Viry jsou jiné. Jsou antiviry jen vyhozenými penězi?
Počítačové viry už nejsou to, co bývaly. Už se skoro vůbec nesetkáváme s „vtipnými“ viry nebo těmi z rodiny „zákeřných“, které by mazaly soubory a ničily systém. Dnešní infekce se totiž skoro vůbec neprojevují. Jen čekají… O to větší ale skýtají riziko. Jak se zdá, antiviry záplavě malwaru už ani nestačí čelit.
Podle odborníků na počítačovou bezpečnost bylo na konci loňského roku v éteru skoro milion a čtvrt počítačových virů nebo spíše obecněji různého škodlivého softwaru. Jak ukázala studie společnosti Symantec, viry, trojští koně a další nebezpečné kódy tvořily 64 procent veškerého softwaru, který v roce 2007 vznikl. Je to vůbec poprvé, kdy počet havěti přerostl počet užitečného softwaru.
Podle analýz až 70 procent z veškerého škodlivého softwaru spadá do kategorie „trojské koně“. Tato specifická skupina malwaru (z anglického „malicious software“, česky „škodlivý“ nebo „zákeřný software“) je typická řadou přidružených funkcí, které však na první pohled uživatele napadeného počítače nijak neobtěžuje. Hlavním rozdílem mezi „virem“ a „trojským koněm“ je v tom, že trojský kůň nedokáže sám sebe kopírovat a sám se šířit dále mezi počítači: sedí tiše v systému a pracuje, jak mu bylo zadáno. Mezi jeho nejčastější funkce patří sledování a zaznamenávaní stisknutých kláves (keylogger) a kradení přístupových jmen a hesel, čísel platebních karet a jiných citlivých údajů (sniffer), které pak odesílá útočníkovi. Rovněž dokáže zneužít zadních vrátek, kterými se do systému nahrne další škodlivý software.
Falešný pocit bezpečí
Jako lék na virové nákazy, ale hlavně jako prevence mají sloužit antivirové programy. Ty už dnes často mají vestavěnou ochranu i proti spywaru (existují však i samostatné antispyware aplikace), rootkitům (software maskující přítomnost škodlivého softwaru) a dalším.
Leč uživatelé si často neuvědomují, že antiviry ze své současné podstaty nejsou všemocné: aby antivirus mohl zabránit infikování systému, musí už předem vědět, jakou nákazu odchytit. Jinými slovy, malware už musí existovat a výrobci antiviru a ti, kdo se starají o pravidelné aktualizace virových definic, jej musejí znát a mít jej už zanalyzovaný. Čili objeví-li se nový vzorek a ještě se příliš nerozšíří, antivirové řešení v nákaze nebude s to hrozbu odhalit a zabránit nákaze. Škodlivý software si tak v systému může vegetovat poměrně dlouho, dokud jej neodhalí antivirus na základě nových virových definic. (Antivir je třeba schopný odhalit virus i bez nejnovějších definic na základě podezřelého chování ― kopírování sebe sama, napadání exe souborů aj. ―, ale ani tato metoda není jistá. U dalšího malwaru je to ještě obtížnější.) Situaci může dále zkomplikovat i ten fakt, že mnohý malware obsahuje funkci „Security software disabler“, čili dokáže zablokovat všechen software určený k zabezpečení systému, a to včetně antiviru. Uživatel s neaktualizovaným antivirovým programem je vlastně uživatel bez antivirového programu. Je naopak v ještě větším nebezpečí, protože spoléhá na ochranu antiviru, takže už není tak opatrný ani na internetu a ani při instalaci „podezřelých“ věcí.
CSO společnosti Cisco: antiviry jsou vyhozené peníze
John Stewart, šéf oddělení bezpečnosti společnosti Cisco, na konferenci AusCERT 2008 varoval, že malwarový průmysl roste daleko rychleji než ten bezpečnostní; v důsledku toho je už prakticky nemožné, aby uživatelé byli před hrozbami z kyberprostoru v bezpečí.
„Je-li záplatování a antivirus to, za co utrácím peníze, a přesto se stále potýkám s infekcemi a stále musím čistit počítače a pořád musím obnovovat uživatelská data a pořád musím reinstalovat systém, pak mi vychází jen jedno: jsou to oknem vyhozené peníze,“ řekl.
Vyjádřil se i v tom smyslu, že počítačové infekce se staly natolik běžnými, že většina společností se bude muset naučit s nimi žít a hledat jiná řešení, jak jejich dopad minimalizovat.
Podle něj je jedinou schůdnou cestu v boji s malwarem naprostá změna přístupu. Současné antiviry a jiný anti-cosi-software totiž pracují na principu zákazů ― obsahují databáze toho, co se v systému nesmí spustit (viz třeba ona zmíněná databáze virových definic). Daleko lepší bude přejít na opačný způsob: zabezpečovací systémy nebudou zakazovat spouštění kódů, ale naopak se nějaká centrální autorita bude starat o spouštění jen známého softwaru, který je považovaný za bezpečný. První ― stávající ―, způsob se zakládá na „blacklistu“ (černé listině), kdežto druhý je založen na „whitelistu“, tedy seznamu vítaných aplikací.
„Je mi už špatně z těch všech věcí fungujících na principu blacklistu. Cesta vede přes whitelist ― vím co je [ten program] zač, protože jsem ho na tuto listinu sám umístil,“ říká Stewart. O potřebě whitelistingu se mimochodem zmiňuje i společnost Symantec ve zmíněné zprávě o počtu a typech malwaru za rok 2007.
„V blízké budoucnosti bude výhodnější identifikovat a povolovat pouze prospěšný software, všechen ostatní pak automaticky zakazovat. Již nyní máme v našich programech technologie, které tímto směrem kráčejí, například skórování skutečných činností software při jeho běhu v počítači, které vám dovolí jasně odlišit prospěšné činnosti od nebezpečných, prospěšné povolit, nebezpečné zakázat, a to zcela bez závislosti na aktualizaci definic, signatur a podobně,“ stojí v tiskové zprávě společnosti.
S vyjádřením Johna Stewarta o vyhozených penězích však ― logicky ― nesouhlasí výrobci antivirových řešení. Například Gavin Struthers z australské pobočky společnosti McAfee pro server ZDNET.com.au v této souvislosti řekl, že současná řešení v podobě antivirů a záplatování sice nejsou nijak dokonalým řešením, ale určitě nejde o vyhozené peníze.
„Nesouhlasím s tvrzením, že to jsou vyhozené peníze. Jen záplatování a antivirus nové sofistikované útoky neodrazí ― potřeba je přístupu založeného na více vrstvách a strategie ‚defense-in-depth‘,“ upozorňuje. Strategie defense-in-depth (česky bychom řekli ‚obranná hloubková strategie‘) dělí systém na více oddělených síťových segmentů a každý segment je chráněn před útokem zvenčí různým způsobem. Řetězec začíná už u síťového routeru s firewallem, dále třeba nasazením softwarového (i aplikačního) firewallu, antiviru, antispywaru apod. a končí zaškolením uživatele o pravidlech bezpečného pohybu na internetu a práce s aplikacemi.
I další odborníci na bezpečnost upozorňují, že antivirus sám o sobě nic neřeší. „Není to sice naprosté vyhazování peněz oknem, ale je-li to jediná úroveň ochrany, kterou člověk používá, nejspíše není dostatečná,“ říká Chris Thomas ze společnosti CA. „Cesta, jakou se bezpečnostní systémy nyní ubírají, je ― jak řekl John Stewart ― ve whitelistingu.“
VLOŽIT KOMENTÁŘ