Ochroniarz z Finlandii

Z Mikko Hyppönenem, dyrektorem ds. badań w dziale technologii antywirusowych w F-Secure, rozmawia Tomasz Marcinek.

Z Mikko Hyppönenem, dyrektorem ds. badań w dziale technologii antywirusowych w F-Secure, rozmawia Tomasz Marcinek.

Bazy sygnatur liczą już grube tysiące rekordów, a nowe wirusy pojawiają się praktycznie każdego dnia. Równolegle obserwujemy wzrost ilości danych do zbadania. Na dłuższą metę musi to doprowadzić do problemów wydajnościowych. Czy sygnatury nie są przypadkiem ślepą uliczką w rozwoju systemów zabezpieczeń?

Wydajność to jest problem czysto matematyczny, algorytmiczny. Problem z wydajnością rzeczywiście był, ale siedem, osiem lat temu. Obecnie możliwe jest jednoczesne skanowanie plików pod kątem wielu wirusów. Ich liczba nie ma znaczenia dla wydajności - czas skanowania pod kątem stu wirusów jest bardzo podobny do czasu skanowania pod kątem tysiąca czy więcej. Znając szczegóły metod stosowanych obecnie, jestem spokojny, że w najbliższych latach problem wydajności nie powróci.

Jak to możliwe?

Ochroniarz z Finlandii

Podstawowym problemem w skanowaniu plików pod kątem wirusów jest identyfikacja tych, które są wolne od wirusów. Skróty idealnie się do tego nadają. Jeśli już na początku przepuszczamy ok. 90% plików, zyskujemy czas na dokładniejszą analizę pozostałych 10%. Przy odsiewaniu "zdrowych plików" posiłkujemy się skrótami jednokierunkowymi złośliwego kodu.

Każdy wirus działa w pewien charakterystyczny sposób, tzn. dokleja swój kod w określonym miejscu pliku. Skrót kodu wirusa porównuje się z określonymi wycinkami pliku i szybko wiadomo, czy jest zainfekowany, czy nie. Bardziej zaawansowane wirusy potrafią unikać tej metody weryfikacji, np. pozostawiając w charakterystycznych miejscach jedynie wskaźniki do kodu, który umieszczany jest w różnych miejscach pliku. Dzięki skrótom również i takie triki jesteśmy w stanie wykryć.

Check Point doszedł ostatnio do wniosku, że zamiast tworzyć sygnatury dla każdej odmiany ataku, prościej i wydajniej jest określić zachowania dozwolone i blokować wszystkie, które nie spełniają kryteriów...

To bardzo dobry kierunek rozwoju, ale tylko w odniesieniu do zapór sieciowych czy brzegowych systemów IDS/IPS, które są w stanie zablokować wejście podejrzanych pakietów do wnętrza sieci. W przypadku rozwiązań antywirusowych takie podejście się nie sprawdza - systemy te działają wewnątrz sieci - na serwerach i stacjach roboczych, nie są w stanie efektywnie zablokować czegokolwiek przed rozprzestrzenieniem się w sieci. Poza tym wirusy dotykają znacznie szerszego spektrum problemów, aplikacji i związanych z nimi podatności niż ataki sieciowe - opracowanie reguł "właściwego zachowania" dla wszystkich programów i systemów nie wchodzi w grę.

W jakim kierunku zmierzają obecnie trendy w konstrukcji wirusów?

Widać wyraźnie, że twórcy wirusów, jakkolwiek dziwnie to brzmi, profesjonalizują się. Mówię to na podstawie analizy kodu źródłowego wirusów krążących w sieci obecnie i, powiedzmy, przed 2003 r. Ten rok był w rozwoju wirusów przełomowy - w sieci pojawił się wirus Nimda, który można uznać za pierwszy wirus napisany nie przez entuzjastę, lecz przez zorganizowaną grupę ludzi z dużym doświadczeniem.

Skąd pewność, że wirusy tworzą zorganizowane grupy?

Wskazuje na to kilka czynników. Przede wszystkim wirusy nowej generacji wykorzystują wiele podatności jednocześnie - wątpliwe, by jeden człowiek był w stanie poznać szczegóły związane z rozlicznymi systemami i aplikacjami, napisać kod wykorzystujący często bardzo subtelne podatności, a następnie przetestował jego działanie.

Na rzecz hipotezy o grupach świadczy zwłaszcza testowanie - nowoczesne wirusy rozprzestrzeniają się bardzo szybko, ponieważ scenariusze ich działania zostały dobrze przetestowane, by odnieść właściwy skutek. Wiele różnych wersji systemów i aplikacji, wiele podatności, a wszystko to zsynchronizowane... to wymaga całkiem sporego laboratorium, dziesiątek serwerów i komputerów, narzędzi do analizy... tego się nie da zrobić samodzielnie.

Czasami testy, zwłaszcza badanie nowych koncepcji ataków, odbywają się w Internecie. Tak było ostatnio w przypadku wirusa dla platformy Windows CE. Pojawiające się z tygodnia na tydzień nowe, doskonalsze "wersje testowe" świadczą o tym, że to jest działalność zorganizowana i metodyczna.

Załóżmy że to prawda. W jakim celu ktoś mógłby zorganizować wirusowy "gang"? Bezpośredniego wynagrodzenia za pisanie wirusów raczej trudno oczekiwać...

Nie do końca. Owszem, podstawowa metoda zarabiania na tworzeniu wirusów to sprzedaż wykradzionych danych osobowych spamerom, co daje zarobek pośredni. Ale coraz powszechniejszy staje się szantaż - firmie grozi się niedostępnością serwisu internetowego będącego podstawą jej egzystencji, ujawnieniem wykradzionych z firmy danych czy też utratą zaufania, np. przez modyfikację witryny WWW, czy wysyłaniem odwiedzającym wirusów czy koni trojańskich. To już nie są pojedyncze przypadki.

Celem prawie wszystkich infekcji wirusowych jest obecnie umieszczenie na zdalnym komputerze konia trojańskiego, który pozwoli wykonywać za jego pośrednictwem przeróżne działania w sieci. Jednym z nich może być "niezatapialny" hosting niekoniecznie uczciwej treści, np. pornografii dziecięcej lub oszukańczego serwisu handlowego wyłudzającego numery kart kredytowych. Prawdziwy dostawca treści czy sprzedawca jest ukryty za armią komputerów zombie, które otrzymują polecenia z coraz to nowych domen, zmieniających się co kilka minut.

Jak firma specjalizująca się w rozwiązaniach z dziedziny bezpieczeństwa reaguje na działania Microsoftu, który już oferuje zapory IP, a w przyszłości zamierza zaoferować rozwiązania antywirusowe i antyszpiegowskie?

Znając skłonność Microsoftu do oferowania produktów "na wpół upieczonych", czujemy się komfortowo. Ponadto nasze rozwiązania nie ograniczają się do platformy Windows - np. ostatnio wydaliśmy pierwszy pakiet antywirusowy dla systemu Symbian wykorzystywanego w telefonach i palmtopach, m.in. Nokii. Mamy też produkt antywirusowy dla Linuxa. Poza tym działalność w branży zabezpieczeń sieciowych to dziś nie tyle sprzedaż licencji, ile usługi, a tu Microsoft ma jeszcze wiele do zrobienia.

Czy mimo to F-Secure rozważa wykorzystanie swojego dorobku w innych dziedzinach, np. narzędziach do skanowania kodu źródłowego pod kątem niebezpiecznych konstrukcji?

Cały czas zastanawiamy się, co jeszcze można zrobić z naszą technologią. Obawiam się jednak, że nie mogę udzielić odpowiedzi na tak postawione pytanie.


TOP 200