Wirusy, dziury i wszechobecne „wyjątki”

Jarosław Wawer
opublikowano: 18-10-2006, 00:00

Przed nowymi wirusami mają chronić proaktywne technologie antywirusowe, lecz kto zapewni ochronę przed ludźmi?

Liczba rodzajów złośliwego kodu zwiększa się w coraz szybszym tempie. Pod tym względem rekordowy okazał się ubiegły rok. Według firmy Kaspersky Lab, pod koniec roku średnia liczba wirusów wykrywanych w ciągu miesiąca wynosiła 6368. Ogólnie liczba złośliwych programów wzrosła o 117 proc., podczas gdy rok wcześniej o 93 proc. Co więcej, znów coraz częściej słyszy się o wirusach polimorficznych, które wciąż zmieniając swój kod, są trudniejsze do wykrycia przez tradycyjne oprogramowanie antywirusowe.

Aktualizacja nie wystarczy

W chwili obecnej konieczne jest uzupełnienie tradycyjnych programów antywirusowych o technologie ochrony proaktywnej umożliwiające wykrycie złośliwego kodu bez jego wcześniejszej identyfikacji. Twórcy wirusów wiedzą, że stworzenie szczepionki neutralizującej nowy kod po jego pierwszym wykryciu zajmuje firmom odpowiadającym za bezpieczeństwo stosunkowo dużo czasu. W ten sposób szkodliwy kod, który nie został zidentyfikowany przez producentów rozwiązań antywirusowych, może utrzymać się w systemie przez bardzo długi czas, nawet mimo zainstalowania aktualnego programu antywirusowego.

— Należy pamiętać, że aktualizacja oprogramowania jest swego rodzaju zabezpieczeniem pasywnym. Aktualizacje pojawiają się, gdy wykryte zostanie zagrożenie, które już istnieje i może stanowić poważną lukę w systemach zabezpieczeń. Innym typem zabezpieczenia, stanowiącym kolejny element strategii bezpieczeństwa, jest proaktywne wykrywanie zagrożeń przy wykorzystaniu mechanizmów heurystycznych, pozwalających skutecznie likwidować nowe i nieznane dotychczas zagrożenia dzięki analizie zachowania niebezpiecznego programu — tłumaczy Filip Demianiuk, inżynier wsparcia sprzedaży z warszawskiego biura firmy Trend Micro.

Można to porównać do systemu monitoringu miasta — program nieustannie sprawdza, czy gdzieś nie jest popełniane przestępstwo, a gdy zauważy niewłaściwe zachowanie — interweniuje. W ten sposób system antywirusowy nie musi dokładnie wiedzieć, jak wygląda szkodliwy kod — wystarczy, że dokonuje oceny operacji w systemie jako potencjalnie niebezpiecznej. Z kolei rozpoznane wcześniej zagrożenia są eliminowane za pomocą sygnatur, czyli swego rodzaju „zdjęć przestępców”, nieustannie przesyłanych przez producenta antywirusa do programu zainstalowanego u klientów.

— W zasadzie każdy nasz miesięczny raport o najbardziej rozprzestrzeniających się wirusach jest dowodem, jak ważne dla twórców złośliwych kodów są luki systemowe. Są one wykorzystywane w bardzo dużym stopniu do rozprzestrzeniania się niebezpiecznych aplikacji. Jeśli pojawia się dziura w oprogramowaniu, od razu jest wykorzystywana przez twórców wirusów. Czasami wystarczy kilka godzin — ostrzega Piotr Skowroński, dyrektor techniczny Panda Software Polska.

Niebezpieczne luki

Powszechnie wiadomo, że w ciągu trzech ostatnich lat pojawiła się ogromna liczba krytycznych luk w zabezpieczeniach systemu Windows. Poważne dziury w aplikacjach tego systemu zapewniły twórcom wirusów dostęp do dziesiątek lub setek milionów komputerów na całym świecie. W końcu na przełomie wiosny i lata 2006 zaatakowany został MS Office, drugi z najważniejszych produktów Microsoftu. Luki wykryte w ciągu ostatnich miesięcy niewiele różniły się od siebie. Microsoft opublikował „łatę”, pośpieszną poprawkę. Jednak dzień po opublikowaniu „łaty” pojawiły się informacje o nowej luce.

— Żadne, nawet najbardziej zaawansowane i kompleksowe, rozwiązanie ochronne nie zapewni bezpieczeństwa, jeżeli nie zostaną pobrane aktualizacje — zarówno bazy sygnatur wirusów, jak i „łatki” do systemu operacyjnego. Niemniej warto pamiętać, że problem nie dotyczy tylko i wyłącznie pakietu MS Office. Rok 2006 jest pod tym względem przełomowy. Już w pierwszym półroczu wykryto trojana działającego na większość telefonów komórkowych oraz wirusa atakującego Mac OS X — przypomina Michał Iwan, dyrektor zarządzający F-Secure w Polsce.

Najgroźniejsi są ludzie

— W skali całego problemu zabezpieczeń najsłabszym ogniwem jest najczęściej człowiek. Dlatego też dostęp do zasobów systemowych lub jego brak powinien wynikać z przyjętej polityki bezpieczeństwa firmy. Musi zostać ona wcześniej opracowana przez odpowiedni zespół ekspertów z dziedziny bezpieczeństwa, a następnie wdrożona. Dzięki temu można bardzo precyzyjnie sterować uprawnieniami oraz eliminować ryzyko związane z błędami ludzi — wyjaśnia Filip Demianiuk.

Niestety, najczęściej nawet jeśli taka polityka bezpieczeństwa firmy została przyjęta, jest ona daleka od rzeczywistości. Wyjątki łamiące założenia przyjętej polityki wynikają z niemożliwości dostosowania oprogramowania czy urządzeń, a często także ludzi. Zaostrzenie przepisów bezpieczeństwa czy wzmocnienie autoryzacji dostępu do danych nierzadko oznacza pogorszenie komfortu pracy. Najgorzej, jeśli przeciw temu buntują się pracownicy zajmujący najwyższe stanowiska w firmie. To właśnie im najczęściej ustępują administratorzy systemów. Co gorsza, to oni posiadają w swoich komputerach najcenniejsze dla całej firmy dane.

— Niestety, nadal osobami, które mają nieograniczone prawo dostępu do zgromadzonych danych, są administratorzy i pracownicy IT. Tymczasem to również są osoby, które mogą stanowić słaby punkt. Nawet specjalistom zdarzają się zachowania nieodpowiedzialne, a także takie przypadki losowe, jak zgubienie laptopa, nie wspominając już o celowym udostępnieniu informacji firmowych — ostrzega Michał Iwan.

Przykładem, z którego warto wyciągnąć wnioski, jest ostatnie zatrzymanie przez hiszpańską policję Jose Manuela, specjalisty ds. bezpieczeństwa, który zajmował się wynajdowaniem i usuwaniem luk w systemie dużej korporacji. Jeśli nie mógł znaleźć żadnej luki, sam taką tworzył, wykorzystując swoją wiedzę o technologiach. Gdy firma zgłosiła podejrzenie włamania na serwer policji, okazało się, że Jose Manuel nielegalnie przejął kontrolę na siecią firmy i zdobył dostęp do prywatnych danych. Zmienił również hasła i dokonał innych działań, które miały pozorować przeprowadzenie ataków z zewnątrz, a na koniec policzył firmie 84 tys. euro za naprawę błędów, które sam stworzył.

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: Jarosław Wawer

Polecane

Inspiracje Pulsu Biznesu