Robaki na szybkich nóżkach

Pomimo postępującego rozwoju narzędzi antywirusowych, coraz groźniejsze wirusy rozprzestrzeniają się coraz szybciej. Pojawienie się nowego rodzaju wirusów oraz samodzielnie rozmnażających się "robaków" internetowych wymusza szukanie nowych sposobów ochrony.

Pomimo postępującego rozwoju narzędzi antywirusowych, coraz groźniejsze wirusy rozprzestrzeniają się coraz szybciej. Pojawienie się nowego rodzaju wirusów oraz samodzielnie rozmnażających się "robaków" internetowych wymusza szukanie nowych sposobów ochrony.

Kalendarz wirusów

Pod adresemhttp://securityresponse.symantec.com/avcenter/calendar można znaleźć kalendarz wirusowy, pokazujący, jakie wirusy i robaki są szczególnie aktywne w danym dniu, tygodniu i miesiącu. Każdy atakujący wirus jest oznakowany indywidualnym numerem i kolorem, oznaczającym poziom stwarzanego przez niego zagrożenia.

Robak internetowy CodeRed spowodował straty sięgające 2,6 mld USD - podaje Computer Economics. Tyle kosztowało usunięcie z miliona zainfekowanych serwerów WWW i inspekcja kolejnych 8 mln komputerów. Kilka miesięcy później zaatakował robak Nimda. W ciągu 24 godzin unieruchomił prawie półtora miliona serwerów. Nimda wyrządził jeszcze większe straty niż CodeRed.

Nimda działał w nie spotykany dotąd sposób. Rozprzestrzeniał się nie jedną metodą, ale na kilka sposobów. Firma McAfee, jeden z producentów rozwiązań antywirusowych, wyróżniła aż 16 sposobów rozmnażania Nimdy. Robak potrafił "podszyć się" pod dowolny plik na zainfekowanym serwerze tak, by zostać pobranym przez internautów. Podszywał się pod użytkowników sieci, dodawał konta nowych użytkowników na serwerze i tą drogą dobierał się do zawartości dysków. Nimda potrafił też automatycznie wysłać się jako załącznik poczty elektronicznej sformatowany tak, że odebrany w aplikacji Outlook Express, wykorzystując jego błąd, samodzielnie się uruchamiał bez konieczności otworzenia listu przez użytkownika.

Nowa klasa zabezpieczeń

Szybkość, z jaką rozprzestrzeniają się wirusy nowej generacji, oraz metody, jakie wykorzystują do ataków, każą zweryfikować dotychczasowe strategie budowy systemów antywirusowych. Wiele z zaatakowanych korporacji miało , które w omawianych przypadkach okazało się nieskuteczne.

Atak robaka takiego jak Nimda uzasadnia jednocześnie konieczność stosowania wielopoziomowego systemu ochrony antywirusowej obejmującego: bramki stojące na styku z Internetem (serwery bądź dedykowane urządzenia firewall), serwery WWW i pocztowe pracujące w strefie "zdemilitaryzowanej", serwery plików działające w sieci korporacyjnej oraz klientów sieciowych łącznie z komputerami naręcznymi. System antywirusowy powinien być wzbogacony w mechanizmy filtrowania treści pobieranych z Internetu i przesyłek pocztowych (automatycznie usuwających np. załączniki .VBS) oraz rozwiązania IDS, umożliwiające wykrywanie działania wirusów samodzielnie rozprzestrzeniających się w sieciach z wykorzystaniem znanych już luk w zabezpieczeniach systemów operacyjnych. Istotna jest instalacja oprogramowania firewall już nie tylko na serwerach, ale również stacjach roboczych, co pozwoli je uchronić przed działaniem koni trojańskich i ataków DoS i DDoS.

Stała, a nie okresowa prewencja

Atak Nimdy uświadomił jeszcze jedno - nie wystarczy aktualizować bazy definicji antywirusowych raz na kilka dni. Konieczna jest aktualizacja codziennie, a nawet kilka razy w ciągu dnia (dotyczy to np. oprogramowania pracującego na serwerach pocztowych).

Tak częsta aktualizacja wymusza budowę systemu zarządzającego odświeżaniem definicji wirusów w skali całej sieci. Chociaż standardowo pakiety antywirusowe różnych producentów udostępniają możliwość zautomatyzowanej, okresowej aktualizacji za pośrednictwem Internetu, to nie warto by każdorazowo aplikacje antywirusowe czerpały dane z serwerów producenta. Lepszym rozwiązaniem, zmniejszającym obciążenie łącza internetowego i zwiększającym szybkość aktualizacji, jest umieszczenie serwera aktualizacyjnego w sieci lokalnej i odpowiednie przekonfigurowa-nie aplikacji antywirusowych. Oprócz wskazania nowego źródła aktualizacji, warto również skonfigurować aplikacje klienckie w taki sposób, by użytkownicy nie mieli możliwości zmiany częstotliwości aktualizacji, scenariusza skanowania plików oraz by odświeżanie bazy wirusów odbywało się bez ich wiedzy. Należy wybrać takie rozwiązanie antywirusowe, które nie wymusza ponownego uruchomienia komputera dla uaktywnienia nowej bazy antywirusowej - tylko wtedy uaktualnianie będzie mogło się odbywać całkowicie "w tle".

Budując system ochrony antywirusowej dla komputerów użytkowników końcowych, należy połączyć go z innymi rozwiązaniami scentralizowanego, zdalnego zarządzania. Rozwiązanie takie ma wiele zalet, np. umożliwia zdalne włączenie komputera w nocy z wykorzystaniem mechanizmu Wake-on-LAN, co pozwala przeprowadzić ich czasochłonne, pełne skanowanie pod kątem występowania wirusów bez utrudniania pracy użytkownikowi. W takim przypadku skanowanie może być przeprowadzane nawet co noc.