W ciągu ostatnich dwóch lat Thierry Zoller, specjalista od zabezpieczeń komputerowych w firmie n.runs, badał sposób, w jaki programy antywirusowe skanują pliki, ze szczególnym uwzględnieniem sprawdzania załączników do wiadomości e-mail. Doszedł do wniosku, że osoby próbujące podnieść bezpieczeństwo przez wykorzystanie więcej niż jednego silnika antywirusowego mogą raczej doprowadzić do pogorszenia sytuacji. Dlaczego? Błędy, tzw. podatności w oprogramowaniu antywirusowym analizującym różne formaty plików mogą być łatwo wykorzystane przez cyberprzestępców. W efekcie używanie kilku takich aplikacji zwiększa ryzyko udanego ataku na chroniony przez nie komputer. Oprogramowanie musi otwierać pliki w setkach, jeśli nie w tysiącach formatów, a wystarczy jeden błąd w silniku skanującym, żeby stworzyć poważne zagrożenie.
"Ludzie myślą, że zainstalowanie drugiego programu antywirusowego w komputerze poprawia w jakiś sposób bezpieczeństwo. Są przekonani, że jeśli jeden program nie wychwyci wirusa, zrobi to drugi. Jednak w ten sposób nie zmniejsza się płaszczyzna ataku. Wręcz przeciwnie" - uważa Zoller.
Niezałatane luki
Zoller i jego współpracownik Sergio Alvarez wspólnie analizowali problem przez ostatnie kilkanaście miesięcy. Udało im się znaleźć aż 80 podatności w silnikach skanujących popularnych programów antywirusowych, a opisy poszczególnych luk zamieścili na stronie internetowej. Większość z nich nie została dotychczas poprawiona przez producentów. Spora część umożliwia hakerowi uruchomienie wybranego przez siebie kodu na komputerze ofiary. Problem dotyczy w znacznym stopniu najpopularniejszych programów antywirusowych.
Chociaż hakerzy od paru lat z powodzeniem wykorzystują luki w przeglądarkach internetowych, zdaniem Zollera problem z antywirusami jest poważniejszy. Prawie każdy ma zainstalowany program tego typu, często z wyższymi niż przeglądarka internetowa, administracyjnymi uprawnieniami. Dlatego luki w antywirusach mogą w przyszłości doprowadzić do poważnych problemów. To z kolei prowadzi do wniosku, że programy te nie spełniają swojego zadania. Wystarczy jeden spreparowany e-mail, żeby włamać się do komputera.
Niesprawne antywirusy
Testy antywirusów mające wykryć podatności polegały na zalewaniu programów masą spreparowanych danych i obserwowaniu, czy dana aplikacja przestanie działać. W latach 2002-2005 niemal połowa wykrytych luk w oprogramowaniu antywirusowym mogła być wykorzystana zdalnie. Obecnie udział takich niedociągnięć wynosi niemal 80 procent. Zoller uważa, że może pomóc walczyć z tym zagrożeniem; n.runs przygotowuje produkt o roboczej nazwie ParsingSafe, który ma chronić przed atakami wykorzystującymi luki w silnikach antywirusowych.
Inaczej problem widzi Russ Cooper, naukowiec z Verizon Business. "Badania opierają się na założeniu, że cyberprzestępcy są coraz lepsi w wykorzystywaniu podatności. Opublikowana lista podatności faktycznie wygląda zatrważająco. Mimo to do tej pory nie spotkaliśmy się z przypadkami ich wykorzystania" - krytykuje wnioski przedstawione przez Zollera. Wprawdzie zgadza się, że braki w silnikach skanujących stanowią zagrożenie, ale wymienia kilka czynników, które sprawiły, że do tej pory cyberprzestępcy ich nie użyli. Po pierwsze, obecnie wykorzystywane metody, np. rozsyłanie szkodliwego oprogramowania w wiadomościach elektronicznych, okazują się skuteczne. Po drugie, kwestie bezpieczeństwa są poważniej traktowane i wszelkie dziury, które są wykorzystywane przez cyberprzestępców, zostają szybko załatane.
Rzecznik firmy eEye Marc Maiffret wyjaśnia, że producenci oprogramowania ochronnego od dawna wiedzą o tych problemach. Jego zdaniem "programy ochronne zawierają luki, tak jak każde inne oprogramowanie. Zatrudniamy tych samych programistów, którzy chodzili do tych samych szkół, co ich koledzy w Microsofcie, i mają te same nawyki".
Zoller twierdzi, że jest krytykowany przez swoich kolegów z branży za "podważanie spoiwa, które trzyma razem branżę bezpieczeństwa komputerowego". Jednocześnie wierzy, że publicznie mówienie o problemach z antywirusami skłoni ich producentów do załatania dziur i rozwiąże tę istotną kwestię.
Antywirusy nie nadążają
Niestety, na lukach nie kończą się problemy z antywirusami. Jeśli uważasz, że najnowszy pakiet ochronny całkowicie zabezpieczy komputer przed szkodliwym oprogramowaniem, możesz się pomylić. Pojawiają się opinie, że antywirusy nie są już w stanie nadążyć za rozwojem szkodników. Cyberprzestępcy wypuszczają złośliwe oprogramowanie, które jest w stanie pokonać najlepszy program ochronny. Motywowani przez perspektywę szybkiego zarobku, hakerzy wykorzystują nowoczesne laboratoria testowe i inne zaawansowane techniki do tworzenia coraz skuteczniejszych wirusów. W dodatku odnoszą sukcesy.
Badania pokazują, że nowe szkodniki potrafią ominąć programy chroniące komputer. W testach przeprowadzonych przez amerykańską redakcję PC Worlda tylko co czwarty nowy szkodnik został wykryty z wykorzystaniem funkcji heurystycznych (znajdujących jeszcze niezidentyfikowane, niezapisane w definicjach wirusów złośliwe oprogramowanie). Rok wcześniej w podobnym teście antywirusy wykrywały około połowy nowych szkodników.
Testowanie wirusów
Hiep Dang z McAfee's Avert Labs uważa: "W branży bezpieczeństwa, inaczej niż w innych obszarach IT, mamy przeciwnika, z którym musimy walczyć. A cyberprzestępcy korzystają z elementu zaskoczenia". Nawet zaledwie dwunastogodzinna przewaga może przełożyć się na tysiące zainfekowanych komputerów. Autorzy szkodników mają dużo czasu na przetestowanie swoich produktów w starciu z antywirusami, zanim wypuszczą je na wolność. Witryna VirusTotal i podobne pozwalają zarówno specjalistom od bezpieczeństwa, jak i użytkownikom przesyłać podejrzane pliki do sprawdzenia. Pliki są skanowane z wykorzystaniem 30 różnych silników antywirusowych. Przy okazji witryny tego typu ułatwiają testy autorom wirusów, którzy mogą tak długo przesyłać pliki z nowym szkodnikiem, aż w końcu wirus nie zostanie wykryty lub przeoczy go większość programów antywirusowych.
Dobry kontra zły?
Takie zachowanie autorów wirusów da się jednak wykorzystać przeciwko nim. Kiedy serwis VirusTotal otrzyma próbkę, może podzielić się informacją o groźnym szkodniku z twórcami antywirusów. Jednak daje użytkownikom wybór, czy zgadzają się na przesłanie próbek do producentów oprogramowania ochronnego. Serwis oferuje taką opcję, żeby ludzie mogli sprawdzać pliki z poufnymi danymi bez ryzyka wycieku informacji. Niektóre organizacje przestępcze poszły o krok dalej i stworzyły własne laboratoria testowe na wzór VirusTotal.
Możliwość przetestowania wirusa przed jego publiczną "premierą" pozwala tworzyć szkodniki coraz trudniejsze do wykrycia. Dlatego odpowiedzialny użytkownik nigdy nie powinien uważać, że jego komputer jest całkowicie odporny na ataki. Przykładowo, prawie każdego dnia specjaliści z SecureWorks wykrywają nowe warianty trojana PRG, powstające z wykorzystaniem programu do tworzenia szkodników. A gdy pojawia się nowa wersja wirusa, z reguły tylko 25 procent antywirusów potrafi ją wykryć.
Jakkolwiek źle to wygląda, nie zachowuj się biernie, oczekując na nieuchronną infekcję. Program antywirusowy może całkiem nieźle chronić komputer, w miarę jak ich twórcy uczą się na nowych próbkach. W pełni zaktualizowany pakiet ochrony zabezpieczy cię przed zdecydowaną większością szkodliwego oprogramowania, jak konie trojańskie, keyloggery czy programy szpiegowskie.
Firmy zajmujące się bezpieczeństwem są świadome skali wyzwania, jakim jest dotrzymanie kroku twórcom szkodników. McAfee i Symantec koncentrują się na rozwijaniu nowych warstw ochronnych, jak zapory sieciowe czy skanery heurystyczne, które rozpoznają szkodliwe oprogramowanie na podstawie charakterystycznych zachowań.
W ciągu zaledwie ostatniego roku powstało mniej więcej tyle samo złośliwych aplikacji, co przez ostatnie 20 lat, a w porównaniu z rokiem 2006 liczba nowych wirusów wzrosła o 100 procent. Mniej jest zupełnie nowych szkodników, za to istniejące są wypuszczane w coraz nowszych wariantach, które wykorzystują dobrze znane, ale ulepszone techniki. Liczba nowych mutacji przyrasta w tempie geometrycznym.
Kolejnym problemem jest szybkość rozprzestrzenia się zagrożeń w Internecie, co ilustruje schemat opracowany w firmie Symantec. Obecnie może to trwać kilka godzin, a mieliśmy też do czynienia z pojedynczymi zagrożeniami "warholowskimi" (np. robak Slammer), w wypadku których globalna infekcja następuje po ok. 15 minutach. Wkrótce możemy spodziewać się zagrożeń błyskawicznych, które będą infekowały Internet w czasie liczonym w sekundach. Klasyczne antywirusy nie radzą się z zagrożeniami "warholowskimi" i błyskawicznymi, ponieważ muszą najpierw pobrać zaktualizowane definicje wirusów, a te pojawiają się z opóźnieniem.
W ciągu zaledwie ostatniego
Stań po jasnej stronie mocy
Wielowarstwowa ochrona jest ważna, ale najważniejszym elementem jest użytkownik. Testy antywirusów i różne analizy pokazują, że żaden program nie zapewnia kompletnej ochrony. Zawsze znajdzie się jakiś dociekliwy i kreatywny osobnik, który odkryje sposób obejścia zabezpieczeń określonego programu ochronnego.
Jednak możesz być trudniejszym celem dla szkodliwego oprogramowania pod warunkiem przestrzegania podstawowych środków ostrożności. Cyberprzestępcy są szybcy w wykorzystywaniu nowych luk w oprogramowaniu, dlatego należy instalować najnowsze aktualizacje. Często hakerzy wykorzystują obok umiejętności programistycznych również socjotechnikę. Jeśli założysz, że każda niespodziewana wiadomość z załącznikiem od obcej osoby jest atakiem, uchronisz się przed wieloma infekcjami. Autorzy szkodników mogą mieć chwilową przewagę nad programem antywirusowym, ale jeśli użytkownik przestrzega zasad bezpieczeństwa i korzysta z oprogramowania ochronnego, nie zrobią mu krzywdy.
Rafał Janus
