2024.március.29. péntek.

EUROASTRA – az Internet Magazin

Független válaszkeresők és oknyomozók írásai

Az F-Secure az IT világ mai kártevőiről

25 perc olvasás
<!--[if gte mso 9]><xml> <w:WordDocument> <w:View>Normal</w:View> <w:Zoom>0</w:Zoom> <w:HyphenationZone>21</w:HyphenationZone> <w:PunctuationKerning/> <w:ValidateAgainstSchemas/> <w:SaveIfXMLInvalid>false</w:SaveIfXMLInvalid> <w:IgnoreMixedContent>false</w:IgnoreMixedContent> <w:AlwaysShowPlaceholderText>false</w:AlwaysShowPlaceholderText> <w:Compatibility> <w:BreakWrappedTables/> <w:SnapToGridInCell/> <w:WrapTextWithPunct/> <w:UseAsianBreakRules/> <w:DontGrowAutofit/> <w:UseFELayout/> </w:Compatibility> <w:BrowserLevel>MicrosoftInternetExplorer4</w:BrowserLevel> </w:WordDocument> </xml><![endif]--><!--[if gte mso 9]><xml> <w:LatentStyles DefLockedState="false" LatentStyleCount="156"> </w:LatentStyles> </xml><![endif]--><!--[if !mso]><object classid="clsid:38481807-CA0E-42D2-BF39-B33AF135CC4D" id=ieooui></object> <style> st1\:*{behavior:url(#ieooui) } </style> <![endif]--> <!-- /* Font Definitions */ @font-face {font-family:Batang; panose-1:2 3 6 0 0 1 1 1 1 1; mso-font-alt:"Arial Unicode MS"; mso-font-charset:129; mso-generic-font-family:auto; mso-font-format:other; mso-font-pitch:fixed; mso-font-signature:1 151388160 16 0 524288 0;} @font-face {font-family:"\@Batang"; panose-1:0 0 0 0 0 0 0 0 0 0; mso-font-charset:129; mso-generic-font-family:auto; mso-font-format:other; mso-font-pitch:fixed; mso-font-signature:1 151388160 16 0 524288 0;} /* Style Definitions */ p.MsoNormal, li.MsoNormal, div.MsoNormal {mso-style-parent:""; margin:0cm; margin-bottom:.0001pt; mso-pagination:widow-orphan; font-size:12.0pt; font-family:"Times New Roman"; mso-fareast-font-family:Batang;} a:link, span.MsoHyperlink {color:blue; text-decoration:underline; text-underline:single;} a:visited, span.MsoHyperlinkFollowed {color:purple; text-decoration:underline; text-underline:single;} @page Section1 {size:595.3pt 841.9pt; margin:70.85pt 70.85pt 70.85pt 70.85pt; mso-header-margin:35.4pt; mso-footer-margin:35.4pt; mso-paper-source:0;} div.Section1 {page:Section1;} --> <!--[if gte mso 10]> <style> /* Style Definitions */ table.MsoNormalTable {mso-style-name:"Normál táblázat"; mso-tstyle-rowband-size:0; mso-tstyle-colband-size:0; mso-style-noshow:yes; mso-style-parent:""; mso-padding-alt:0cm 5.4pt 0cm 5.4pt; mso-para-margin:0cm; mso-para-margin-bottom:.0001pt; mso-pagination:widow-orphan; font-size:10.0pt; font-family:"Times New Roman"; mso-fareast-font-family:"Times New Roman"; mso-ansi-language:#0400; mso-fareast-language:#0400; mso-bidi-language:#0400;} </style> <![endif]--> <p class="MsoNormal"><span class="inline inline-left"><a href="/node/50581"><img class="image image-thumbnail" src="/files/images/Gangsta%20zsarolas.thumbnail.png" border="0" alt="A Gangsta zsaroló vírus képernyője" title="A Gangsta zsaroló vírus képernyője" width="100" height="80" /></a><span style="width: 98px" class="caption"><strong>A Gangsta zsaroló vírus képernyője</strong></span></span></p><p class="MsoNormal"> </p><p class="MsoNormal">Az F-Secure<span>  </span>finn sw-biztonsági cég megoldásait ismertette hazai képviseletük, a<span>  </span>hazai nagykereskedő 2F 2000 Kft. vezetése 2011. májusában viszonteladói számára tartott F-Secure Corporation rendezvényén. </p> <p class="MsoNormal">

a gangsta zsaroló vírus képernyőjeA Gangsta zsaroló vírus képernyője

 

Az F-Secure  finn sw-biztonsági cég megoldásait ismertette hazai képviseletük, a  hazai nagykereskedő 2F 2000 Kft. vezetése 2011. májusában viszonteladói számára tartott F-Secure Corporation rendezvényén.

a gangsta zsaroló vírus képernyőjeA Gangsta zsaroló vírus képernyője

 

Az F-Secure  finn sw-biztonsági cég megoldásait ismertette hazai képviseletük, a  hazai nagykereskedő 2F 2000 Kft. vezetése 2011. májusában viszonteladói számára tartott F-Secure Corporation rendezvényén.

Irma Louhivuori,  az F-Secure  regionális menedzsere áttekintést adott a cég helyzetéről.A finn fővárosban, Helsinkiben lévő F-Secure  központ világszerte húsz ország területén tart fenn helyi képviseletet, ezek:  Oulu, Finnország, Stockholm, Svédország,Oslo, Norvégia, London, UK Párizs, Franciaország, München,  Németország, Varsó, Lengyelország,  Milánó, Olaszország,  San Jose, USA, Sydney, Ausztrália, Szingapúr,  Hong Kong, Mumbai, India, Tokyo, Japán, Kuala Lumpur, Malaysia, Koppenhága,  Dánia,  Utrecht,  Hollandia,   Heverlee-Leuven, Belgium .

 

A cég gazdasági alapadatai:A vállalat piaci értéke, a teljes 2010-es évre vetítve:   404 millió euró.(market capitalization:  piaci kapitalizáció;  a tőzsdén lévő vállalat piaci értékét jelenti, a részvények száma szorozva az aktuális árfolyammal.  www.mimi.hu/tozsde/capital.html   )

Éves bevétel:  130,1  millió euró Éves nyereség (működési eredmény):   19,8 millió euró

Alkalmazottak száma:   812

 

Az F-Secure globális üzleti egységeinek bevételi forrásai: Licenc-eladás viszonteladókon keresztül, valamint szinten tartó értékesítések: szolgáltatások hozzáadott értékkel kereskedő viszonteladók (VAR)   (VAR = http://en.wikipedia.org/wiki/Value-added_reseller  ), rendszerintegrátorok és IT szolgáltató társaságok közreműködésével, előfizetések értékesítése mobil operátorokkal,  licenc értékesítés viszonteladók közreműködésével,

 

Előre telepített megoldások telefon gyártóknál: előfizetések értékesítése végfelhasználók számára internet szolgáltatókon keresztül. Előfizetések értékesítése a kisvállalkozói szegmens számára, üzleti internet szolgáltatókon át: -kiskereskedelmi és elektronikus (e-commerce) értékesítés konzum ügyfelek számára.

 

Kétszáznál több operátor-partnerük működik világszerte, a legnagyobbak: AT&T, Frontier, Fastweb, Starhub, Celcom. Az F-Secure  észak-amerikai piaci pozícióit az AT&T-vel a tároló szolgáltatások,  a Frontier-vel  biztonsági és tároló szolgáltatások vonatkozásában erősíti.  Kiemelkedő sikert jelent az olasz Fastweb-bel, a szingapúri Starhub-bal és a malajziai Celcom-mal való együttműködés.  A negyven országban működő, kétszáznál is több piaci partner teljes célközönsége több mint 100 millió konzumer ügyfelet jelent.

 

Az F-Secure társaság saját üzleti erősségei:komoly vállalati pozíciók számos piacon, jelentős növekedés mutatkozik a cég  Protection Service for Business  elnevezésű hosztolt üzleti megoldásánál, előretörés a Linux rendszerek antivírus frontján, növekvő érdeklődés a cég mobil biztonsági megoldásai iránt, a piac nagyon kedvezően fogadta az  F-Secure  Client Security 9  termékét, a cég elnyerte a dán állam által kiírt tendert, templomok széleskörű informatikai biztonsági rendszerére nyert el megrendeléseket az F-Secure Norvégiában és Svédországban, felújító tevékenységet folytat kiterjedt vállalati környezetben a németországi BASF-nél és a délafrikai ABSA-nál. Védelmi szolgáltatás mobil megoldásokra;  a cég felkészülten várja az olyan következő-generációs eszközöket, mint

a  Samsung Galaxy Tab.  (http://www.samsung.com/us/mobile/galaxy-tab  )

 

 

Fórján Tamás, a  2F 2000 Kft.  műszaki vezetője a cégről szólva elmondta;  informatikai biztonsági szoftverekkel és hardverekkel foglalkoznak,  nagykereskedőként számos gyártónak, többek között az F-Secure-nak is kizárólagos hazai partnerei.  A finn cég termékeinek képviseletével 1992 óta foglalkoznak.   

 

A vírus-,  ill. a kártevő-helyzettel kapcsolatos ismertetésében emlékeztetett, az első vírus, a Brain.A 1986-ban tűnt fel. Floppyn terjedt, s Pakisztánból származott, egy nagyobb, ma is létező internet-szolgáltatótól. Készítője kísérletezésként alkotta meg, s a forráskódba még a saját címét is beleírta…  Az F-Secure cég  vezető fejlesztője idén februárban, a vírus születésének 25. évfordulója alkalmából meglátogatta a háromtagú, családi vállalkozást s eszmét cserét velük a fejleményekről.  (A riport:  http://www.f-secure.com/en_US/about-us/pressroom/news/2011/fs_news_031011_eng_1.html  )

 

A víruskészítés kezdetben, 1986 táján,  hobbi-programozók „virtus” tevékenysége volt, de  kb. 2002-től már pénzkeresetté vált.  2005-től már kémkedési célból,  2010-től pedig szabotázs céljából születnek kártevők. Vírus, vagy kártevő fejlesztéssel sokféleképpen lehet pénzt keresni.  Egyik módja; egy ügynökség arra szakosodik, hogy weboldal rendszergazdákat felkér, rejtsenek el az oldalon olyan kódot, ami kártevőt telepít fel a látogató számítógépére, a megfertőzött látogatók listája pedig ily módon értékesíthető lesz. Másik módszer;  olyan kártevők alkalmazása, amely a felhasználókból közvetlenül próbál pénzt kicsikarni. Pl. olyan kártevővel, amely a felhasználó fájljait túszul ejti, titkosítja fájljait és üzenetet jelenít meg; ha vissza akarja kapni fájljait, akkor kövesse a fizetési utasításokat. Az átutalás után valóban meg lehet szabadulni a kötéstől. Működőképes „üzleti modell”!  Ilyen kártevő pl. a GPcode. (lásd címképünket!) Windows licenc megújításra hív fel egy másik kártevő, a felugró figyelmeztetés nem utal fizetési kötelezettségre, csak követni kell az utasításokat, de feljön egy következő képernyő, hogy sajnos nem tudják ellenőrizni kódunkat, ezért telefonon diktáljuk be azt egy megadott számon, s kapunk egy aktiválási számot, amit be kell gépelnünk. 

Azonban, ha valaki utána néz a megadott telefonszámoknak, akkor látja, hogy azok fizetős hívást generálnak, néhány 10 dollárt percenként. Igazi emeltdíjas trükk.

 

Kritikus számok:

0088 :  műholdas telefon

+882346077 :  Antarktisz (!)

+17675033611:  Dominikai Köztársaság

+88213213214:  EMSAT műholdas telefon

+25240221601:  Szomália

+2392283261:  São Tomé és Príncipe

+881842011123:  Globalstar műholdas telefon

 

Ezeken a számokon valóban egy-egy callcenter jelentkezik, s visszakapjuk értékeinket, de milyen áron!

 

Vannak kártevők, amelyek azt a feladatot kapják, keressenek gépünkön média fájlokat, MP3 zenéket, filmeket, stb. Amennyiben találnak, értesítik a „szerzőt”, aki megkeresi a gép tulajdonosát, hogy jogtalan fájlokat tart gépén, s kéri a jogdíjat. Ilyenkor persze nem a valódi szerző jelentkezik, hanem a kártevő indítója, aki saját számlájára utaltatja a díjat.

Scarware programok;  olyanok, mint egy igazi víruskereső, ha feltelepítjük, futtatás után egy sor fájlunkat fertőzöttnek jelzi, ami nem igaz, de ezzel megpróbálja rávenni a felhasználót, hogy vegye meg a program fizetős változatát, ami szintén nem fog semmit csinálni, de a fizetés kiprovokálható vele.

 

A  Zeus Keylogger  trójai kifejezetten banki tranzakciókra szakosodott.  Megfertőzi gépünket, de nem lopja el jelszavunkat, hanem megvárja, hogy bejelentkezzünk web-bankunk felületére, s amikor elindítunk egy banki utalást, pl. villanyszámla befizetést, akkor egy általunk ismeretlen bankszámlára is elindul egy utalás, a trójai programozója által meghatározott összeggel. Gyakorlatilag semmi gyanús jel nem mutatkozik, egyszerűen keletkezik egy tétel, ami a web-bank felületén nem fog látszani.

 

Olyan tételeket képesek ellopni a megszerzett jelszavakkal a rosszfiúk, amit nagyon nehezen tudunk visszaszerezni.  Klasszikus példa a  World of Warcraft játék. A játék egyik jellemzője, hogy olyan képességeket lehet benne szerezni, amik csak hosszú, pl. egy éves játékkal érhetők el. Naponta kell játszanunk, hogy komoly tulajdonságok birtokába jussunk. Amennyiben a játékhoz érvényes jelszavunkat megszerzi a kártevő, tudomásunk nélkül be tud valaki jelentkezni nevünkben a játékba és ezt az értékes szerzett tulajdonságunkat, stb. eladhatja egy másik szereplőnek. Tehát valódi pénzt lehet belőle csinálni, a rendőrség pedig mit is kezdjen az üggyel…Vannak olyan játékosok, akik nem kívánják végigjárni ugyanis a hosszú játék-procedúrát, s megéri nekik a tulajdonság, vagy egyéb játék-jellemző pénzért való megszerzése.

 

Felvetődik a kérdést, miért nem vesszük észre ezeket a manipulációkat,  hol üzemel ez a sok rosszfiú? Hol vannak a web-szervereik, gépeik?

 

A Hosting.ua  cég esete:

 

Nagy ukrajnai hoszting szolgáltató cégről van szó, sok ezer ügyféllel; bankok, nagyvállalatok, stb. kihelyezett géptermekkel. Együtt jár ezzel, hogy vannak olyan szerverek is a gépteremben, amelyeket valamilyen módon a számítógépes bűnözéshez lehet kapcsolni. A Hosting.ua  felmérte ezt a hibalehetőséget és elhatározta, szervertermébe csak tiszta forrásból származó ügyfelek jelentkezhetnek be. Tisztogatást jelentettek be, mondván, átvizsgálják az összes ügyfelet és a gyanús szerződéseket felmondják.  A kisöpört ügyfelek ezt nem vették jó néven, két hét múlva világos üzenetet küldtek, s azóta egyetlen szolgáltató sem próbálkozott hasonló akcióval…

 

Igyekeznek szemet hunyni, találja meg az FBI, találja meg bárki a rosszfiúkat,  ők nem avatkoznak be. Telepítsen mindenki védő szoftvert a gépére, ne legyen ez a szolgáltató gondja, mondják.

 

A víruskészítők hamarosan rá fognak jönni, hogy pénzt keresni könnyebb a telefonok, mint a számítógépek megfertőzésével. A mobil környezet egyre fejlettebb, a mobil alkalmazásokra alkalmas készülékek általában drágábbak, a vásárlói kör jól behatárolható, de ezek a felhasználók nem mutatnak ehhez mérhető tudatosságot. A mobilra érkezett e-mailek olvasásakor, vagy weboldalak kezelésekor egy hosszú szöveg nem látható a maga teljességében a kijelzőn. Ezért nem ellenőrizhető pl. a küldő.  A mobil platform olyan veszélyeket hoz magával, amilyet az asztali gépek használói nem is ismernek.

Jó ugródeszkát jelentenek a rosszfiúknak a mobil játékok, a trójaivá változtatott Android alkalmazások.

 

Az „éjszakai társalgás” esete:

 

A mobiltelefon tulajdonosa lefekvéskor feje mellé tette készülékét, s éjjel arra riadt, hogy telefonjából beszélgetés szűrődik ki; „…Sajnos nem sikerült a nemzetközi hívás, mert erről a készülékről le vannak tiltva….” Utánajárva az esetnek, a tulajdonos észre vette, hogy a híváslistán már korábban is észlelt számok találhatók, azaz, a telefon valamilyen módon korábban kártevővel fertőződött. A felhasználó előzőleg játékokat vásárolt egy web-shopból. Az ember azt gondolná, valamilyen szűrést biztosítanak ezek a helyek az árusított szoftverekre, de ez nincs így.  Pl. a Kínából üzemeltetett webshop érdekes üzletpolitikát folytat, az AndroidStore alkalmazásai szerepelnek listáján, az eredetinél alacsonyabb áron, de az összes példány külön-külön meg van fertőzve valamilyen trójai programmal. A weboldalon vásárlók garantáltan megfertőződnek valamilyen mobil-kártevővel, pl. ilyen éjszakai telefonálóval. Amennyiben egy adott telefon erős hardvere erre lehetőséget ad, akkor hosszú kódszámok futtatásával ilyen visszaélésekre is lehetőséget teremt, s a kártevő úgy elbújhat, hogy csak a fentihez hasonló „baki” tudja lebuktatni. 

 

A  "Short Stopping" / "Long Lining" trükk:

 

Amerikai példa, de mások is okulhatnak belőle.

Díjszabás szerint:

Nevada – Szomália: $2.55 / perc

Nevada – Florida:   $0.03 / perc

Extra országokba, pl. Dominikába, Szomáliába mennek a hívások, de hogyan lesz ebből pénz?  A megfertőzött telefonról induló hívás eredetileg a világ másik végébe kellene fusson, pl. a Nevadából induló hívás szomáliai számot hív, aminek a percdíja lényegesen magasabb a megszokottnál. Valójában a hívás nem ér el Szomáliába, a szám ugyan szomáliai, de a hívás az országon belül marad. A telefon-szolgáltató lefoglalja a kiosztható számok egy kis részét, emeltdíjas hívásként számlázza ki az ügyfélnek, de végül is a szám, amit gyakorlatilag hív az ügyfél, az az országon belül marad, tulajdonképpen olcsó belföldi hívásként érhető el, a 2,5 dollár és a 3 cent közötti különbség az, amin a telefon-szolgáltató és az emeltdíjas számot üzemeltető user osztozhat. 

 

Van cég, amelyik csak ilyennel foglalkozik. Üzleti modellje; jelentkezzen az az ügyfél, aki szeretne emeltdíjas számokat üzemeltetni. Minden egyes országban vannak a cégnek lefoglalt számai, s azoknak az ügyfeleknek, akiktől pénzt akar beszedni, megadja ezeket a számokat.  Pl. idehaza adnak egy Magyarországról hívható szomáliai számot, a hívás ilyenkor Magyarország területéről ki sem fog menni, az emeltdíjas számból származó emelt díj egy része pedig visszacsorog ezen a cégen keresztül… Különféle díjsávba tartozó országokat tudnak kínálni, táblázatuk van az ilyen cégeknek, eszerint választhat a vevő, hogy mekkora díjat akar beszedni az ügyfelektől.

 

Vannak országok, pl. Indonézia, ahol a bankkártya nem terjedt el, s bevett módon, úgymond legálisan alkalmazzák ezt a módszert üzletekben való vásárlásra, kisebb összegű tranzakciókra.

 

Jelenleg  heti 40 ezer új PC kártevővel, de csak  500 mobil kártevővel kell számolnunk.  A kártevők 90%-a  Windowsos rendszerekre készül. A kisszámú mobil kártevő azonban lényegesen magasabb jövedelmet hozó alkalmazásokat tud megfertőzni.

 

A célzott támadások (Targeted Attacks):

 

Azokat a felhasználókat veszik támadás alá akik speciális érdeklődésük miatt egy körbe tartoznak.

 

Célja:

Kémkedés, hírszerzés, politika

Eszközei:

Manipulált weboldalak, fertőzött PDF fájlok, (Mozilla) zéro-day sérülékenység, stb.

 

Példák:

Comodo-gate

A Comodo cég egyike azoknak, amely jogosult weboldalak számára hitelességi tanúsítvány (Certificate) kiadására.

A világ három legnagyobbjának egyike.

A Comodo aláíró generáló mechanizmusában valaki tanúsítványokat generált bizonyos weboldalakra. Google-re, Hot-mailre, Gmailre, Skype-ra, Yahoora, Mozillára sőt egy eddig ismeretlenre is:

mail.google.com (Gmail)

login.live.com (Hotmail et al.)

www.google.com

login.yahoo.com (három tanúsítvány)

login.skype.com

addons.mozilla.org (Firefox kiterjesztések)

„Global Trustee„

 

Mire lehet ez jó?

-nemzeti szintű lehallgatás (gmail, hotmail, stb)

-Országos filtert megkerülő plugin tiltása,

-cyber  terrorizmus? – nem valószínű, szűk réteg vehet csak részt benne, nehéz a kommunikáció,

-kritikus infrastructure: gyárak, erőművek, napi élethez elengedhetetlen infrastruktúra sérelme,

 

Egy ilyen certificate birtokában készíteni lehet egy weboldalt, amire pl. a Gmail látogatóit lehet terelni, a hamis certificattel meg lehet téveszteni őket.  Komoly következménye ennek akkor lehet, ha az elterelő pl. egy kormány, mert ez az akció lehetővé teszi az ország levelezésének teljes ellenőrzését. Pl. mindenkit, aki Iránból a Gmailt akarja megnézni, ide lehet irányítani. El lehet velük hitetni, hogy a Gmailt látják, bele lehet olvasni levelezésükbe,

küldeni lehet emaileket nekik, el lehet rejteni előlük leveleket, stb.

A Comodo ügy iráni hacker támadás eredménye volt, a címek alapján a szakma az iráni kormányt sejti mögötte.

 

A  Stuxnet  kártevő a kritikus infrastruktúrát támadta

 

Adott iráni atomlétesítmény rendszerének támadására hozták létre. Az üzemben speciális hardverek működnek, pl. olyan vezérlők, speciális számítógépek, amelyek az urán-centrifugák működési sebességét szabályozzák. A vezérelt motorok szintén különleges kialakításúak. A világban egy finn és egy iráni cég gyárt ilyeneket…

 

A technológia során,  a gáz halmazállapotba hozott uránt adott hőmérsékleten és nyomáson centrifugálják. A nagy sebességgel zajló centrifugálásnál az anyag elektromosan feltöltődik, s a különböző atomsúlyú részecskék különböző pályára állnak, így nyílik lehetőség a 235-ös és a 238-as izotópok szétválasztására. A centrifugálási eljárás nagyon lassú, hónapokig eltartó folyamat, nagyon sok lépésből áll, s a Stuxnet károkozó ezt a rendszert támadta meg. Megfertőzte a vezérlő számítógépet, úgy módosította a programot, hogy a fizikai paramétereken csak kicsit változtatott. A sebességet módosította, időnként leálltak a centrifugák, majd újra indultak, megfordult az áramlás iránya bizonyos rendszerekben, ezen kívül az erőmű ellenőrző rendszerének visszajelzett kontroll-értékeit is meghamisította, hogy normális paramétereket mutassanak. A kártevő bejuttatása nagy körültekintést igényelt, mivel a telep le van választva az internetről,  csak külső eszköz, pendrájv jöhetett szóba. A telepen belül még a centrifugákat kezelő rész is le van választva, így a vírus jelentős része arra szolgált, hogy a cég belső informatikai rendszerében terjedjen el, s minden alkalommal, amikor a belső hálózatban összekapcsolt számítógépek valamelyikéhez pendrájvot csatlakoztatnak, azt megfertőzze oly módon, hogyha bevinnék a leválasztott laborba, akkor ott el tudjon indulni a dúsító rendszert tönkretevő rutin.

 

A vírus új trükkje a pendrájv csatlakoztatásakor induló kódra vonatkozik, hogy a fertőzés a bedugás pillanatában megtörténjen. (Normál esetben nem így szokott történni.)  Az egyik zéro-day sebezhetőséget használták ki erre az automatikus indításra. Normál Windows működéskor a rendszer kérdést tesz fel az indulni kívánó szoftver indulására, hogy engedélyezzük-e, de van egy olyan helyzet, amikor ezt a kérdést nem teszi fel, amikor ez a bizonyos indulni kívánó program hitelesített módon alá van írva.  A Stuxnet vonatkozó windowsos meghajtó komponense alá volt írva egy létező cég, a Realtek certificat-jével, hitelesített tanúsítványával. Önmagában szép teljesítmény valakinek a saját szoftverét egy másik cég hitelesített tanúsítványával aláíratni;  a Realteknél a gyártás menetében erre van egy célszámítógép, amely a már előre elkészített drájver alkalmazásokat hitelesített tanúsítványokkal ellátja, ez is le van választva a hálózatról, nem lehet egyszerűen hozzáférni, hackelni.

 

Minimálisan titkosszolgálati módszerekre volt szükség, hogy a Tajvanon található Realteknél valaki ezt a feladatot elvégezze; vagy ellopja a kulcsot, ami az aláíráshoz kell, vagy pedig helyben megcsinálja az aláírást.

 

Viszonylag hamar kiderült, hogy a károkozó ezt a trükköt használja, ezért ennek az aláíró kulcsát gyorsan vissza is vonta a kulcs-tulajdonos Websigne, de a Stuxnet saját webes frissítő mechanizmusával apgrédelték a drivert egy  másik cégnek, a  JayMicron-nak (http://www.jmicron.com   )az aláíró kulcsával aláírt drájverre, ez a cég egyébként a Realtek melletti épületben található Tajvanon…

 

Vélemények szerint, a kártevő működése legalább 2-3 évvel vetette vissza az iráni atomprogramot.

 

Jellemzői:

Nagy és bonyolult felépítésű, sok részletet tartalmazó kártevő, amit átlagos informatikai háttérrel rendelkező fejlesztők nem tudnának létrehozni, az F-Secure kutatói szerint kb. 10 emberi munkaév van a Stuxnet kifejlesztésében.  Meglepő, hogy kb. egy évig nem is vette észre senki. 2010 nyarán találták meg és nagyon valószínű, hogy 2009-ben már megfertőzte az adott rendszert. Valódi kiber-szabotázs volt ez, bár a károkozó interneten át nem fertőz. Nem csak Iránban lépett fel a fertőzés, kb. egy évig tartott, amíg felbukkant egy biztonsági

cégnél, onnantól kezdve minden biztonsági cég elemezte a kártevőt, az iráni források nem igazán adtak információt.

 

A tanulmányozást az tette nehézzé, hogy olyan gépek célszámítógépeinek megfertőzésére készült, amiket korábban senki sem látott. Előfordulhat, hogy ezt a kártevőt is bevetik kisebb átalakítások után más célpontok ellen.

 

A zero-day típusú sebezhetőségeket viszonylag nehéz felfedezni, ezért aki 3-4-5 ilyen sebezhetőségre épít, annak nagyon komoly szakmai háttérrel kell rendelkeznie, hogy ezeket a sérülékenységeket felfedje és ugródeszkaként használja. 

 

-Windows-os féreg

-5 sebezhetőséget használ ki (ebből 4 zero-napi, addig ismeretlen, egyet a MS ismert,de nem tartotta aktuálisnak)

-terjedése:  USB pendrájvról

-nagyméretű: 

   az átlagos kártevők mérete – 50-100 KB

   a Stuxneté – 1,5 MB

 

Felvetődik a kérdés, miért választották ezt az útját a károkozásnak, miért nem robbantották fel pl. az erőművet? Nincs pontos válasz, de valószínűleg igyekeztek áldozatok nélküli megoldást választani.

 

 

 

Az új  F-Secure termékek KKV-knak ajánlott, menedzselhető vírusvédelem, mobil eszközök védelme. Lipcsei Attila  termékmenedzser a szolgáltatás alapú biztonsági megoldásokat vezette fel a hallgatóságnak.

 

Történetileg tekintve, az internet terjedése olyanokat is számítógép mellé vonzott, akik korábban felhasználóként el sem tudták képzelni magukat.  Volt, akit a munkája szólított számítógéphez, volt aki csak ily módon tudott információt beszerezni, vagy személyes kapcsolataikat csak így tudták ápolni. Ők azok, akik az alapbeállításokat használják és a legtöbb segítséget igénylik az internet szolgáltatóktól. Megmutatkozik ez az igény a biztonságos számítógép-, és internet- használat elősegítésében is.  Ezt felismerve adta ki az F-Secure  saját termékét, az Internet F-Securityt.  Ezt az internet szolgáltatókkal való egyeztetéssel, azok saját terméknevével kezdték forgalmazni, szolgáltatásaikhoz különböző havidíjas, vagy éves díj konstrukcióban biztosítani az összes felhasználó számára.

Az utóbbi tíz évben az internet szolgáltatók vonatkozó bevételei folyamatosan növekedtek, s az utolsó évben már 16 millió eurós összegre rúgtak.  A jól működő üzleti konstrukció mentén vetődött fel az ötlet; ezt a szolgáltatást ne csak a magánfelhasználók érhessék el, de elérhető legyen vállalatok számára is.  A PSB,  a  Protection Service for Business  ennek apropóján jött létre. Az üzleti modell itt is hasonló, annyi különbséggel, hogy a szolgáltatók helyét a viszonteladó partnerek vehetik át.

 

A gyártónak alapvetően kétfajta üzleti csomagja van; a nagyvállalati környezetben használt  Business Suite csomag, amely tartalmazza a gyártó összes védelmét, a végpontoktól a gatewayekig bezárólag, s a benne lévő termékeket hatékony, mindenre kiterjedő központi menedzsment fogja össze, a Policy Manager,a PSB-t  kis- és középvállalkozásoknak ajánlja a gyártó, különlegessége az online menedzser portál, melyen keresztül a viszonteladók kezelhetik a licenceket és az IT biztonságot.

 

A felhasználó vállalatok három csoportra oszthatók, számítógépeik száma és az IT hozzáértés szintje alapján; a legkisebb csoportnál home-user termékeket használnak,  nagyobb létszámú a KKV-k csoportja, több számítógéppel, s az előbbivel ellentétben, fontos adatokat tárolnak számítógépeiken és igénylik a megbízható védelmet, a legnagyobb csoport a nagyvállalatoké, nekik szól a Business Suite, egyedi igényekkel, összetett hálózatokkal, hálózati struktúrákkal.

 

A legkisebb vállalatok jellemzően kis, egyedi vállalkozások, egy-két számítógéppel, a gépeken általában számlázást, internetezést bonyolítanak, nem tárolnak a gépen nagyon fontos adatokat, nincs helyi hálózat, komoly védelmi igényük nem jelentős.

Az F-Secure számukra is biztosít védelmet, a Home User termékeket ajánlja nekik,  kiemelkedő termékként az  Internet Security 2011 –et.  

 

Az  Internet Security  az utóbbi évek összes tesztjén kiváló eredményt ért el, a vásárlásra ajánlott összeállításoknál mindig 100%-os értékelést kapott.  A számítógépek terhelését és az új vírusok felismerését vizsgáló német víruslabor tesztjén első helyre került. A 2010-es évben a legnagyobb víruslabor összetett tesztjén is a legjobb helyezést érte el. 

 

Az Anti-virus 2011  termék tartalmában nagyjából azonos funkciókkal bír;  extra tulajdonságok nélkül is jól használható.

 

Az Online Back-up  webes felületű biztonsági mentést biztosít, itt korlátlan tárhelyet kap a végfelhasználó, feltöltött adatait a világon bárhonnan elérheti.

 

A nagyvállalati csoport tagjai komoly szaktudással rendelkeznek és komoly elvárásaik vannak a vírusvédelemmel szemben. Rendelkeznek saját, felkészült IT szakemberekkel. Rendszerükben a felhasználók képzést kaptak, de a rendszer módosítására minimális lehetőségeik vannak, így azt kevésbé veszélyeztetik.  Teljes felületre van szükségük, ezért az F-Secure nekik a  Business Suit-ot  ajánlja, amely termék az összes munkaállomásra, fájl-szerverre, mobiltelefonra, gateway-re védelmet biztosít és az egész védelmet a

Policy Manager  szoftver fogja össze, melyet a vállalati rendszergazda igény szerint a belső hálózaton menedzselhet.

 

A kis- és középvállalkozások  jellemzője;  kisebb IT szakértelemmel rendelkeznek, ált. nincs külön rendszergazda a vírusvédelem és IT biztonsági feladatok menedzselésére. Egy hálózatuk már van, jellemzően a gépek a Microsoft Small Business  környezethez hasonlíthatók. Biztonsági szoftverrel szembeni igényeikre jellemző, hogy azt egyszerűen lehessen megvásárolni, karbantartása és a telepítése is minél egyszerűbb legyen. A rendszergazdai feladatokat általában külső személyek látják el. Számukra az ideális termék a  Protection Service for Business.

 

A KKV-k általában a munkájukra kívánnak koncentrálni, minél kevesebbet akarnak foglalkozni védelmükkel.Ezt az igényt teljes mértékben kielégíti a  Protection Service for Business  automatizált működésével.

Komponensei:

-PSB Portál: 

Jellemzői:  web-alapú menedzsment alkalmazás,  különböző nézetek a szolgáltatói partnereknek és a végfelhasználóknak,  menedzselhetők a munkaállomások és szerverek licencei és biztonsági profiljai, megtekinthető biztonság állapot és trend jelentések.Azaz; a külső rendszergazda a webes menedzsment felületen keresztül akár több partnerét is gyorsan, egyszerűen menedzselheti. 

 

A viszonteladó szoros kapcsolatot építhet ki a szolgáltatásain keresztül a vállalattal.

A termék számos automatizált képességgel rendelkezik, nem csak a vírusdefiníciók frissülnek automatikusan, de  a biztonsági patch-ek is automatikusan települnek, a corba-komponensek frissítései is beavatkozás nélkül telepíthetők, így a rendszergazda távolról elvégezheti az összes menedzsment feladatot, nem szükséges állandóan kiszállnia a helyszínre a tevékenységhez.  A munkaállomások és szerverek védelme megoldott.  Azaz, a MS Small Business környezet, munkaállomások, laptopok, fájl-szerverek és MS Exchange védelme biztosított.  A menedzsment portál a termék legfontosabb eleme, ami megkülönbözteti más, konkurrens szoftverektől; olyan webes alapú felületet jelent, amelyen keresztül a viszonteladó menedzselheti partnerei IT biztonságát, láthatja, hogy a partner gépei milyen állapotban vannak, kezelheti a licenceket, látja azok lejárati idejét, vásárolhat és megújíthat licenceket. A termékek itt található összessége csak az F-Securenél található meg.  A PSB saját vírus-figyelmeztetéssel új szolgáltatási lehetőséget kínálhat, ezzel megelőzi a konkurenciát…

A legrugalmasabb licencelés a piacon, minden elérhető a portálon keresztül:  havi számlázású termékek, éves előfizetések, próbaverziók és oktatási kedvezményes licencek is.A MAC-es változat a napokban jelent meg!

 

A felhő alapú menedzsment  esetében az adatok és programok nem a lokális gépen helyezkednek el, hanem valahol az interneten, a felhőben.  Az  IT Protection Service for Business  esetén az adatok nagy biztonságú adatközpontokban, a világ több helyén vannak tárolva, s az F-Secure garantálja az adatok biztonságát és mindenkori elérhetőségét.  Ilyenkor a viszonteladó a portálon keresztül éri el az F-Secure szervereit, és azon keresztül kommunikál a végfelhasználó számítógépeivel.  

 

A PSB négy fő komponensből áll, a rendszer lelke maga a portál, ahonnan menedzselni lehet mind a biztonságot, mind a licenceket. A portálhoz kapcsolódik a munkaállomások védelme, a fájlszerverek védelme és az e-mailek exchange védelme is. Az F-Secure súlyt helyez rá, hogy a legújabb platformokat is támogassa, így munkaállomásoknál a Windows 7,  fájlszerverek esetén a Windows 2008 R2 szerver, e-mail esetén a MS Exchange 2000 szerver is támogatott.

A licencelés egyszerű modellje 3 típuson alapul;   

-munkaállomások licence,

-fájlszerverek licence,

-a levelezés védelme.

Az első kettő árban megegyezik.

A három ár-sáv, a felhasználók számától függően:

– 1-24-ig,

– 25-99-ig,

S attól felfelé.

A licencek 1-2-3 éves konstrukcióban érhetők el.

Egy átlagos vállalat példája:

50 munkaállomás 3 szerverrel, melyek közül az egyiken Microsoft Exchange fut.

Az árak egy éves előfizetésre:

50 x PSB  Workstation Security –  50 x 10.800 Ft,    540 ezer Ft

50 x PSB  Email and Server Security    50 x 2.210 Ft,    110.500 Ft

2 x PSB  Server Security     2 x 13.200 Ft,     26.400 Ft

Összesen:   676.900 Ft

Partneri kedvezmény:   26%,   kb. 176 ezer Ft

A licencek menedzselése a portálról teljes körűen elvégezhető.  Innen próba-licencek is elérhetők.

A PSB portál éjjel-nappali szolgáltatásként üzemel.

 

Hogyan lehet valaki PSB viszonteladói partner?  

1. a viszonteladói megállapodás aláírása,

2. rövid online viszonteladói tréning elvégzése, majd rövid online vizsga,

3. a promóciók előnyeit kihasználva máris kezdhető az értékesítés:  az F-Secure a PSB értékesítésekor viszonteladóinak fél évig a szokásos jutalékon felül további 30% extra kedvezményt biztosít!

 

 

A mobil világ biztonsági kihívásaira az F-Secure válasza:Mobile Security for Business. Holler László  szólt róla, az okos telefonokon ma elérhető információk többet érnek, mint maga a készülék.Esetükben a valós veszélyt egyelőre nem a vírusok jelentik, hanem maga a felhasználó. Igény:  adminisztrált teljes mobil biztonság, bármikor, bárhol, bármilyen eszközről.

Hogyan?

Meg kell védenünk bizalmas adatainkat:

Hogyan találhatjuk meg elveszett, ellopott okos-telefonunkat?

1.Küldjön egy SMS-t a hely azonosításához

2. Kövesse a linket és találja meg telefonját a térképen

3. A telefonjának a tartózkodási helye beazonosítva

Tudjon róla, ha a telefonját ellopták!

Ha a tolvaj SIM kártyát cserélt, a telefon blokkolt állapotba kerül.

Ön egy SMS-t kap az új telefonszámról.

Törölje bizalmas adatait!

Küldjön egy adattörlő SMS-t ellopott készülékére Internetezzen mobilról biztonságosan! Az F-Secure segítsége mindehhez: az új F-Secure Mobile Security for Business 6, ami

-egyszerűbb,  könnyen telepíthető,  automatizált biztonságot nyújt:

  adatvédelem lopás esetén,

  biztonságosabb vele a böngészés,

-optimalizált szkennelés lehetséges vele Android, Symbian & Windows mobile eszközökre.

Rendszerkövetelményei:

Symbian 3

S60 3rd and 5th Edition

Android 1.6, 2.x

Windows Mobile 5/6.x

 

www.2f.hu  

http://www.f-secure.com/en/web/home_global

www.av-comparatives.org

 

 

Harmat Lajos

EZ IS ÉRDEKELHETI

Vélemény, hozzászólás?

Az e-mail címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük

1973-2023 WebshopCompany Ltd. Uk Copyright © All rights reserved. Powered by WebshopCompany Ltd.