A Panda Malware Radar egy online, on-demand audit szolgáltatás, speciálisan a hálózatban aktív és inaktív fenyegetések valamint biztonsági rések felismerésére, illetve eltávolítására.

A károkozók napjainkban
Az elmúlt két évben a fenyegetések száma, céljai és tulajdonságai módosultak. Ez a vírusírók megváltozott motivációjának következménye: korábban a cél az volt, hogy híresek legyenek, ma pedig a hackerek - sokkal professzionálisabbá válva - pénzügyi motiváltsággal fejlesztik az új fenyegetéseket.

2004-ig az Interneten terjedõ járványok egyre gyakoribbak lettek, és mindenki számára kristálytisztává vált, hogy védekezni kell ellenük. A sajtó, rádió és a televízió egyre hangosabban kommunikálta az I love you, a Sircam vagy a talán utolsó nagy járványt gerjesztett SQL Slammer által okozott károkat. A vírusírók elérték céljukat: az emberek beszéltek róluk.

Tévedünk, ha azt gondoljuk, hogy a fenyegetés mostanra megszûnt. Az igazság az, hogy napjainkban sokkal nagyobb számban jelennek meg károkozók, mint valaha, és ahogy azt már említettük a kártevõk célja is megváltozott. Amíg 2002-ben napi 5-12 vírust, addig jelenleg napi akár több ezer egyedi károkozót is regisztrálnak. A kártékony programok motivációja ma tisztán pénzügyi, és egy egész iparág mûködik mögöttük, mely egyre professzionálisabbá válik. A kívánt cél - a pénzügyi adatok - eléréséhez a hackerek a legmodernebb technológiákat használják, így sokkal kifinomultabb kározókat fejlesztenek, melyeket úgy terveznek, hogy sokáig rejtett módon tudjanak tevékenykedni.

Csendes támadás (silent epidemics)
A vírusírók tehát többé már nem érdekeltek abban, hogy nagy, látványos járványokat idézzenek elõ. Az új károkozók csendben, rejtve, gyakran személyre szabottan mûködnek. A hackerek egyre inkább rejtõzködõ eljárásokat alkalmaznak, mint például a rootkit technológia. Ma az új generációs károkozókat melyek rejtve, diszkréten és illegálisan juttatják pénzhez a fejlesztõt: „csendes támadásnak” (silent epidemics) nevezzük. Ez nem azt jelenti, hogy ezek a támadások gyengébbek, hanem azt, hogy ezen fenyegetések jelenléte a számítástechnikai eszközeinkben kevésbé nyilvánvaló.

Célzott támadások
A célzott támadáshoz használt kártékony programokat kifejezetten egy számítógépre, személyre, cégre vagy cégcsoportra szabják a vírusírók. A megszerzett bizalmas adatokat - stratégiai tervek, üzleti tervek, biztonsági kulcsok, jelszavak, stb.- a fejlesztõk egy harmadik fél számára értékesítik. Bár a célszemélyek vagy szervezetek azt gondolják, hogy maximálisan védettek, a hacker a személyre szabott támadás elõtt minden információt összegyûjt a célpontról: biztonsági elemek, szintek, konkrét megoldások, stb. Így az általa fejlesztett egyedi károkozót le tudja tesztelni az összes védelmi eszközzel, különösen figyelve azokra, melyeket a célpont használ. Az új, személyre szabott kártékony program akár hónapokig is üzemelhet a kiszemelt rendszerben, mert továbbító rutint nem tartalmaz, így nem kerül napvilágra.

A védelem új útjai
A fenyegetettségekben bekövetkezett változásokat természetesen a védelem szintjén is követni kell, különben az informatikai rendszerek kiszolgáltatottsága tovább növekszik. A biztonsági technológiák fejlõdése új utakra tévedt. Erre azért is szükség van, mert a vírusok számának rohamos emelkedése új védelmi módszereket követel meg. A PandaLabs szerint 2006-ban több új vírus jelent meg, mint az elmúlt tíz évben összesen. Így a hagyományos biztonsági megoldások önmagukban már nem vagy csak nagyon nehezen képesek lépést tartani a fenyegetettségekkel. Biztonsági elõrejelzések arra hívják fel a figyelmet, hogy a kizárólag adatbázis alapokon mûködõ antivírus termékek a kártékony programok ilyen gyors ütemû megjelenése miatt hamarosan elérhetik teljesítõ képességük határát.

A Panda Software úgy gondolta, hogy a megváltozott fenyegetettségek ellen egy új módszer segítségével veszi fel a küzdelmet. A megoldás tulajdonképpen egy on-demand auditálásra épül, amelynek célja a fenyegetettségek felismerése, és a védelemhez szükséges információk átadása. A Malware Radar névre keresztelt online szolgáltatás felderíti a rendszerekben esetlegesen megbúvó kártékony programokat (vírusokat, trójaiakat, kémprogramokat, stb.), és külön kitér a vizsgált számítógépeket érintõ biztonsági rések keresésére, illetve elemzésére.

A jelenlegi antivírus alkalmazások 500 ezernél több vírusszignatúrát nem igen kezelnek. Ezzel szemben a Malware Radarhoz egy olyan adatbázis tartozik, amely több mint egymillió, egymástól különbözõ szignatúrát ismer. A tekintélyes méretû adatbázis offline használata teljesítmény szempontjából korántsem lenne ideális, ezért a Panda szakemberei a szignatúrákat egy erre a célra kialakított központban helyezték el. Nem is akármilyen módon, hiszen a Kollektív Intelligencia Farm néven emlegetett szerverfarm a spanyolországi Telefonica csúcskategóriás rendszerein mûködik. A Panda szerint ennek, és az alkalmazott mesterséges intelligenciára épülõ technológiáknak köszönhetõen akár napi 3000 új vírus elemzésére is lehetõség nyílik.

Természetesen a Malware Radar nemcsak az adatbázisalapú víruskeresésre építkezik, hiszen olyan technológiákat és megoldásokat is felhasznál, mint például a heurisztikus vizsgálat, a TruPrevent viselkedés analízis, a rezidens védelem elemzése és a korszerû AntiRootkit technológia. Ezek mellet egy olyan eljárás is helyet kapott benne, amely kifejezetten a biztonsági rések felderítését szolgálja.

A Malware Radar mûködése
A Malware Radar audit során elõször feltérképezésre kerülnek az egyes fenyegetettségek. Az alapos vizsgálatok elvégzése után a biztonsági megoldás a licenszektõl, illetve a felhasználó igényeitõl függõen lehetõséget biztosít a felismert fertõzések eltávolítására, valamint a különbözõ veszélyforrások megszüntetésére. A Malware Radar kétféle jelentés formájában ad tájékoztatást az auditról. Az egyik egy vezetõi riport, amely a legfontosabb statisztikákat és adatokat tartalmazza összefoglaló jelleggel. A másik jelentés pedig egy technikai kimutatás, amely az összes vizsgált számítógéppel kapcsolatban ad hasznos információkat. Ezek alapján meghozhatók a szükséges biztonsági intézkedések.

A Malware Radar az összes hálózati munkaállomáson és fájl szerveren képes elvégezni az audit szolgáltatást anélkül, hogy bármilyen folyamatosan mûködõ szoftvert vagy hardver eszközt kellene telepíteni, illetve üzemeltetni. Egyszerûen csak ki kell „osztani” a vizsgálati folyamatot az egyes számítógépekre. Bármely hagyományos disztribúciós módszer használható pl.: Tivoli, SMS, Active Directory, stb. Emellett alkalmazható a Malware Radar saját megoldása is, mely egy kattintással elvégzi az auditáláshoz szükséges teendõket. Természetesen az audit során lefuttatott vizsgálatok mélysége, érzékenysége testreszabható, azaz egyéni igényeknek megfelelõen konfigurálható. A Malware Radar a Windows 95/98/Me, a Windows NT/2000/XP valamint a Windows Vista operációs rendszerekkel kompatibilis. A saját disztribúciós eszköze pedig Windows 2000/XP, Windows Server 2003 valamint Windows Vista használatakor tudja ellátni a feladatát. A Malware Radar hardverkövetelményei sem mondhatók túlzónak, hiszen egy PC esetében 128MB memóriára és 70MB szabad merevlemez kapacitásra van szüksége. Kompatibilis az Internet Explorer és a Firefox webböngészõkkel is.

A Malware Radar egy cég több szintjén is hasznos szolgálatot tehet. A vállalatok vezetõi meggyõzõdhetnek arról, hogy a rendszereik és az adataik biztonságban vannak. A hálózatok üzemeltetõi, illetve az informatikai csapat felmérheti az éppen alkalmazott biztonsági megoldások hatékonyságát. De az új eszköz akkor is jól alkalmazható, ha az informatikusok vagy a biztonsági szakemberek tisztában vannak egyes gyenge pontokkal, és azok meglétét szeretnék bebizonyítani, illetve igazolni.

A Malware Radar kapcsán megkérdeztük Sándor Zsoltot, a Panda Software Hungary ügyvezetõ igazgatóját. A szakember válaszaiból további érdekességekre és hasznos információkra derült fény:

BP: Mennyi idõt vesz igénybe egy-egy számítógép átvizsgálása?
S.ZS.: Van egy gyors és egy mély változat. A gyors csak az aktív fenyegetéseket keresi, így körülbelül öt perc alatt lefut. A mély átvizsgálja a teljes gépet, ezért ebben az esetben 1-2 óra a jellemzõ. Ez az adatgyûjtés ideje. Ha csak ismert fájlokat észlel, akkor a riport azonnal legenerálható. Ha viszont talál bármilyen ismeretlen fenyegetést, akkor az online monitoring rendszeren figyelemmel kísérhetõ az feldolgozás folyamata, és utána lehet a riportokat legenerálni.

BP: Milyen rendszerességgel célszerû az auditot elvégezni?
S.ZS.: Miután a gyors vizsgálat lefut 5 perc alatt, ennek fényében ezt lehet sûrûbben használni. Ha a hálózat egy pontból könnyen elérhetõ, homogén, akkor akár a Malware Radar gyors lefuttatását minden nap meg lehet tenni, nem terheli a gépeket, és csak 3-szor kell a "next" gombokat megnyomni a konzolon. Az auditálást az nehezítheti, ha a hálózat több alhálózatból áll, vagy sok a notebook (amik folyamatosan ki-be mozognak). Ekkor a hálózat nagyobb veszélynek van kitéve, és nehezebb megoldani az auditálást

BP: Okoz-e teljesítménycsökkenést a rendszerekben az audit?
S.ZS.: Jellemzõen nem. A rendszer lényege, hogy ne az ügyfél gépét terheljük. A számítások nem a felhasználó PC-jén történnek, hanem a szerveren, így a lehetõ legkevésbé terheli a rendszert. Bár minden futó folyamatnak van teljesítményigénye, ennek az alkalmazásnak - a szerverkapcsolat miatt - kevesebb, mint egy szokványos vírusirtónak

BP: Milyen jellegû biztonsági rések felismerésére képes a Malware Radar?
S.ZS.: Az összes olyan Microsoft frissítést vizsgálja, mely biztonsági okból kérdéses és kritikus. Emellett összegyûjti azokat az információkat, amelyek biztonsági kockázatot jelenthetnek. Megvizsgálja az alapértelmezett levelezõ klienst, a feltelepített vírusvédelmi és biztonsági szoftvereket. Ellenõrzi, hogy fut-e tûzfal, van-e aktív antispyware alkalmazás, és egyéb mélységi védelem.

BP: Az eddigi statisztikák szerint milyen arányban talál problémát az audit, és melyek a legfõbb veszélyforrások?
S.ZS.: A folyamatos statisztika a weben megtekinthetõ a malwareradar.com weboldalon. Ez azt mutatja, hogy a hálózatok 75 százalékában van valamilyen aktiv vagy látens fenyegetés. Itt sajnos rontja a statisztikát, hogy a felhasználók sokszor nem végeznek teljes auditot, így a kimutatások kedvezõbb helyzetet mutatnak, mint ami valójában van.


Forrás és kapcsolódó linkek:
www.pandasoftware.hu
Malware Radar