Mennyire hatékony a vírusirtód?
Valójában mit csinál egy vírusirtó? Hogyan lehet kijátszani? Mire figyelj, amikor választasz?
Mi a vírus?
Egy olyan kis programrész, amely képes önmagát sokszorosítani, más fájlokba beépülni, és gyakorlatilag felhasználói beavatkozás nélkül terjedni. Általában kártékony, igaz, én ezt nem venném be a feltételek közé. Miért ne lehetne olyan vírust írni, amely nem csinál semmilyen kárt, hanem csak terjed? Attól még az bizony egy vírus lesz.
Hogy működik a vírusirtó, és mit figyel?
Nagy általánosságban annyit kell tudnod, hogy a vírusirtók egy úgynevezett szignatúra adatbázisból dolgoznak. Minden gyártónak megvan a saját adatbázisa. Ebben letárolnak egy olyan kis kód részletet, byte sorozatot, amely alapján meg lehet mondani valamiről, hogy az vírusos vagy nem. Ha egy fájl tartalmazza azt a mintát, amelyet az adatbázisban tárolnak a vírusirtók, akkor nagy valószínűséggel az adott fájl fertőzött is azzal a vírussal.
Városi legendák a vírusirtókról
Mit gondolsz, mitől védenek igazából? Sokan azt hiszik, az ellen, hogy illetéktelenek hozzáférjenek az adataihoz, feltörjék az adott gépet. Sajnos ez nem igaz. Amennyiben egy gépet akarunk feltörni, akkor arra megvannak a jól bevált módszerek. Meg kell keresni a sérülékenységet, majd azon keresztül bejutni a gépre. Természetesen, ha be lehet juttatni a vírust, úgy sokkal egyszerűbb. Amikor te viszont egy célzott támadás áldozata vagy, akkor egy vírusirtó nem igazán fog hozzátenni a védelemhez. Ahogy az előbb említettem, ezek szignatúrákból dolgoznak. Ha valaki kifejezetten téged vesz a célkeresztbe, akkor lehet olyan vírust írni, aminek a szignatúrája még nincs letárolva egyetlen vírusirtó adatbázisában sem.
Ám ez még nem minden: amennyiben folyamatosan levelezel, és használsz valamilyen vírusirtót, akkor az a leveleid végére odarakja a saját kis reklámját, hogy ezt a levelet megszűrtük az XY vírusirtó Z verziójával. Így a támadó már tudja is, hogy neked milyen vírusirtód van. Ennek alapján meg tudja írni úgy a saját támadó vírusát, hogy a vírusirtód ne szúrja ki. Lehet, hogy 3 másik típus észrevenné, itt viszont te vagy a célpont, ehhez elég a te Az interneten vannak különböző eszközök, amelyek ELVILEG felismerik, hogy egy adott vírusirtó, mennyire képes azonosítani az adott vírust.
Tegyük fel, hogy kapsz egy fájlt e-mailben, és el kellene döntened, hogy vírusos vagy nem. A legjobb, amit tehetsz, hogy ezt a fájlt lementve, de nem megnyitva feltöltöd a www.virustotal.com-ra. Ez az oldal egy csomó vírusirtó adatbázisa alapján ellenőrzi a fájl fertőzöttségét.
Ezt úgyis ki tudod próbálni, hogy letöltöd a direkt vírusirtók tesztelésére kifejlesztett eicar nevű (www.eicar.org) vírust. Tegyük fel, hogy van egy szerver, ahol beállítod a spam-szűrőt a levelezésre, akkor ennek az ártalmatlan eicar vírusnak az elküldésével meg tudod nézni, hogy milyen a védelmed.
Amikor a Virustotalra feltöltöd az eicart akkor látni fogod, hogy szinte az összes kis vírusirtó bejelez rá. Amelyik nem, arra nem tennék nagy összeget, hogy esetleg más vírusoknál rendesen fog jelezni. Ergo keress gyorsan valamilyen erősebb védelmet!
Ez mind nagyon jól hangzik, viszont: Biztosan csak erről van szó? Mire jó a Virustotal a támadó szemszögéből? Ugye az a lényeg, hogy bejuttassunk hozzád egy vírust. Miután a támadó megírja a saját kis vírusát, rögtön fel is tudja tölteni a vírustotálra, azaz le tudja ellenőrizni, hogy bejeleznek-e rá a vírusirtók vagy nem. A támadónak még azt sem kell tudnia, hogy neked milyen vírusirtód van. Itt nagy hatékonysággal meg tudja majd állapítani, hogy az általa fejlesztett új vírus át tud-e menni a pajzson, vagy fennakad rajta. Így viszonylag könnyen be lehet juttatni egy vírust.
Ezek valójában már nem is vírusok, inkább kártékony programok. Amikor te egy célzott támadásnak vagy a részese, akkor nem az a lényeg, hogy terjedjen a vírus magától, hanem az, hogy nálad ott legyen.
A következő tévhit: neked csak akkor van szükséged vírusirtó programra, ha Windowst használsz. Sőt hallottam már olyat, hogy valaki, azért használ Mac-et, mert ott nincsenek vírusok. De! Ott is vannak. Az, hogy nem találkozol Mac-en vagy Linuxon annyi kártevővel annak egy nagyon egyszerű oka van. Az asztali operációs rendszerek közül, 2018-ban a Windows piaci részesdése 83% körül áll, míg az OSX csak 13%. Ezután jönnek a kategória egyéb résztvevői, köztük a Linux az olyan 2-3% környékén.
A vírus lényege, hogy önmagától tudjon terjedni, sokszorozódni, fertőzni. Aki írni akar egyet, az nyilván olyan operációs rendszert választ platformként, amely a legelterjedtebb. Ezért a Windowsra jön ki a legtöbb vírus.
Ugyanúgy vannak kártevők Mac-re és Linuxra is, csak még nem annyira elterjedtek.
Igaz, hogy a Windows-os architektúra talán egy kicsit kedvezőbb a vírusok terjedésének, ez azonban nem azt jelenti, hogy OSX-re vagy Linuxra lehetetlen lenne vírust írni. Esetleg nehezebb vagy nem annyira elterjedt, vagy nem annyira céloznak rá egyszerűen.
Mit is akarok ezzel mondani?
Ha te is azért használsz OSX-et vagy Mac-et, hogy ne kelljen vírusirtót feltenned, akkor van egy rossz hírem: Te ugyanolyan veszélynek vagy kitéve!