A nagy vírusírtó mítosz: biztonságosabb nélküle?

2020-11-05 00:00


A vírusirtó szoftverrel az átlag felhasználónak általában csak akkor van dolga, amikor kipipálja a tálcáról felugró figyelmeztető üzeneteket. Sokan már csak akkor telepítik, amikor késő; mások azt mondják, felesleges és káros. Vajon jó a vírusirtó? Hogy működik? Lássuk!

Miért kell a vírusirtót állandóan frissíteni?

Egy gyakori probléma, amivel a felhasználó szembesülni szokott, hogy a vírusirtó állandóan frissítést kér. Egy-egy ilyen művelet sokszor csökkenti a számítógép teljesítményét, ráadásul, mivel a vírusirtó adatbázisa sosem tökéletes, sok ígérettel ellentétben nem teljesen védett a rendszer és van számos hamis riasztás is. Felmerül a kérdés: ha egy program ilyen fontosnak tűnik, miért okoznak a vírusirtók ennyi galibát?

A vírusirtó olyan portás, aki csak azokat engedi be, akik szerepelnek a vendéglistán

A probléma az, hogy ma már rengeteg vírus, kártékony szoftver kering a különböző hálózatokon. Naponta több száz új, rossz szándékú állomány jelenik meg. A vírusirtó szoftverek fejlesztőinek ezért lépést kell tartani ezekkel, és minél előbb feketelistára tenni a kártékony kódokat vagy heurisztikus megoldásokkal mielőbb felfedezni ezeket.

Könnyű belátni, hogy egy hatalmas adatbázis karbantartása nagyon energia- és erőforrás-igényes. Ráadásul a legtöbb vírusirtó a működési elvéből fakadóan az összes futó programot és folyamatot vizsgálja. Ezért tapasztalhatjuk azt is, hogy a vírusirtó lassítja a gépet, kompatibilitási problémákat okoz, esetleg újraindítást kér.

A nagyobb probléma azonban nem is ez, hanem, hogy sokszor maga a vírusirtó nyit utat a támadásoknak. A legtöbb vírusirtó kernel módban futó komponenssel is rendelkezik és számos érzékeny adathoz is hozzáférhet. Egy nem megfelelő vírusirtóval tehát éppen azokra a személyes adatokra, biztonsági kérdésekre és más érzékeny adatokra nyitunk kaput, amelyeket a leginkább óvni szeretnénk. Ezért fordulhat elő az, hogy a vírusirtók sokszor inkább ártanak a biztonságnak, mint használnak célzott támadások esetében.

Hogy is működik egy vírusirtó?

Mivel az újabb és újabb vírusok olyan gyorsan keletkeznek, hogy szinte lehetetlen mindegyiket időben feketelistára tenni, a szoftverfejlesztők mindig újabb és hatékonyabb megoldásokat próbálnak keresni a védekezésre. Az úgynevezett heurisztikus víruskeresés alkalmas arra, hogy a listán nem szereplő fájlokat is megvizsgálja.

A vírusnak nem feltétlenül kell fejfájást okoznia

A legtöbb ilyen vírusirtó emulátorokat használ. Egy elkülönített memóriaterületen kipróbálja, milyen hatással járna a feltételezhetően kártékony programok lefutása a számítógépen. A szimuláció során megnézi például, hogy tartalmaz-e az adott fájl valamilyen önkódoló rutint, kényszeríti-e a script a programot újraindulásra, illetve találhatók-e futtatható fájlok az adatcsomagban ott is, ahol azoknak nem szabadna jelen lenni. (csak hogy néhány példát említsünk)

Ebben az elkülönített “karanténban” a programok képesek úgy futni, hogy nem tesznek kárt a számítógépben - csak arra kell figyelni, hogy semmi esetre se tudjanak kártékony műveletet végrehajtani. A jól funkcionáló vírusirtók ma már tanulni is képesek, sőt, át is adják az információt egymásnak, így meggyorsítják a vírusok elleni védekezést, de még messze vannak a tökéletességtől.

Káros-e a vírusirtó?

Valóban előfordul, hogy a vírusirtó több gondot okoz, mint hasznot; például már a számítógép indításakor lassítja az operációs rendszer elindulását és utána is abban az esetben, ha folyamatosan vizsgálja a folyamatokat és műveleteket amik történnek az eszközön. Ez különösen észrevehető, ha egy régebbi eszközről van szó, amelyik esetleg még egy merevlemezzel és nem SSD-vel van ellátva.

Gyakran éppen a vírusirtó nyitja a legnagyobb támadási felületet a gépen. Ez a program a számítógép legtöbb adatához hozzáfér, így ha a szoftvernek biztonsági hibája van, gyakorlatilag akadálytalanul engedtünk betekintés a legérzékenyebb fájlok közé is. Tovább súlyosbítja ezt a helyzetet az, hogy a vírusirtók legtöbbször olyan programnyelveken íródnak, amik nem biztosítanak erős garanciákat a biztonságos programozást illetően és rengeteg adatot dolgoznak fel a működésük során, ami egy tipikusan könnyen elrontható dolog. Amikor pedig elrontják, a következmények nem szépek.

Jellemző az is, hogy a hackerek magát a vírusírtót törik fel, vagy annak gyártóját támadják meg. Ez azért is fordul elő gyakran, mert egy ilyen szoftver kiskapujának megtalálása számítógépek milliárdjainak legérzékenyebb pontjaihoz adhat hozzáférést. A vírusirtó szoftverek pedig nem ritkán elősegitik ezt a folyamatot a nem karbantartott régi kódok használatával.

A vírusirtó szoftver könnyen telepíthető és beállítható, így aztán sokaknak hamis biztonságérzetet is ad. A kevésbé tapasztalt számítógép-használók esetében van talán a legnagyobb hozzáadott értéke egy vírusirtónak, de itt is inkább a megfelelő policy beállítások és a felhasználók oktatása a célrevezető.

Van jobb megoldás?

Egy jól átgondolt modern szervezetben a hagyományos vírusirtóknak egyre kevésbé van helye és értelme, pláne ha mérlegre tesszük a vélt előnyök mellett a valódi kockázatokat is. Vannak azonban "következő generációs" vírusirtók is; a fő különbség pedig a technikákban és a megközelítésben van. (A cikk nem szponzorált, a referencia nem kizárólag a crowdstrike termékére referál, mindössze ők foglaltál össze remekül ezt a témakört)

A következő generációs jelleget az adja, hogy a védelem a szoftveres sérülékenységek által okozott problémák kivédésére (exploit mitigation) és a következmények minimalizálására fókuszál. (Post-exploitation behavioral detection, sandboxing)

A hálózaton belül minden eszközt érdemes védeni

A fentiek fényében látható, hogy a biztonságos IT működéshez több tényező együttállása segít hozzá. Többek között a következők:

Természetesen ha egy vírusirtó használata mellett döntünk, egyáltalán nem mindegy, hogy milyet használunk. Az új generációs vírusirtók ma már nem csupán a programok viselkedése alapján, hanem különböző tanuló algoritmusok segítségével is képesek felismerni a kártékony tartalmakat. A legfejlettebb szoftverek pedig az előző támadások tapasztalatait felhasználva képesek valós időben védekezni, és izolálni egy támadást már az elején.

Csapatunk szakértelmét szívesen állítjuk minden olyan vállalkozás szolgálatába, amely elkötelezett a korszerű megoldások, a megalapozott digitális biztonság kialakításában. Segítünk átlátni, hogyan valósítható meg a zökkenőmentesebb és hatékonyabb működés. Csapdák, marketing fogások és kiskapuk helyett erőteljes, takarékos, kényelmes rendszer összeállítására törekszünk, felesleges körök nélkül. Egyedi igényeiddel fordulj hozzánk bizalommal!