Łowcy wirusów

Tabliczek ''Uwaga! Niebezpieczeństwo zakażenia!'' nie ma. Za to na ścianie wprawna ręka namalowała zafrasowane twarze mężczyzny i kobiety, utrzymane w stylistyce komiksu. ''Chyba mam wirusa'' - mówi mężczyzna. ''Na szczęście, jest SARC'' - odpowiada mu ona. W tle prezentuje muskuły superman z napisem SARC na koszulce. Stoimy przed drzwiami do laboratorium antywirusowego Symantec Antivirus Research Center w Santa Monica w Kalifornii, w Stanach Zjednoczonych. Za chwilę przekroczymy jego próg i znajdziemy się tam, gdzie przez 24 godziny na dobę, 365 dni w roku inżynierowie Symanteca rozpracowują i zwalczają wirusy komputerowe.

Tabliczek ''Uwaga! Niebezpieczeństwo zakażenia!'' nie ma. Za to na ścianie wprawna ręka namalowała zafrasowane twarze mężczyzny i kobiety, utrzymane w stylistyce komiksu. ''Chyba mam wirusa'' - mówi mężczyzna. ''Na szczęście, jest SARC'' - odpowiada mu ona. W tle prezentuje muskuły superman z napisem SARC na koszulce. Stoimy przed drzwiami do laboratorium antywirusowego Symantec Antivirus Research Center w Santa Monica w Kalifornii, w Stanach Zjednoczonych. Za chwilę przekroczymy jego próg i znajdziemy się tam, gdzie przez 24 godziny na dobę, 365 dni w roku inżynierowie Symanteca rozpracowują i zwalczają wirusy komputerowe.

Epidemie wirusów, takich jak Melissa, rozprzestrzenianie się wirusa I love you, a wreszcie ataki typu Denial of Service, sprawiają, że przedsiębiorstwa ponoszą coraz większe straty z powodu dziur w swoich systemach bezpieczeństwa.

Rozpowszechnienie Internetu jest, z jednej strony, błogosławieństwem dla przedsiębiorstw, ponieważ pozwala im działać szybciej i taniej oraz dotrzeć do większej liczby klientów. Z drugiej zaś, sprawia, że epidemie wirusów rozprzestrzeniają się z ogromną prędkością. Kiedyś trzeba było przenieść dyskietkę między komputerami i uruchomić zarażony program. Dziś nie trzeba robić nic, gdyż makrowirus zawarty w poczcie elektronicznej potrafi sam, nawet nie uruchamiany świadomie przez użytkownika, przeczytać listę adresów w programie Microsoft Outlook i rozesłać się do wszystkich osób znajdujących się na niej.

Jednocześnie w Internecie pojawiają się osoby, które włamują się do zdalnych systemów. Kierują nimi różne motywy: czasami chcą zdobyć pieniądze, czasami poszukują informacji. Mówi się też, że czasami pracują na zlecenie wywiadów politycznych i gospodarczych. Na ogół jednak nie mają konkretnego powodu, chcą tylko sprawdzić, czy to możliwe. Konkretne witryny, należące do wielkich i nie lubianych firm, są także atakowane z powodu prestiżu. ("Patrzcie wszyscy, włamałem się do firmy X".)

Przedsiębiorstwa szukają ochrony przed takim niespodziankami. Doświadczenia dowodzą, że sama tylko polityka korporacyjna, dotycząca wykorzystywania poczty elektronicznej i sieci, jest niewystarczająca. Proste zabezpieczenia także przestają wystarczać, czego dowodem są choćby epidemie wirusów i głośne włamania. Na rynku przedsiębiorstw powstaje zapotrzebowanie na kompleksowe systemy bezpieczeństwa. Firma Symantec ma ambicję być liderem na rynku dla dostawców takich systemów.

Po stronie czyszczących

Starszym użytkownikom komputerów PC firma kojarzy się z produktami sygnowanymi marką Norton. To przede wszystkim nieśmiertelny Norton Commander - program, który znakomicie ułatwiał zarządzanie plikami pod DOS-em. To także pakiet Norton Utilities, który pozwalał na wykonywanie bardziej zaawansowanych czynności w DOS i Windows, a także chętnie używane przez administratorów pakiety Ghost i pcAnywhere, pozwalające na łatwiejsze instalowanie oraz rozwiązywanie problemów na zdalnych komputerach.

"Żółte pudełka" z produktami dla każdego to - zdaniem Johna Thompsona, prezesa Symanteca - dopiero początek. Firma zabiega, by stać się dostawcą kompleksowych systemów bezpieczeństwa dla korporacji. Temu celowi służyło m.in. przejęcie firmy Axent Technologies, która była dostawcą dużych systemów bezpieczeństwa na platformy serwerowe. Przedstawiciele Symanteca z dumą podkreślają, że integracja przebiegła łagodnie - większość pracowników Axenta pozostała.

John Thompson z pewną satysfakcją mówi o wirusach komputerowych: "Epidemie uświadomiły korporacjom, że potrzebują wiarygodnego partnera w zakresie bezpieczeństwa". Na zarzut, że firma zbija kapitał na nieszczęściu innych, prezes wzrusza ramionami: "Nie, ani trochę. Wszystko, co podważa zaufanie klientów do przedsiębiorstw działających w Internecie, jest niedobre. Ale wirusy istnieją, czy nam się to podoba, czy nie. Jak ktoś oszpeci budynek, malując na nim graffiti, to ktoś inny to zamaluje, za co weźmie pieniądze, i nikt nie zrobi mu z tego zarzutu. My po prostu jesteśmy po stronie czyszczących".

Łowcy wirusów

Wirusy komputerowe nie znają granic państw ani przedsiębiorstw. Jedyną rzeczywistą granicą, która stanowi dla nich barierę, jest platforma sprzętowo--programowa. Faktyczny monopol platformy Wintel oraz wyposażenie popularnych aplikacji w możliwość programowania (np. możliwość pisania makr Worda) sprawiają, że pisanie złośliwych programów jest łatwe, że skutki epidemii są zadziwiająco duże, przekraczają nawet oczekiwania autorów wirusów.

Choć może się to wydać zaskakujące, środowisko twórców rozwiązań antywirusowych wymienia się próbkami wirusów. Nawet konkurencyjne firmy przekazują je wzajemnie, gdyż mają przekonanie, że w gruncie rzeczy "grają" jako jedna drużyna przeciwko twórcom wirusów. "Staramy się konkurować szybkością reakcji i jakością szczepionek. W przeszłości pojawiały się naciski ze strony działu sprzedaży, żeby nie informować naszych konku- rentów o nowych wirusach do czasu aż nasze oprogramowanie sobie z nim poradzi. Handlowcy szybko jednak zrozumieli, że korzyści są niewielkie i krótkoterminowe, a w sumie wszyscy tracą" - podsumowuje Motoaki Yamamura, menedżer w SARC.

Czy twórcy rozwiązań antywirusowych szanują autorów wirusów? "To zwykli chuligani, choć sami chcieliby się uważać za artystów" - mówi Motoaki Yamamura. Dodaje, że pracownikom Symanteca zdarzało się kontaktować z autorami wirusów. "To często dzieci, wystarczyło porozmawiać z nimi albo ich rodzicami, by więcej tego nie robili" - dodaje. Zdarza się też, że pracownicy SARC spotykają się z agresją ze strony autorów wirusów. Otrzymują obraźliwe listy, ich skrzynki zasypywane są niechcianą korespondencją. "Łowcy wirusów" z SARC traktują to jako część swojego zawodu i nie przejmują się tym.

Pytany, czy zdarzyło mu się widzieć dobrze napisanego - pod względem reguł rzemiosła programistycznego - wirusa, Motoaki Yamamura odpowiada, że zdecydowanie nie, choć przyznaje, iż niektóre stosują dość zaawansowane techniki ukrywania się i szyfrowania. SARC nie zaproponowałby też pracy "nawróconemu" twórcy wirusa. Nie tylko dlatego że wątpiłby w jego intencje i morale. "Zupełnie inne umiejętności potrzebne są przy tworzeniu złośliwego programu, a inne przy jego śledzeniu i unieszkodliwianiu" - uzasadnia.

Obława

Narzędzie Norton AntiVirus ma mechanizm, pozwalający wysłać nieznanego wirusa do Symanteca. Historia reakcji SARC na zagrożenie zaczyna się więc zwykle od raportu zawierającego wirusa. W przypadku epidemii, takich raportów napływają tysiące. Firma dysponuje narzędziami automatycznie sortującymi pocztę, dzięki czemu do SARC dociera tylko jeden egzemplarz danego wirusa, a nie trafiają informacje o tych wirusach, na które firma ma już antidotum. W większości przypadków nadawca podejrzanej przesyłki otrzyma więc informację, że powinien uaktualnić posiadane definicje wirusów.

Pracownicy laboratorium antywirusowego otrzymują wstępnie przetworzony kod. Na przykład pliki Worda są dekodowane w celu uzyskania czystego kodu języka VBA, gdzie mógł zagnieździć się wirus. Ponadto jest usuwana zawartość dokumentu, która może przecież zawierać poufne informacje.

Pierwszą czynnością pracownika SARC jest obejrzenie kodu wirusa w postaci szesnastkowej i jego reprezentacji ASCII. W ten sposób można wyeliminować proste wirusy, posługujące się dobrze znanymi mechanizmami, rozróżnić rodzaje wirusów (np. binarne od makrowirusów), a także odnaleźć teksty zawarte w kodzie. Można też zidentyfikować narzędzia, którymi posługiwał się twórca wirusa (np. typ kompilatora i jego wersji).

Drugim krokiem jest dekompilacja. To zadziwiające, że Motoaki Yamamura potrafi dość sprawnie czytać język maszynowy procesora Intela, korzystając jedynie z kodów szesnastkowych. Oczywiście ten "ręczny" sposób śledzenia programu wirusa jest archaiczny i w praktyce nie jest już stosowany. SARC wykorzystuje raczej komercyjne disassemblery, które nie tylko przetwarzają kod maszynowy na postać mnemoników, bardziej czytelnych dla człowieka, ale także komentują jego fragmenty np. tam, gdzie kod wywołuje popularne funkcje systemowe.

Jednym z najciekawszych narzędzi stosowanych przez laboratorium jest emulator Windows, działający pod kontrolą systemu AIX. Jeżeli wirus nie jest trywialny, "wpuszcza się" go w takie testowe środowisko. Jednocześnie zewnętrzny proces obserwuje kluczowe elementy systemu operacyjnego: pliki, rejestr systemowy, wrażliwe obszary pamięci, wejście/wyjście oraz serwisy internetowe, np. związane z wysyłaniem poczty. Wirus może w takim "emulowanym PC" dokonać dowolnie dużych zmian, ale nie wywołają one realnych szkód, bo wszystko jest na niby, jako proces systemu AIX. Zakończenie tego procesu powoduje więc, że wirtualny komputer i wszelkie szkody na nim poczynione znikają, zostaje tylko wiedza o tym, co i w jaki sposób zostało zmodyfikowane przez wirusa. Wiedza ta pozwala inżynierom Symanteca znaleźć kluczowe elementy kodu wirusa i opracować skuteczną szczepionkę. SARC posiada także mini-Internet, z tymi usługami, które są wykorzystywane przez wirusy w Internecie. Dzięki temu może obserwować zachowanie wirusa w środowisku sieciowym.

Gdy zostanie postawiona diagnoza i opracowana szczepionka na wirusa, uaktualnienie do Norton AntiVirus jest kompilowane na 17 platform wspieranych przez produkt, a następnie są one rozsyłane do serwerów Symanteca. Stamtąd pobierają je posiadacze licencjonowanych instalacji za pomocą mechanizmu Live Update. Użytkownicy, których komputery zostały zaatakowane przez wirusa, mogą go teraz usunąć. Niestety, czasami tylko w teorii, bo w tym czasie ich komputer i dane na nim mogły zostać uszkodzone w takim stopniu, że szczepionka na nic się zda - trzeba reinstalować system. Na pociechę zostanie im tylko świadomość, że taka sama infekcja nie grozi im po raz wtóry.

Ktoś nie śpi, aby spać mógł ktoś

Miesięcznie SARC otrzymuje ok. 35 tys. raportów od klientów. Co miesiąc wykrywanych jest blisko 300 nowych wirusów. Pojawiają się one o każdej porze i w każdym punkcie globu. SARC musi dostosować swoje działanie do zagrożeń: pracować 365 dni w roku, 7 dni w tygodniu, 24 godziny na dobę. Oczywiście na dłużej taka ciągła praca jest niemożliwa, bo każdy człowiek w końcu ma dosyć pracy w nocy, w soboty i święta. Zniechęcenie jest szczególnie groźne w przypadku pracownika wysoko wykwalifikowanego i cennego dla firmy, ponieważ istnieje ryzyko, że znajdzie sobie nową pracę. "Największą naszą słabością jest brak odpowiednio wykwalifikowanych pracowników" - przyznaje Motoaki Yamamura i trudno się temu dziwić, jest to bowiem bolączka większości firm informatycznych.

Problem globalnych i ciągłych zagrożeń Symantec rozwiązał poprzez globalną i ciągłą pracę. Oprócz głównego laboratorium SARC w Santa Monica w Kalifornii, istnieją także laboratoria w Tokio, Sydney i Lejdzie w Holandii. W ten sposób firma jest w stanie zareagować na zagrożenia lokalne (np. okazuje się, że na Dalekim Wschodzie, ze względu na specyficzną konstrukcję BIOS-ów, pojawiają się zupełnie inne wirusy). Ze względu na rozmieszczenie oddziałów w różnych strefach czasowych można prowadzić prace 24 godziny na dobę bez konieczności wyznaczania częstych dyżurów nocnych i pracy w święta. Rozpracowywanie jednego wirusa czasami trwa wiele godzin. W sytuacji, gdy zajmujący się nim pracownik kończy dyżur, kod wirusa oraz wszelkie informacje, które udało się zdobyć do tego momentu, są przekazywane do oddziału w innej strefie czasowej (np. z Santa Monica do Sydney).

Czy szybko to nadal za wolno?

W dokumentach Symanteca można przeczytać, że średni czas upływający od zgłoszenia wirusa do wysłania odpowiedniej szczepionki w ostatnim roku wynosił ok. 9 godz. Trudno nie zauważyć, że w istocie zabezpieczenie przed globalnymi epidemiami jest bardzo słabe. 9 godz. to wynik imponujący, lecz wirusy w Internecie rozchodzą się zdecydowanie szybciej. Historia wirusów: Melissa i I love you dowodzi, że w źle zabezpieczonych programach pocztowych wirusy będą zawsze się pojawiały. Dlatego program antywirusowy jest skuteczną ochroną tylko przed starymi wirusami. Aby uniknąć globalnych epidemii, konieczne jest stosowanie innych, bardziej doskonałych rozwiązań.

Jedno pozostaje niezmienne: przyczyną większości zagrożeń są nadal ludzie. Zarówno korporacyjne standardy, jak i zdrowy rozsądek zakazują uruchamiania na komputerach oprogramowania niewiadomego pochodzenia, a mimo to pracownicy to robią. Jako hasło stosują imię dziecka, datę urodzenia albo numer rejestracyjny samochodu. Hasła zapisują na żółtych karteczkach przyklejanych do monitora. Narażają w ten sposób firmę na atak hakera, choćby ta zainwestowała nawet najwięcej w swoje systemy bezpieczeństwa.

Żadne narzędzie nie może przeciwdziałać tym zagrożeniom. Wychodząc z SARC, spoglądam znowu na komiksową parę kochanków, która martwi się wirusem, i myślę sobie, że i ich kłopoty znajdą rozwiązanie. Wizyta w laboratorium pozostawia wrażenie, że problemem zajmują się ludzie, którzy doskonale rozumieją, na czym polegają zagrożenia, i wiedzą, jak im przeciwdziałać.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200