, vagy dolgozó egy folyamatosan vezetett naplókönyvben kell hogy vezesse a mentések paramétereit (kazetta neve, mentés ideje, ki cserélte a kazettát, megjegyzések, stb.). Ezek alapján – és megfelelő ismeretek és gyakorlat birtokában – visszaállítható a biztonsági mentésekről tetszőleges fájl(ok) eredeti, illetve korábbi állapota.
177 A fentiek alapján a visszaállítás begyakorlása legalább olyan fontossággal bír, mint maga a biztonsági mentés beállítása és elvégzése. Az adott körülményeknek megfelelően számtalan megoldás alakítható ki, melyek ha nem is egyenértékűek, de kiválthatják egymást.
4.10.4. Adatjavító, adat-helyreállító, adat-visszaállító programok
Az adathordozók sérülékenyek, bár e téren hihetetlen fejlődésnek lehettünk tanúi az elmúlt években. Minden fejlődés ellenére időnként szükség lehet helyreállításra. Adatvesztést nem csupán anyaghibák okozhatnak, de áramszünet, szoftverhiba, egyéb hardverhiba vagy emberi figyelmetlenség, sőt szándékos rombolás is vezethet adatvesztésekhez. Ezek egy része megfelelő javító, helyreállító programokkal kijavítható. A javításnak azonban megvannak a maga korlátai. A DOS-os világban még olyan programokkal javítottuk a megsérült adathordozó lemezeket, mint a PCTools, vagy a Norton Disk Doctor. Ezek 32 bites utódai ma is rendelkezésünkre állnak, így ma is lehetséges adat-helyreállítás sérült floppykról és merevlemezekről. Aki ilyen szolgáltatásokat kínáló ingyenes programokra vágyik, az a "tiramisu" kifejezésre keressen rá a neten. Az egyik lelőhely az OnTrack, ahol ma EasyRecovery néven találhatók a letölthető free programok.
4.10.5. A helyreállítás ismert korlátai
Helyreállítani csak azt lehet, ami nem veszett el teljesen. Ha egy vírus felülírta saját kódjával vagy más módon a megfertőzött programfájl programkódjának kisebb-nagyobb részét, akkor az csak úgy javítható, hogy egy még vírusmentes biztonsági másolatból vagy az eredeti programtelepítő csomagból másoljuk vissza az eredeti programot. Amennyiben erre nincs lehetőségünk, mert egy külső forrásból származó adathordozó vírusfertőzött állapotban érkezett és nem tudjuk (vagy a rendelkezésre álló időn belül nem tudjuk) pótolni egy vírusmentes példánnyal, akkor már csak a víruseltávolító programjainkban bízhatunk. A vírusok között nem szokatlan, hogy egy-egy kártevőnek több tucatnyi vagy akár több száz átirata, változata legyen, amelyek csak néhány bájtban különböznek. A víruseltávolító programoknak a korrekt víruseltávolításhoz és helyreállításhoz hibátlan vírusismeretre van szükségük. Ha csak egy-két bájtnyit téved a vírusirtó program, a víruseltávolítás eredménye egy elrontott és nem, vagy hibásan működő, bár vírusmentes program lesz. Egy másik dolog, hogy ma már nem csupán a programfájlokban "matatnak" a vírusok és programférgek. A Registry és az adatfájlok ugyanolyan célpontot jelentenek, ha kártételekről van szó. Számos antivírus program a fertőzések nagy részét maradéktalanul el tudja távolítani,
178 a Registry bejegyzések rendbetétele azonban sok esetben továbbra is kézi munka marad. E feladatok segítésére szolgálnak a vírusvadász cégek vírusinfo weboldalai és a letölthető, egy- egy kártevőre összpontosító Registry-javító .REG fájlok.
179 5. Irodalomjegyzék
[1] ftp://ftp.sac.sk/pub/pc/text/FFE200.ZIP [2] www.microsoft.com/hu [3] www.netscape.com/eng/javascript/ [4] http://www.malware.com/malware.zip [5] SC Magazine, www.scmagazine.com/, Copyright © 2000 West Coast Publishing. Reprinted from SC Magazine, 161 Worcester Road, Suite 201, Framingham, MA 01701 [6] HIX Guru [7] Új víruslélektan, 1991. Cédrus kiadó [8] http://www.microsoft.com/technet/security/bulletin/ms99-032.asp http://www.microsoft.com/technet/security/bulletin/ms00-034.asp http://www.microsoft.com/technet/security/bulletin/ms00-037.asp http://www.microsoft.com/technet/security/bulletin/ms00-046.asp [9] Eudorawww.eudora.com/products/eudora/updater1.html TheBat! www.ritlabs.com/the_bat vagy www.macasoft.hu Pegasus Mailwww.pmail.com/downloads.htm [10] http://www.cultdeadcow.com [11] www.cultdeadcow.com/ és sourceforge.net/projects/bo2k/ [12] http://www.tuxedo.org/~esr/jargon/html/entry/hacker.html [13] www.origo.hu [14] Supergamez informatikai magazin, 2000. szeptember 28. [15] Supergamez.hu, 2001. október 29. [16] http://w3.swi.hu/dviper, Dodge Viper, 1999.12.20. [17] http://www.wired.com/news/technology/0,1282,49960,00.html [18] www.cexx.org/vx2.htm [19] ftp.ritlabs.com/pub/TheBat/BAV/ [20] ftp.elf.stuba.sk/pub/pc/avir/ [21] ftp.bke.hu/pub/mirrors/sac/avir [22] www.itb.hu
180 1. Magyar nyelvű szakkönyvek Farmosi István – Kis János – Szegedi Imre: Víruslélektan, Cédrus Kiadó, 1990, Budapest Kis János – Szegedi Imre: Új víruslélektan, Cédrus Kiadó, 1991, Budapest Kis János: Vírushatározó, Cédrus Kiadó, 1993, Budapest Michael Horsch: Számítógépvírusok, Műszaki könyvkiadó – Sybex, 1991, Budapest Nagy Gábor: Vírusvédelem a PC-n, ComputerBooks, 1995, Budapest Nagy Gábor: Makróvírusok, Műszaki Könyvkiadó, 1996, Budapest dr. Nagy Gábor: Makró-kozmosz, Nagy makróvírus könyv, magánkiadás, 1997, Budapest Tóth J. Szabolcs: PC vírusok, LSI, 1995, Budapest
2. Angol nyelvű szakkönyvek Alan Solomon – Tim Kay: Dr. Solomon's PC Antivirus Book, NewTech, 1994, Oxford Martin R. Smith: Commonsense Computer Security, McGraw-Hill, 1989, London Janet Endrijonas: Rx PC, The Antivirus Handbook, Wincrest/McGraw-Hill, 1993, Harrisburg, USA Rob Rosenberger – Ross M. Greenberg: Computer Virus Myths, O'Fallon, 1992, Illinois Computer Virus Handbook, Research Center of the International Computer Security Association, 1992, Washington Robert Slade: Robert Slade's Guide to Computer Viruses, Springer, 1996, New York Cris Ruhl – James Molini: A universal Virus Detection Model, Computer Sciencses, Corp., 1990
3. Nevezetes tanulmányok Fred Cohen: Computer Viruses – Theory and Experiments, 1984 Gary M. Watson: Generic Stealh Detector, 1993 Vesselin Bontchev: Are "Good" Computer Viruses Still a Bad Idea?, 1994
181 6. Függelék
1. Vírusinfó a weben
Néhány kifejeztetten hoaxokkal foglalkozó angol nyelvű weboldal: hoaxbusters.ciac.org www.ulrc.com.au A Symantec (Norton Antivirus) Hoax oldalai: www.symantec.com/avcenter/hoax.html A McAfee Hoax oldalai: vil.nai.com/VIL/hoaxes.asp urbanlegends.miningco.com/library/blhoax.htm www.drsolomon.com/vircen/vanalyse/va005.html www.snopes.com/info/current.htm www.kumite.com/myths
Magyar nyelvű Hoax oldalak: yikes.tolna.net/hoax www.netweb.hu/~hamster/1855.html www.kezdo.com yikes.tolna.net/hoax/cikk-bodoky.html www.jopajtas.co.yu/54.39/CIKK10.html
2. Vírusminta feltöltési, ellenőrzési szolgáltatások
Amennyiben azt észlelik, hogy a számítógépüknek egy állománya vírusos és nem tudják hogy mit tegyenek, melyik antivírus termék képes tökéletesen eltávolítani a vírust, vagy csak gyanújuk támadt hogy a file vírust tartalmaz, lehetőség van arra, hogy a vírusmintát eljuttassák egy antivírusokkal foglalkozó vállalat címére. Ilyen esetben tudatni kell azt is, hogy földrajzilag hol helyezkedik el az a számítógép, amelyről a vírust küldi. Általában ingyen biztosítják a Vírusminta Ellenőrző Szolgáltatást. Miután megkapták a mintát, megvizsgálják azt, majd megpróbálják szaporítani. Ezek után ellenőrzik, hogy a rendelkezésre álló antivírus szoftverek képesek-e a vírusmintát és a szaporított vírusmintát azonosítani, és a vírust eltávolítani. A tesztelési eredményeket visszaküldik a feladónak. Ez az információ segíthet a vírus lokalizálásában és eltávolításában egyaránt.
182 3. Antivírus információk és teszt oldalak
Virus Bulletin Limited http://www.virusbtn.com/ Wildlist Organization International http://www.wildlist.org/ European Institute of Computer Antivirus http://www.eicar.org/ Researchers Association of Antivirus Asia Researchers http://www.aavar.org/ AV-Test.org http://www.av-test.org/ West Coast Labs Checkmark http://www.check-mark.com/ ICSA Labs http://www.icsalabs.com/
4. Antivírus fejlesztők (ABC sorrendben)
Fejlesztő Termékek Aladdin Knowledge Systems eSafe - Proactive Content Security http://www.aks.com Hardlock - The Key to Software Security Alwil Software Avast 32 http://www.asw.cz Cat Computer Services Quick Heal X-Gen http://www.quickheal.com Central Command Software Vexira Antivirus http://www.centralcommand.com ChekWARE ChekMate http://www.chekware.com Command Software Command AntiVirus http://www.commandsoftware.com Inoculan AntiVirus Computer Associates eTrust Antivirus http://www.ca.com eTrust EZ Armor Cybersoft V-Find http://www.cyber.com DialogueScience Doctor Web http://www.dials.ru/english/home.htm ESET NOD32 http://www.nod32.com
183 Frisk Software F-Prot Antivirus http://www.complex.is F-Secure F-Secure Antivirus http://www.f-secure.com GeCAD RAV Antivirus http://www.rav.ro Grisoft AVG http://www.grisoft.com H+BEDV Datentechnik AntiVir http://www.antivir.de Hauri ViRobot http://www.hauri.net/html Termékek: Hiwire Computer & Security WinProof http://www.hiwire.com.sg ExcelProof Antivirus Ikarus Software Virus Utilities http://www.ikarus.at Kaspersky Labs Kaspersky Antivirus http://www.kaspersky.com Leprechaun Software VirusBUSTER II http://www.leprechaun.com.au MicroWorld Software eScan http://www.microworldtechnologies.com MailScan MKS MKS Vir http://www.mks.com.pl Network Associates McAfee VirusScan http://www.nai.com McAfee QuickClean NetZ Computing InVircible http://www.invircible.com Antivirus Practice Lab - AVPL Norman Data Defense Systems Norman Virus Control http://www.norman.no Panda Global Virus Insurance Panda Software Panda Antivirus Platinum http://www.pandasoftware.com Panda Antivirus Titanium Proland Software Protector Plus http://www.pspl.com
184 Reflex Magnetics Reflex Macro Interceptor http://www.reflex-magnetics.co.uk Reflex Screenmail Safetynet VirusNet-Pro http://www.safe.net Softwin BitDefender http://www.bitdefender.com/ Sophos Sophos Antivirus http://www.sophos.com Stiller Research Integrity Master http://www.stiller.com Symantec Corporation Norton Anti Virus http://www.symantec.com/avcenter InterScan VirusWall Trend Micro Incorporated ServerProtect http://www.antivirus.com PC-cillin ScanMail VDS Advanced Research Group VDS http://www.vdsarg.com Perforin for WinWord VirusBuster Ltd. VirusBuster http://www.vbuster.hu
185