A tegnapelőtti vírusvédelmi könyvbemutató előtt lehetőségünk volt arra, hogy Buherátor kollégával közösen egy röpke pár perces villáminterjúban feltehessünk néhány kérdést az Egyesült Államokból hazalátogató Szőr Péternek.
Rambo: Szia. Bemutatom Buherátort, ő mindenféle exploitokkal, hackeléssel kapcsolatos témáról ír a blogjában, ami nem mellesleg tavaly az IT kategóriában megnyert egy hazai blogversenyt, de szokott előadni például a Hacktivityn is, én pedig az antivírus.blog-ot viszem, ami az antivírus, számítógépes biztonság témában próbál meg informálni. De tavaly már találkoztunk is a budapesti CARO 2009 konferencián.
Szőr Péter: Sziasztok. Igen, most hallottam, hogy ez a Hacktivity egy ilyen ezres szintű jelentős konferencia lesz a hétvégén, de későn tudtam meg, így sajnos nem tudok maradni, már holnap utaznom kell vissza.
Rambo: Első kérdésem az lenne, hogy a Macintosh esetében mennyiben állt be változás szerinted az utóbbi időben? Konkrétan arra gondolok, hogy elvileg a FreeBSD alapok, a biztonságosabb struktúra, a Windowshoz viszonyított kisebb felhasználói tábor, a korábbi csak poweruserek színvonalának felhígulása - ma már divat a Mac, státusz szimbólum lett, egyre többen vesznek - valamint a dupla áron vehető Macnél még a felhasználók bűnözők által feltételezett értékes banki accountja mit változtattak a néhány évvel ezelőtti helyzethez képest, mit jelenthetnek a közeljövőre? Exploitok ugyebár vannak mindenhol, lásd a Secunia éves jelentéseit, vagy a CanSecWest versenyeket, ahol percek alatt törik ezt is. Kell-e szerinted biztonsági program, vírusirtó Macre?
Szőr Péter: Már öt éve Macet használok, és pont az volt a motivációm, hogy amíg több millió kártevő van Windowson, addig itt nincs. Ez segít is egy darabig, de hosszú távon biztosan nem. A lényeg az, hogy amíg a Maces tábor viszonylag pici, nem éri meg rá kártevőket fejleszteni nagy üzemben, a támadás szempontjából egyszerűen nem éri meg, lényegesen jelentősebb profit van a Windowsos gépeken. A Unix alapra simán lehetett eddig is rootkiteket csinálni, de az igaz, hogy fájlfertőző programok nem terjedtek el igazán sosem. Igazi perspektívája a trójai programoknak van, mert ha a felhasználót megtévesztik, és ő megadja az ismeretlen program telepítéséhez a jelszavát, akkor bármi történhet. Jó példa erre a tört iWork programokkal terjedő kártevők. Az igazi nagy előny oka emellett az is volt, hogy kevesen tudták programozni. Az utóbbi 2-3 évben viszont már Intel processzorok vannak, és ez az Intel kompatibilitás az exploitok terén mindenképpen hozott változást. A kártevő készítőket egy idő után ez a platform mindenképpen elkezdi érdekelni, aztán ahogy a Macesek tábora nő, ez is nőni fog. Éppen itt az ideje a fejlesztéseknek, szerintem ez egy jó ötlet. De jelen pillanatban az a véleményem, sokkal olcsóbb PC-t támadni, mint Macet. Majd ha ez arány 30% lesz, akkor jelentős különbséget is előidézhet ez a helyzet.
Buherátor: Akikkel beszélgetek, mind biztonsági témakörben mozgó emberek, és egyöntetűen az a véleményük, hogy a szignatúra minta alapú keresés egy vicc. Szerinted mi a jövője ennek a technológiának?
Szőr Péter: Könnyű kijátszani, és azt mindig is tudtuk, hogy csak a vírusokra működnek ezek igazán jól, a trójai programokra pedig nem. A jelenlegi helyzetben több millió program nagyon kevés embert érint, és ezek ellen olyan technológiát próbál meg erőltetni az antivírusgyártóknak egy része, amelyik elvesztette a hatékonyságát. Hatékony heurisztika nem jelent meg a trójai programok ellen, mert ezt sokkal nehezebb megcsinálni. Kellenek más módszerek is, és ezek közül az egyik egyébként már 1992 óta létezik, ez a virtuális kódemuláció az antivírus programokban, amellyel igyekeztünk megállítani a vírusokat. De visszatérve a kérdésre, szignatúrákkal védekezni muszáj. Az a véleményem, hogy csak úgy lehet valamit megállítani a legkorábban a belépési ponton, ha ezt előre tudjuk, hogy ez egy kártékony program. Ha egy szignatúra alapú védelmet egy ismert, széles körben elterjed féreg ellen használjuk, mondjuk ott a Blaster, ami ott van tízmillió gépen percek alatt, akkor nagyon hatékony. De ha van egy millió program, és mindegyik millióra egy másik szignatúra, és ez a millió csak kevés számú, 2-3 gépen fut, akkor a hatékonyság csökken. De a tény, hogy igyekeznek kijátszani a víruskeresőt, hogy írnak egy másik verziót, ez mindig is ott volt. Én a szignatúrákban alapvetően hiszek, ám ha nincsen kombinálva különböző egyéb védelemmel, nincs tűzfal, nincs viselkedés alapú kereső, stb., akkor a hatékonyságát tényleg elveszti.
Rambo: Már nagyban integetnek, hogy lejárt az időnk, ezért utolsó kérdésként azt tenném fel, hogy mennyire látod a levelezésre, böngészésre, facebookozásra is használt okostelefonokat veszélyben? Néhány platformra - Windows Mobile, Symbian - létezik ugyan néhány fajta vírusirtó program, de szerintem egyre inkább hiányzik a komplett - tűzfal, antivírus, kémprogram irtó, lopásgátló, titkosítást nyujtó, spamszűrő, stb. modulokat egyben tartalmazó - mobil biztonsági security csomag.
Szőr Péter: Igen, ezt kérdezte már más is és ez valóban szükségesnek látszik. Attól félek azonban, hogy például az iPhone esetében az Apple egyszerűen nem fogja engedni, hogy antivírust fejlesszenek rá. Amíg az API-ban nincs meg ez biztonságilag, addig az OS-t fel kell törni, hogy víruskeresőt tudjál rá csinálni. De ugyanakkor akik pedig támadják, azok meg fogják ezeket csinálni, és ez egy elég nagy probléma.
Rambo, Buherátor: Köszönjük a beszélgetést, sok sikert az új projektedhez és kérünk szépen egy dedikálást a könyvbe.