4 Hogyan szabaduljunk meg a váratlan vendégektõl? 1. rész: Vírusok és férgek Ebben a könyvben végig használjuk a rosszindulatú program (malware) elnevezést. Ez egy általános kifejezés minden olyan szoftverre, amelyet kifejezetten a célból készítettek, hogy kárt okozzanak számítógépes rendszerekben. A rosszindulatú programok körébe számos különféle rossz szándékú program tartozik: így például vírusok, férgek, trójai programok, illetve egyes nagyon veszélyes kém- és reklámprogramok. Ez a fejezet a rosszindulatú programok hihetetlen mérvû elszaporodásának okait vizsgálja. Részletesebben szól a rosszindulatú programok két speciális fajtájáról, a vírusokról és a férgekrõl. Leírjuk, hogyan kerülnek a számítógépre és azt, hogy miként lehet ellenük védekezni. Megvizsgáljuk a vírusirtó programok elõnyeit és gyengeségeit, valamint hogy miként lehet megbénítani, illetve eltávolítani a vírusokat és férgeket. 4.1 A rosszindulatú programok elterjedése A rosszindulatú programok elõretörésének többféle oka van. Az elsõ az, hogy a számítógépek egyre nagyobb szerepet töltenek be a kommunikációban. Régen (a nyolcvanas évek végén) a rosszindulatú programok hajlékonylemezen terjedtek; ahhoz, hogy elkapjunk egy vírust, be kellett tenni egy fertõzött lemezt a számítógépbe. Az internetelérés terjedésével a kártékony programok már sokkal többféle kommunikációs csatornát használhatnak ki. Terjednek elektronikus levélben, azonnali üzenetküldõ programok üzenetiben, különbözõ internetes protokollokkal, valamint a Világhálón (a Weben).
44 Internetes biztonság otthoni felhasználóknak A rosszindulatú programok terjedésének második oka a számítástechnikai környezet egyre egységesebbé válása. Az egyik operációs rendszerre vagy lapkára írt kártékony program máshol nem mûködik, és ez régebben komolyan akadályozta a fertõzés terjedését, mivel a számítógépeken akkor még sokféle operációs rendszert használtak. Mára azonban ez a változatosság alaposan lecsökkent, a legtöbb helyen két fajtára: a Microsoft Windowsra és a UNIX-ra (beleértve ennek különbözõ változatait, így a Linuxot is). E rendszereken pedig általános alkalmazások futnak, mint például a Microsoft Office programcsomag vagy a többféle operációs rendszeren mûködõ webböngészõk. A rosszindulatú programok kihasználják az operációs rendszerek és alkalmazások gyenge pontjait, és ezeken keresztül fertõzik meg a gépet. A homogén számítástechnikai környezet és a sokféle hálózati fertõzési lehetõség együttese olyan széleskörû járványokat eredményez, amelyek az otthoni, a vállalati számítógépeket és az Internetet egyaránt pusztítják. A sötét programok terjedésének harmadik oka az, hogy a hagyományos védekezõ eszközök reaktív jellegûek. A vírus- és kémprogramkeresõk hatékony védelmet nyújtanak az ismert támadások ellen, de ha megjelenik egy új variáns, van egy kis ideje elterjedni, amíg a víruskutatók közössége megvizsgálja a támadást, létrehozza az ellenszert, és eljuttatja az ügyfeleinek. A rossz fiúk elõnyben vannak, és ezt ki is használják. A tûzfalak ugyan képesek letiltani a szokatlan kommunikációs csatornákat, csakhogy az internethasználók nagy részénél vagy nem is fut tûzfalprogram, vagy nincs jól beállítva. A támadók gyakran a leghétköznapibb eszközöket (például e-maileket vagy a Világhálót) használják a kártékony programok terjesztésére. Készülnek ugyan eszközök az új és ismeretlen támadások felismerésére és megállítására, de ezek még nem elég kiforrottak, és gyakran okoznak gondot a szokványos programok használata során. A sötét programok terjedésének negyedik, és egyben legaggasztóbb oka a pénz. Bûnözõi csoportok és rosszhírû üzleti szervezetek egyaránt foglalkoznak azzal, hogy különféle nem kívánt programokkal pénzt szerezzenek. Régebben az volt az általános feltételezés, hogy a legtöbb kártékony program írója csupán antiszociális viselkedésû; azért készíti a programot, hogy csodálatot vívjon ki magának a hasonló beállítottságú szakértõk között, vagy hogy saját nagyságának hízelegjen. Egy széles körben elterjedt kártékony program hasonló érdeklõdést vált ki a számítástechnikai alvilágban, mint egy rocksztár sikeres lemeze, vagy egy író sikerkönyve. (Ha többet szeretnénk tudni errõl a témáról, tekintsük meg Sarah Gordon kutatásainak eredményeit a www.badguys.org/papers.htm címen). Ezt a képletet azonban megváltoztatta a pénz megjelenése. A pénzért dolgozó programírók már nem kívánnak nagy feltûnést kelteni. Csöndes, lopakodó programokat készítenek, amelyek beosonnak a gépekbe, és igyekeznek ott is maradni, amíg csak lehet. Az olyan programok, amelyekrõl már az újságok is írnak, nyugodtan tekinthetõk levadászottnak és eltávolítottnak. A profitszerzõ programok megpróbálnak rejtve maradni.
4. fejezet Hogyan szabaduljunk meg a váratlan vendégektõl? 45 Háromféleképpen lehet pénzt szerezni rosszindulatú programok írásával és elterjesztésével. Az elsõ a kémkedés. A nagyvállalatok és a kormány állandó céljai a kémeknek, akiket azért fizetnek, hogy államtitkokat vagy szellemi értékeket lopjanak el. (2005 májusában például hírül adták, hogy három izraeli vállalat vezetõjét azért tartóztatták le, mert magánnyomozókat béreltek fel, hogy kémkedjenek a versenytársaknál. A magánnyomozók trójai szoftvert használtak a fájlok és dokumentumok megszerzéséhez a megfertõzött számítógépekrõl. Egy régebbi esetben pedig a hackerek a QAZ féreg segítségével szerezték meg a Microsoft forráskód egy részét 2000-ben.) A különféle rosszindulatú programok például a billentyûnaplózók és a betörõprogramok (rootkit) megszokott részei az ipari kémkedés világának. (A betörõprogramok olyan programok, amelyek mélyen a számítógép operációs rendszerében megbújva teljeskörû irányítási lehetõséget biztosítanak a behatolónak. Egy betörõprogrammal fertõzött számítógépbe a behatoló bármikor vissza tud térni, és képes végrehajtani bármilyen mûveletet. A jól megírt betörõprogramok képesek elrejtõzni még a sokat próbált számítógép-rendszergazdák szeme elõl is. Kizárólag speciális felderítõ eszközökkel lehet megtalálni és eltávolítani õket.) A digitális kémkedés azóta létezik, amióta a számítógépek megjelentek, a betörõprogramok azonban ma már nemcsak az elit ügynökök eszközei. Elõre megírt betörõprogramok az Interneten mindenki számára elérhetõk, aki csak szeretne egyet. A második pénzszerzési mód nagyszámú gép feltörése, majd ezek pénzért kiárusítása a levélszemétküldõk, csalók, vagy éppen zsarolók számára. Az automata programok felderítik, feltörik és hatalmukba kerítik számítógépek ezreit, és távolról vezérelhetõ rabszolgagépekké teszik õket. A szolgagépeket, amelyeket szokás zombiknak vagy botoknak (a robot szó rövidítésébõl) is hívni, úgymond bérbe adják másoknak, akik azután kéretlen levéláradat küldésére, vagy szolgáltatás-megtagadási (elárasztási, DoS) támadások végrehajtására használják azokat. (A DoS támadás célja egy adott hely elárasztása olyan nagy mértékû forgalommal, hogy a felhasználók képtelenek legyenek hozzáférni.) A DSL-lel vagy kábelmodemekkel felszerelt otthoni PC-k kedvelt célpontok, mert gyakran védtelenek és nagy sávszélességû internetkapcsolataik e-mailek vagy weboldalkapcsolatok ezreit képesek létrehozni másodpercenként. A levélszemetelõk (és újabban az adattolvajok) bérbe veszik ezeket a zombihálózatokat, hogy kiszórják rájuk a beetetõ üzenetek legfrissebb változatait. Bûnözõ társaságok is felhasználják ezeket a hálózatokat arra, hogy megzsarolják például a hálózati szerencsejátékokkal és pornóoldalakkal foglalkozó cégeket: DoS támadásokkal fenyegetik õket, ami egy hálózatos cégnél akár a csõdöt is jelentheti. Biztonsági szakértõk szerint ezek a bûnözõk törvényes üzleti célpontok felé is fordulhatnak a jövõben. A profitszerzés harmadik módja a kémprogramok segítségével elkövetett lopás, vagy a reklám nagy kockázatot jelentõ reklámprogramokkal. A kémprogramok, például a billentyûnaplózók, feljegyzik a bizalmas adatokat (például az internetes banki tevékenységhez használt azonosítót és jelszót), majd továbbítják azt a támadónak, aki aztán leszedi a pénzt a számláról. A reklámprogramok elvben arra szolgálnának, hogy hirdetéseket
46 Internetes biztonság otthoni felhasználóknak küldjenek a PC-re. Egyes esetekben azonban ezek a programok adatokat is gyûjtenek a számítógéprõl például az internetes böngészéssel vagy a számítógép használatával kapcsolatos információkat, és eljuttatják ezeket az adatokat egy távoli számítógépre vagy a Világháló valamely más helyére. Vállalatok néha fizetnek a reklámszoftvert készítõ cégeknek olyan hirdetések készítéséért, amelyek akkor jelennek meg, ha egy versenytárs webhelyére látogatunk, vagy olyan helyre, amely kapcsolódik a vállalat termékeihez vagy szolgáltatásaihoz. Elõfordulhat, hogy a reklámprogram jelentést küld barangolásainkról egy ingatlanforgalmó cégnek, amely azután összegyûjti és eladja a feldolgozott információt, mint vásárlói felmérést. Míg azonban a trójai és vírusprogramok egyértelmûen rosszindulatúak (és a legtöbb esetben törvénysértõk), a reklámprogramok világa felemás. Sok, az Interneten elõforduló reklámot vállalatok készítenek (nem pedig bûnözõi csoportok vagy szabadúszó programozók). Ezeknek a vállalatoknak komoly ügyfeleik vannak, akiket a hirdetésekben és a piackutatásban támogatnak, valamint van saját védjegyük és hírnevük, amit ugyanúgy védenek, mint bármely más vállalat. (A reklámprogramokról részletesebben az 5. fejezetben beszélünk majd.) A lényeg, hogy a rosszindulatú programok komoly problémát jelentenek, és várhatóan bosszantani fogják a számítógépek használóit az idõk végtelenségéig. Tisztában kell lennünk a jelenlegi környezet fenyegetéseivel, és lépéseket kell tennünk a védelem érdekében. Nem az a cél, hogy számítógépünket sebezhetetlenné tegyük: ez lehetetlen. Az Internet azonban tele van egyszerû célpontokkal. A cél, hogy mi sokkal nehezebb célpont legyünk. 4.2 Vírusok és férgek A vírus olyan program vagy kód, amely képes önmagát megsokszorozni és más fájlokba beépíteni, amelyekkel kapcsolatba kerül. A vírus megfertõzhet egy másik programot, a lemez rendszerindító (boot) szektorát, egy lemezrész (partíció) szektorát vagy egy makrókat támogató dokumentumot oly módon, hogy beléjük vagy hozzájuk építi a saját kódját. A legtöbb vírus csak sokszorozódik, de vannak olyanok is, amelyek tönkretehetik a számítógép operációs rendszerét vagy a tulajdonos adatait is a kutatók ezt a részt a vírus töltetének (payload) hívják. Néha a vírus emberi segítséget vesz igénybe a sokszorozódáshoz, például rá kell kattintani egy vírust tartalmazó programra, vagy meg kell nyitni a fertõzött fájlt. Miután feléledt, a vírus már képes másolatokat létrehozni, és szétszórni azokat más fájlok vagy programok megfertõzésével, vagy a kommunikációs csatornákon, például e-mailen keresztül. A 4.1. táblázat részletesebben is áttekinti a vírusok egyes típusait. 4.1. táblázat Vírusfajták Típus Példák Leírás Fájlfertõzõ vírus Cascade A fájlfertõzõ vírusok programokhoz, végrehajtható fájlokhoz és parancsfájlokhoz csatolják magukat. Ha egy megfertõzött fájl elindul a gépen, a vírus utána más programokra is átterjedhet.
4. fejezet Hogyan szabaduljunk meg a váratlan vendégektõl? 47 4.1. táblázat Vírusfajták (folytatás) Típus Példák Leírás Makróvírus Melissa, Concept A makrók olyan kicsi programok, amelyek nagyobb alkalmazásokon, például a Microsoft Wordön belül futnak. A makrók feladata jellemzõen a gyakori feladatok leegyszerûsítése. A makróvírusok képesek önmaguk lemásolására, dokumentumok törlésére és megváltoztatására, valamint sok egyéb nemkívánatos dologra. Rendszerindító- Michelangelo Egy lemez vagy merevlemez rendszerindító szektor-vírus szektora határozza meg, hogy a számítógépen (boot vírus) melyik program induljon el a lemez olvasásakor, illetve hogyan induljon el az operációs rendszer. A boot vírusok a lemezhez forduláskor, vagy a számítógép elindulásakor lépnek mûködésbe. Memóriában Jerusalem Olyan vírus, amely a számítógép memóriájában maradó vírus marad a víruskód aktiválása után. (memóriarezidens vírus) Többalakú vírus Marburg, Zmist Olyan vírus, amely sokszorozódása folyamán (polimorf vírus) képes saját bájtmintájának megváltoztatására, ezért felismerhetetlen egyszerû mintaillesztési módszerekkel. Retrovírus Gobi Olyan vírus, amely aktívan támadja a víruskeresõ vagy más programokat a felfedezés megakadályozása érdekében. A férgek (worm) olyan programok, amelyek képesek önmaguk lemásolására, gyakran minden emberi beavatkozás nélkül is. Károsíthatják és veszélyeztethetik a számítógép biztonsági rendszerét. Érkezhetnek a rendszer gyengeségét kihasználva egy felhasználó által megnyitott fertõzött e-mailbõl vagy egy megnyitott mellékletbõl. A vírusokkal ellentétben a férgek nem fertõzik meg a gazdafájlokat, inkább önálló programok, amelyek a számítógépen található többi programtól függetlenül mûködnek. Nem elég, hogy olyan hordozót használnak, mint az e-mail vagy az azonnali üzenetek, néhány féreg képes szétszóródni az Interneten és a helyi hálózatokon. A 4.2. táblázat részletesebben is áttekinti a férgeket. Jelenleg a férgek egyre inkább úgy készülnek, hogy megtalálják és kihasználják a népszerû operációs rendszerek vagy alkalmazások biztonsági réseit. Ezeken a réseken hatolnak be a férgek a számítógépbe, hogy elvégezzék feladatukat, majd megsokszorozódva más sebezhetõ számítógépeket keressenek. A szoftvergyártók tisztában vannak egyes sérülékeny pontokkal, és szofverfrissítéseket (biztonsági javításokat) adnak ki. Csakhogy elõfordul, hogy a szoftvergyártó egészen addig nem is tudja, hogy baj van, amíg egy új féreg vagy rosszindulatú szoftver fel nem bukkan, és el nem kezd rágcsálni az Interneten keresztül.
48 Internetes biztonság otthoni felhasználóknak Ez az a pillanat, amikor a kereskedõ ész nélkül siet kiadni a javítást. Akármi is legyen a helyzet, a végfelhasználó dolga (vagyis a miénk), hogy megtalálja és alkalmazza a javítócsomagot. Az egyik oka a férgek nagy sikerének, hogy sok felhasználó és cég nem igazán lelkesen alkalmazza a biztonsági javításokat. A 7. fejezetben részletesebben is szólunk a biztonsági javítócsomagok telepítésérõl. 4.2. táblázat Féregfajták Típus Példák Leírás Féreg Bugbear, Netsky, A féreg olyan program, amely képes saját maga MyDoom terjesztésére például saját példányainak lemezrõl lemezre másolására, illetve e-mailben vagy más továbbító rendszeren keresztüli szétszórására és aktívan munkálkodik is ennek elõsegítésén. A féreg károsíthatja és tönkreteheti egy számítógép biztonsági rendszerét. Érkezhet a rendszer sérülékenységének kihasználásával vagy egy fertõzött e-mail megnyitásával. Levélféreg és LoveLetter A levél- és tömeglevélférgek a számítógépes tömeglevélféreg (tömeglevél), férgek különleges osztályát alkotják, amelyek Happy 99 (levél) e-mailekben terjednek. A tömeges levelezõk soksok másolatot küldenek magukról, a sima levélférgek valamelyest visszafogottabbak. Kevert Nimda, Slammer, A kevert fenyegetések a vírusok, férgek és fenyegetések Blaster trójai programok elemeit egyesítik, hogy a rendszer sebezhetõ pontjait kihasználva támadásokat kezdeményezzenek, és rosszindulató kódokat továbbítsanak, illetve sokszorozzanak. A kevert fenyegetések jellemzõi: képesek a károkozásra, többféle módon is terjednek, képesek több helyrõl támadni, potenciálisan képesek terjedni emberi beavatkozás nélkül is, valamint kiaknázzák a szoftver sebezhetõ pontjait. A változatos módszerek használata révén a kevert fenyegetést jelentõ férgek igen gyorsan elterjedhetnek, és jelentõs károkat okozhatnak. Amint már leírtuk, a férgek gyakran nem igényelnek emberi beavatkozást. Ha egy féreg képes kapcsolatot létesíteni a számítógéppel a hálózaton keresztül, és számítógépünkön létezik az a sebezhetõ pont, amelyet a féreg keres, továbbá nem rendelkezünk semmilyen védelemmel, a játszma már el is dõlt.
4. fejezet Hogyan szabaduljunk meg a váratlan vendégektõl? 49 Mire képesek a vírusok és férgek? A vírusok és férgek egyaránt arra törekszenek, hogy a megcélzott számítógépre valamilyen töltetet juttassanak el. A töltet célja valamilyen meghatározott feladat végrehajtása, például adatok törlése vagy módosítása, szoftver telepítése a számítógépünkre, vagy egy hátsó ajtó kinyitása, amelyen át késõbb az arra nem jogosult személyek is elérhetik a számítógépet. A férgek és vírusok egyaránt problémát jelentenek a fertõzött gépnek. A férgek ráadásul még járulékos kárt is okoznak, mert amikor terjednek az Interneten, nagyon megnövelik a hálózati forgalmat. Vegyük példának az SQL Slammert, egy nagyon gyorsan terjedõ férget, amely olyan kiszolgálókat vesz célba, amelyeken a Microsoft SQL Server 2000 szoftver sérülékeny változata fut. (Az SQL az adatbázisokban használt Structured Query Language, magyarul strukturált lekérdezõnyelv rövidítése.) A 2003 januárjában útjára indult SQL Slammer féreg gyorsan ellenõrzése alá vonta a sebezhetõ gépeket, és új áldozatok után nézett. Terjeszkedésének csúcsán 8,5 másodpercenként kétszerezte meg az ellenõrzése alá vont gépek számát. A fertõzött gépek olyan nagy forgalmat bonyolítottak, hogy az Internet szinte teljesen leállt. Dél-Korea legnagyobb része elvesztette az Internettel a kapcsolatot, a Continental Airlines légitársaságnak törölnie kellett a newarki reptérrõl induló járatait, számos bank pénzkiadó automatái pedig órákra megszakították szolgáltatásaikat. A férgeket és vírusokat eredetileg külön csoportba sorolták, de az utolsó pár évben keresztezni kezdték õket, hogy kevert fenyegetésként, többféle módon terjesszék magukat. Sok féreg például (az úgynevezett tömeglevélférgek) e-mailben terjed. Más férgek többféle módszert is használnak a terjedésre. Jó példa a 2001. szeptember 18-án felbukkant Nimda féreg. Ez a féreg öt különbözõ módszerrel terjedt. Az elsõ az olyan Windows kiszolgálók keresése volt, amelyeken az IIS (Internet Information Server, a Microsoft webkiszolgáló programja) sérülékeny változata futott. Egy ilyen kiszolgáló feltörése után a Nimda a számítógépet támaszpontként használva látott más megfelelõ gépek kereséséhez. Terjedt továbbá az Outlookon (a Microsoft levelezõprogramján) keresztül is: elküldte magát az áldozat címjegyzékében található címekre. A Nimda azokhoz is telepítette magát, akik a Weben barangolva egy megfertõzött kiszolgálóra érkeztek: itt az Internet Exploreren (a Microsoft böngészõje) keresztül töltötte le magát. Ezen kívül terjesztette magát a Windows fájlmegosztáson (a számítógépek közötti fájlmegosztást támogató Microsoft rendszeren) keresztül, valamint a már meglévõ nyitott ajtókon át, amelyeket két korábbi, a Windows IIS kiszolgálókat támadó féreg létesített. 4.3 Vírusirtó programok A számítógépeket támadó vírusok és férgek ellen többféle módon is lehet védekezni. A legjobb védelmet a vírusirtó ( antivírus, AV) programok jelentik. Az AV program véd a vírusok települése ellen, valamint képes megtalálni, elszigetelni és eltávolítani a vírusokat és férgeket a számítógéprõl, amelyek átcsúsztak a védelmen.
50 Internetes biztonság otthoni felhasználóknak A hagyományos vírusirtó úgy mûködik, hogy kivonatot tartalmaz minden rosszindulatú programról (a vírus aláírását ). Ez a kivonat egy olyan kóddarabka, ami csak az adott rosszindulatú programban található meg, és egyfajta ujjlenyomatként mûködik: igen erõs bizonyítéka a program jelenlétének. Minden alkalommal, amikor a vírusirtó program átnézi egy levél mellékletét, vagy átvizsgálja a fájlokat a meghajtón, az ismert vírusok és férgek ujjlenyomatait keresi. Mit tud egy vírusirtó? A vírusirtó megvéd az ismert vírusoktól, amelyek bárhol elõfordulhatnak: bejövõ és kimenõ levelekben, azonnali üzenetekben és a számítógép merevlemezén. Be lehet úgy állítani, hogy minden bejövõ és kimenõ üzenetet automatikusan megvizsgáljon. Ha webes levelezési szolgáltatást használunk, például az MSN, az AOL vagy a Yahoo! rendszerét, akkor a szolgáltató maga is átvizsgálja az e-maileket, hogy nincsenek-e bennük vírusok. (Az MSN a Trend Micro víruskeresõ programjait használja, a Yahoo! a Norton AntiVirust, az AOL pedig a McAfee-t.) A legtöbb vírusirtó program egy valósidejû keresõt is tartalmaz, amely minden használatba kerülõ fájlt végigvizsgál. Ennek ellenére célszerû rendszeresen átvizsgálni a merevlemezt és megkeresni a PC-re került rosszindulatú programokat. A legtöbb vírusirtó ütemezés szerint végzi az átvizsgálást, de ez igen hosszú idõt vehet igénybe (egy laptop teljes átvizsgálása akár másfél óra is lehet), és lelassíthatja a többi mûködõ alkalmazást. Az automatikus ellenõrzéseket meg lehet szakítani, ha ütközik a munkával vagy a játékkal, de azért érdemes a lehetõ legsûrûbben lefuttatni egy teljes ellenõrzést. Néhány szakértõ heti egy vizsgálatot ajánl, de ezt alighanem csak a tisztaságmániás (esetleg kicsit paranoiás) emberek teszik meg. Ha valaki havonta elvégzi, az már jónak számít. Mit nem tud egy vírusirtó? A hagyományos vírusirtók védekezési módszere nem tud megvédeni olyan vírusoktól, amelyeket nem ismer. Amint azt ki lehetett következtetni a kivonatokról szóló részben, a kivonatokra épülõ felismerés hátránya, hogy legalább egy víruspéldánynak el kell jutnia a vírusirtó cégekhez, hogy kivonatot készíthessenek róla. Amikor vadonatúj vírusok támadnak, amelyeket még senki sem látott, a vírusirtók nem sokat segítenek. Az új kártevõ szabadon terjedhet, amíg a vírusirtókat gyártó cégek meg nem vizsgálják, majd kivonatot készítenek belõle, végül tesztelik és szétosztják a megoldást ügyfeleik között. Általában 3-4 óránként történik új fertõzés; ha nincs elég szerencsénk, és bekerülünk az elsõ hullám fertõzöttjei közé, meg kell várni, amíg a gyártó ki nem hoz egy segédprogramot a rosszindulatú program eltávolítására. (További információ a fejezet végén lévõ kiemelt szövegrészben található.) Léteznek megoldások, amelyek megkísérlik megállítani az ismeretlen kártevõket: figyelik a programok viselkedését, olyan jellegzetességeket keresve, amelyek egy esetleges károkozásra utalnak, vagy csak furcsák. Például minden vírusirtó tartalmaz egy úgynevezett heurisztikus keresõt, amely a makróvírusok jellegzetességeit keresi a programokban.
4. fejezet Hogyan szabaduljunk meg a váratlan vendégektõl? 51 Ugyanez a kód teljesen alkalmatlan lehet egy windowsos trójai program vagy féreg ellen. A heurisztikus keresõk a legjobb eredményt az ismert kártevõk, illetve a többalakú (polimorf) vírusok variánsainak felkutatásában érik el. Variánsoknak az ismert kártevõk olyan változatait nevezzük, amelyek a kivonat alapú felismerést próbálják megakadályozni, megváltoztatva a gépre töltött adatokat, vagy módosítva a betöréshez használt módszert. Manapság a férgeknek több száz, néha több ezer variánsa is van, amelyeket az eredeti támadás nyomán fejlesztettek ki. A többalakú vírusok rendszeresen megváltoztatják saját kódjukat, hogy megpróbálják elkerülni a kivonat alapú felismerést és mégis végrehajtsák feladatukat. Bár a heurisztikus keresés nagyon hatásos lehet bizonyos típusú ismeretlen fenyegetések ellen, nem alkalmas mindenre. Egy másik megoldás, a Host Intrusion Prevention Solutions (behatolás-megelõzési megoldások, HIPS) szintén képes megállítani az ismeretlen támadásokat úgy, hogy figyeli kódban a rosszindulatú viselkedés jegyeit. Ez a módszer képes megakadályozni a tártúlcsordulást is, ami a rosszindulatú programok támadásának egy gyakori formája. A tártúlcsordulás azt jelenti, hogy több adat kerül a számítógép memóriájának egy adott területére (egy átmeneti tárba), mint amennyit a számítógép még képes kezelni. A többletadatok kiömlenek a memóriatárból, és a számítógép megpróbálja végrehajtani õket. A tártúlcsordulás kihasználásakor ezek a többletadatok támadó kódok, amelyek lehetõvé teszik a támadó számára a számítógép irányítását. Tártúlcsordulásra jellemzõen a férgek építenek, ezt használja például a Code Red, a Nimda és a Sasser is. A HIPS azért fontos fejlesztés a biztonságtechnikában, mert megelõzõ jellegû, idegen szóval proaktív: ez pedig azt jelenti, hogy a gépek elõre védettek az ismeretlen támadásokkal szemben, anélkül, hogy meg kellene várni az újonnan felfedezett kártevõk kivonatait. A proaktív megoldások egyre fontosabbak, mert az új támadások olyan sûrûn érkeznek, és olyan gyorsan terjednek, hogy ezrek vagy százezrek válnak áldozattá, mire a behatolóvagy vírusölõ kivonatok elkészülnek. Sajnos a HIPS fõ hátránya az, hogy gyakran nem mûködik helyesen, és néha a védelem érdekében ártalmatlan programok mûködését akadályozza meg. Ezt hívjuk téves riasztásnak. A téves riasztások sajnos évek óta sújtják a védekezési módszereket, és jelentõs szerepet játszanak abban, hogy a kivonaton alapuló megoldások még mindig népszerûek reaktívak ugyan, de pontosak. A legtöbb HIPS megoldás ráadásul a nagyvállalatoknak készül, ahol a hálózati rendszergazdák jobban értik a biztonsági irányelveket, amelyek alapvetõ szerepet játszanak a HIPS helyes mûködésében. Idõvel valószínûleg megjelennek könnyebben érthetõ, felhasználóbarátabb termékek is. Egyre több új biztonsági termék kapható, amely HIPS megoldásokat, így tártúlcsordulás elleni védelmet is tartalmaz. Az egyik ilyen program a Panda Software TruPrevent Personal nevû programja. Ezt a vírusirtók kiegészítéseként fejlesztették ki a támadások azonosítására, már akkor, amikor még nincs a kártevõrõl kivonat. Ha ér-
52 Internetes biztonság otthoni felhasználóknak dekel minket ez a megoldás, a Panda Software lehetõvé teszi a TruPrevent vásárlás elõtti kipróbálását. Használjuk ki a lehetõséget, és próbáljuk ki, nem akadályozza-e a szoftver a számítógép normális mûködését. 4.4 Egyéb védekezési módok A vírusirtó programok nem védenek meg azoktól a férgektõl, amelyek nem e-mailben vagy azonnali üzenetben terjednek. A vírusirtók képesek megtalálni a férgeket (vagy azokat a kártevõket, amelyeket a férgek hoztak létre a számítógépen) a meghajtó végignézésével, de ahhoz, hogy megakadályozzuk a gép megfertõzését, jó elõre végre kell hajtani és be kell tartani az alábbiakat. Használjunk tûzfalat! Amint azt az elõzõ fejezetben (Tûzfalak) már leírtuk, a tûzfal elrejti a számítógépet más számítógépek elõl az Interneten. Egy megfelelõen beállított tûzfal birtokában az Interneten támadható számítógépet keresgélõ férgek egyszerûen átlépik a gépet. Fontoljuk meg olyan biztonsági szoftver használatát, amely egy csomagban többféle szolgáltatást tartalmaz, például vírusirtót, tûzfalat, kémprogramirtót és így tovább. Néhány tûzfal- és vírusirtó program szintén tartalmaz behatolásfelderítési és -megakadályozási megoldásokat, amelyek megvizsgálják a bejövõ internetforgalmat, ismert férgeket vagy egyéb kártevõket keresve. Például a Norton AntiVirus is tartalmaz alapvetõ behatolásfelderítést, a Norton Internet Security pedig egy egész tûzfalat, behatolásfelderítéssel és -megakadályozással. A behatolásfelderítõ és -megakadályozó szoftver minden rosszindulatú programot képes megbénítani, amelyhez rendelkezik felismerõ kivonattal, és védelmet jelent néhány olyan új operációs rendszeri hibával szemben is, amelyekhez még nincs is ismert támadó vagy rosszindulatú kód. A behatolásfelderítés és -megelõzés egy újabb réteg védelmet nyújt a veszélyekkel szemben. Ne nyissunk meg idegen e-mailt! A számítógépek megjelenése óta az elektronikus levél a legjobb dolog a számítógépvírusok számára. Az e-mail amilyen kiváló kommunikációs módszer, úgy segíti a vírusok terjedését, potenciális célok egész listáját kínálja (a címjegyzékben elõforduló minden cím), sõt lehetõvé teszi, hogy a vírus készítõje némi fondorlattal rávegye az embereket, hogy ki is nyissák az üzenetet, ezzel biztosítva a vírus terjedését. Ezért kell nagyon figyelni, amikor megjelennek a levelek a beérkezõ üzenetek ablakában. Ha ismeretlen személytõl érkezett levéllel találkozunk, gondosan ügyeljünk a következõkre: A Feladó: sorban ismeretlen név szerepel, furcsa szerkezetû, esetleg idegen a tartomány? (A tartomány a @ jel jobb oldalán álló szöveg.) A Tárgy: sorban szöveg helyett összevissza karakterek szerepelnek? (Ez azt is jelentheti, hogy az e-mailt olyan nyelven írták, amelyet a levelezõprogramunk nem támogat, és ezért nem tudta az idegen nyelvet lefordítani.) Egy másik gyanús jel, ha üres a tárgysor.
4. fejezet Hogyan szabaduljunk meg a váratlan vendégektõl? 53 A Tárgy: sorban kihagyhatatlan ajánlattal bombáznak, netán figyelmeztetésnek tûnõ szöveg van egy számlával kapcsolatban? (Sok levélszemétküldõ és adattolvaj toboroz vírusírókat, hogy mellékeljék tömeges leveleikhez rosszindulatú programjaikat. A kártevõ aztán mindenféle feladatot elláthat, a billentyûleütések rögzítésétõl kezdve egészen a gép levelezõautomatává alakításáig.) Kapunk-e több e-mailt ugyanattól a feladótól, vagy olyan üzeneteket, amelyeknek gyanúsan azonos a tárgysora? Amennyiben bármelyikre is igennel válaszolnánk a fenti kérdések közül, az üzenetet megnyitás nélkül töröljük. Jónéhány kártevõ már a levél megnyitásakor feléled. Ha mégsem akarjuk törölni a levelet, akkor ne nyissuk ki legalább egy napig, vagy még tovább. Ezalatt ellenõrizzük, hogy a vírusirtó programot forgalmazó weboldalon van-e figyelmeztetés új vírus vagy féreg megjelenésérõl. Ezek a figyelmeztetések gyakran tartalmaznak olyan információt, amely segít felfedezni a vírust a postaládában, például a vírusíró által használt Tárgy sor alapján. Ne kattintsunk hivatkozásokra vagy programokra a levelekben! Ha meg is nyitunk egy furcsa e-mailt, semmiképpen ne kattintsunk a benne levõ hivatkozásokra vagy a csatolt programokra! Még ha ismerjük is a küldõ személyét, lehet, hogy õ is egy vírus áldozata. A tömeglevélvírusok és -férgek ellopják az áldozat címjegyzékét, és postázzák magukat annyi célpontnak, ahánynak csak lehetséges, kihasználva a levelezõpartnerek közötti ismeretség hitelét. Ha gyanús valamelyik hivatkozás, amelyet egy ismert személytõl kaptunk, gyõzõdjünk meg róla ha másként nem, hát egy telefonhívással, hogy valóban õ küldte-e a levelet és a hivatkozást vagy programot, és hogy garantálja-e, hogy az nyugodtan használható. A másik lehetõség, hogy inkább átírjuk közvetlenül a hivatkozást egy böngészõbe. Így kivédhetõ egy rosszindulatú oldalhoz kapcsolódás, ha a hivatkozás rejtett karaktereket is tartalmazott. Tartsuk valamennyi programunkat naprakészen! Mivel állandóan új vírusok és férgek készülnek, állandóan frissíteni kell a vírusirtó szoftvert. Ha a vírusirtó támogatja az automatikus frissítést, válasszuk ezt a lehetõséget, mert ilyenkor az új kivonatok és egyéb frissítések automatikusan felkerülnek a gépre. A Norton AntiVirus esetében például bekapcsolható az automatikus LiveUpdate szolgáltatás, amely a legfrissebb vírusleírásokat és programfrissítéseket eljuttatja a számítógépre, valahányszor csak az Internetre kapcsolódunk. Kiválasztható az is, hogy emlékeztessen-e a Norton minden egyes alkalommal, amikor új frissítés érkezik, vagy automatikusan töltse le a frissítést a gépre. Ha saját magunk akarjuk telepíteni az új frissítéseket, a Live Update gombra kell kattintani a kinyíló ablak tetején, és saját kezûleg kell elvégezni a letöltést. Más vírusirtó programok is hasonló módszert alkalmaznak az automatikus frissítésnél.
54 Internetes biztonság otthoni felhasználóknak Amennyiben a vírusirtónk nem képes automatikus frissítésre (bár ez ma már nem túl valószínû), legalább azt tisztázni kell, hogyan érhetõ el az új letöltéseket tartalmazó weboldal. Szintén védelem a rosszindulatú programok ellen a többi program rendszeres frissítése, különösen ami az operációs rendszert és az olyan alkalmazásokat illeti, mint az Internet Explorer. A 7. fejezetben részletesebben is szólunk e programok frissítésérõl. 4.5 Mi a teendõ, ha vírust vagy férget kaptunk? Még akkor is elõfordulhat fertõzés, ha minden biztonsági szabályt betart az ember. Ez azonban még nem ok a pánikra. Néha nagyon is könnyen eltávolítható a vírus vagy féreg. Mirõl ismerjük fel, hogy a számítógép megfertõzõdött? A megfertõzött számítógép felismerésének legjobb módja, hogy rendszeresen lefuttatjuk a víruskeresõt a legfrissebb kivonatokkal. Van mód a számítógép internetkapcsolaton keresztüli vizsgálatára is. Például a Symantec Security Check az Interneten keresztül ellenõriz, vírusokat vagy egyéb rosszindulatú programot keresve. Az ingyenes keresésért látogassunk el a www.symantec.com/securitycheck oldalra. Más vírusirtógyártóknál is találhatók hasonló ingyenes szolgáltatások. A www.mcafee.comon kattintsunk a Home & Home Office (Otthon és otthoni iroda) hivatkozásra, és keressük a Free Tools (Ingyenes eszközök) részt a megnyíló oldal bal alsó részén. A www.trendmicro.com címen kattintsunk a Personal (Személyes) mutatóra. Az oldal bal alsó részén látható a Free Virus Scan hivatkozás is egy ingyenes víruskeresõt indít el. A Panda Software ingyenes keresõje a http://www.pandasoftware.com/products/ /activescan.htm címen található. A keresések azonban nem tudják kimutatni az olyan új rosszindulatú programokat, amelyekhez még nincs kivonat. Ezért érdemes figyelni a fertõzésrõl árulkodó jeleket. Ilyen például fájlok megsérülése vagy eltûnése, egy alkalmazás beállításainak váratlan megváltozása, vagy a biztonsági program ok nélküli letiltása. Hirtelen lelassult vagy kiszámíthatalanná vált a számítógép? A tûzfal azt jelzi, hogy olyan programok próbálnak kapcsolódni az Internetre, amelyeket nem is nyitottunk meg? Ezek mind fertõzésre utaló jelek! Hogyan távolítsuk el a férget vagy vírust? Ha észrevettük a vírust a számítógépen, azonnal utasítsuk a vírusirtó programot annak eltávolítására. A keresés után a szoftver felajánlja az eltávolítást vagy elszigetelést ( karanténba zárást ; ami azt jelenti, hogy a rosszindulatú program a számítógépen marad, de olyan elszigetelt állapotban, hogy nem pusztíthat többé). A vírusirtó képes lehet a vírussal megfertõzött fájlok megtisztítására is.
4. fejezet Hogyan szabaduljunk meg a váratlan vendégektõl? 55 A vírusirtó gyártója általában felkínál eszközöket a férgek és egyéb kártevõk, például trójai programok eltávolítására is (ezekrõl részletesebben az 5. fejezetben szólunk). Ezek az eszközök letölthetõk a vírusirtó gyártójának weboldaláról. A vírusirtónak meg kell tudnia mondani, szükséges-e egyéb eszköz. Az Egy Beagle féregváltozat eltávolítása címû kiemelt szövegrészben végignézzük majd azokat a lépéseket, amelyek szükségesek voltak ahhoz, hogy a szerzõ eltávolítson egy férget, ami a gépét veszélyeztette. A legrosszabb esetben a vírusirtó nem tudja eltávolítani a kártevõt. Ilyenkor külsõ segítségre lehet szükség. Vegyük fel a kapcsolatot a vírusirtó cég ügyfélszolgálatával, várjuk meg, hogy õk mit ajánlanak (de készüljünk fel hosszú várakozásra). Felvehetjük a kapcsolatot a számítógép gyártójával is, segítséget kérhetünk abban a boltban, ahol vettük a gépet (feltehetõleg nem ingyen), vagy kapcsolatba léphetünk egy helyi számítógépszervizzel, és kérhetünk ott segítséget. Végsõ megoldásként letörölhetjük és újratelepíthetjük az operációs rendszert, illetve az alkalmazásokat az eredeti telepítõlemezek segítségével. Ehhez egyszerûen csak be kell tenni az eredeti operációsrendszer-lemezt a CD-olvasóba és elindítani a számítógépet. A számítógép felszólít, hogy erõsítsük meg, valóban újra akarjuk-e telepíteni az operációs rendszert. Ne feledjük azonban, hogy az operációs rendszer újratelepítése letörli a számítógépen tárolt összes adatot (reméljük, volt rendszeres mentés). Gyõzõdjünk meg róla, hogy minden egyéb lehetõséget kimerítettünk, mielõtt elhatároznánk, hogy újraformázzuk a merevlemezt. 4.6 Hogyan válasszunk vírusirtót? Ha még nincs vírusirtónk, igen sok termék közül választhatunk. A három legnagyobb gyártó a Symantec, amely a Norton AntiVirus nevû terméket árulja, illetve a Trend Micro a PC-cillin és a McAfee a VirusScan nevû programjával. Azért elõnyös a három nagy gyártó valamelyikét választani, mert jól felszerelt kutatócsoportjaik gyorsan elõállítják az új vírusok kivonatait, és megvan az infrastruktúrájuk ahhoz, hogy eljuttassák ezeket a frissítéseket az ügyfelekhez. Az érem másik oldala persze az, hogy ezek az eszközök a legdrágábbak. Közvetlenül a három nagy után számos cég kínál nagyon jó termékeket. Ilyen például a Computer Associates, a Kaspersky Lab, az F-Secure, a ZoneLabs, az ESET és a Panda Software. Ingyen szerezhetõ vírusirtó program a GriSoft cégtõl. Ennek AVG AntiVirus nevû terméke tartalmazza a fizetõs termékek összes szokásos szolgáltatását: ellenõrzi az új fájlokat, programokat és e-maileket, valamint végig lehet nézetni vele az egész merevlemezt. Víruseltávolító eszközöket is tartalmaz, és automatikusan frissíthetõ egy új víruskivonat megjelenése esetén. Az egyetlen hátrány, hogy az ingyenes változat felhasználói
56 Internetes biztonság otthoni felhasználóknak nem kapnak semmilyen technikai támogatást. Bejegyzett felhasználóként küldhetünk kérdéseket a tapasztalt AVG-felhasználóknak egy internetes fórumon, de ha nem vettük meg a fizetõs változatot, akkor nem küldhetünk e-mailt, és nem beszélhetünk az ügyfélszolgálattal sem. (Igaz, a fizetõs változat még mindig sokkal olcsóbb a legtöbb vírusirtónál.) Általában kijelenthetõ, hogy ezek a termékek nagyjából azonos szintû biztonságot nyújtanak. A legtöbb cég felajánl valamennyi ingyenes kipróbálási idõt különbözõ programjaihoz. Néhány program kipróbálása valóban jó ötlet, mert lehetõséget ad rá, hogy kiválasszuk azt, amelyiknek a felhasználói felülete a legkényelmesebb, és amelyiknek a súgója a legtöbb információt nyújtja a számunkra. A 4.3. táblázat olyan vírusirtógyártókat sorol fel, amelyek weboldalaikon ingyenes próbát vagy vásárlási lehetõséget biztosítanak. 2005 közepén az ár 24,95 dollártól 49,95 dollárig terjedt az önálló vírusirtó programok esetében, bár az akciós ajánlatok befolyásolhatják az árat. Amint már említettük, hasznosabb egy olyan termék, amelyik a vírusvédelmen kívül egyéb szolgáltatásokat is tartalmaz. 4.3. táblázat A vezetõ vírusirtó termékek Termék Gyártó Weboldal Anti-Virus Personal Kaspersky Lab www.kaspersky.com AVG Anti-Virus GriSoft http://free.grisoft.com etrust Antivirus Computer Associates www.ca.com F-Secure Anti-Virus F-Secure www.f-secure.com NOD32 ESET www.eset.com Norton AntiVirus Symantec www.symantec.com PC-cillin Trend Micro www.trendmicro.com Titanium Antivirus Panda Software www.pandasoftware.com VirusScan McAfee www.mcafee.com ZoneAlarm AntiVirus Zone Labs www.zonelabs.com Amennyiben további tanácsra lenne szükségünk, a magazinok és egyéb weboldalak, például a PC Magazin (www.pcmagazine.com), a PC World (www.pcworld.hu) és a CNET (www.cnet.com) rendszeresen mutatnak be végfelhasználói biztonsági programokat, és általában kiválasztják a szerkesztõk kedvencét is. Olvassuk el ezeket az ismertetéseket, hasonlítsuk össze az árakat és a kínált szolgáltatásokat. 4.7 Ellenõrzõlista Az alábbi ellenõrzõlista a fejezetben tárgyaltak áttekintésére szolgál. Mit tegyünk? Használjunk vírusirtót, akár önálló programként, akár egy programcsomag részeként! Rendszeresen végezzünk vírusellenõrzést számítógépünkön, és tartsuk vírusirtónkat naprakészen!
4. fejezet Hogyan szabaduljunk meg a váratlan vendégektõl? 57 Frissítsük gyakran operációs rendszerünket és böngészõnket! Fontos fájljainkról készítsünk rendszeresen biztonsági másolatot! Mit ne tegyünk soha? Ne nyissunk meg ismeretlen személytõl érkezõ gyanús, kéretlen e-maileket! Ne kattintsunk ismeretlen levelekben szereplõ hivatkozásokra, és ne nyissuk meg az ilyen levelek mellékleteit! 4.8 Hasznos források Ebben a részben néhány további hasznos forrást mutatunk be. A fejezetben felsorolt minden gyártó nyújt tájékoztatást a vírusjárványokkal, a frissítésekkel és az eltávolító eszközökkel kapcsolatban, és mindnyájan adnak ötleteket, hogy miként lehet elkerülni a rosszindulatú programokat és megvédeni számítógépünket. A Kaspersky Lab által a www.viruslist.com címen mûködtetett víruslista kitûnõ forrása az ártalmas programokkal, a kéretlen levelekkel, a rosszindulatú támadókkal és az általános internetes biztonsági kérdésekkel kapcsolatos információknak. Az oldalon egy enciklopédiát is találunk, amelyben a rosszindulatú programokkal kapcsolatos különféle témák között böngészhetünk, valamint javaslatokat, hogy miként védhetjük számítógépünket nagyobb biztonsággal. A www.virusbtn.com címen található Virus Bulletin adatok garmadáját tartalmazza a vírusokról és egyéb kártevõkrõl, és egy hírlevélre is elõfizethetünk, amely a víruskutatók közösségétõl érkezõ hírekrõl tájékoztat. A www.wildlist.org címen található WildList Organization magát a létezõ vírusok számában kicsit túlzásokra hajlamos vírusirtógyártók egyfajta ellenõrének tartja. Van is némi igaza. Attól függõen, hogy melyik gyártónak hiszünk, a létezõ vírusok száma 50 és 90 ezer közötti, és folyamatosan nõ. A gyakorlatban azonban a jelentõs mértékben elterjedt vírusok száma ennek töredéke. Ez a szervezet nyomon követi azokat a vírusokat, amelyek valóban veszélyeztetik a hétköznapi számítógépek munkáját. A vad vírusokat kiemelik azok közül, amelyeket a kutatók a laboratóriumban állítottak elõ, vagy csak valamiféle elv igazolására születtek, és ténylegesen nem terjednek. A WildList a víruskutatók közösségének önkénteseire támaszkodik, illetve mindenki másra, akik vírusmintákat küldenek, és nyomon követik a vadon kószáló vírusokat. Magyarországon érdemes felkeresni a http://wigwam.sztaki.hu és a http://virus.lap.hu/ oldalakat is.
58 Internetes biztonság otthoni felhasználóknak Egy Beagle féregváltozat eltávolítása 2005 januárjának végén az otthoni számítógépem megfertõzõdött a Beagle féreg egyik, Beagle.BA nevû változatával. (A legtöbb vírusirtó így nevezi ezt a Beagle férget.) Ez a változat egy már létezõ, korábban megjelent kártevõ új alakja. A változatok úgy jönnek létre, hogy a vírus- vagy féregírók módosítanak vagy kiegészítenek egy már meglévõ programot. A Beagle.BA tömeglevélféreg, amely megkísérelte kikapcsolni a vírusirtót és a biztonsági programokat a gazdagépen. Ez nem szokatlan dolog egy féregtõl, különösen azoktól, amelyek trójai programot próbálnak a számítógépre csempészni, hogy a gépet késõbb a támadók használni tudják. Szerencsémre a Beagle.BA nem hordozott trójai programot töltetként. Akkor fedeztem fel, hogy megfertõzõdtem, amikor a merevlemezen végzett rendszeres vírusellenõrzés kimutatta a férget. A Norton AntiVirus törölte a férget a számítógéprõl, de ajánlotta, hogy töltsek le egy speciális javítóeszközt, amely minden kárt kijavít, amit a féreg a betelepüléskor okozhatott. Elmentem a www.symantec.com oldalra, ahol a Security Response hivatkozásra kattintottam. Ekkoriban a Beagle.AB az elsõ oldalon szerepelt a Security Response listán, így arra a hivatkozásra kattintottam, amelyik egyenesen a Beagle.AB-t eltávolító eszközhöz vezetett. (Ha nem találjuk meg az általunk keresett vírust a Security Response elsõ oldalán, írjuk be a nevet a keresõmezõbe.) A webes útmutató azt javasolta, hogy kapcsoljam ki a Rendszer-visszaállítást (System Restore). Ez a Windows egyik szolgáltatása, amely figyeli az operációs rendszer mûködéséhez elengedhetetlen rendszerfájlok és a rendszerleíró adatbázis változásait. Segítségével pillanatkép készíthetõ a számítógép egy ismert, jó állapotáról, amikor minden helyesen mûködik. Ha valami megakasztja ezt a helyes mûködést, a Rendszer-visszaállítás segítségével vissza lehet térni az ismert jó állapothoz. Mivel a kártevõk gyakran rendszerfájlokba és a rendszerleíró adatbázis bejegyzéseibe mentik magukat, elõfordulhat, hogy a Rendszer-visszaállítás menti a férget vagy vírust is, és újratelepíti a kártevõt a számítógépre. A segédprogram kikapcsolásával minden korábban tárolt visszaállítási pontot eltávolítunk. Ha a rendszer-visszaállításról többet szeretnénk tudni, kattintsunk a Súgó és Támogatás menüpontra, és írjuk be a rendszer visszaállítása kifejezést a keresõmezõbe. A Rendszer-visszaállítás ideiglenes kikapcsolása nem érinti a személyes fájlokat, tehát például a Word dokumentumokat, képeket és egyéb médiafájlokat. A segédprogram kikapcsolásához kattintsunk a Start gombra, majd válasszuk a Vezérlõpult pontot. (A Startmenü beállításától függõen lehet, hogy Vezérlõpult lehetõséget a Beállítások között találjuk.) A Vezérlõpultra kattintás után megnyílik egy ablak, amely egy kategória kiválasztására kér (4.1. ábra).
4. fejezet Hogyan szabaduljunk meg a váratlan vendégektõl? 59 4.1. ábra A Vezérlõpult Teljesítmény és karbantartás kategóriája Válasszuk a Teljesítmény és karbantartás lehetõséget, majd kattintsunk a Rendszer pontra (4.2. ábra). Egy kisebb, Rendszertulajdonságok nevû ablak ugrik elõ, ez látható a 4.3. ábrán. Ez az ablak több lapból áll (például Általános, Számítógépnév és Hardver). Válasszuk A rendszer visszaállítása lapot. Itt látható A rendszer-visszaállítás kikapcsolása... nevû jelölõnégyzet. Jelöljük be, majd kattintsunk az ablak alján található Alkalmazás gombra. 4.2. ábra A Rendszer kategória a Teljesítmény és karbantartás csoportban
60 Internetes biztonság otthoni felhasználóknak Miután elvégeztem a fentieket, letöltöttem az FxBeagle nevû eszközt, és elindítottam a gépen. Miután a program végzett, visszatértem A rendszer visszaállítása ablakhoz, és visszakapcsoltam a rendszer-visszaállítást. Ezután elvégeztem ismét egy teljes víruskeresést a merevlemezen, és most már tiszta volt a gép. 4.3. ábra A Rendszertulajdonságok párbeszédablak Ha biztosak vagyunk abban, hogy a számítógép tiszta, saját kezûleg is beállíthatunk saját visszaállítási pontokat. Ehhez kattintsunk a Start gombra, majd válasszuk a Minden program (Programok), Kellékek, Rendszereszközök, Rendszer-visszaállítás menüpontot. Egy varázsló végigvezet a visszaállítási pontok beállításához szükséges lépéseken.
9 A vezeték nélküli eszközök és a VoIP biztonsága Régebben a számítógép csak számítógép, a telefon pedig csak telefon volt. Napjainkban ez a megkülönböztetés már sokkal nehezebb, és az elkövetkezõ öt évben valószínûleg értelmét is fogja veszíteni. A vezeték vagy drót nélküli (wireless) technológiák és az internetes telefonálás fejlõdésének köszönhetõen a mai személyi számítógépek hordozhatóbbak, mint valaha, és még a saját számítógépünkrõl is kezdeményezhetünk telefonhívást. Eközben a mobiltelefonokba, elektronikus személyi titkárokba (PDA, Personal Digital Assistant), és vezeték nélküli levelezõeszközökbe belekerültek az asztali számítógép jellemvonásai, szolgáltatásai, és processzorteljesítménye. Ezeknek a fejlesztéseknek számos elõnye van. A vezeték nélküli megoldások nagyobb mobilitást és kényelmet nyújtanak otthonra és könnyebb internet-hozzáférést otthonunkon kívül. Pillanatnyilag a vezeték nélküliség néhány nyilvános hozzáférési pontra (hotspot) korlátozódik, de idõvel ugyanazt a vezeték nélküli internet-hozzáférést lehet majd élvezni a számítógépen, mint a mobiltelefonokon. Jelenleg a Voice over IP (VoIP, internetes hangátvitel) kínál olcsó számítógépes telefonálást, ahol a beszélgetés nem a hagyományos telefonhálózaton, hanem az Interneten keresztül folyik. Ha már telefonokról van szó, a mobiltelefonok szintén rendkívüli fejlesztéseken mentek keresztül: a cégek újabb és újabb szolgáltatásokat nyújtanak, például szöveges üzenetküldési lehetõséget (korábban ki gondolta volna, hogy ilyen népszerûvé válik az SMS?), digitális fényképezést és internetkapcsolatot, továbbá az olyan (az e-mailhez folyamatos vezeték nélküli hozzáférést nyújtó) készülékek, mint a BlackBerry, vagy a digitális határidõnaplók (Palm Pilot) nemsokára telefonálásra is alkalmasak lesznek, így még jobban
158 Internetes biztonság otthoni felhasználóknak elmosódik a kézi készülékek között húzódó határ. A jövõben (legalábbis a hirdetõk álmai szerint) a helyi üzletek virtuális kuponokat fognak sugározni, és ajánlataikat a mobiltelefonunkra küldik majd, ha elsétálunk a bolt mellett. No persze, ahogy mostanra már nyilván kitaláltuk, az új mûszaki megoldások jó tulajdonságait össze kell vetni az esetleges biztonsági hátrányokkal. A hátrányok, különösen a vezeték nélküli rendszerek esetében bizony jelentõsek. A problémák közül még a szerényebb, ha valaki az internetkapcsolatunkra csatlakozva szabadon töltöget és ingyen böngészik a lista csúnyábbik végén olyan tolvajok és bûnõzök találhatók, akik személyes adatokat lopnak. A mobiltelefonok kézi számítógéppé alakulásuk közben áldozatul esnek a PC-ket gyötrõ kártevõknek (már léteznek mobiltelefon-vírusok), és a számítógép telefonhoz közeledésének (VoIP) is megvannak a maga hátrányai, amelyek közül néhánynak biztonsági következményei is vannak. Ez a fejezet ezeknek az új mûszaki megoldásoknak a lehetséges veszélyeit tekinti át. 9.1 Hogyan mûködik a vezeték nélküli hálózat? Manapság számos háztartásban elõfordul, hogy egynél több, közös internetkapcsolatot használó számítógép van. Egyre több az otthoni hálózat, amelynek számítógépei között megengedett a fájlcsere, valamint az internethasználaton való osztozkodás. Ezekben az otthoni hálózatokban a számítógépek vagy kábellel, vagy vezeték nélkül csatlakoznak egymáshoz. A vezeték nélküli hálózatokat azért szeretjük, mert nem fut kábel minden számítógéphez a házban, és a családtagok egyszerre is használhatják az Internetet akár a fürdõszobából, akár a nappaliból, az otthoni irodából vagy akár még a kertbõl is (a hozzáférési pont jelerõsségétõl függõen). Egy alapszintû vezeték nélküli kapcsolathoz két összetevõre van szükség: egy vezeték nélküli kártyára vagy lapkára a számítógépben, illetve egy hozzáférési pontra (AP, access point), amit néha vezeték nélküli útválasztónak (wireless router) is hívnak. A mai hordozható számítógépek többsége beépítve tartalmazza a vezeték nélküli elérés lehetõségét, ha pedig régebbi laptopunk van, vásárolhatunk egy kártyát, ami biztosítja ezt a képességet. A hozzáférési pont többféle módon is csatlakozhat az Internetre: telefonos betárcsázással, DSL modemen vagy kábelmodemen keresztül. Egy hozzáférési ponthoz több számítógép is csatlakozhat rádiós kapcsolaton keresztül. Az otthoni vezeték nélküli termékek gyártói között olyan neves cégek találhatók, mint a Linksys, a Belkin, a D-Link és a NetGear. A mai otthoni vezeték nélküli kapcsolatoknak egy szabványrendszer, az úgynevezett Wi-Fi az alapja, ami a wireless fidelity rövidítése ( vezeték nélküli hûség, a Hi-Fi alapján). A WiFi szabványt az Institute of Electrical and Electronics Engineers (IEEE) gondozza ez a szervezet vizsgálja felül a mûszaki szabványokat, hogy biztosítsa a különbözõ vállalatok által gyártott termékek problémamentes együttmûködését. A Wi-Fi több szabványt is tartalmaz, amelyek a 802.11 kód alá tartoznak, a vezeték nélküli hálózati szabványokat kidolgozó munkacsoport azonosítója után. A jelen fejezetben négy IEEE-szabványt mutatunk be, a 802.11b, 802.11g, 802.11a és a 802.1x jelûeket. A b, g és a szabványok az adatát-