Ne fogadjon el pendrive-ot ismeretlentől!

A múlt héten egy manchesteri rendőrörs munkáját bénította meg a Conficker és Downadup néven ismert kártevő, amely többek között USB-portra csatlakoztatható eszközökön is terjed. Ebben az esetben is egy fertőzött pendrive volt a bűnös, amely a hatóságok közlése szerint adatvesztést ugyan nem okozott, de olyannyira megbénította a helyi hálózat működését, hogy számos gyorshajtónak nem tudták kiküldeni a bizonyos határidőn belül postázandó bírságot, így azok megúszták a büntetést - olvasható az Antirvírus blogon. Az oldalt jegyző Csizmazia István, a NOD32 biztonsági szoftvert készítő cég vírusvédelmi tanácsadója szerint bár a Conficker már nem éppen mai vírus, még mindig nagyon veszélyes, mivel képes frissíteni magát, és mind a mai napig jelennek meg újabb és újabb variánsai.

Ön is veszélyben van...

Nem érdemes azt hinni, hogy ez az egész nem érinti az átlagfelhasználót: szerzőnknek például már több alkalommal adtak valamilyen adat átmásolására olyan pendrive-ot, amelyről később kiderült, Confickerrel van fertőzve. Még olyan is előfordult, hogy egy digitális diktafonon találtunk kártevőt, ami azért nem meglepő, mert számos típus memóriájának tartalmához ugyanúgy lehet hozzáférni, mint egy USB-meghajtóéhoz.

A Confickertől pedig mindenkinek érdemes távol tartania magát, mivel egyebek mellett távirányíthatóvá teszi a PC-t illetéktelenek számára, akik így a merevlemezen tárolt jelszavakhoz és más adatokhoz is hozzáférhetnek észrevétlenül, vagy kifelé irányuló támadásokhoz használhatják fel a fertőzött masinát. Egy másik vírus, a közelmúltban felbukkant, IQ-teszt programnak álcázott Zimuse ugyancsak képes USB-n is terjedni: ezzel a kártevővel egy szlovák motorosklub tagjait akarták megcélozni, ám végül szélesebb körben kezdett terjedni. Ráadásul napjaink láthatatlanul tevékenykedő, adattolvaj kártevőivel ellentétben a Zimuse a merevlemezek azon részét törli, amely az adatok struktúráját tartalmazza, így az egész rendszert használhatatlanná teszi - ráadásul a helyreállítás is körülményes.

Előfordulhat az is, hogy adattolvajok szándékosan "elvesztenek" egy cég folyosóján vagy a parkolóban egy pendrive-ot, memóriakártyát, vagy fontosabb célpont esetén akár egy iPodot. Ilyenkor ugyanis komoly esély van arra, hogy valaki fogja, és bedugja majd az adathordozót a céges számítógépbe, ezzel a művelettel pedig egy adattolvaj programot telepít, rést nyitva a vállalati hálózaton.

...de tud védekezni!

Az USB-n terjedő rosszindulatú programok ellen egyelőre hatékonyan lehet védekezni például azzal, hogy Windows XP, Vista operációs rendszer esetében letiltjuk az AutoRun, vagyis automatikus futtatási funkciót (szakértők egyébként a hasonló szolgáltatás alkalmazását Linux vagy Mac OS X esetében sem javasolják). Ez eredetileg a felhasználók kényelmét szolgálta azzal, hogy például a CD-ről automatikusan indítja el a szoftvert, ám e funkciója a vírusírók tevékenysége miatt mára inkább kényelmetlenségek forrása lehet.

Ezt a legegyszerűbben az ingyenes Panda USB and AutoRun Vaccine nevű alkalmazással lehet elvégezni. Bár a Windows 7 esetében már módosítottak valamelyest az AutoRun funkció működésén - az most már pendrive-ról vagy külső merevlemezről nem indít el semmit, csak felkínálja a meghajtó tartalmának megtekintését - a teljes biztonságra vágyóknak az új Windows esetében is érdemes lehet kikapcsolniuk ezt a képességet. Emellett persze elengedhetetlen a víruskereső használata is windowsos számítógépen, szerencsére több elég jól használható ingyenes védelmi alkalmazás is rendelkezésre áll, ezek közül mi a Microsoft Security Essentials programot ajánljuk.

Láthatatlan USB-kémek várhatók

Nemrég a Sunday Times arról számolt be a brit titkosszolgálatoktól származó értesülései nyomán, hogy egyes kínai hírszerző szolgálatok nemzetközi vásárokon üzletembereknek ajándékozott memóriakártyákon, pendrive-okon vagy digitális fényképezőgépek memóriájában elrejtett trójai programokkal próbálnak hozzáférni privát adatokhoz. Konkrét tudnivalókat ugyan nem közölt az MI5 arról, miként rejtik a kártevőket a kínai titkos ügynökök, megkerestük viszont Farkas István független it-biztonsági tanácsadót, aki szerint a kínaiak valószínűleg a fent felvázolt "egyszerű" megoldást alkalmazzák, azonban a jövőben sokkal veszedelmesebb, és nehezen védhető módszereket vetnek majd be.

Farkas elmondta, léteznek olyan hardverek, melyek megfelelően programozva tetszőleges USB-eszköznek "álcázhatják" magukat. Ezek speciális előkészítésével megoldható, hogy az operációs rendszer számára egy bizonyos típusú digitális fényképezőgépnek, mobiltelefonnak vagy akár nyomtatónak tűnjenek. A jelenleg kutatási célokra használt eszköz az operációs rendszer és a hardvergyártók által fejlesztett driverekben található hiányosságokat használja ki - ezeket gyakran ugyanis sebtében készítik el, figyelmen kívül hagyva különböző ellenőrzési eljárásokat. A biztonsági hibák felhasználásával az illesztőprogramot rá lehet venni, hogy tetszőleges kódot futtasson, ezáltal kártékony programot juttasson a rendszerbe. Mivel a modern operációs rendszerek a kényelem érdekében automatikusan töltik be az illesztőprogramokat, a támadás végrehajtásához nincs szükség sem rendszergazdai jogosultságokra, sem pedig felhasználói jóváhagyásra.

A legtöbb jelenleg használatban levő antivírus megoldás hatástalan a problémával szemben, hiszen a virtuális háttértár, vagy egyéb eszköz látszólag üres, a kártékony kód pedig a víruskeresők számára nem láthatóan, mélyebb rétegben fut. Ezeket a hibákat jelenleg kevesen ismerik és használják ki aktívan, de a jövőben várhatóan szélesebb körben elterjednek a meghajtóprogramok hiányosságait kihasználó kártevők.