Czyja wina?

Ataki wirusów komputerowych nasilają się wraz z rozprzestrzenianiem Internetu. Nie ma wątpliwości, że będzie ich jeszcze więcej. Zapewne ataki byłyby mniej dotkliwe, gdyby producenci aplikacji i systemów operacyjnych lepiej zabezpieczali swoje programy.

Ataki wirusów komputerowych nasilają się wraz z rozprzestrzenianiem Internetu. Nie ma wątpliwości, że będzie ich jeszcze więcej. Zapewne ataki byłyby mniej dotkliwe, gdyby producenci aplikacji i systemów operacyjnych lepiej zabezpieczali swoje programy.

Zawsze gdy wybucha kolejna epidemia wirusów komputerowych, takich jak Melissa czy najnowszy CIH Chernobyl, powraca pytanie, co można uczynić, aby zabezpieczyć się przed występowaniem ich znacznie groźniejszych potomków. Niestety, odpowiedź nie napawa optymizmem.

Dzisiejsze systemy informatyczne, choć funkcjonalnie coraz doskonalsze, wręcz sprzyjają rozprzestrzenianiu się "szkodników". Komputery wyposażone są w coraz większą liczbę aplikacji i modułów - dla autorów wirusów zwiększa to możliwość znalezienie słabego punktu oprogramowania. Z kolei producenci systemów operacyjnych i aplikacji przyzwyczaili się już, że problem zabezpieczeń antywirusowych jest wyłącznie domeną specjalizujących się w tym firm. Ich beztroska w połączeniu z coraz łatwiejszym komunikowaniem i wymianą informacji w formie elektronicznej powodują, że ochrona przed działaniem wirusów staje się coraz trudniejsza. Problem, który kiedyś dotyczył ograniczonej liczby osób, najczęściej nielegalnie wymieniających oprogramowanie, dziś jest problemem każdego użytkownika sieci, korzystającego z przeglądarki WWW i tak popularnych narzędzi, jak arkusz kalkulacyjny czy edytor tekstu.

Niestety, coraz większe są także konsekwencje wystąpienia wirusów. Dzięki nowym możliwościom szybkiego rozprzestrzeniania się, wirusy atakują nie setki, lecz setki tysięcy komputerów na całym świecie.

Producenci, zbudźcie się

Rozprzestrzenianie wirusów znacznie ułatwia to, że systemy operacyjne, aplikacje biurowe i aplikacje serwerowe nie są wyposażone w mechanizmy kontrolujące nie autoryzowane (niezależne od działań użytkownika) wykonywanie zewnętrznych programów. Fakt, że wirus Melissa sięga do aplikacji Microsoft Outlook, wyciąga z niej dane 50 osób i pocztą elektroniczną przesyła im wirusa, stanowi poważne naruszenie bezpieczeństwa zarówno systemu operacyjnego, na którym pracuje aplikacja, jak i aplikacji. Zdumiewające, że w ogóle w jednym z najpopularniejszych programów komputerowych istniała taka furtka.

Producenci systemów i aplikacji na razie nie poczuwają się do odpowiedzialności za to, że wirusy tak bezkarnie mogą "buszować" w komputerach wyposażonych w ich produkty. Wydaje się, że w całości polegają na producentach aplikacji antywirusowych, ale - jak pokazuje praktyka - nawet posiadanie takiej aplikacji nie gwarantuje, że komputer zawsze będzie chroniony przed działaniem wirusów.

Rozwiązaniem tego problemu może być implementacja w systemach operacyjnych i aplikacjach biurowych mechanizmów zabezpieczeń antywirusowych. Praktykę tę z powodzeniem stosują już niektórzy producenci płyt głównych (np. Asus), którzy w procedurze startowej płyty głównej umieszczają kod skanujący bootse- ctory dysków twardych w poszukiwaniu wirusów.

Implementacja w systemach operacyjnych prostych aplikacji antywirusowych nie jest jednak wystarczającym rozwiązaniem. Muszą być one zoptymalizowane do pracy z daną aplikacją lub systemem, szczelnie uzupełniając ich system bezpieczeństwa i uwzględniając jej specyficzne warunki pracy. Producenci muszą dostarczyć także odpowiednie aplikacje zarządzające, pozwalające administratorom na większą ingerencję w środowisko pracy użytkownika niż jest to obecnie możliwe. Przykładowo: dzisiaj żadna aplikacja zarządzająca nie potrafi uniemożliwić otwarcia wyłącznie tych dokumentów, które mają makra. Administratorzy muszą mieć także większą kontrolę nad makrami przesyłanymi w dokumentach za pośrednictwem poczty elektronicznej.

Szkodliwa konsolidacja

Częściowo za to, że wirusy są coraz groźniejsze, paradoksalnie odpowiedzialni są producenci oprogramowania antywirusowego. Rynek, na którym działają, stał się bardzo konkurencyjny. Doprowadziło to w ostatnich latach do licznych przejęć producentów oprogramowania antywirusowego przez firmy, takie jak Symantec czy Network Associates, rynkowych potentatów. Chociaż w zdrowych warunkach rynkowych taka konsolidacja jest bardzo dobra, gdyż potencjalnie daje szansę integracji kilku dobrych technologii w jedno, jeszcze lepsze rozwiązanie, to w przypadku rynku antywirusowego może wkrótce przynieść niekorzystne efekty.

Tylko w ciągu ostatniego półtora roku z rynku znikły produkty czterech dużych producentów pakietów antywirusowych (przejęte produkty firm IBM, McAfee, Dr. Solomon's i Intel). Przejmujące je firmy Symantec i Network Associates zobowiązały się, że zintegrują zakupione technologie w ramach swoich produktów antywirusowych. Niemniej bardziej prawdopodobne jest to, że w perspektywie długofalowej taka integracja doprowadzi do zubożenia obu pakietów. Obie firmy będą bowiem rozwijały już tylko jeden, zintegrowany "mechanizm" wyszukiwania wirusów. Wykrywaniem nowych wirusów i dostarczaniem "szczepionek" będą zajmowały się tylko dwie firmy, a nie dotychczasowych pięć.

Ewolucja mikrobów

Jeszcze do niedawna wirusy komputerowe uchodziły za małe, "głupie" aplikacje, które były przenoszone wyłącznie z powodu niedbalstwa użytkowników. Dotyczyło to zarówno wirusów "podczepiających się" do plików wykonywalnych, jak i wirusów makrowych. Te drugie szybko stały się dynamicznie rozprzestrzeniającą się grupą wirusów, szczególnie w związku z rosnącą popularnością poczty elektronicznej jako sposobu wymiany informacji i dokumentów.

W ciągu ostatnich kilku miesięcy pojawiło się kilka wirusów nowej generacji, bardziej inteligentnych niż poprzednie wersje, wykorzystujących dostępne sposoby "rozmnażania" bez wiedzy i pośrednictwa użytkowników. Najbardziej spektakularnymi przykładami są wirusy Remote Explorer i Melissa. Wprawdzie szybko wykryte - i tak zebrały obfite żniwo. Ich usunięcie z zarażonych systemów wymagało innych działań niż dotychczas. Nie wystarczyło już bowiem zwykłe przeskanowanie stacji roboczych i serwerów, lecz należało najpierw odseparować zainfekowany fragment sieci (odłączając od niej zarażone serwery i stacje robocze, a w przypadku Melissy - blokując możliwość wysyłania poczty elektronicznej), by móc przeprowadzić jego leczenie bez groźby rozprzestrzenienia się epidemii.

Należy się spodziewać, że inteligentnych wirusów będzie znacznie więcej. Nie będą one już liczyć kilka lub kilkanaście kilobajtów, lecz kilkaset i będą mogły na najniższym poziomie atakować systemy operacyjne oraz wykorzystywać luki w systemie bezpieczeństwa aplikacji. Będą powielać się automatycznie za pośrednictwem poczty elektronicznej, Internetu i komunikacji w coraz popularniejszych sieciach Windows NT. Należy także oczekiwać, że będą lepiej niż dotychczas imitować legalne aplikacje lub użytkowników, przez co oprogramowanie antywirusowe będzie miało większe trudności z ich odnalezieniem. Być może także będą umiały rozpoznawać, czy na danej stacji zainstalowano oprogramowanie antywirusowe, i nie aktywizować się podczas jego pracy, cierpliwie czekając, aż użytkownik wyłączy rezydentny skaner antywirusowy.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200