Niebezpieczny antywirus
-
- Rafał Janus,
- 24.01.2008, godz. 14:00
Antywirusy nie nadążają
Niestety, na lukach nie kończą się problemy z antywirusami. Jeśli uważasz, że najnowszy pakiet ochronny całkowicie zabezpieczy komputer przed szkodliwym oprogramowaniem, możesz się pomylić. Pojawiają się opinie, że antywirusy nie są już w stanie nadążyć za rozwojem szkodników. Cyberprzestępcy wypuszczają złośliwe oprogramowanie, które jest w stanie pokonać najlepszy program ochronny. Motywowani przez perspektywę szybkiego zarobku, hakerzy wykorzystują nowoczesne laboratoria testowe i inne zaawansowane techniki do tworzenia coraz skuteczniejszych wirusów. W dodatku odnoszą sukcesy.
Badania pokazują, że nowe szkodniki potrafią ominąć programy chroniące komputer. W testach przeprowadzonych przez amerykańską redakcję PC Worlda tylko co czwarty nowy szkodnik został wykryty z wykorzystaniem funkcji heurystycznych (znajdujących jeszcze niezidentyfikowane, niezapisane w definicjach wirusów złośliwe oprogramowanie). Rok wcześniej w podobnym teście antywirusy wykrywały około połowy nowych szkodników.
Testowanie wirusów
Hiep Dang z McAfee's Avert Labs uważa: "W branży bezpieczeństwa, inaczej niż w innych obszarach IT, mamy przeciwnika, z którym musimy walczyć. A cyberprzestępcy korzystają z elementu zaskoczenia". Nawet zaledwie dwunastogodzinna przewaga może przełożyć się na tysiące zainfekowanych komputerów. Autorzy szkodników mają dużo czasu na przetestowanie swoich produktów w starciu z antywirusami, zanim wypuszczą je na wolność. Witryna VirusTotal i podobne pozwalają zarówno specjalistom od bezpieczeństwa, jak i użytkownikom przesyłać podejrzane pliki do sprawdzenia. Pliki są skanowane z wykorzystaniem 30 różnych silników antywirusowych. Przy okazji witryny tego typu ułatwiają testy autorom wirusów, którzy mogą tak długo przesyłać pliki z nowym szkodnikiem, aż w końcu wirus nie zostanie wykryty lub przeoczy go większość programów antywirusowych.
Dobry kontra zły?
Takie zachowanie autorów wirusów da się jednak wykorzystać przeciwko nim. Kiedy serwis VirusTotal otrzyma próbkę, może podzielić się informacją o groźnym szkodniku z twórcami antywirusów. Jednak daje użytkownikom wybór, czy zgadzają się na przesłanie próbek do producentów oprogramowania ochronnego. Serwis oferuje taką opcję, żeby ludzie mogli sprawdzać pliki z poufnymi danymi bez ryzyka wycieku informacji. Niektóre organizacje przestępcze poszły o krok dalej i stworzyły własne laboratoria testowe na wzór VirusTotal.
Możliwość przetestowania wirusa przed jego publiczną "premierą" pozwala tworzyć szkodniki coraz trudniejsze do wykrycia. Dlatego odpowiedzialny użytkownik nigdy nie powinien uważać, że jego komputer jest całkowicie odporny na ataki. Przykładowo, prawie każdego dnia specjaliści z SecureWorks wykrywają nowe warianty trojana PRG, powstające z wykorzystaniem programu do tworzenia szkodników. A gdy pojawia się nowa wersja wirusa, z reguły tylko 25 procent antywirusów potrafi ją wykryć.
Jakkolwiek źle to wygląda, nie zachowuj się biernie, oczekując na nieuchronną infekcję. Program antywirusowy może całkiem nieźle chronić komputer, w miarę jak ich twórcy uczą się na nowych próbkach. W pełni zaktualizowany pakiet ochrony zabezpieczy cię przed zdecydowaną większością szkodliwego oprogramowania, jak konie trojańskie, keyloggery czy programy szpiegowskie.
Firmy zajmujące się bezpieczeństwem są świadome skali wyzwania, jakim jest dotrzymanie kroku twórcom szkodników. McAfee i Symantec koncentrują się na rozwijaniu nowych warstw ochronnych, jak zapory sieciowe czy skanery heurystyczne, które rozpoznają szkodliwe oprogramowanie na podstawie charakterystycznych zachowań.
Firma F-Secure wykryła w 2007 roku pół miliona nowych zagrożeń. Inni producenci antywirusów na pewno mogą pokazać podobne statystyki.
W ciągu zaledwie ostatniego roku powstało mniej więcej tyle samo złośliwych aplikacji, co przez ostatnie 20 lat, a w porównaniu z rokiem 2006 liczba nowych wirusów wzrosła o 100 procent. Mniej jest zupełnie nowych szkodników, za to istniejące są wypuszczane w coraz nowszych wariantach, które wykorzystują dobrze znane, ale ulepszone techniki. Liczba nowych mutacji przyrasta w tempie geometrycznym.
Kolejnym problemem jest szybkość rozprzestrzenia się zagrożeń w Internecie, co ilustruje schemat opracowany w firmie Symantec. Obecnie może to trwać kilka godzin, a mieliśmy też do czynienia z pojedynczymi zagrożeniami "warholowskimi" (np. robak Slammer), w wypadku których globalna infekcja następuje po ok. 15 minutach. Wkrótce możemy spodziewać się zagrożeń błyskawicznych, które będą infekowały Internet w czasie liczonym w sekundach. Klasyczne antywirusy nie radzą się z zagrożeniami "warholowskimi" i błyskawicznymi, ponieważ muszą najpierw pobrać zaktualizowane definicje wirusów, a te pojawiają się z opóźnieniem.
W ciągu zaledwie ostatniego
Stań po jasnej stronie mocy
Wielowarstwowa ochrona jest ważna, ale najważniejszym elementem jest użytkownik. Testy antywirusów i różne analizy pokazują, że żaden program nie zapewnia kompletnej ochrony. Zawsze znajdzie się jakiś dociekliwy i kreatywny osobnik, który odkryje sposób obejścia zabezpieczeń określonego programu ochronnego.
Jednak możesz być trudniejszym celem dla szkodliwego oprogramowania pod warunkiem przestrzegania podstawowych środków ostrożności. Cyberprzestępcy są szybcy w wykorzystywaniu nowych luk w oprogramowaniu, dlatego należy instalować najnowsze aktualizacje. Często hakerzy wykorzystują obok umiejętności programistycznych również socjotechnikę. Jeśli założysz, że każda niespodziewana wiadomość z załącznikiem od obcej osoby jest atakiem, uchronisz się przed wieloma infekcjami. Autorzy szkodników mogą mieć chwilową przewagę nad programem antywirusowym, ale jeśli użytkownik przestrzega zasad bezpieczeństwa i korzysta z oprogramowania ochronnego, nie zrobią mu krzywdy.
