Védd meg eszközeidet a legveszélyesebb digitális kártevőktől!

Életünk jelentős részét online töltjük, ám sokszor bele se gondolunk abba, hogy internetezés közben valójában mennyi digitális veszély leselkedik ránk. Az Antivírus Blog vendégszerzője most ezeket mutatja be, illetve azokat a vírusirtókat, amikkel megvédhetjük tőlük saját eszközeinket. 

A vírusok története 1986-ra nyúlik vissza

A számítógépes vírusok történelmében a jelképes nulla kilométerkövet az IBM PC kompatibilis rendszerű gépeket támadó pakisztáni eredetű Brain képviseli, megjelenését 1986. január 19-hez kötik. Ez volt az első olyan széles körben is elterjedt vírus, amely akkor még floppy lemezeket megfertőzve terjedt szét tömegesen a felhasználók számítógépein. A vírusok megjelenése és elterjedése miatt mára a felhasználóknak is gyökeresen megváltozott az élete. Így a biztonságos munkavégzéshez, játékhoz, vagy internetezéshez már alaphelyzetben is nélkülözhetetlen a korszerű vírusvédelem. De ugyanígy új kihívás elé kerültek a számítógép-programozók is, hiszen míg korábban elég volt kódolásnál a helyes végeredményre és a gyors működésre koncentrálni, addig ma már a biztonságos programozás technikája is nélkülözhetetlen részeleme lett a szakmai munkának.

A kártevőket már régen nem feltűnni vágyó amatőrök készítik, hanem ez immár a szervezett bűnözés egyik legjövedelmezőbb ágazata. 2008-ban több bevétel származott az USA-ban a számítógépes bűnözésből és elektronikus csalásokból, mint a kábítószer-kereskedelemből: 105 milliárd dollár. Napjainkban az FBI jelentése szerint, havonta több millió dollárt kasszíroznak a titkosító-váltságdíjat szedő kártevőkkel a különböző bűnelkövetői csoportok, mindezt adómentesen. A vírusirtó cégek laboratóriumaiba naponta több százezer új kártevő minta érkezik, és ennek feldolgozása komoly elhivatottságot és erőforrást kíván a biztonsági szakmától. Napjainkban a zsaroló programok és a Bitcoin bányász kártevők a leggyakoribb veszélyforrások, ejtsünk ezekről pár szót.

 

Nincs alapvetően biztonságos, vírusmentes platform, bármelyik operációs rendszer támadható. Erre volt figyelmeztető példa a 2012-es, 600 ezer Macintosh gépet megfertőző Flashback botnet.

 

Zsarolóvírusok

A fájljainkat titkosító, és azok visszaalakításáért váltságdíjat szedő kártevőből sajnos évek óta egyre több keletkezik. Elmondhatjuk, hogy ezek a zsaroló kártevők egyre erősebb egyedi kulcsokat használva, titkosítva írják felül az állományainkat, majd a feloldó kódért pénzt követelve jelentik online életünk egyik legnagyobb veszélyét. Nem is kis összeget, általában több száz eurónak megfelelő summát kérnek, és a 48/72 órás határidő leteltével, akár meg is duplázódhat a váltságdíj összege. Az esetleges váltságdíj kifizetését a biztonsági cégek - az emberrablási esetekhez hasonlóan - nem javasolják, mert ezzel részint tovább bátorítjuk a támadókat az ilyen cselekményekre, másrészt mivel bűnözőkkel van dolgunk, emiatt semmilyen garancia nincs arra, hogy egyáltalán kapunk valamilyen kódot - vagy ha kapunk is, az működőképes lesz. A beszámolók jelentős részénél a fizetés ellenére sem érkezik feloldó kulcs.

Érdekes módon, ha egy átlagfelhasználónak vírusfertőzött a gépe - például mert elhanyagolja a frissítéseket, lehet, hogy különösen nem izgatja magát ezen. Ha a számítógépe egy botnet része, és a távoli támadók ellopják a netkapcsolati forgalmának jelentős részét, spammelnek, DDoS (túlterheléses) támadásokat hajtanak végre az ő zombi gépéről az ő nevében, lehetséges, hogy a felhasználók jelentős hányadát még ez sem érdekli. Ám ha a saját adatok - fájlok, dokumentumok, fényképek - titkosításra kerülnek, megsemmisülnek egy zsaroló kártevő miatt, mindenkit azonnal erősen érdekelni kezd a fertőzés. Ezt a viselkedési mintát ismerték fel jól a bűnözők is.

2013. óta jelentenek veszélyt az adatainkra a zsarolóvírusok. Erős, egyedi titkosítással kódolják a fájlokat, és virtuális valutában követelnek váltságdíjat értük. Az ilyen incidensek miatt is fontos a rendszeres adatmentés.

 

Cryptolocker, Cryptowall, CTB-Locker, TeslaCrypt, Petya, WannaCry - hogy csak az ismertebb neveket említsük. Amennyiben egy ilyen zsaroló kártevő megfertőzte valakinek a gépét, akkor már csak a korábbi, offline mentésből lehetséges a helyreállítás, ugyanis jelenlegi ismereteink szerint, a fájlok dekódolása sajnos a legtöbb esetben nem végezhető el. Ha a kártevő már egyszer bejutott a gépünkre, akkor minden felcsatlakoztatott, megosztásként hozzárendelt külső meghajtónkon is végigfut a titkosításával, így sajnos az összes bedugott USB tárolónk, hálózati meghajtóink, de még a felhős tárhelyünk is áldozatul eshet. Ez pedig még akkor is így van, ha az adott gép vagy megosztás nem is Windows alapú gépen található. A zsarolóvírusok vagy más néven ransomware-k minden platformon megjelentek már, így a Macintosh gépeken, Linux alatt, de Androidos eszközökön is léteznek ilyen kártevők.

Az egész célja az emlegetett váltságdíj, melyet Bitcoinban, vagy más, nehezen lenyomozható virtuális valutában követelnek a bűnözők. 

Mostanában egyre gyakrabban találkozhatunk még a Monero, az Ethereum és a Zcash nevével is. A védekezéshez és megelőzéshez a szakemberek felhívják a figyelmet az operációs rendszerek és az alkalmazói programok azonnali hibajavító frissítéseire, valamint arra, hogy soha ne nyissunk meg ismeretlen mellékletet. Természetesen a vírusvédelmi megoldások használata nagy mértékben hozzájárul, hogy a rendszerünket megóvjuk, de ehhez a vírusvédelmi szoftverből is mindig az aktuálisan legfrissebb változatot célszerű használni, és természetesen naprakész felismerési adatállományokkal kell rendelkezni. Emellett pedig az antivírusnál a megfelelő beállítások is fontosak: például felhős vizsgálat bekapcsolt állapota, a proaktív ellenőrzési mód engedélyezése, stb.

A mentés – ahogy azt már korábban említettük – ilyenkor nagyon fontos, sőt sokszor az egyetlen záloga az adatok megmenthetőségének. Emiatt legyen párhuzamosan több különböző verziónk is a teljes (nem inkrementális, egymásra épülő) mentésekből, tartsuk ezeket offline (azaz a mentés ideje után azonnal leválasztva), és akár több különböző fizikai helyszínen is tároljuk őket. Lehetőleg ne egyetlen kópia álljon rendelkezésünkre (mert az rendszeresen felülírná az előző mentésünket), hanem több változatunk is legyen, mert így szükség esetén könnyebben találunk a több, lementett fázis között korábbi sértetlen állapotot, és nagyobb eséllyel lesz miből válogatni a helyreállításhoz.

Kriptovaluta bányász kártevők

A másik, aktuálisan jelentkező jellegzetes kártevő a Bitcoin bányászat. Például annak tudatában, hogy a legtöbb böngésző alapértelmezett beállításaiban aktiválva van a JavaScript, a támadóknak titokban csak be kell illeszteniük egy ilyen bányász parancsállományt (szkriptet) a nagy forgalmat fogadó weboldalakba, vagy ezek hirdetései közé. A weboldalak ilyen módú megfertőzésével lehet a legegyszerűbben nagyon sok felhasználót elérni, ezért ez az egyik legkedveltebb támadási faktor. A felhasználó böngészés közben pedig csak azt veheti észre, hogy egyes weboldalaknál időnként váratlanul megugrik a CPU használat, felberregnek a hűtőventilátorok, de a legtöbben észre sem veszik, hogy valami roppant szokatlan dolog zajlik a háttérben.

Mit tudunk tenni a kéretlen bányászat megelőzésére, miként lehet védekezni az ilyen típusú fenyegetések ellen? Először is használjunk valamilyen komplex internetbiztonsági, vírusvédelmi szoftvert, abból is a lehető legfrissebb kiadásút, és tartsuk azt folyamatosan naprakészen. Engedélyezzük benne a veszélyes és kéretlen alkalmazások keresését is. Hasznos lehet még, ha külön hirdetésblokkoló programot (uBlock, ADBlock), valamint szkriptblokkolót (például a NoScript) is telepítünk a webböngészőinkre. Ezek minden kártékony szkript észrevétlen futását képesek blokkolni, megakadályozni, illetve egyedileg szabályozni.

Milyen a jó vírusirtó, hogyan válasszak?

Fontos, hogy a kiválasztott program megbízható, neves gyártótól származzon, amely az AMTSO szakmai tesztjein rendszeresen jó, élmezőny közeli eredményeket ér el. Ne egyetlen helyezés dátuma döntsön, hanem a folyamatosan, évek alatt produkált állandó minőség. Igen hasznos, ha olyan terméktámogatást is kaphatunk, amely magyar nyelvű, és a hagyományos telefonos kommunikáció mellett még arra is van lehetőség, hogy távolról belépve a gépünkbe (egyedi jóváhagyásunk szükséges hozzá) a szakértő terméktámogató kollégák akár távolról is helyreállíthassák a fertőzött gépünket. Emiatt a vírusvédelemre egyre inkább mint értéknövelt szolgáltatásra érdemes gondolni, nem pedig a korábbi, polcról levehető egyszerű termékként.

Sok szakmai tapasztalatot jelent, ha egy gyártó már a számítógépes vírusok megjelenésének kezdetétől jelen van a mezőnyben, és folyamatosan fejleszti a ma már nem is vírusirtónak, hanem sokkal inkább átfogó internetbiztonsági alkalmazásnak nevezhető, komplex védelmi programjait. Ezekben különféle modern, integrált modulok dolgoznak - többek közt heurisztikai és viselkedés elemzés, tűzfal, spamszűrés, behatolásmegelőző rendszer, felhő alapú korai riasztás, exploitok elleni védelem, botnetek elleni megoldás, hálózati támadások elleni védelem, biztonságos bankolást támogató környezet, kártékony UEFI (a BIOS utódja) kódok felismerése, és természetesen a zsarolóprogramok elleni védelem sem hiányozhat a programba beépített korszerű eszköztárból.

Az igaz ugyan, hogy amint az élet egyetlen területén sincs, úgy itt sem létezik abszolút 100%-os biztonság. Noha egyre több és egyre fejlettebb kibertámadások történnek, a proaktív és többrétegű védelmi megoldások, a felhővel is kiegészített védelmi technológiák hatékonyan képesek felvenni a harcot az informatikai eszközeinket támadó vírusok és kártevők elleni harcban, vagy segítenek megelőzni a károkat.

Egy korszerű vírusvédelem sok összetevőt tartalmaz: az alap vírusirtón felül tűzfalat, spamszűrést, gyanús hálózati forgalom figyelését, zsarolóvírusok elleni modult, felhős reputációs ellenőrzést, sőt UEFI támadás elleni lehetőséget is. A gépi tanulás és a mesterséges intelligencia is már hosszú évek óta dolgozik a védelmi oldalon.
 

Humán faktor, mire figyeljünk még?

Az informatikai higiénia másik fontos kellékéről is érdemes beszélnünk, ez pedig maga az ember, a felhasználó biztonságtudatos hozzáállása. A korábban említett frissített alkalmazói és operációs rendszer szoftverek, a naprakész antivírus megoldás, valamint az ellenőrzött, hiteles forrásokból való letöltések, telepítések mellett van még egy fontos alappillére a biztonságnak – ez pedig a biztonságtudatosság. Ez az a skill, amellyel sikeresen védekezhetünk a social engineering, azaz megtévesztéses támadások ellen, legyen az Facebookos átverés, vagy támadók által direkt véletlenül a parkolóban hagyott kémprogramot tartalmazó USB kulcs, kéretlenül kapott nyereményjátékos e-mail benne kártékony csatolmánnyal, vagy bizonytalan helyre mutató linkkel.

Mivel a számítógép és az internet minden generáció életét gyökeresen megváltoztatta, ez a feladat mindenki számára tanulást, ismeretbővítést igényel. Az ebben való jártasságra csak folyamatos tanulással tehetünk szert. Nagyobb, vagy stratégiai fontosságú munkahelyeken ez akár szervezett kereteken belüli rendszeres tanfolyamot és képzést is jelenthet, míg alacsonyabb szinteken vagy magánszemélyek esetében alkalmi felkészítést és/vagy autodidakta önképzést takar. Tanulnunk kell a korábbi informatikai incidensekből! 

Érdemes óvatosnak és gyanakvónak lenni, amikor valamilyen alkalmazás túl sok engedélyt szeretne használni a telefonunkon, vagy ha egy állítólagos nyereményjátékhoz előre kell egy kisebb összeget fizetnünk és megadni a banki adatainkat. Akkor is gyanakodjunk, ha egy üzenet azt kéri tőlünk, hogy fizessünk egy ingyenes programért, vagy azt ajánlják, hogy tudjuk meg, melyik filmszínészre hasonlítunk, esetleg lájkoljunk előre ismeretlen tartalmakat. Sajnos még ezeken felül is számtalan trükk, átverési módszer létezik, amellyel a nagy számok törvénye alapján a leggyengébb láncszemre, a gyanútlan felhasználóra vadásznak a támadók, hogy pénzzel károsítsák meg, titokban kukkolják a kameráján keresztül, vagy vírust, kémprogramot telepítsenek a gépére.

A statisztikák szerint mindig van kb. 5%, aki bedől az ilyen megtévesztéseknek, ezért éri meg a bűnözőknek. Fontos tehát a biztonságtudatos hozzáállás, odafigyelés, egészséges gyanakvás. Linket sose nyissunk meg kéretlen e-mailből! A bank vagy a szolgáltató weboldalára mindig könyvjelzőből vagy kézzel gépelve menjünk, böngészés közben figyeljünk a https oldali titkosítást jelző lakatra, a tanúsítványok érvényességére! 

Ne intézzük ügyeinket nyitott wifi kapcsolaton, valamint mindenhol erős és egyedi jelszavakat használjunk!

Mindannyiunk közös érdeke, hogy a gépünk technikai védelme mellett magunkat is felvértezzük a megtévesztések, csalások, átverések elleni hatékony védekezésre, megelőzésre.

 

Csizmazia-Darab István, IT biztonsági szakértő, ESET/Sicontact

A számítógéppel való kapcsolatom 1979-ben indult, egy évig nagygépes R20/R40 operátorként dolgoztam a FÜTI-ben. 1980-tól a Kandó Műszaki Főiskola, majd a Hungaroton Stúdiója következett, ahol stúdiós-hangtechnikus voltam, otthon pedig a Commodore 64 éjszakába nyúló nyüstölése, hackelése volt a program. 1989-ben szereztem meg a programozói diplomát, és a Volán Tefunál helyezkedtem el. 1990-től az ERŐTERV-ben folytattam, ahol a programozással párhuzamosan a vállalat vírusvédelmi felelőse is voltam egy 400 gépes hálózaton. 2001-től a 2F Kft.-ben vírusvédelmi tanácsadóként a Kaspersky és F-Secure programokkal foglalkoztam, majd ezzel párhuzamosan 2002-től a Vírus Híradó portál főszerkesztője is lettem. 2003-tól a PC World magazinban online szerkesztőként helyezkedtem el, utána az IHG-Ramsys Kft.-ben voltam szoftverfejlesztő. Ezután a VirusBuster víruslaboratóriumában vírusanalizáló, sajtóhír-felelősként dolgoztam, majd 2007. óta a magyarországi ESET/NOD32 képviseletnél lettem IT biztonsági szakértő, tanácsadó, itt dolgozom jelenleg is. 
A MUOSZ és NJSZT tagja vagyok, 2013-óta pedig önkéntesként a Safer program oktatójaként is tevékenykedek. 2014-ben elnyertem Az év információbiztonsági újságírója díjat, 2018-ben pedig az általam szerkesztett antivirus.blog megkapta az ITBN Biztonsági Díját az oktatás területén végzett kiemelkedő munkájáért. 

Kapcsolódó tartalmak:

Visszajelzés

Hasznosnak találtad az oldalt?