:

Szerző: Bodnár Ádám

2006. február 6. 12:40

Interjú Szappanos Gáborral, a VirusBuster víruslaborjának vezetőjével

A hazai VirusBuster vírusvédelmi cég laborjának vezetője 12 éve foglalkozik a számítógépes kártevők kutatásával. Elmondása szerint jelenleg a botnetek jelentik a legnagyobb veszélyt, hamarosan egyre több vírus fog megjelenni Linuxra, Mac OS-re és mobiltelefonra, és cége sosem alkalmazna volt vírusírót.

Szappanos Gábor
Szappanos Gábor

Szappanos Gábor az ELTE fizikai szakán végzett, első munkahelyén, a SZTAKI-ban atomerőművekben használatos diagnosztikai szoftvereket és hardvereket fejlesztett. 1995-ben kezdett vírusirtókkal foglalkozni és szabadidejében egy ingyenes szoftvert fejlesztett, de külsősként már akkor is tevékenyen részt vett a VirusBuster Virus ALERT for Macros elkészítésében. Az Új Alaplap megszűnéséig Szappanos vezette a vírusokkal foglalkozó rovatot, 2001 óta a VirusBuster munkatársa, eleinte makróvírusokkal és script vírusokkal foglalkozott, 2002 óta a víruslabor vezetője.

HWSW: Melyik volt az első vírus, amelyikkel találkoztál?

Szappanos Gábor: Ha jól emlékszem, a Michelangelo lehetett, egy ismerősöm floppylemezét fertőzte meg.

HWSW: Mióta foglalkozol vírusokkal és hogy lettél víruskutató?

Szappanos Gábor: Olyan 12 éve foglalkozom velük. Nagyjából szokványosnak mondható a menetrend, még az egyetemen futottam össze fertőzött gépekkel, az azokon található vírusokat kezdtem elemezni, közben egyre jobban megismerkedtem a PC felépítésével és működésével, és így jutottam el hosszú évek alatt oda, hogy kutató lehettem.

HWSW: Kiből lehet jó víruskutató? Kell hozzá valamiféle speciális tehetség, vagy tanulható a dolog? Ha valaki ezzel szeretne foglalkozni, hogy kezdjen hozzá?

Szappanos Gábor: A speciális tehetség nem árt, leginkább az, hogy valaki képes legyen mások által írt programokat megérteni. Előny a számítógépes architektúra es az operációs rendszerek mély ismerete, de lényegében mindent meg tudunk tanítani a jelentkezőknek.

HWSW: Az F-Secure oldalán látható képek alapján úgy tűnik, a víruslaborok olyan munkahelyek, ahol igazi fehér köpenyes kutatók dolgoznak elmélyülten, mint valami sci-fi filmben. A VirusBuster víruslaborja is ilyen?

Szappanos Gábor: Csak a fotó kedvéért öltözhettek be, amugy egy víruslaborban nem indokolt a köpeny használata. Nem az embereket, hanem a tanulmányozott vírusokat kell izolálni, ezért a víruslaborok számítástechnikai értelemben izoláltak, nehogy egy elemzett vírus elkezdjen terjedni a cégen belul.

HWSW: Mi történik a laborban egy víruskitöréskor?

Szappanos Gábor: Ha viruskitörésről érkezik jelentés akár a sajat szenzorainkból, akár más víruslaboroktól, akkor egy kutató azonnal nekilát a feldolgozásnak. Ez általában ugyanannyi ideig tart, mint egy közönséges vírus feldolgozása, a különbség az, hogy a feldolgozas után azonnal elindítjuk az adatbázis-frissítési folyamatot, valamint hírlevelet küldünk ki, illetve a kiemelt partnereket külön értesítjük.

HWSW: Kikből lesznek a vírusírók?

Szappanos Gábor: Az ismert esetek többségében unatkozó tizenévesek. De ma már nem ők írják a vírusok többségét, a vírusírók a hobbiból, hírnévért történő vírusírástól áttértek az anyagi haszonért történő nagy tömegű vírusírásra. A legjobb példái ennek a botnetek és a banki jelszavak lopására specializált trójaik. Jelen pillanatban a botnetek jelentik a legnagyobb veszélyt, a gyanútlan otthoni felhaszálók százezrei fertőzöttek a különféle SdBot, Rbot, Agobot variánsokkal. Tudtukon kívül használják gépeiket spamküldésre, vírusok terjesztésre, vagy túlterheléses támadások indítására.

HWSW: Az utóbbi időben számos vírus szerzőjét csípték fülön. Mi lehet az oka annak, hogy egyetlen amerikai sincs köztük, csak európai és közel-keleti vírusírókról hallani?

Szappanos Gábor: A vírusok többségét ma már nem Amerikában írják, hanem Kelet-Európában és Kínában. Az ismertebb esetek közül a Melissa íróját ítélték el az USA-ban, illetve kanadai vírusírókat a közelmúltban.

HWSW: Hallani olyan esetekről, hogy egy híres hacker vagy vírusíró állást kap egy (IT-biztonsági) cégnél. Ti alkalmaznátok ilyen "szakembert"?

Szappanos Gábor: Semmiképpen, és ugynezen az allásponton van valamennyi jelentős víruskereső cég is.

[oldal:Folyamatos versenyfutás]

HWSW: A szakmában eltöltött éveid alatt hogy változtak a kártevők? Sokkal nagyobb fejtörést okoz az ellenük való védekezés most, mint 10-12 éve?

Szappanos Gábor: A kezdeti párszáz bájtos, assemblyben megírt vírusoktól mára eljutottunk a párszáz kilobájtos, magas szintű nyelvben megírt vírusokig. De egy átlagos mai férget sem tart tovább megfejteni mint tíz évvel ezelőtt egy átlagos DOS-vírust, csak most sokkal kevesebb idő jut egy-egy kártevőre, mert sokkal több új jelenik meg. A virusírók megprobálkoznak minden trükkel, amivel az elemzést megnehezítik, mi meg megprobálkozunk minden trükkel, amivel mégiscsak meg lehet fejteni a vírusokat. Amennyivel bonyolultabb lett az átlagos vírusok kódja, annyival fejlődött a rendelkezésre álló eszközkészlet.

HWSW: Általános vélekedés, hogy a vírusok csak Windowson léteznek. A Linuxot vagy a Mac OS-t használóknak valóban nincs félnivalója?

Szappanos Gábor: Linuxra is sok vírus és trójai létezik már, Mac OS-re viszont minimális a számuk. Windowson azért több a kártevő, mert elterjedtebb operációs rendszer, a vírusírók figyelme is inkább erre korlátozódik mert mert sokkal több a potenciális célpont. De ahogy az alternatív operációs rendszerek nagyobb teret nyernek, a vírusírók figyelme is rájuk fog terelődni. Az Apple átállása Intel processzorokra megkönnyíti a vírusírók dolgát, akik kevéssé vannak felkészülve a PowerPC processzorokra.

HWSW: Egyre nagyobb figyelmet kapnak a mobiltelefonos vírusok. Mennyire érzed fenyegetőnek ezeket?

Szappanos Gábor: Észrevehetően növekszik a vírusírók érdeklődése a platform iránt, ha ez párosul a megfelelő intelligens mobiltelefonok nagy számú elterjedésével, akkor komoly veszéllyel állunk majd szembe. Ez a következő években reálisan várható.

HWSW: A vírusírók és -irtók élete folyamatos versenyfutás. Van esély arra, hogy valaha a vírusirtók kerüljenek előnybe?

Szappanos Gábor: Ezen dolgozunk. Szerencsére a vírusirtóknál hosszú évek, évtizedek tapasztalata gyűlt össze, ez néha érezteti hatását.

HWSW: Egyes vélekedések szerint a vírusvédelmi cégek írják vagy iratják a kártevőket, hogy aztán legyen mitől megvédeni a felhasználókat. Igaz ez?

Szappanos Gábor: Pontosan annyira, mint hogy a tűzoltók csinálják az erdőtüzeket, és az orvosok terjesztik az influenzavírust, csak hogy munkájuk legyen. Ez a vád a kezdetek óta kísérti a szakmát, anélkül, hogy valaha is bármi alapja lett volna. Jó ideje van rálátásom arra, mi történik a vírusirtó cégeknél, de semmi olyan nem láttam, ami a legkisebb mértékben is alátámasztotta volna ezt a vádat. Viszont önvédelmi reakcióként ez az egyik mghatározó oka annak, hogy miért nem alkalmazunk vírusírókat.

HWSW: Egy vírusvédelmi cég hogyan különböztetheti meg magát a versenytársaktól?

Szappanos Gábor: Sok szempont létezik. Stabilitás, gyors működés, gyors reagálás új vírusokra, jó heurisztikus felismerés ismeretlen vírusokra, jó terméktámogatás. Nincs olyan víruskereső, amelyik egyformán jó lenne mindegyikben, ki erre, ki arra helyezi a hangsúlyt.

HWSW: Hogy tud a száz százalékban magyar tulajdonú VirusBuster versenyezni az olyan nagy nemzetközi cégekkel mint a Symantec, a Trend Micro, vagy az F-Secure?

Szappanos Gábor: Nagyon nehezen, óriási erőfeszítéseket igényel a lépéstartás. De igyekszünk találékonyak és kreatívak lenni, új megoldásokat keresünk, és mivel kisebb cég vagyunk, rugalmasabban, gyorsabban tudunk reagálni mint a nagy cégek. Ezzel próbáljuk kompenzálni az erőforrásokban mutatkozó különbséget.

Véleménye van?

a címlapról