Támad a láthatatlan ellenség - interjú Szőr Péterrel

Mi volt az első gondolata, amikor meghallotta, hogy az Intel felvásárolja a McAfee-t?

Rögtön értettem, hogy mit szeretnének, mert húsz évvel ezelőtt azzal zártam a diplomamunkámat, hogy amíg a hardveres biztonság nem lesz jobb, vagy a biztonság nem a hardverből indul ki, addig szoftverrel nagyon nehéz lesz védekezni bármi ellen. Például egy egyszerű dátumcserével elő lehet idézni érdekes dolgokat, vagy ki lehet kerülni egy másolásvédelmet. Régóta látszott, hogy amikor exploitokról van szó, akkor a processzornak szerepe van. Mivel a processzor futtatja az utasításokat, annak segítségével lehet a biztonságot javítani. Ez sokkal eredményesebb lehet, mint amit csupán szoftverekkel el lehet érni.

A múlt héten jelentette be a McAfee az első inteles koprodukciót, ami DeepSafe néven fut. Ez gyakorlatilag egy hypervisor alapú védelem, ami az operációs rendszert az Intel meglévő technológiáival virtuális gépen tudja futtatni, majd ezután kívülről lehet kontrollálni a gép működését valamint figyelni, hogy mi változott a rendszeren. Például, ha egy rootkit megváltoztat valamit a memóriában, akkor az azonnal észlelhető, és még azelőtt meg lehet állítani, mielőtt teljesen be tudna töltődni.

A DeepSafe csak Intel platformon, Intel processzorokkal fog működni, vagy várható, hogy más gyártók CPU-ival is? Az Intel ugyanis többek között az EU-val is úgy állapodott meg, hogy versenyjogi szempontokból más gyártókat nem hoz hátrányba a McAfee felvásárlásával, a technológiák „kisajátításával".

Egyenlőre Inteles (i3, i5, i7) processzorokkal működik a DeepSafe, de a jövőben biztosan lesznek más fejlesztések is. Az Intel szigorúan be fogja tartani a megállapodásokat.

Az MBR (Master Boot Record) alapú rootkitek kapcsán vita alakult ki a biztonsági cégek, szakértők körében arról, hogy az ilyen kódokat is felhasználó kártékony programok teljes körű, biztos eltávolításához szükséges-e a Windows újratelepítése, hiszen nem lehet tudni, hogy milyen hátsó kapuk nyíltak a fertőzött rendszeren, és arra milyen nemkívánatos kódok kerültek fel. Ön mit gondol erről?

A rootkiteknek ez az egyik veszélye. Ezért akarjuk korán megállítani ezeket, mert minél később kerül erre sor, annál komolyabb a következmény. Ha ott „ülnek" a számítógépeken napokig vagy hónapokig észrevétlenül, akkor annál nagyobb károkat okozhatnak. Általában a szoftveres megoldások működnek a károkozók irtása során, de ezt a rootkitek próbálják megakadályozni. Például van egy rootkit, amely igyekszik meggátolni, hogy újraírják az MBR-t. Ezért először a memóriában meg kell változtatni a rootkit kódját ahhoz, hogy ki tudjuk irtani, majd dekódolni kell az eredeti MBR-t, és az összemásolást el kell végezni. Ez egy nagy akrobatika, de adott esetben egy sima fdisk-es megoldás is ugyanilyen hatékony lehet. Legalábbis amennyiben a partíciós tábla tartalma nem változik meg, azonban a korai boot szektor vírusok megjelenése óta tudjuk, hogy ez nincs törvényszerűen így. Az eredeti állapotok helyreállításának bonyolultsága egyre nagyobb.

Az igazi érdekesség az a BIOS-t fertőző rootkit, amit Kínából kaptunk. Ez alapján tényleg nem lehet csak szoftveresen védekezni, vagy csak az MBR helyreállítására fokuszálni, mert a flash BIOS-ból is ki kell szedni a kódot.

Az említett rootkit csak Award BIOS-szal rendelkező számítógépeken működik. Lát esélyt arra, hogy a jövőben más BIOS-ok is célkeresztbe kerüljenek?

Igen. Először úgy tűnt, hogy ez egy nagyon kicsi kiterjedésű fertőzés lesz, mert csak az Award BIOS-ra koncentrált a rootkit, de vannak olyan nyílt forráskódú kitek hozzá, amelyek elősegítik a BIOS programozását. Ezért szerintem sokkal szélesebb körben el tud terjedni.

Úgy látjuk, hogy az APT-k (Advanced Persistent Threat) jelentős része rootkitet használ. A védekezésnek tehát nemcsak a rootkit probléma megoldása a célja, hanem, hogy az APT-k ellen is fellépjünk. Természetesen sok megoldáson törjük a fejünket, de ezekről még korai lenne beszélni. Nagy fejlődési lehetőségek vannak még a felhőalapú antivírusokban, ugyanakkor azért azoknak is vannak hátrányaik. Ezért a legnagyobb fantáziát a hardverközeli megoldásokban látom.

Amerikából is kedvezőtlen hírek érkeznek a gazdaság helyzetét illetően. Meglátása szerint a pénzügyi nehézségek milyen módon érintik a biztonsági piacot?

Nagyon jelentősen. Idefelé a repülőn olvastam Andrew Grove-tól egy cikket, aki az Intelnek volt a magyar származású vezetője. Leírta, hogy milyen érdekes folyamatok zajlanak a gazdaságban, melyek szerint Amerikában majdnem kétmillió állás eltűnt az informatikából, miközben vannak Kínai cégek, amelyeknél több mint egymillió ember dolgozik outsourcing területen.

Önmagában az állások száma egy probléma. Amikor visszagondolok a kezdetekre, és itthon nézegettük a vírusokat, akkor azokat általában bolgárok készítették. A mindenhol jelenlévő, globális világválság hatására, azonban sokakban felmerül az, hogy nem kellene-e a kiberbűnözés területén tevékenykedni, hiszen millió dollárokat lehet vele keresni. Még a vírusterjesztő ügynökök is heteken belül képesek 150 ezer dollárt bezsebelni. Óriási pénzekről van itt szó. Én inkább kiberbűnözői oldalon látok növekedést, mint a szakmában, mivel nincsenek állások. Az IT biztonság is kiszervezetté válik a cégeknél. Természetesen nem minden amerikai szervezet akarja az IT biztonságot Indiából megcsináltatni, de gyakori, hogy egy amerikai vállalat több cégnek is nyújt teljes informatikai támogatást és biztonsági felügyeletet.

A tanítás szintjén azt látjuk, hogy nagyon kevés az oktatás, legalábbis ahhoz képes amennyinek lennie kellene. Az Intel erősen támogat egyetemeket annak érdekében, hogy az oktatásokra, kutatásokra legyen pénz, és a jövőben új termékek jöhessenek létre. De összességében nem ez a jellemző, és kevés helyen tanítanak megfelelő színvonalon.

A biztonság az IT-része, és ha az informatikára nincsenek források, akkor a biztonságra sincs törvényszerűen pénz. Nagyon gyakran azzal intézik el a biztonságot, hogy vesznek egy programot, mert az „mindent megold", de a helyzet az, hogy szakemberekre lenne szükség. Különösen az APT-k kivédéséhez kellenének, hogy folyamatosan felügyeljék a hálózatokat.

Mit tanácsol a sokszor szűkős anyagi forrásokkal rendelkező magyar vállalatok számára?

Ha Amerikában ilyen a helyzet, akkor el sem tudom képzelni, hogy Magyarországon mekkora nehézségek lehetnek ezen a területen. Ha a biztonságot komolyan akarják venni, akkor azt közelebbről is meg kell nézni, és a felhasználóknak tudatosabbaknak kellene lenniük. Mindez azonban számomra jelenleg egy fantazmagória, pedig egyre többen szembesülnek azzal - főleg a web révén -, hogy jobb vigyázni. Az oktatás területén ezzel foglalkozni kell. A Hacktivity és az ehhez hasonló konferenciák a biztonságot középpontba helyezik, és sokan beszélnek róla, olyanok is, akik minderről a hétköznapokban nem nagyon hallanak.

Egy évvel ezelőtt jelent meg A vírusvédelme művészete című könyve Magyarországon. Milyen visszajelzéseket kapott? Lesz folytatás?

Nagyon jó visszhangja volt, az első kiadás nagy része el is fogyott. Reményeim szerint lesz második kiadás is, de csak valamikor a Windows 8 megjelenése után, amiben a mobil fenyegetettségekről, a rootkitekről és a hardveres védelemről is szívesen írnék.