Stare, nove i buduće pretnje
Da li antivirusni softver pobeđuje stare i buduće pretnje, a nemoćan je pred trenutnim? Možda IT bezbednosne kompanije mogu da ponude neko novo rešenje kako bi zaštitile korisnika i od novih, neotkrivenih opasnosti? U kom smeru se kreće antivirusna zaštita i koliko da joj verujemo?
Pc virusi pojavili su se osamdesetih godina, a sa razvojem Interneta počinju da se šire mnogo lakše i brže. Danas nisu ugroženi samo kompjuteri već i mnogi drugi digitalni uređaji. Sve pretnje po bezbednost ovih uređaja nazivaju se zlonamerni sadržaji, softver ili kod, a u njih se ubrajaju virusi, cvri, trojanci, keylogger‑i, spam, phishing itd. Pošto je prva pretnja nazvana virus, tako su i prvi softveri za odbranu od njih antivirusi (AV). Termin se održao do danas, iako su savremeni AV softveri spremni da se suoče i s drugim oblicima pretnje.
Prva antivirusna rešenja
Samo dve godine nakon pojavljivanja prvog virusa Brain, 1988. na mreži Bitnet formirana je mailing lista na kojoj se diskutovalo o načinima detekcije i uklanjanja novih virusa. Neki članovi bili su i osnivači danas poznatih antivirusnih kompanija, kao što su Eugene Kaspersky i John McAfee.
Pre pojave Interneta prvi AV softveri proveravali su samo izvršne datoteke i boot sektore na disketama i hard‑diskovima. Računari su bili jedini uređaji koji su tada mogli da se zaraze virusima i to samo na jedan način – preko diskete. Virusi za tadašnje PDA (Personal Digital Assistant) uređaje, a kasnije i mobine telefone dugo nisu ni postojali. S pojavom Interneta opasnost od zlonamernog softvera postala je mnogo veća. Danas skoro svaki tip uređaja koji ima pristup Internetu bio je meta ili hakerskog napada ili demonstracije uspešnog napada istraživača iz različitih bezbednosnih IT kompanija. Pre nekoliko godina počeli su da se pojavljuju kućni uređaji koji se mogu kontrolisati preko aplikacije na mobilnom telefonu ili tabletu, odnosno aparati s pristupom Internetu, kao što su klima‑uređaji, frižideri i kapije, dok su kamere za video‑nadzor i televizori dobili svoju vezu sa Internetom. Svi oni bili su relativno lako hakovani, a to može da ozbiljno ugrozi privatnost, dovede do nekontrolisanog rada i ugroze ljudske živote, kao što je prouzrokovao Stuxnet. Svaki uređaj s pristupom Internetu može da bude predmet napada hakera, a kako je tendencija da se sve digitalizuje i umreži, opasnost od zloupotrebe i hakovanja sistema sve je veća.
Napredne metode
Antivirusni programi koriste više različitih metoda za otkrivanje zlonamernog koda. Jedna od već duže korišćenih tehnika bazira se na listi poznatih pretnji. Naime, svaki poznati zlonamerni kod dobija svoj potpis koji ga jednoznačno identifikuje. Zlonamerni softver može činiti i deo nekog fajla, pa AV proverava i fajl kao celinu i njegove posebne delove. Lista poznatih pretnji, odnosno njihovih sažetaka, veoma je efikasna u borbi protiv već uočenih pretnji, ali one nisu jedina opasnost. Nove i nepoznate pretnje AV pokušava da detektuje nadgledanjem rada pokrenutih procesa, odnosno softvera na računaru. Ako tom prilikom na osnovu definisane analitike detektuje neke sumnjive aktivnosti, on dodatno analizira taj softver. Tada postoji mogućnost da mu zabrani rad ili možda blokira aktivnosti koje taj softver pokušava da izvrši, pre svega brisanje fajlova, instalacija dodatnih modula i slično. Neki AV programi grupišu zlonamerni sadržaj u posebne grupe kako bi im pridodali neke zajedničke karakteristike ili eventualno jedinstveni potpis na osnovu kojeg će ga efikasnije pretraživati i detektovati.
Pojedina AV rešenja imaju i do sedam slojeva zaštite. Pored navedenih, analiziraju se i fajlovi koji se prvi put primete. Beleži se odakle su došli, kog su tipa i na koliko su adresa poslati. Na ovaj način uglavnom se analiziraju samo izvršni fajlovi, koji se tom prilikom ne beleže kao sumnjivi, već se samo prate. Zato i proizvođači različitog softvera nastoje da dostavljaju AV kompanijama svoje izvršne fajlove na testiranje, kako se ne bi desilo da ih neko greškom detektuje kao potencijalnu opasnost. AV analizira i spuštanje novih zakrpa i unapređenja (update‑a) softvera. Prati se da li se preuzima i instalira legalan fajl ili je možda pretrpeo neke izmene pa mu je i potpis promenjen. AV kompanije nude i mogućnost analize fajlova za koje korisnici posumnjaju da su zlonamerni. Pre otvaranja mogu ih poslati kompaniji, a ona će ih analizirati u bezbednom okruženju.
Budućnost AV zaštite zasniva se na naprednoj analitici za koju kompanije tvrde da će omogućiti bolju detekciju novih pretnji uz manju opterećenost resursa računara. Za to će se koristiti definisani vektori za napade, kao i heuristička analiza. Jedno od rešenja ovakvog sistema jeste da se kod klijenta podigne virtuelna mašina specijalno za ove namene. Svaki sumnjiv fajl AV klijent šalje preko mreže na virtuelnu mašinu, gde se u bezbednom okruženju pokreće i analizira njegov sadržaj. Cela ova akcija traje svega nekoliko milisekundi, a ako se ne primete skrivene i neočekivane komande, fajl se proglašava bezbednim.
Drugo rešenje u vidu cloud usluge možda bi bilo boje za manje kompanije. Sumnjivi fajl šalje se u cloud okruženje i analizira na nekoj udaljenoj lokaciji, kod neke druge kompanije ili u samoj AV kompaniji. Prednosti su te što je ovo rešenje veličine oko 20 do 30 MB, brže je, nema update‑a baze zlonamernog softvera, zauzima manje resursa itd. Ako se detektuje neki novi zlonamerni softver, AV kompanija u najkraćem mogućem roku nalazi rešenje. Nakon toga spušta se prevremeni update i čisti se zaraženi sistem.
U Severnoj Americi, kao i zapadnoj i severnoj Evropi, AV kompanije nude i usluge analize mreže kompanije. Uz posebne NDA (Non‑disclosure agreement) ugovore koji se tiču poverljivosti, velike kompanije, najčešće one s više od 30.000 zaposlenih, ostvaruju saradnju s kompanijama koje pružaju ovakav vid zaštite. Tom prilikom logovi o radu mreže prosleđuju se AV kompaniji, koja ih analizira i traži nepravilnosti. Ovakav vid detekcije može da uoči sumnjivo ponašanje nekog softvera ili čak i zaposlenog u kompaniji i da predupredi ili spreči neovlašćene aktivnosti.
Ko je u vrhu?
Ove godine na testovima AV softvera za Windows računare najbolje su se pokazali Bitdefender, Check Point, F‑Secure, Kaspersky, Panda Security, Symantec i Trend Micro. I dalje su veoma dobro ocenjeni Avast, AVG, G Data, ESET i McAfee. Daleko najlošiji od svih testiranih već neko vreme je Microsoft Security Essentials, koji je i jedini besplatan od svih navedenih. Napomenimo da je AV kompanije G Data proglašen za najbolju zaštitu elektronskog bankarstva. Pored uspešne detekcije, važno je da AV što manje greši u klasifikaciji pojedinih fajlova kao sumnjivih i opasnih, gde se najlošije pokazao Avast. Manje grešaka pravili su AVG i F‑Secure, a svega nekoliko imali su Bitdefender, ESET Kaspersky, McAfee, Panda i Trend Micro. Microsoft‑ovo rešenje ovde je bilo najbolje, jer nije napravilo nijednu grešku.
Mnogi sumnjaju da AV softver samo usporava rad računara, bez naročite koristi. Često i ne primetimo koliko je štetnog sadržaja uklonjeno i blokirano pre nego što je on uopšte i dospeo na naš računar. Nove tehnike koje obećavaju vodeće AV kompanije trebalo bi da drastično manje opterete procesor uređaja, a da uz to budu još efikasnije. Jedno je izvesno: svako hoće da izbegne rizik da mu se kompjuter zarazi zlonamernim softverom, ali realne opasnosti svesni smo tek kada se dogodi. Možda je pravi savet da se taj trenutak ne čeka, jer u današnjem IT svetu to zna da bude kasno.
Luka Milinković
(Objavljeno u Časopisu PC#224)