Apetīte rodas ēdot, turklāt, ja ņem vērā, ka “zombētie” datori regulāri tiek izārstēti un tiem tiek uzstādītas aizsardzības programmas, tad pagrīdes darboņiem jādomā, kā pārsteigt arī aizsargātus datorus. Tiek lietoti dažādi paņēmieni, lai paaugstinātu uzbrukumu ātrumu un slēptu tos no IT drošības kompānijām. Piemēram, tiek likti lietā kaitīgie kodi, kas plānveidīgi, izvairoties no specifiskām e-pasta adresēm, lai kavētu antivīrusu gatavību, tiek izplatīti ar surogātpasta metodēm. Nesenais incidents ar tārpu Bagle, kad īsā laikā uz iepriekš savāktām adresēm viena pēc otras tika izsūtītas ar dažādiem pakotājiem sagatavotas tārpa kopijas bez pašizplatīšanās funkcijas, ir raksturīgs piemērs. Protams, draudīgās tendences apzinās arī IT drošības industrija. Šobrīd cīņai ar datorvīrusiem un citām kaitīgajām programmām pārsvarā tiek izmantoti tā saucamie reaktīvie jeb signatūru antivīrusi, kas lielā daļā gadījumu ir gatavi atvairīt draudus tikai pēc pretlīdzekļa izstrādes un izplatīšanas lietotājiem. Lai gan signatūru antivīrusos tiek izmantota arī heiristiskā analīze un kaitīgā koda darbības emulācija jaunu datorvīrusu identifikācijai, tie diemžēl nevar nodrošināt jaunu nepazīstamu kaitīgo kodu detektēšanu ievērojamā daļā gadījumu. Šajā ziņā interesantus testus ir sācis projekts AV-Comparatives.org. Šā projekta dalībnieki uz vairākiem mēnešiem “iesaldē” pārbaudāmos antivīrusus un pēc tam veic testus uz kaitīgo programmu paraugiem, kuras tapušas zināmas šo mēnešu laikā. Patlaban tie, visticamāk, ir apjomīgākie šāda veida testi, kuri pēdējo reizi veikti 2004. gada novembrī, bet antivīrusu programmas, kas tika testētas, pēdējo reizi pirms testa tika atjauninātas 2004. gada 6. augustā. Kopējie rezultāti uz jaunu nezināmu kaitīgo programmu detektēšanu nebūt nav tādi, kādus sola reklāmas prospekti un mārketinga speciālisti, bet dažiem antivīrusiem tie ir itin labi: • NOD32 49% • Kaspersky 43% • BitDefender 35% • Dr. Web 32% • McAfee 29% • Panda 21% • Symantec 19% • Sophos 13% • H+BEDV 12% • F-Prot 9% • RAV, Avast 8% • TrendMicro 4% Lai aina par to, ko spēj signatūru skaneri, būtu pilnīgāka, apskatīsim arī šā gada februārī projekta AV-Comparatives.org publicētu testu kopējos rezultātus uz ļoti lielu zināmo kaitīgo programmu paraugu kolekciju: • Kaspersky 99.65% • Symantec 98.31% • McAfee 98.04% • NOD32 95.50% • F-Prot 95.28% • RAV 94.05% • BitDefender 94.02% • Dr.Web 93.91% • TrendMicro 91.31% • H+BEDV 91.09% • Avast 90.81% • Sophos 90.10% • AVG 86.03% Līdz ar to jebkura signatūru risinājuma izmantošanas gadījumā dators tiek pakļauts lielākam vai mazākam riskam inficēties ar jaunu kaitīgo programmu, un šis risks ir tieši atkarīgs gan no izmantojamā produkta spējas identificēt jaunus nepazīstamus draudus, gan no produkta ražotāja reakcijas ātruma uz tiem, izlaižot signatūras. Nedaudz atkārtosimies, lai tie, kas nav lasījuši par to iepriekš, gūtu priekštatu par stāvokli, kādu ikgadējā konferencē Virus Bulletin 2004 pagājušā gada rudenī prezentēja Magdeburgas universitātes un AV-Test GmbH kopīgais projekts AV-Test.org, aptverot 45 īpaši bīstamu kaitīgo kodu parādīšanos: • mazāk nekā 2 stundas: neviens! • mazāk nekā 4 stundas: Kaspersky un Bitdefender • mazāk nekā 6 stundas: AntiVir, Dr. Web, F-Secure, Panda un RAV • mazāk nekā 8 stundas: Quickheal un Sophos • mazāk nekā 10 stundas: AVG, Command, F-Prot, Norman, Trend Micro un VirusBuster • mazāk nekā 12 stundas: Avast and eTrust (CA) • mazāk nekā 14 stundas: Ikarus un McAfee • mazāk nekā 16 stundas: eTrust (VET) un Symantec (Intelligent Updates, bet ne LiveUpdates, kas tiek atjauninātas retāk) Par laimi, arī datorvīrusu epidēmiju attīstības dinamika dod zināmu laiku signatūru izlaišanai, kas pietiekoši ātras reakcijas gadījumā tomēr ļauj pasargāt vairākumu lietotāju. Tā, piemēram, apskatot e-pasta datorvīrusa Zafi.d epidēmiju Latvijā pagājušā gada beigās, redzams, ka antivīrusu kompānijām bija aptuveni 16 stundas no vīrusa atklāšanas līdz epidēmijas sākumam. Tātad ar vidējo reakcijas laiku mazāk nekā 4 stundas ir pilnīgi pietiekoši, pat mazāk nekā 8 stundas var paglābt, toties vidējais reakcijas ātrums 10, 12, 14 vai pat 16 stundas jau pakļauj lietotājus paaugstinātam riskam, tā kā vidējā reakcija, piemēram, 15 stundās var nozīmēt pretlīdzekli konkrētam datorvīrusam pat tikai 30 stundu laikā! Bet ko darīt, ja datorvīruss būs tik ātrs, ka neatstās laiku reaģēšanai pat visātrākajām antivīrusu kompānijām? Ka tas potenciāli ir iespējams, liecina dažādi pētījumi. Ir pat veiktas datorsimulācijas dažādiem tīkla tārpu izplatīšanās algoritmiem, un jāatzīst, ka rezultāti neatstāj gandrīz nekādas cerības signatūru identifikācijas metodei. Arī kaitīgo kodu izplatīšana ar surogātpasta metodēm no daudziem avotiem (“zombētiem” datoriem) vienlaikus var dot ļoti augstu rezultējošo ātrumu. Līdz ar to aizsardzības produktu izstrādātājiem neatliek nekas cits, kā pastiprināti pievērsties papildu aizsardzības metodēm, kam nav nepieciešamas signatūras. Viens no tādiem pamatlīdzekļiem, kas jau ir zināms vismaz 13 gadus un arī līdz šim ticis izmantots daudzos produktos, ir tā saucamā uzvedības bloķēšana (behaviour blocking). Pašlaik arī tradicionālo signatūru antivīrusu kompānijas ķērušās pie šādu produktu komponenšu izstrādes un dažas no tām jau ir nonākušas līdz tirgum. Šobrīd viens no visskaļāk IT presē pasniegtajiem šādiem projektiem, kurā izmantota arī uzvedības bloķēšana, ir Panda Software produkts TruPrevent. Neiedziļināsimies tā tehniskajās niansēs, jo pieejamā informācija ir fragmentāra un arī produktā un tā pozicionējumā, pēc informācijas presē, notiek izmaiņas. Visus pārsvarā interesē, cik efektīvs darbā ir jaunais produkts, ko PC Magazine nesen atļāvusies nosaukt par “unusual tool”. Tā jau iepriekš minētais Magdeburgas zinātnieku projekts AV-Test.org pēc PC Magazine ASV redakcijas lūguma ir veicis TruPrevent testus. Tajos TruPrevent ir spējis bloķēt divas trešdaļas no jaunu nezināmu kaitīgo programmu kolekcijas un nevienu no derīgajām programmām, kas arī nav mazsvarīgi. Tomēr nav izticis arī bez pārsteigumiem. Tā kāds jauns Bagle variants testos ir izslēdzis Windows ugunsmūri, kas ir kliedzoši aizdomīga uzvedība no kaitīgās programmas puses, bez nekādas TruPrevent reakcijas, kamēr vīrusa tālākie centieni ielādēt kaitīgu programmu no interneta tikuši apturēti. Divas trešdaļas (67%) ir vairāk nekā tradicionālo skaneru labākie rādītāji, kas dažādos AV-Comparatives.org testos ir 43-53%, tomēr atšķirība nav milzīga un praksē skaneriem talkā nāk dažādas antivīrusu paketēs iekļautas specializētas komponentes, kas vēl nedaudz sadeldē starpību. Ir arī vēl viens vērtējums - no ICSA Labs. Rezultāts šķietami labs – no 93 programmām nobloķētas 92. Tomēr ICSA Labs izmēģinājumā atšķirībā no AV-Test.org testiem TruPevent ir pārbaudīts jau sen zināmu kaitīgo programmu bloķēšanai. Par to liecina ICSA Labs izmantoto vīrusu nosaukumi, piemēram, Sircam, Nimda, PrettyPark, Klez utt., kas jau kļuvuši par datorvīrusu vēstures klasiku. Jebkurš pieklājīgs signatūru antivīruss šādā testā uzrādītu 100% jeb identificētu visas 93 programmas. Īstenībā arī bezsignatūru aizsardzības komponentes laika gaitā tiek atjauninātas, parādoties jauniem draudiem, tāpēc nav īsti saprotams, kāpēc produkts, kurš radīts galvenokārt, lai stātos pretī jaunām kaitīgajām programmām, tieši pretēji, ticis testēts uz vecām. Varbūt vienīgi, lai pārliecinātos, ka tas vispār kaut kā strādā un nevar pilnībā aizstāt signatūru risinājumus. No TruPrevent piemēra redzams, ka šādi produkti spēj samazināt inficēšanās risku laika posmā no draudu parādīšanās līdz signatūras izstrādei, tomēr pietuvoties kārotajiem 100% jaunu kaitīgo programmu bloķēšanā tiem pagaidām nav izdevies. Tātad veltīgi ir arī cerēt, ka tie vājus signatūru risinājumus pārvērtīs superantivīrusos, jo jauniegūtais labums (riska samazinājums) lielā mērā vai pilnībā var tikt konpensēts ar tādiem trūkumiem kā liels reakcijas laiks, maza signatūru datubāze u.c. Pat viduvējs signatūru antivīruss ar viduvēju proaktīvo aizsardzību, kurā izmantota arī uzvedības bloķēšana, var izrādīties vājāks par labākajiem tradicionālajiem produktiem. Ir sagaidāms, ka jau tuvākās nākotnes risinājumi būs balstīti uz reaktīvās un proaktīvās aizsardzības metožu ciešu integrāciju un abām būs jābūt realizētām augstā līmenī, lai nodrošinātu aizsardzību atbilstoši augošajām prasībām. Tā kā uzvedības blokatori arī prasa sava veida atjaunināšanu, ļaundari var pacensties speciāli sagatavot kaitīgās programmas, kas spēj apiet konkrētas aizsardzības programmas. Tas ļoti atgādina situāciju ar signatūru antivīrusiem, tikai jau augstākā līmenī. Bet varbūt tas arī ir datorvīrusu evolūcijas nākamais mērķis? Katrā ziņā proaktīvās aizsardzības laukā gaidāms daudz jaunumu, tāpēc sekosim līdzi produktu tālākai attīstībai, kā arī gaidīsim jaunus produktus. Par to, ka tādi top, būs iespējams pārliecināties pavisam drīz izstādē Baltic IT&T 2005, kas notiks 6. – 9. aprīlī. Uz izstādi, lai uzreiz pēc tās atklāšanas uzstātos ar semināru/prezentāciju, ieradīsies antivīrusu kompānijas Kaspersky Lab galvenais stratēģis - stratēģiskās attīstības un analītisko pētījumu nodaļas vadītājs Andrejs Ņikišins. Šis cilvēks, kura pārziņā ir veselas antivīrusu kompānijas nākotnes vīzijas, gatavojas runāt tieši par proaktīvo aizsardzību.