Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Sygnatury do lamusa!

Tagi:

Marta Janus
Analityk zagrożeń, Kaspersky Lab Polska

mjanus_sygnatury_do_lamusa_web.jpg Testy programów antywirusowych są nieodłącznie związane z historią tych ostatnich. Ogromna ilość i zróżnicowanie dostępnych na rynku rozwiązań wywołują naturalną potrzebę poznania i porównania możliwości każdego z nich - bez tego wybór odpowiedniej dla nas aplikacji byłby niezmiernie trudny.

Oczywiście pierwszoplanową rolę gra tu reklama producenta, liczą się również opinie znajomych i użytkowników Internetu o danym produkcie, jednak profesjonalnie wyglądające testy zamieszczane na renomowanych portalach i w dobrze sprzedających się magazynach komputerowych nierzadko stanowią w tej kwestii wyrocznię. Niewielu ludzi ma czas i możliwości, aby wykonać podobne testy we własnym zakresie, zawierzamy więc grupie wyspecjalizowanych testerów, których opinie traktujemy z tym większym zaufaniem, im mniejszą wiedzą sami dysponujemy w danej dziedzinie.

Wszystko byłoby w najlepszym porządku, gdyby testy były zawsze wykonywane zgodnie z pewnymi regułami i standardami, dostosowanymi do zmieniających się potrzeb użytkowników i rozwijających się technologii. Niestety większość testerów stwarza swoje własne kryteria, biorąc pod uwagę zróżnicowane aspekty i stosując niejednolite metody. Na dodatek często owe aspekty nie są dość jasno sprecyzowane, a metody zdarzają się być niedoskonałe bądź nieadekwatne.

Najczęściej testowaną funkcją antywirusów, jest tzw. „skanowanie na żądanie”, czyli statyczne skanowanie plików na podstawie sygnatur zagrożeń. Jest to metoda prosta, szybka, niewymagająca rozległej wiedzy i wielkiego wysiłku ze strony testera, a jednocześnie pozwalająca tworzyć przejrzyste nieskomplikowane rankingi, na podstawie których nawet najmniej zorientowany użytkownik potrafi wyciągnąć jednoznaczne wnioski. Tutaj wszystko jest czarne lub białe - nie ma miejsca na żadne niuanse, niepewności i światłocienie. Program, który wykrył 100% wirusów jest dobry, program, który wykrył "zaledwie" 90% jest zły – koniec, kropka.

Jeśli jednak zastanowić się głębiej nad przydatnością takich testów, okazuje się, że w dzisiejszych czasach jest ona zbliżona zeru. Miały one sens powiedzmy 10 lat temu, kiedy zagrożeń było stosunkowo niewiele, a rekordy w bazach nie przekraczały liczby kilku czy kilkunastu tysięcy. Wtedy większość szkodliwych programów mogła zostać wykryta dzięki sygnaturom, a nowe zagrożenia natomiast pojawiały się na tyle rzadko, że ryzyko infekcji komputera czymś wcześniej nieznanym było znikome. Wyzwania, jakie stały przed producentami programów antywirusowych były niewygórowane, ochrona komputera polegała głównie na regularnym skanowaniu plików, a leczenie systemu - pomijając przypadki bardziej skomplikowanych wirusów infekujących – często sprowadzało się po prostu do usunięcia szkodliwych obiektów.

Dzisiaj sytuacja wygląda zupełnie inaczej. Wraz z rozwojem technologii i upowszechnieniem się Internetu pojawiły się nowe możliwości, a pisanie szkodliwego oprogramowania stało się równoznaczne z zarabianiem dużych pieniędzy. Współcześni cyberprzestępcy to świetnie zorganizowani, doświadczeni profesjonaliści, których pomysłowość jest stymulowana przez rozpościerającą się przed nimi wizję „góry złota”. Codziennie powstają dziesiątki tysięcy nowych zagrożeń, a niebezpieczeństwo czai się w Internecie niemal na każdym kroku. Program antywirusowy w dzisiejszych czasach nie tylko musi sobie radzić z wykrywaniem i leczeniem coraz bardziej skomplikowanych infekcji, ale także zapewniać codzienną ochronę przed tym, co jeszcze nieznane. Cóż więc z tego, że baza sygnatur zawiera miliony starych wpisów, jeśli program nie jest w stanie wykryć żadnej nowej modyfikacji danego trojana? Cóż z tego, że w bazach sygnatur znajdują się informacje o danym wirusie, jeśli program antywirusowy nie potrafi go wyleczyć ani usunąć szkód, które wyrządził? Wreszcie, jaki pożytek z programu, który zna sygnatury zagrożeń, ale nie potrafi zapobiec ich instalacji w systemie?

W tym świetle skanowanie na podstawie sygnatur – choć nadal powszechnie stosowane przez wszystkie rozwiązania antywirusowe – jest tylko kroplą w morzu i samo z siebie nie jest w stanie zapewnić odpowiedniej ochrony. Powoli również staje się jasne, że jeśli nowych zagrożeń będzie wciąż przybywać w podobnym tempie, bazy sygnatur szybko urosną do monstrualnych rozmiarów, a dodawanie nowego rekordu dla każdego z nich stanie się niemal niewykonalne. Już teraz można zauważyć, że środek ciężkości powoli przesuwa się w stronę mechanizmów heurystycznych i ochrony proaktywnej, wchodzą też w życie zupełnie nowe, alternatywne metody protekcji, takie jak na przykład sandboxing, czyli uruchamianie aplikacji w bezpiecznym środowisku.

Inną dyskusyjną kwestią jest metodologia wykonywania testów skanowania na żądanie. Bazy antywirusów zawierają obecnie miliony sygnatur, które chronią przed setkami milionów zagrożeń. Aby test można było nazwać rzetelnym, konieczne byłoby przeprowadzenie go na odpowiednio dużej, „reprezentatywnej” kolekcji wirusów. Powinna ona zawierać zagrożenia aktualne, z różnych rejonów świata, różnorodne ale o podobnym stopniu szkodliwości. Każdy plik powinien zostać zweryfikowany pod względem funkcjonalności – niedziałające próbki w ogóle nie powinny być brane pod uwagę. Jednak przygotowanie takiej kolekcji byłoby niezmiernie czasochłonne, więc w kolekcjach wirusów używanych przez testerów często można znaleźć duży odsetek plików uszkodzonych, tekstowych, bądź fałszywych alarmów – słowem: niegroźnych śmieci. Ponadto nawet w przypadku najbardziej starannej kolekcji i najbardziej profesjonalnej metodyki trzeba się liczyć z wystąpieniem „błędu statystycznego”, nie można też zapominać o fakcie, że skanowanie na podstawie sygnatur jest jedną z wielu składowych kompleksowej ochrony.

Współczesny Internet obfituje w różnego rodzaju zagrożenia. Od współczesnych rozwiązań antywirusowych oczekuje się więc dużo więcej, niż prostego zabezpieczenia przed wirusami. Kompleksowa ochrona komputera powinna być wyposażona w moduł heurystyczny i proaktywny, obejmować takie elementy, jak zapora sieciowa, filtr antyspamowy, kontrola rodzicielska czy ochrona tożsamości, a także posiadać inne przydatne funkcje, np. przywracania systemu i danych bądź, uruchamiania aplikacji w bezpiecznym środowisku. Wszystkie te elementy, a także wiele innych – mniej ważnych (interfejs, dokumentacja, pomoc techniczna), powinny być brane pod uwagę przy testowaniu tego rodzaju oprogramowania.

Źródło:
Kaspersky Lab