Szegedi Tudományegyetem - Ahol tudás és szándék találkozik

I. Bevezetés

Számítógépes vírusokról szólnak a hírek, s az a baj, hogy olyanok is gyanúba keveredhetnek, akik többé-kevésbé megtették a tőlük elvárható óvintézkedéseket. A levelek ugyanis általában hamisított feladóval érkeznek, és még gyakorlott szakembereknek is problematikus megállapítani az igazi forrást.
A helyzet az Egyetemen átlagosnak tekinthető. Nem olyan rossz, mint azt néhány nagy visszhangot keltő esetből gondolni lehetne, de az is biztos, hogy lehet még javítani az egyéni és a központi védekezés színvonalán.

II. A központi levelezés-védelem

Az Interneten elektronikus levelezés céljára használt smtp protokollon az egyetemi hálózatban a külvilágból közvetlenül csak két mail-firewall érhető el. Ezek a számítógépek biztosítják, hogy egyetlen egyetemi szerver se működjék open relayként (azaz olyan számítógépként, amely bármilyen külső forrásból jövő levelet hajlandó továbbítani másik külső forrás felé, egyúttal elrejtve az eredeti feladót), valamint elvégzik a vírusszűrést. Így tehát megfelelő működést feltételezve az egyetemi hálózatba egyetemi e-mail címre levélben ismert vírus nem juthat be, sőt az egyetemen belüli levelezés egy részét is vírus-ellenőrzi ez a rendszer.
Megfordítva, az egyetemi hálózatból közvetlenül a külvilágba csak bejelentett levelező szerverek forgalmazhatnak (egy "közönséges" PC nem).

III. Hogyan lehet vírust kapni, illetve küldeni?

1. Levélben a fenti rendszeren is átjöhet a vírusellenőrző program által még nem felismert vírus. Az ugyanis időbe telik, amíg egy-egy újonnan megírt és csatolmányként szétküldött programról kiderül, hogy valójában vírus, és bekerül a vírusellenőrző programok adatbázisaiba.
   
2. Levélben, ha levelező szervernek egy nem egyetemi számítógépet állítunk be, azaz nem egyetemi e-mail címekre jövő leveleket töltünk le a számítógépünkre. (Ez a letöltés általában nem smtp-n, hanem pl. pop3 protokollon történik.)
   
3. Ftp, www vagy más letöltés útján.
   
4. Vírusos adathordozóval (floppy, CDROM stb.).
   
5. Rosszindulatú programok útján, melyek kihasználják az operációs rendszerben levő rejtett hibákat.
   

Ha már egyszer a számítógépünk vírusos, akkor azt e-mailben továbbíthatjuk egy szerveren belül pl. egy levelező lista összes tagjának (ekkor ugyanis nem megy át a levél a központi szűrőn), vagy bárkinek, ha a beállított levelező szerverünk eléri smtp-n a külvilágot.

IV. Védekezés a vírusok ellen

A vírusok és a hálózatról érkező támadások elleni védekezésnek több módja és szintje van. A lényeg, hogy használjunk ki minden eszközt, amink van.

A. Levelezés

Nagyon fontos, hogy a felhasználók a levélben kapott csatolmányokat kellő óvatossággal kezeljék. Ismeretlen feladótól származó csatolmányokat ne nyissanak meg, bármilyen kecsegtető (legtöbbször átverő) is a levél tartalma. Ismerős feladótól származó, de meglepő, az adott munkakapcsolatba nem illő levél esetén érdemes rákérdezni a feladónál a levélre, hogy valóban ő küldte-e. Ha a csatolt állómány kódolt, akkor azt nem tudja leellenőrizni a vírusvédelmi szoftver. Ha a dekódoláshoz szükséges jelszó ugyanazon levélben érkezik, mint maga az állomány, akkor igen nagy valószínűséggel vírust kaptunk, és a kódolás csupán a vírusvédő rendszerek megkerülését szolgálja. Ilyenkor ne végezzük el a dekódolást, feladótól függetlenül töröljük a levelet!
Bármilyen kétely felmerülése esetén a helyi rendszergazda segítségét kell kérni!

B. Egyedi számítógépek (PC-k)

1. Az operációs rendszert (OS-t) folyamatosan karban kell tartani az OS-hez tartozó (security) patchek (Service Pack-ek) beépítésével.
   
2. Amennyiben lehetőség van rá, használni kell az OS host-firewall funkcióját. (Pl. Windows 8 Ent., Windows 7 Ent., Windows XP Prof., Windows 2000 Prof. vagy Linux esetén ez része az alap OS-nek.) A beállítás szakértelmet igényel.
   
3. Különösen rendszergazdáknak ajánlott a feliratkozás a sec-l levelezési listára, ahonnan értesülni lehet a legújabb biztonsági problémákról, illetve a védekezési lehetőségekről.
   
4. Ha a felhasználó (vagy munkáltatója) megvásárolt valamilyen vírusvédelmi szoftvert, akkor azt fel kell installálni a PC-re, s utána folyamatosan karban kell tartani. Amennyiben nem vásároltak vírusvédelmi szoftvert a számítógépre, akkor ezt pótolni kell, ugyanis a Szegedi Tudományegyetem Informatikai Biztonsági Szabályzata szerint vírusvédelmi szoftver használata kötelezőminden olyan rendszer esetében, ahol vírusfenyegetés áll fenn. Jelenleg az Egyetemen két ilyen megvásárolt szoftver terjedt el:

   a. Symantec Endpoint Edition

   A szoftver csomagot több éve használják az egyetemen. Az installáló anyaghoz a kari rendszergazdáknál vagy az ESZK-ban juthatnak hozzá a régi felhasználók, akik az Egyetemi Számítóközpont szervezésében egyszer már megvásárolták a programot. A szoftver esetén lényeges kérdés a vírus adatbázis folyamatos frissítése, ezért állandó hálózati kapcsolattal rendelkező PC-k esetén javasolt az automatikus update funkció aktiválása. Kapcsolt telefonvonal vagy hálózatba nem bekapcsolt PC-k esetén a rendszeres frissítést a felhasználónak magának kell elvégezni.
   A vírus adatbázis folyamatos frissítés nélkül nem sokat ér!

   b. Eset Nod Antivirus

   A szoftver csomagot az egyetem bizonyos egységei (ÁOK, ÁJTK) külön vásárolták meg. Így ezt csak az adott egység számítógépein lehet jogtisztán használni.
   
   

C. Menedzselt PC-k

A fent említett két termék esetén megvan a lehetőség arra is, hogy egy adott PC-csoport esetén a frissítést és egyéb funkciókat egy saját szerver lássa el.
A megoldás feltétlen ajánlható, de külön emberi és műszaki erőforrásigénye van.

D. Levelezés-szűrés szervereken

A Symantec-től vásárolt programcsomag tartalmaz egy ún. mail-gateway komponenst is, amely alkalmas arra, hogy a rajta átmenő leveleken vírusellenőrzést hajtson végre.
A megoldás feltétlen ajánlható, de külön emberi és műszaki erőforrásigénye van. Ezenkívül, ha biztosak akarunk lenni abban, hogy a szűrőn egy alhálózat minden ki-és bejövő levele átmegy, akkor a hálózat struktúráját is ennek megfelelően kell kialakítani. Tehát rendszerint egy csomagszűrő tűzfalat is be kell állítani.

Gyakorlati tapasztalat a Symantec Messaging Gateway szoftverrel van, ezt üzemelteti az ESZK a két mail-firewall szerveren. Ez a szoftver minden egyetemre bejövő levelet ellenőriz. Az egyetemen üzemelő levelező szerverek többsége kifelé is a mail-firewall szervereken küldi át a leveleit, ezek a kimenő levelek ezért szintén átesnek ezen a szűrésen. Néhány nagy forgalmú egyetemi levelező szervernek engedélyezett az önálló levélküldés, ott az adott szerver üzemeltetőinek a feladata az egyetemről történő vírusterjesztés megakadályozása.

GYIK

Symantec telepítés Windows 10-en

Ha Windows 10 operációs rendszeren a Defender be van kapcsolva, engedi végigfutni a Symantec telepítőt, és csak a legutolsó lépésben jelzi, hogy a telepítés nem sikerült, mindent visszaállít a telepítés előtti helyzetbe a következő hibaüzenettel:

"The wizard was interrupted before Symantec Endpoint Protection could be completely installed. Your system has not been modified. To complete installation at another time, please run setup again."

Ezért a Symantec telepítő futtatása előtt ki kell kapcsolni a Windows Defendernek a mellékelt ábrán látható három opcióját:

• Real-time Protection: OFF
  
• Cloud-Based Protection: OFF
  
• Sample Submission: OFF
  

Ezek az opciók alapértelmezettként be vannak kapcsolva Windows 10-en.

Kikapcsolásuk után a telepítésnek sikeresnek kell lennie.