David Farber, a Carnegie Mellon Egyetem számítástechnika-professzora augusztus 21-én éppen feleségével ebédelt egy étteremben, amikor a mobiltelefonja rezegni kezdett, jelezve, hogy egy e-mail érkezett a komputere postaládájába. Ám alighogy kitörölte a levelet, a készülék újra rezgett. Aztán újra. És újra. Farbernek szinte egy falatot sem volt ideje lenyelni. Ő is áldozatául esett az azóta hírhedtté vált SoBig vírusnak, amely a számítógépekbe bejutva e-mailek millióit küldte szét világszerte, bennük a rosszindulatú kóddal. Akik megnyitották a vírust tartalmazó csatolt fájlt, azok akaratukon kívül továbbították is azt a levelezőprogramjuk listáján szereplő címekre, így pillanatok alatt kialakult a digitális lavinaeffektus. „Elveszítjük a harcot a számítógépes vírusokkal szemben” – vonja le Farber a következtetést.
Vírustan alapfokon
A számítógépeket legtöbbször az alábbi négy típus valamelyikébe tartozó vírus támadja meg:
ALAPVÍRUS. Ez egy szoftverkód, amelyet arra terveztek, hogy e-mail útján vagy internetes kap-csolaton keresztül bejusson a számítógépekbe vagy a hálóza-tokba, majd ott beférkőzzön akár programokba, akár a winches-terre, és megsokszorozza önma-gát. Az ilyen vírusok gyakran gúnyos üzeneteket jelenítenek meg a képernyőn, file-okat semmisítenek meg, vagy összeomlasztják a számítógépet.
Példa: a LoveLetter 2000-ben 8 milliárd dollár kárt okozott világszerte.
FÉREG. Egy féreg automatikusan képes terjedni a megtámadott hálózaton belül, egyik gépről a másikra. A használóknak nem szükséges ráklikkelniük egy e-mailhez csatolt fájlra vagy elin-dítaniuk egy programot ahhoz, hogy a gépük fertőzötté váljon.
Példa:a Blaster augusztusban több mint egymillió számítógépet fertőzött meg.
TRÓJAI FALÓ. Ez a kártékony kód jóindulatú programnak álcáz-za magát. Nem sokszorozódik, viszont felhasználható arra, hogy a hackerek „hátsó ajtókat” nyis-sanak egy számítógépes rend-szeren, és így megszerezzenek bizalmas adatokat.
Példa: 2000 júliusában a QAZ segítségével a hackerek hozzá tudtak férni egy titkos kódhoz a Microsoftnál.
KOMBINÁLT FENYEGETÉS. Az ebbe a csoportba tartozó vírusok különböző módokon fertőznek és terjednek, egyaránt alkalmazva az alapvírus, a féreg és a trójai faló technikáit. Sok esetben a számítógépek közti fájlcserélő rendszereket vagy az üzenet-küldési csatornákat használják a terjedéshez.
Példa: a SoBig augusztus köze-pi változata rombolása tetőpont-ján az interneten úton lévő e-mailek közül minden másodikat megfertőzte.
S nem kizárt, hogy még a borúlátó prognózisokban foglaltaknál is keményebb idők elé nézünk. A januári első SoBig óta eddig öt új változat jelent meg, és mindegyikük hatékonyabb volt az előzőnél. Biztonsági szakemberek aggódva várják, mit művel majd a következő verzió, a vírus készítője ugyanis saját virtuális ágensévé tett több ezer számítógépet, amelyek így az ő utasítására küldhetnek e-maileket. Nincs kizárva, hogy most összeáll a kéretlen levelek íróival, a spammerekkel, hogy a reklámanyagok még gyorsabban terjedjenek. Sőt az is elképzelhető, hogy valami sokkal aljasabb dologra készül. Esetleg arra, hogy tömegesen terjesszen egy még kártékonyabb vírust.
A SoBig-nyár mindenesetre fülsiketítő ébresztő a vállalatoknak, a fogyasztóknak és a szoftveriparnak: ideje komolyan venni a cyberbiztonság problémáját. Eddig a nagy vírustámadások után rengetegen megfogadták, hogy jobban fogják védeni számítógépeiket, aztán lassan elfeledkeztek a dologról. Ez a hozzáállás többé nem működik. „Az emberek megveszik a vírusellenes programokat és tűzfalakat, és azt hiszik, hogy ez a megoldás, biztonságban vannak. Pedig nincsenek. A rosszindulatú kódok mindig be tudnak jutni valamilyen úton” – figyelmeztet Brian B. King, az amerikai szövetségi kormányzat számára vírusfigyelést végző pittsburghi CERT Coordination Center internetes biztonsággal foglalkozó elemzője.
Nyomkeresés
A vírusgyártók ellenében csakis a legfelkészültebb online nyomozói munka, illetve a vádhatóság együttműködése vezethet eredményre.
LEHALLGATNAK. A szakértők állandóan figyelemmel kísérik a víruskészítők és hackerek internetes csevegőfórumait, ahol a vírusírók előszeretettel dicsekszenek el legújabb „hőstettükkel”.
ÖSSZEFOGNAK. A világ vírusszakértői széles körben együttműködnek, állandóan összevetve az eddig ismertté vált mintegy 60 ezer komputervírus kapcsán megszerzett mindennemű információt.
MEGSZORONGATNAK. Akárcsak a szervezett alvilág tagjainak, a lefülelt vírusgyártóknak is felkínálják a büntetésük mérséklését, amennyiben információval szolgálnak a hasonszőrű barátaikról.
KÖNNYŰ CÉLPONT. Technológiai szakemberek szerint nagy veszélyeket rejt az a tény, hogy az egész számítástechnikai és internetes világ gerincét egyetlen vállalat, a Microsoft szolgáltatja. Az asztali gépekhez való Windows operációs rendszer a maga 95 százalékos világpiaci részesedésével szép kövér célpontot jelent a rosszfiúknak. A SoBig kapcsán annyi panasz érkezett a társasághoz, hogy még egyes csúcsvezetőknek – köztük a Windows üzletágat irányító Brian Valentine-nak – is be kellett állniuk az ügyféltámogatási vonalakat kezelő csapatba. Néhány bíráló szerint a Microsoftnak, mivel létfontosságú termékeket és szolgáltatásokat nyújt, kötelessége volna gondoskodni arról, hogy a szoftverei megfelelően védve legyenek a hackerekkel szemben. S bár a vállalat beindította a biztonságos szoftverek kialakítását célzó kezdeményezését, szakértők úgy vélik, alapvetőbb változásokat kellene végrehajtania a fejlesztésben. „A Microsoftnak jobb szoftvereket kell írnia. Felháborító, hogy egy ennyire nyereséges vállalat ilyen vacak munkát végez” – szögezi le Paul Saffo, az Institute for the Future agytröszt igazgatója.
Vadászok hátrányban
Mikko Hypponen és az általa vezetett finn vírusvadász-csapat tagjai tisztában vannak azzal, hogy az esélyek ellenük szólnak. A mai napig világméretekben károkat okozó 200 vírus készítői közül eddig csupán tízet sikerült elkapni. A nyomozás nagyon sokszor még az olyan nagy vírusok esetében is eredmény-telen marad, mint amilyen a Blaster vagy a SoBig. „Ritkán fordul elő, hogy le tudunk nyomozni egy vírust. Az pedig még ritkább, hogy valaki kézre kerül” – ismeri el el Vincent Gullotto, a Network Associates szoftvergyártó társaság vírusellenes kutatásokért felelős alelnöke.
Ennek fényében Hypponen, a Helsinkiben működő F-Secure szoftvercég vírusellenes kutatásainak vezetője csak még büszkébb lehet legutóbbi teljesítményükre: neki és teamjének sikerült még akkor lecsapnia a SoBig-re, mielőtt a vírus teljesen végrehajthatta volna, amire szánták. A 300 embert foglalkoztató, főleg nehéz számítástechnikai problémák megoldásáról ismert F-Secure kutatómunkájának köszönhetően augusztus 22-én biztonsági szakemberek és állami szervek több országban néhány perccel azelőtt tudtak leállítani számító-gépes hálózatokat, hogy a SoBig elkezdte volna támadásának újabb fázisát. „Nagyon kevésen múlott a dolog. A víruskészítők gondoskodni fognak arról, hogy a következő alkalommal nehezebb legyen” – mondja Hypponen.
Csupán részleges, de még így is ritka győzelmet könyvelhettek el a jó fiúk. A vírusok ellen kibontakozó háború első védelmi vonala ugyanis igen gyenge. Világszerte csak mintegy 500 vírusvadász dolgozik, velük szemben viszont több mint 10 ezer víruskészítő áll. S ha a számbeli hátrány nem volna elég, a cyberkopóknak egyre nehezedik a munkája, mivel a vírusgyártók egyre szofisztikál-tabb módszerekkel leplezik magukat. „Bárki írta is a SoBiget, nagyon ért ahhoz, hogy ne hagyjon nyomokat maga után” – állapítja meg J. Michael Gibbons, a BearingPoint tanácsadó cég igazgatója, volt FBI-nyomozó.
A vírusok elleni küzdelem koordinálása terén nagy előrelépésként értékelhető, hogy az Egyesült Államok újonnan létrehozott belbiztonsági minisztériuma (Department of Homeland Security) júniusban felállította a nemzeti cyberbizton-sági osztályt, amelynek tagjait a különböző szövetségi számító-gép-biztonsági csoportokból verbuválták. A 60 fős egység felelős a biztonsági riadók elrendeléséért, ahogyan az történt például július 14-én, a Blaster támadásakor.
Előfordul, hogy a bűnös egy eredményes nyomozás után is megússza, mert külföldön védve van az amerikai hatóságok elől. Négy évvel ezelőtt az FBI ráakadt a LoveLetter nevű vírus szerzőjére egy manilai főiskolai hallgató személyében. Eljárás mégsem indult ellene, mivel tette a Fülöp-szigeteken nem minősült bűncselekménynek.
Vannak azért szerencsés esetek is. Még 1999 márciusában a Melissa nevű vírus ugyanakkora kárt okozott, mint most a SoBig. Alkotójának az lett a veszte, hogy kérkedett. A TruSecure tanácsadó cég vírusvadászai átolvastak rengeteg üzenetet az internetes csevegőhelyeken, és rábukkantak egy „VicodinES” fedőnevű víruskészítőre, aki elárulta, hogy ő írta a Melissát. VicodinES-nek valamiért szokása volt az is, hogy üzenetei végén hellót mondott a macskáinak. Egy másik csevegőszobában pedig egy – Doug Winterspoon álnevet használó – illető többször is ugyanezeket a macskákat emlegette. A csevegőszoba forgalmát vizsgálva „meg tudtuk állapítani, hogy melyik internet-szolgáltatót használja, hogy milyen kereső- és levelezőprog-ram van a gépén, és még azt is, h-ogy milyen bárokba járt” – emlékszik vissza Peter Tippett, a TruSecure technológiai igazgatója.
David Winterspoonról kiderült, hogy valójában David L. Smith-nek hívják. A TruSecure-tól kapott információk és egy New Jersey-i internetszolgáltatói számla alapján az FBI emberei őrizetbe is vették őt. Mint meg-tudták, a Melissa egy sztriptíztán-cosnőről kapta a nevét, akit Smith nagyon kedvelt. Nyolc hónappal később bűnösnek vallotta magát 80 millió dolláros károkozásban, amiért 20 havi börtönre ítélték. Az eset óta azonban a szakemberek azt tapasztalják, hogy a legügyesebb víruskészítők mára teljesen a föld alá vonultak, kerülik a csevegőhelyeket. A vírusvadá-szok így csak abban reményked-hetnek, hogy a SoBig szerzőjé-nek egója együtt nő kreálmányá-nak veszélyességével.
A vírusok mindeddig jobbára csak kényelmetlenségeket okoztak. Havonta körülbelül 80 új vírus születik, de a többségüknek nincs számottevő hatása: legfeljebb lassítják az internetes forgalmat, megtöltik a postaládákat, és fennakadásokat idéznek elő néhány vállalatnál. Ám az utóbbi időben a vírusok sokkal veszélyesebbé váltak, aminek részben maga az internet az oka, hiszen lehetővé teszi határtalan terjedésüket. Egy reggel útnak indított vírus a nap végére már az egész világon megfertőzhet számítógépeket. Az ultragyors terjedésre jó példa az idén januárban feltűnt Slammer vírus, amely megjelenésének első 10 percében közel 100 ezer gépet fertőzött meg.
Maguk a víruskészítők is jóval ügyesebbek lettek – és gonoszabbak is. Erről tanúskodott például a röviddel a 2001. szeptember 11-i terrormerényletek után felbukkanó Nimda: a „kombinált fenyegetés” kategóriájába tartozó vírus öt különböző módon volt képes megsokszorozni magát, illetve támadást intézni a számítógépek és hálózatok ellen. A hackelés kultúrája szintén megváltozott. Az előző generáció nagy része lázadó tizenéves volt, akik csak azért törtek be hálózatokba, hogy aztán felvághassanak ezzel a barátaiknak. Mára azonban létrejöttek gyorsan mozgó, szervezett nemzetközi hacker-csapatok, amelyek sokkal nagyobb fenyegetést jelentenek.
TERRORVESZÉLY? Ami a biztonsági szakértőket igazán aggasztja, az az, hogy bárkik – akár terroristák is – képesek lehetnek kitörölni több tízezer számítógép merevlemez-tartalmát, vagy megbénítani a villamosáram-hálózatot. Ám ha egy ilyen gyilkos támadásra esetleg nem is kerül sor, a vírusok és a spamek kombinációja már jelenleg is komoly megpróbáltatássá teszi a fogyasztók számára a mindennapos számítógépezést. Végeláthatatlan mennyiségben érkeznek hozzájuk olyan e-mailek, amelyek pénisznövelő terápiákat, potenciajavító tablettákat, olcsó jelzáloghiteleket, vagy szexi lányokat hirdetnek. És az még a jobbik eset, ha ilyen leveleket találnak postaládájukban, mert ekkor legalább működik az e-mail. Előfordul azonban az is, hogy az internetre rácsatlakozva a számítógép rögtön megkap egy vírust, amitől pillanatokon belül lefagy.
A számítógépes világ nem számíthat arra, hogy a hatóságok majd lecsapnak a víruskészítőkre. Ezeket a bűnözőket ugyanis hihetetlenül nehéz elkapni. Rendszerint nem a haszonszerzés vezérli őket, ezért nincsenek olyan pénzmozgások, amelyek szálai elvezethetnének hozzájuk. Nagyon jól értenek ahhoz, hogy eltüntessék a nyomokat maguk után. Eddig mindössze 10 vírusgyártót kerítettek kézre, de túlnyomórészt ők is csak amiatt buktak le, mert eldicsekedtek a tettükkel. A legbonyolultabb vírusok – például az elpusztítására vállalkozók kijátszása érdekében önmagát állandóan változtató Nimda – megfejtésére valószínűleg csak pár ember képes az egész világon.
A hatóságok néhány tucat víruskészítőtől tartanak a legjobban. Ezek az emberek félelmetesen ügyesek a szoftverek sérülékeny pontjainak azonosításában, és ha egyszer megtalálták, amit kerestek, gőzerővel nekiállnak megalkotni a vírust. A Microsoft, miután felfedezett egy komoly hibát a Windows legújabb változatában, július 16-án felrakott a honlapjára egy javítóprogramot. Kevesebb mint egy hónap kellett ahhoz, hogy a vírusírók elkészüljenek a Blasterrel és néhány más vírussal, amelyek mind ezt a hibát használták ki – no és persze azt, hogy rengeteg vállalat és magánszemély elmulasztotta letölteni a javítóprogramot. Alakulhatott volna még rosszabbul is a dolog, ugyanis a Microsoft nem magától jött rá a problémára, hanem értesítést kapott róla négy lengyel számítástechnikustól, egy szoftverhibákat kutató csoport – A Delírium Utolsó Stádiuma nevű szerveződés – tagjaitól.
Biztonsági szakemberek és vállalati informatikai vezetők úgy látják, a hibák azért léteznek, mert a Microsoftnál és más szoftvercégeknél a biztonságnál előbbre való az, hogy minél gyorsabban hozzanak ki minél komplexebb termékeket. Szeretnék elérni, hogy a gyártók – és elsősorban a Microsoft – tegyék biztonságosabbá a szoftvereket. Amikor 2001 vége felé a General Motors számítógépeit megfertőzte a Nimda, Ralph Szygenda informatikai igazgató felhívta a Microsoft vezetőit. „Megmondtam nekik, hogy nem fogjuk többé a Windowst használni. Erre hirtelen elkezdtek a biztonságról beszélni” – idézi fel a közel két évvel ezelőtti szóváltást.
Mikko Hypponen
Az F-Secure finn vírusvadász csapat vezetője fölöttébb büszke lehet legutóbbi teljesítményükre: neki és team-jének sikerült még akkor lecsapnia a SoBig-re, mielőtt a vírus teljesen végre-hajthatta volna mindazt a pusztítást, amire szánták.
A Microsoft egyes bírálói szerint a társaságot csak azzal lehetne rávenni a gyökeres változtatásokra, ha felelőssé tennék a károkért, amelyek az ügyfeleit a vírusok miatt érik. Mások azt javasolják, hogy a vállalatok és a fogyasztók a vírusok elkerülése érdekében térjenek át más operációs rendszerre a Windowsról. Az Apple Macintosh gépe vagy a Linux operációs rendszer önmagukban nem biztonságosabbak ugyan, de messze nincsenek úgy kitéve a víruskészítők támadásainak, mint a Windows.
ÖNVÉDELEM. A vírusok elleni küzdelem elsődlegesen magukra a számítógép-használókra hárul. A legtöbb nagyvállalatnál már vannak alapvető antivírus-szoftverek. Biztonsági szakemberek szerint azonban sok helyütt nagyságrendekkel stabilabb módszerekkel kellene rendszeres időközönként letölteni a számítógépekre a legújabb javítófájlokat és a vírusellenes programok frissítéseit. A Verizon Communications távközlési szolgáltató például néhány éve nagyon komolyan veszi a biztonságot. Üzembe állított egyebek közt egy olyan rendszert, amely automatikusan frissíti a programokat mind a 200 ezer számítógépén, amint az új fájlok hozzáférhetők. Ennek köszönhetően a társaság sértetlenül megúszta a nyári vírusinváziót. „Ami az üzleti hatást illeti, olyan, mintha semmi sem történt volna” – büszkélkedik Shaygan Kheradpir informatikai igazgató.
Sok vállalat már új generációs biztonsági szoftvereket alkalmaz, amelyekben az egyes védekezési eszközök egymáshoz kapcsolódnak, így komplex módon tudják kezelni a fenyegetéseket. A víruskereső, a tűzfal és a behatolásfigyelő kombinációja arra hivatott, hogy az összes lehetséges utat elzárja a vírusok előtt. Egy új keresőszoftver nemcsak a hálózatokon mozgó információcsomagok címkéit ellenőrzi, hanem azt is, hogy tartalmuk tényleg egyezik-e a megjelöléssel. Egy biztonsági pult pedig nyomon követ mindent, ami a vállalat hálózatán belül történik, és észleli a gyanús jeleket. A Gartner piackutató cég szerint az ilyen termékek értékesítése az idén 10 százalékkal, 3,8 milliárd dollárra növeli a biztonsági szoftverek eladásait, miközben a teljes szoftverágazat forgalma épphogy csak stagnál.
MINDENKI VESZÉLYBEN. A kisvállalatoknak és az otthoni használóknak nemkülönben elővigyázatosaknak kell lenniük. Ma már a legtöbb PC-hez adnak alapszintű vírusellenes programot, és az internet-hozzáféréshez használt routerekbe is beépítenek vírusellenőrző tűzfalakat. Elemzők azonban azt állítják, hogy a fogyasztók és a kis cégek nem használják ki a rendelkezésükre álló szoftverek előnyeit.
Megeshet mindazonáltal, hogy még az állandó óvatosság sem elég. Ugyanúgy, mint a terrorizmus ellen folytatott háborúban, itt sem mindig az okozza a legsúlyosabb csapást, amire az ember számít. Thomas Ostwald, A Delírium Utolsó Stádiuma csoport tagja attól fél a legjobban, hogy a hackerek új típusú vírusokat találnak ki. Szerinte a legnagyobb fenyegetést olyan férgek jelentenék, amelyek észrevétlenül bejutnak a vállalati hálózatokba, majd egy ideig várnak, s csak aztán lépnek akcióba, például adatállományok megsemmisítésével. „A legsikeresebb támadás az lehet, amelyik észrevétlen marad” – mondja Ostwald.
