Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Współczesna branża antywirusowa i jej problemy

Tagi:

Eugene Kaspersky
Head of Kaspersky Lab Virus Research

Internet stał się obecnie gruntem, na którym bujnie rozwija się działalność przestępcza. Użytkownicy domowi, małe i średnie przedsiębiorstwa, międzynarodowe korporacje i organy rządowe nieustannie padają ofiarami ataków ze strony wirusów i trojanów. Debata nad obecnym stanem rzeczy została wielokrotnie podjęta i z pewnością będzie kontynuowana również w przyszłości. Określając Internet jako wylęgarnię przestępstw mam na myśli przede wszystkim to, że umożliwia on zarobienie pieniędzy w nielegalny sposób, poprzez tworzenie i rozprzestrzenianie złośliwych programów, które będą:

  • kradły informacje związane z kontami bankowymi, zarówno osobistymi, jak i korporacyjnymi
  • przechwytywały numery kart kredytowych
  • przeprowadzały ataki DDoS, wykorzystywane do wysuwania żądań finansowych (pieniądze w zamian za zaprzestanie ataków)
  • tworzyły sieci trojańskich serwerów proxy, które można użyć do rozsyłania spamu i osiągnięcia korzyści finansowych
  • tworzyły sieci zombie, wykorzystywane na wiele sposobów
  • tworzyły programy, które pobierają i instalują na komputerze ofiary aplikacje typu adware
  • instalowały trojańskie dialery, które wielokrotnie łączą się z płatnymi serwisami
  • itd.

Dokładne określenie, jak daleko sięga działalność przestępcza w Internecie, nie jest łatwe. Sądzę, że w podziemiu komputerowym aktywnie działają dziesiątki, jeśli nie setki indywidualnych hakerów, jak i całych grup. Istnieją tysiące hakerów skupionych w różnych grupach - tak wynika z danych organów ścigania większości skomputeryzowanych krajów. Na przestrzeni kilku ostatnich lat aresztowano kilkudziesięciu hakerów i grup hakerskich, a całkowita liczba aresztowań wynosi kilkaset. Wydaje się jednak, że nie ma to praktycznie żadnego wpływu na liczbę krążących wirusów i trojanów.

Inna liczba, której wielkości można się tylko domyślać, to całkowite obroty podziemia komputerowego. Z opublikowanych źródeł wynika, że między 2004 a 2005 rokiem hakerzy ukradli lub wyłudzili kilkaset milionów dolarów amerykańskich. Ponieważ ogromna większość cyberprzestępców pozostaje wciąż na wolności, możemy założyć, że kwota ta sięga co roku miliardów dolarów. (Zyski cyberprzestępców mogą przewyższać nawet dochody firm antywirusowych - dane te ukazują poniższe tabele).

Szkody wyrządzone światowej gospodarce na skutek działalności twórców wirusów, hakerów i spamerów już od dawna przewyższają dziesiątki miliardów dolarów rocznie. Liczba ta ciągle wzrasta. Według badań przeprowadzonych przez Computer Economics, całkowite straty poniesione w 2004 roku wynosiły blisko 18 miliardów dolarów z tendencją do 30-40% wzrostu w skali roku.

Przyjrzyjmy się bliżej głównym postaciom w świecie cyberzagrożeń:

  • Autorzy wirusów i hakerzy tworzą i rozprzestrzeniają w określonych celach wirusy i trojany
  • Komputery i sieci użytkowników końcowych nieustannie narażone są na ataki hakerów i często mogą paść ofiarą ataków skoordynowanych
  • Policja i organy ścigania na całym świecie tylko z częściowym sukcesem prowadzą dochodzenia w sprawie przestępstw cybernetycznych i stawiają odpowiednie osoby w stan oskarżenia
  • Firmy antywirusowe tworzą oprogramowanie przeznaczone do zwalczania zagrożeń cybernetycznych

O wirusach, hakerach i osobach, które ich ścigają, napisano wiele - w Hollywood nakręcono nawet filmy na ten temat. Na stronach WWW firmy rozwijające i produkujące rozwiązania antywirusowe informują o swoich osiągnięciach. Wciąż jednak niewiele pisze się o problemach, z jakimi boryka się branża antywirusowa. Właśnie dlatego temat ten poruszyłem w niniejszym artykule.

Krótki przegląd branży antywirusowej

Na początku przyjrzyjmy się firmom produkującym standardowe rozwiązania przeznaczone do ochrony przed wirusami komputerowymi. (Rozwiązania i narzędzia wyspecjalizowane omówimy w dalszej części artykułu.) Pod terminem "rozwiązanie standardowe" rozumiem oprogramowanie dla komputerów biurkowych, serwerów plików, serwerów poczty oraz obwodu sieci korporacyjnych.

Według szacunków, wartość rynku rozwiązań standardowych wynosiła w 2003 roku 2,7 miliardów dolarów, a w 2004 roku 3,3 miliardów dolarów. Przewiduje się, że w 2005 roku liczba ta ukształtuje się na poziomie 3,8 miliardów dolarów. (Wszystkie dane w tej sekcji zostały dostarczone przez firmę IDC i pochodzą z 2005 r.) Wszystkich producentów oprogramowania antywirusowego można podzielić na trzy grupy: liderzy branży, firmy "drugoligowe" i pozostałe (które, jeśli w ogóle wywierają jakiś wpływ na krajobraz antywirusów, to jest on nieznaczny).

Do liderów należą: Symantec, McAfee (NAI) oraz Trend Micro - firmy te wpływają na wszystkie rynki:

Firma Roczne obroty, w mln dol.
2003 2004
Symantec 1098 1364
McAfee (NAI) 577 597
Trend Micro 382 508

Te trzy firmy zajmują czołowe pozycje na wszystkich rynkach, z kilkoma wyjątkami (na przykład Trend Micro dominuje na rynku japońskim). Symantec i NAI (McAfee) to firmy z Ameryki Północnej. Trend Micro był początkowo firmą tajwańską, która następnie weszła na giełdę japońską, a obecnie posiada siedzibę w Stanach Zjednoczonych.

Do drugiej ligi zaliczamy firmy, które osiągają obroty znacznie niższe niż czołowa trójka, stosunkowo jednak dość wysokie - rzędu dziesiątek milionów dolarów.

Firma Obroty roczne, w mln dol.
2003 2004
Sophos (Wielka Brytania) 97 116
Panda Software (Hiszpania) * 65 104
Computer Associates (Stany Zjednoczone) 61 74
F-Secure (Finlandia) 36 51
Norman (Norwegia) 23 31
AhnLab (Korea Południowa) 21 28
*Panda Software jest prywatną firmą. Podane informacje finansowe nie są potwierdzone

Do tej grupy zalicza się również Kaspersky Lab z siedzibą w Rosji. Firma nie ujawnia jednak informacji finansowych.

Większość firm drugoligowych posiada znaczny udział w rynkach krajowych, ale stosunkowo niewielki jeśli chodzi o rynki zagraniczne. Tak więc Sophos jest najpopularniejszy w Wielkiej Brytanii, Panda w Hiszpanii, F-Secure natomiast w krajach skandynawskich itd.

Trzecią grupę tworzy kilkadziesiąt firm antywirusowych. Do najbardziej znanych należą:

  • Alwil - Avast (Republika Czeska)
  • MKS - MKS (Polska)
  • Doctor Web - DrWeb (Rosja)
  • ESET - NOD32 (Słowacja)
  • Frisk Software - F-Prot (Islandia)
  • GriSoft - AVG (Republika Czeska)
  • H+BEDV - AntiVir (Niemcy)
  • Hauri - VI Robot (Korea Południowa)
  • SoftWin - BitDefender (Rumunia)
  • VirusBuster - VirusBuster (Węgry)

Do trzeciej grupy zaliczają się również UNA i Stop! (Ukraina), Rising oraz KingSoft (Chiny) i inne.

Większość firm z tej grupy nie ujawnia danych finansowych. Szacuje się jednak, że ich roczne obroty wynoszą około 10 mln dol.

Powyżej przedstawiliśmy udział rynkowy głównych firm antywirusowych. Nie uwzględniliśmy jednak firm oferujących produkty w oparciu o licencjonowane technologie. Przykładem może tu być niemiecka firma G-Data, której rozwiązanie antywirusowe zawiera technologie firmy Kaspersky Lab oraz SoftWin, jak również Microsoft, który oferuje wielosilnikowe rozwiązanie rozwijane przez Sybari.

Istnieją również niestandardowe rodzaje ochrony antywirusowej, niektóre z nich charakteryzuje pewien stopień wyspecjalizowania. Do tej kategorii można podciągnąć systemy usuwające potencjalne zagrożenia z korporacyjnych wiadomości e-mail (użytkownik końcowy otrzymuje tylko wiadomości, które nie zawierają załączonych plików wykonywalnych lub skryptów html), systemy uruchamiające przeglądarkę internetową z maszyny wirtualnej itd. Pojawiły się również programy podobne do rozwiązań antywirusowych: oprogramowanie chroniące przed atakami DDoS, oprogramowanie patch management itd. Jednak żaden z tych programów nie posiada pełnej funkcjonalności oprogramowania antywirusowego.

Problemy branży antywirusowej

Z jakimi trudnościami może borykać się branża antywirusowa, nie licząc problemów związanych z rynkiem, które dotyczą każdego producenta artykułów konsumenckich? Wszyscy wiedzą, że z jednej strony istnieją wirusy, z drugiej zaś programy antywirusowe, które je zwalczają. Mogłoby się wydawać, że rozwiązania antywirusowe są standardowymi produktami konsumenckimi, które różnią się od siebie w niewielkim stopniu. Użytkownicy dokonują wyboru oprogramowania antywirusowego na podstawie jego opakowania, z powodu skutecznych działań marketingowych lub innych nietechnicznych względów. Wszystko to sprawia, że - przynajmniej teoretycznie - moglibyśmy traktować rozwiązanie antywirusowe jako jeden z wielu produktów konsumenckich, takich jak proszek do prania, pasta do zębów czy samochód.

Niestety (lub na szczęście) tak nie jest. Użytkownicy często wybierają rozwiązanie antywirusowe ze względu na jego właściwości techniczne, a te różnią się znacznie w zależności od produktu. Użytkownicy zwracają również uwagę na to, czy dany produkt zapewnia ochronę przed określonym typem cyberzagrożenia oraz na ogólny poziom oferowanej ochrony.

Rozwiązanie antywirusowe powinno chronić przed WSZYSTKIMI typami złośliwych programów. Im lepsze oprogramowanie antywirusowe, tym bardziej zadowoleni użytkownicy i administratorzy systemu. Każdy, kto nie pojmie tego w teorii, wkrótce odczuje to w praktyce; jeśli użytkownik nie posiada dobrego rozwiązania antywirusowego, bardzo szybko może okazać się, że z jego konta bankowego zniknęły pieniądze lub też komputer zaczął łączyć się z dziwnymi numerami telefonów. Pamiętając o tych niebezpieczeństwach, użytkownicy powinni orientować się, jaką ochronę oferują dostępne rozwiązania antywirusowe i dokonać rzetelnego wyboru.

Wyobraźmy sobie, że rozwiązanie antywirusowe X usuwa, powiedzmy, 50% wszystkich krążących w Internecie wirusów; produkt Y usuwa 90%, a produkt Z 99,9%. Liczba N ataków albo nie spowoduje naruszenia integralności komputera, albo doprowadzi do zainfekowania systemu. Jeśli komputer zostanie zaatakowany 10 razy, prawdopodobieństwo, że produkt X nie wykryje złośliwego programu jest niemal 100-procentowe; jest więcej niż prawdopodobne, że program Y nie wykryje winnego; natomiast w przypadku produktu Z takie niebezpieczeństwo jest znikome.

Niestety, w sprzedaży dostępnych jest niewiele produktów oferujących niemal 100-procentową ochronę. Większość produktów nie jest w stanie zapewnić nawet 90-procentowej ochrony. Właśnie to jest obecnie największym problemem branży antywirusowej.

Problem #1

Z roku na rok zwiększa się liczba i zróżnicowanie złośliwych programów. W rezultacie, wiele firm antywirusowych po prostu nie jest w stanie poradzić sobie z tak ogromną falą, przegrywając w "wyścigu" z twórcami szkodników. Użytkownicy, którzy wybierają produkty tych firm nie otrzymają ochrony przed wszystkimi złośliwymi programami. Niestety, liczba takich osób jest znaczna. Wiele produktów sprzedawanych jako "rozwiązania antywirusowe" nie powinno w ogóle nosić tej nazwy.

Pięć czy dziesięć lat temu można było uczciwie powiedzieć, że rozwiązanie antywirusowe nie musiało chronić systemu przed każdym nowym wirusem i trojanem. Większość nowych złośliwych programów, które pojawiały się w tym czasie, nigdy nie zdołałoby przeniknąć do komputera użytkownika. Pisane były przez młodocianych cyber-wandali, którzy chcieli popisać się swoimi umiejętnościami programistycznymi lub zaspokoić ciekawość. W rzeczywistości użytkownicy potrzebowali ochrony jedynie przed kilkoma wirusami na wolności, które potrafiły przeniknąć do komputerów ofiar. Teraz jednak sytuacja zmieniła się. Ponad 75% złośliwych programów - tzn. zdecydowana większość - jest tworzonych przez przestępcze podziemie komputerowe w celu zainfekowania określonej liczby komputerów w Internecie. Liczba nowych wirusów i trojanów zwiększa się każdego dnia o kilkaset - laboratorium antywirusowe firmy Kaspersky Lab otrzymuje codziennie od 200 do 300 nowych próbek szkodliwego oprogramowania.

Próbki te pochodzą z kilku źródeł - "wabików" (wyspecjalizowanych komputerów wykorzystywanych do zbierania złośliwych plików w Internecie); użytkowników zainfekowanych komputerów; administratorów lokalnych sieci; dostawców usług internetowych; oraz - choć wydaje się to dziwne - od innych firm antywirusowych. Mimo segmentacji rynku firm antywirusowych (dotyczy to każdego rynku bez wyjątku) istnieje współpraca między tymi firmami. Jeśli pojawia się nowy robak, który rozprzestrzenia się w ogromnym tempie, analitycy niemal natychmiast informują o tym firmy konkurencyjne i przesyłają im próbkę robaka. Większość firm antywirusowych wymienia się próbkami wirusów przynajmniej raz w miesiącu. Firmy dzielą się informacjami także na specjalistycznych spotkaniach, które są zamknięte dla ludzi spoza branży. Można powiedzieć, że w branży obowiązuje swego rodzaju etyka; firmy antywirusowe przekazują informacje firmom konkurencyjnym pomijając te, które poprzez nieetyczne działania zaszkodziły swojej pozycji w świecie antywirusów.

Przypuśćmy, że wykryto nowego wirusa lub konia trojańskiego na wolności, w Internecie lub na zainfekowanym komputerze. Oznacza to, że prawdopodobieństwo zainfekowania komputera tym szkodnikiem jest znacznie większe niż zero. Niewykluczone, że zainfekowane zostały już dziesiątki, setki, może nawet tysiące komputerów tworzących Internet. Jeśli ten nowy szkodnik okaże się robakiem internetowym, to biorąc pod uwagę szybkość Internetu, liczba ofiar może być liczona w milionach. Przykład ten pokazuje, że firmy antywirusowe muszą niezwłocznie publikować uaktualnienia antywirusowych baz danych, które chronią przed wszystkimi najnowszymi wirusami i trojanami. Tu dochodzimy do drugiego problemu, z którym boryka się branża antywirusowa.

Problem #2

Obecnie złośliwe programy rozprzestrzeniają się w tak błyskawicznym tempie, że firmy antywirusowe muszą publikować uaktualnienia możliwie najszybciej, aby zmniejszyć okres czasu, w którym użytkownicy narażeni są na potencjalne niebezpieczeństwa. Niestety, wiele firm antywirusowych nie jest w stanie sprostać temu wyzwaniu - użytkownicy otrzymują uaktualnienia po tym, jak zostali już zainfekowani.

Wyobraźmy sobie, że wirus zdołał przeniknąć do komputera ofiary, a rozwiązanie antywirusowe zainstalowane na jej komputerze nie wykryło żadnej podejrzanej aktywności. (Może to być spowodowane słabą jakością samego rozwiązania, nieostrożnością użytkownika lub tym, że najnowsze uaktualnienie antywirusowych baz danych nie zostało pobrane na czas.) Sygnatury wykrywające tego wirusa zostaną opublikowane wcześniej czy później - oznacza to, że wirus zostanie wykryty, ale nie zwalczony. Aby raz na zawsze pozbyć się wirusa, należy uważnie usunąć zainfekowane pliki z komputera. Słowo "uważnie" jest tutaj kluczowe i odnosi się do trzeciego problemu dotyczącego programów antywirusowych.

Problem #3

Trzecim problemem branży antywirusowej jest usuwanie złośliwego kodu wykrytego na komputerze ofiary. Bardzo często wirusy i trojany pisane są w taki sposób, aby mogły ukryć swoją obecność w systemie i/lub przeniknąć wystarczająco głęboko, żeby ich usunięcie było niezwykle skomplikowanym zadaniem. Niestety, niektóre programy antywirusowe nie potrafią usuwać złośliwego kodu i przywracać danych zmodyfikowanych przez wirusa, nie powodując dalszych komplikacji.

Dodatkowym problemem jest to, że każde oprogramowanie zużywa zasoby systemowe, a programy antywirusowe nie są tutaj wyjątkiem. Aby chronić komputer, program antywirusowy musi wykonać pewne operacje - otworzyć pliki, przeczytać zawarte w nich informacje, otworzyć archiwa w celu ich przeskanowania itd. Im dokładniej sprawdzany jest plik, tym więcej zasobów potrzebuje rozwiązanie antywirusowe. W ten sposób rozwiązanie antywirusowe przypomina drzwi bezpieczeństwa - im grubsze drzwi, tym większa ochrona; jednak im cięższe drzwi, tym trudniejsze ich otwieranie i zamykanie. Jeżeli chodzi o rozwiązania antywirusowe, problemem jest osiągnięcie równowagi między szybkością programu a poziomem ochrony, jaki zapewnia.

Problem #4

Niestety, problem zużycia zasobów jest niemal nierozwiązywalny. Doświadczenie uczy, że rozwiązania antywirusowe oferujące szybkie skanowanie obarczone są mnóstwem wad, a wirusy i trojany przedostają się przez nie jak woda przez sito. Z drugiej strony, programy antywirusowe, które działają wolno, niekoniecznie zapewniają skuteczną ochronę.

Aby skanować pliki w locie i zapewniać komputerom ochronę ciągłą, rozwiązanie antywirusowe musi przenikać stosunkowo głęboko do jądra systemu. Mówiąc technicznie, program antywirusowy musi zainstalować mechanizmy przechwytujące zdarzenia systemowe głęboko wewnątrz chronionego systemu i przekazywać wyniki do silnika antywirusowego w celu skanowania przechwyconych plików, pakietów sieciowych i innych potencjalnie niebezpiecznych obiektów.

Czasami nie można zainstalować dwóch mechanizmów przechwytujących na wymaganym poziomie jądra w systemie operacyjnym. Powstaje niezgodność między monitorami antywirusowymi (których działanie jest ciągłe): drugi program antywirusowy nie potrafi przechwycić zdarzeń systemowych albo próba zdublowania mechanizmu przechwytywania prowadzi do załamania systemu. To właśnie stanowi podstawę następnego problemu branży antywirusowej.

Problem #5

Kolejny problem stanowi niezgodność programów antywirusowych. w ogromnej większości przypadków zainstalowanie dwóch programów antywirusowych różnych producentów na jednym komputerze (dla większej ochrony) jest technicznie niemożliwe, ponieważ te dwa programy będą wzajemnie zakłócały swoje działanie.

Ludzie często myślą, że firmy antywirusowe zachowują się jak małe dzieci wyrywające sobie zabawki i że niezgodność, o której mówiliśmy, spowodowana jest nieuczciwą konkurencją mającą na celu wyeliminowanie innych producentów programów antywirusowych z rynku. Jest to jednak przekonanie błędne. Nie chodzi tu o nieuczciwą czy nieetyczną konkurencję. Wprost przeciwnie, producenci rozwiązań antywirusowych robią wszystko, co w ich mocy, aby ich produkty nie kolidowały z innym popularnym oprogramowaniem (łącznie z rozwiązaniami antywirusowymi).

Powyższy tekst był próbą podsumowania podstawowych według mnie problemów, z jakimi boryka się obecnie branża antywirusowa. Pozostaje pytanie, w jaki sposób firmy antywirusowe zamierzają rozwiązać te problemy oraz jaką ochronę będą oferowały w przyszłości.

Nowe technologie kontra tradycyjne rozwiązania

Wydaje się zupełnie naturalne, że od czasu do czasu producenci oprogramowania antywirusowego chcą stworzyć całkowicie nowe technologie, które za jednym zamachem rozwiążą wspomniane wyżej problemy - będą swego rodzaju panaceum. Taka proaktywna ochrona pozwoliłaby na wykrywanie i usuwanie wirusa, jeszcze zanim zostałby stworzony i pojawiłby się w Internecie - odnosiłoby się to do wszystkich wyłaniających się zagrożeń wirusowych.

Niestety, jest to po prostu niemożliwe. "Uniwersalne" rozwiązanie jest skuteczne tylko w zwalczaniu zagrożeń, które zachowują się według stałych, dobrze określonych reguł. Ponieważ wirusy komputerowe nie są zjawiskiem naturalnym, ale wytworem skomplikowanych procesów zachodzących w umysłach hakerów, nie rządzą nimi żadne stałe reguły. Raczej, wirusy zachowują się zgodnie z określonym zbiorem reguł, które nieustannie zmieniają się w zależności od celów podziemia komputerowego.

Weźmy na przykład mechanizm blokowania zachowań, który stanowi konkurencję dla tradycyjnych rozwiązań antywirusowych opartych na sygnaturach wirusów. Są to dwa całkowicie różne podejścia do skanowania w poszukiwaniu wirusów, które niekoniecznie wykluczają się nawzajem. Sygnatura jest niewielkim fragmentem kodu, który można porównać z plikami, a rozwiązanie antywirusowe sprawdza, czy są one identyczne. Mechanizm blokowania zachowań natomiast śledzi zachowanie aplikacji po jej uruchomieniu i w wypadku wykrycia zachowania podejrzanego lub znanego jako szkodliwe zamyka ją. Obie metody mają swoje wady i zalety.

Jedną z zalet skanera opartego na sygnaturach jest to, że wykrywa wszystkie złośliwe programy, jakie rozpoznaje. Jego wadą jest niezdolność do wykrywania złośliwych programów, z którymi nie spotkał się wcześniej. Kolejnym potencjalnym minusem jest ogromny rozmiar antywirusowych baz danych i zużywanych zasobów. Przewagą mechanizmów blokowania zachowań jest ich zdolność do wykrywania nawet nieznanych złośliwych programów. Wadą tego rozwiązania jest występowanie fałszywych trafień; dzisiejsze wirusy i trojany wykazują tak zróżnicowane zachowanie, że stworzenie jednego zestawu reguł, który uwzględni wszystkie możliwe zachowania, jest niemożliwe. Oznacza to, że mechanizmy blokowania zachowań nieuchronnie przepuszczą pewne złośliwe programy i co pewien czas uniemożliwią właściwe funkcjonowanie pożytecznych aplikacji.

Mechanizmy blokowania zachowań posiadają jeszcze inną wadę: nie potrafią zwalczać koncepcyjnie nowych złośliwych programów. Wyobraźmy sobie, że Firma X opracowała program antywirusowy AVX oparty na analizie zachowań, który wykrywa 100% krążących w danym czasie złośliwych programów. Co w tej sytuacji zrobią hakerzy? Oczywiście stworzą nowe rodzaje złośliwych programów. A wtedy trzeba będzie uaktualnić reguły zachowań, a za jakiś czas zrobić to ponownie, ponieważ hakerzy i twórcy wirusów nie poddadzą się tak łatwo, i tak w kółko. Rezultatem będzie skaner sygnatur, z tym że sygnatury nie będą fragmentami kodu, ale typami zachowań.

Ten sam wniosek można zastosować w odniesieniu do analizatora heurystycznego, innej metody ochrony proaktywnej. Jak tylko hakerzy orientują się, że technologie antywirusowe stanowią przeszkodę w atakowaniu ich ofiar, rozwijają nowe technologie wirusowe w celu obejścia ochrony proaktywnej. Jak tylko produkt z zaawansowaną heurystyką lub blokowaniem zachowań rozpowszechni się, zastosowane w nich "zaawansowane" technologie przestaną być skuteczne.

Oznacza to, że "stworzone na nowo" technologie proaktywne są skuteczne tylko przez stosunkowo niedługi czas. Podczas gdy młodzi hakerzy potrzebują kilku tygodni lub miesięcy na obejście ochrony proaktywnej, profesjonalnym hakerom wystarczy jeden, dwa dni, a w najgorszym wypadku kilka minut lub godzin. Oznacza to, że mechanizmy blokowania zachowań i analizatory heurystyczne, pomimo swojej skuteczności, wymagają ciągłego rozwoju i aktualizacji. Należy również wziąć pod uwagę fakt, że dodanie nowych sygnatur do antywirusowych baz danych odbywa się w przeciągu kilku minut, podczas gdy na usprawnienie i przetestowanie metod ochrony proaktywnej potrzeba znacznie więcej czasu. W rezultacie aktualizacja sygnatur w antywirusowych bazach danych okazuje się w wielu przypadkach znacznie lepszym rozwiązaniem niż technologie ochrony proaktywnej. Potwierdzają to epidemie spowodowane nowymi robakami pocztowymi i sieciowymi, nowymi programami szpiegowskimi i innymi złośliwymi programami.

Nie oznacza to jednak, że ochrona proaktywna jest bezużyteczna. Ochrona ta sprawdza się w pewnym zakresie i dzięki niej można powstrzymać określoną liczbę złośliwych programów (tych stworzonych przez mniej doświadczonych hakerów i twórców wirusów). Z tego powodu ochrona proaktywna może być użytecznym dodatkiem do skanerów opartych na sygnaturach, nie jest natomiast w stanie zapewnić całkowitej ochrony.

Testy porównawcze i ich słabe strony

W tej części artykułu zajmiemy się problemami, z jakimi mogą spotkać się użytkownicy podczas wyboru rozwiązania antywirusowego. Zakładamy, że użytkownik poszukuje produktu, który zapewni mu rzeczywistą ochronę przed złośliwymi programami. Skąd może zdobyć informacje niezbędne do podjęcia właściwej decyzji?

Najlepiej jest kierować się wynikami testów porównawczych, również tych profesjonalnych. Ale czy coś takiego w ogóle występuje? Tak, chociaż, niezbyt często. Większość magazynów z branży IT dość regularnie przeprowadza testy porównawcze dla rozwiązań antywirusowych. Oprócz dokładnego testowania programów porównuje się wszystko, od ceny produktu do jakości pomocy technicznej. Niestety w rzeczywistości testy te nie są w stanie sprawdzić skuteczności działania programów antywirusowych. Nie ma w tym nic dziwnego, ponieważ dokładna analiza komponentów oprogramowania antywirusowego wymaga ogromnej kolekcji wirusów oraz odpowiednich narzędzi i automatycznych procedur testowych. Musiałby istnieć zespół specjalistów, który zajmowałby się tylko testowaniem rozwiązań antywirusowych i posiadałby niezbędne środki - niestety większość magazynów z zakresu bezpieczeństwa informatycznego nie spełnia tych warunków. Dlatego testy porównawcze przeprowadzane przez te magazyny pozostawiają wiele do życzenia lub angażuje się do nich ekspertów specjalizujących się w testowaniu produktów antywirusowych.

Obecnie najbardziej doświadczonymi testerami produktów antywirusowych są Andreas Marx (Niemcy) http://www.av-test.org oraz Andreas Clementi (Austria) http://www.av-comparatives.org. Testy te określają szczegółowo jakość wykrywania różnych rodzajów złośliwych programów oraz szybkość, z jaką poszczególne firmy antywirusowe reagują na pojawienie się epidemii. Testy te są dokładne i szczegółowe i mogą być wykorzystywane do porównywania właściwości samych rozwiązań antywirusowych. Niestety badają tylko dwie wspomniane wyżej cechy rozwiązań; nie uwzględniają natomiast kwestii związanych z funkcjonowaniem rozwiązań antywirusowych w praktyce, tj. leczenia zainfekowanego systemu, reakcji rozwiązania na zainfekowane strony WWW, ilości zużywanych zasobów oraz dokładności sprawdzania archiwów i plików instalacyjnych.

Niestety testy, które w dokładny sposób określają reakcje produktów antywirusowych w typowych sytuacjach, niemal nie istnieją. Jedynym znanym wyjątkiem jest laboratorium testowe przy Moskiewskim Uniwersytecie Państwowym, które przeprowadza testy z wykorzystaniem szeregu różnych sytuacji. Jednak metodologia tych testów wciąż wymaga usprawnień, a samo laboratorium testowe nie jest jeszcze znane szerszemu gronu.

Na koniec warto jeszcze wspomnieć o testach przeprowadzanych przez VirusBulletin (magazyn branżowy) - czytelnicy z pewnością chcieliby wiedzieć, czy można na nich polegać, jak również na przyznawanej przez ten magazyn nagrodzie VB100%. Niestety, również te testy nie są doskonałe. Standardy zostały opracowane w połowie lat 90. ubiegłego stulecia i od tego czasu niewiele się zmieniły. Produkty antywirusowe testowane są przy użyciu kolekcji plików zainfekowanych wirusami występującymi na wolności. Wyróżnienia przyznawane są na podstawie wyników testów. Jednak kolekcja wirusów na wolności zawiera jedynie od dwóch do trzech tysięcy plików i jest to mniej niż liczba złośliwych programów, które pojawiają się w ciągu jednego miesiąca. Dlatego wyróżnienie VB100% nie koniecznie oznacza, że dany produkt rzeczywiście zapewnia ochronę przed wszystkimi typami złośliwych programów. Oznacza jedynie, że produkt dobrze radzi sobie z kolekcją wirusów na wolności magazynu VirusBulletin.

Wniosek

Mam nadzieję, że ci, którym udało się przeczytać artykuł do końca, lepiej rozumieją teraz problemy, z jakimi boryka się branża antywirusowa i łatwiej im będzie wybrać rozwiązanie antywirusowe dla komputera domowego lub sieci. Komputer podłączony do Internetu jest jak seks - może być bezpieczny lub nie. W obu przypadkach ogromną rolę odgrywa informacja, która może uchronić przed przykrymi konsekwencjami. Na koniec życzę wszystkim przyjemnego surfowania.

Źródło:
Kaspersky Lab