Včasná diagnóza, polovica úspechu pri terapii

Nedávny prípad Blaster je ukážkou toho, ako postihne vírus nedbalých užívateľov operačného systému. Vieme že existuje operačný systém, ktorý používa väčšina užívateľov. Žiadny softvér nie je bez chýb, ani tento operačný systém.

Akonáhle sa zistí nejaká bezpečnostná diera v systéme, poskytovateľ systému vydá opravu, ktorá je k dispozícii na stiahnutie prostredníctvom webu. Je to na jedno kliknutie a bezpracne sa vám inštaluje nový update. Keď sa informácia o tomto update objavila na webe, drvivá väčšina počítačov si to automaticky update-la a mali pokoj. Možno práve toto upozornilo tvorcu vírusu Blaster, že by to mohol využiť. Vírus by vlastne napadol všetkých neaktualizovaných užívateľov. Tí začali samozrejme nadávať aký je ten systém nanič a ako im spôsobil problémy. Pritom o mesiac skôr bol už update k dispozícii. V momente keď vírus dorazil na Slovensko, už bol 12 hodín detekovaný, takže ten kto mal nastavené updaty na antivírus bol ochránený. Aj tento príklad ukazuje, že častokrát vírus napáda tých ľudí, u ktorých bezpečnostné ponímanie nie je na vysokej úrovni.

Vírusy a červy

V súčasnosti sú medzi tvorcami vírusov šíriacimi sa internetom populárne tzv. červy. Nejde ani o vírus v pravom slova zmysle, pretože typický vírus napadne súbor, skopíruje sa do druhého súboru a odtiaľ do ďalšieho. Červ je niečo ako vírus, ktorý sa „našije“ naraz do rôznych súborov a adresárov a je tam ako keby zabetónovaný. Ako keď okupanti obsadia mesto a obsadia aj elektráreň, aj letisko, aj hlavné námestie. Odstránite ich z námestia, ale ešte stále svoje posily dopĺňajú z letiska, či elektrárne. Červ môže zo seba vypúšťať deštrukčné programi. Napríklad jeden známy internetový červ, ktorý sa šíril v minulosti niesol v sebe iné ďalšie vírusy rôznych autorov, ktoré tvorca červu pozbieral po internete. Napadnutý počítač sa potom tváril ako keby sa zavíril inými vírusmi. V skutočnosti sa červ snaží potom čo napadne počítač istú dobu iba množiť a nespôsobovať škodu. Pretože množenie si užívateľ nevšimne tak ľahko. Možno iba podozrivo často odosiela poštu. Pri desiatkach, či stovkách správ denne to nie je zaujímavé. Ale tým, že by ten vírus začal nápadne škodiť, keby napríklad začal zmazávať údaje, tak okamžite zistíte, že niečo nie je v poriadku. Ale keď sa dva týždne iba množí, tak jeho prítomnosť veľmi ľahko prehliadnete. Čím je vírus viac škodlivý, tým menej sa šíri. Akonáhle napácha veľa škody, každý si ho všimne. Dá sa to porovnať so SARS-om. Čím má vírus dlhšiu inkubačnú dobu, tým viac môžu ľudia cestovať po svete a viac ľudí nakaziť. Akonáhle má vírus krátku inkubačnú dobu, tak nakazí síce hostiteľa, ale než to ten hostiteľ niekomu odovzdá, tak ho vlastne usmrtí. Veľmi nebezpečné vírusy svojou nebezpečnosťou pracujú aj proti sebe, proti svojej schopnosti sa ďalej šíriť. U červov je liečenie komplikovanejšie, preto sa na ne píšu špeciálne algoritmi a niekedy ani nie je možné vymyslieť jednoduchý spôsob liečenia červa len preto, lebo využíva nedokonalosť v operačnom systéme, ktorú ani ten antivírus nie je schopný zaplátať. Tá musí byť ako keby najskôr opravená z hľadiska dodávky operčného systému. Až následne po tom je možná antivírusová detekcia vírusu. Ten patch, teda tú záplatu, musí samozrejme dodať výrobca operačného systému. Iný príklad je vírus, ktorý sa šíri e-mailovovu komunikáciou. Každý antivírusový program má niekoľko úrovní ochrany, hlavne v tej korporátnej sfére je to veľmi dôležité. Udeľuje sa aj tzv. ICSA certifikát, čo nie je nič iné ako ohodnotenie skenovacie enginu. ICSA.net, skupina patriaca pod Gartner Group, pod poradenskú a prognostickú organizáciu, systém certifikujú z hľadiska toho ako vám komplexne chráni počítač keď je nasadený v sieti. Niekoľkoúrovňová ochrana znamená, že ak máte napríklad na poštovom serveri servrovú edíciu ochrany, tak tá už je schopná odchytiť zavírenú správu. Môže sa ale stať že obdržíte zazipovaný dokument a je zaheslovaný. Do takéhoto dokumentu už antivírus neprenikne. Príde táto správa na desktop, kde ju skontroluje druhá úroveň, ak máte plug do poštového klienta, ktorého používate. Ak škodcu ani tam antivír nezaregistruje, pretože je súbor zazipovaný, zaheslovaný, potom si tento súbor uložíte na pevný disk a následne rozbalíte. V tom monemte nastupuje opäť ochrana, ktorá kontroluje diskové služby. Tým, že si vytvárate súbor na disku, otvárate ho na zápis a tak sa opäť aktivujú rezidentné ochrany.

Ochrana

Vývoj a následné testovanie softvérových produktov ešte pred tým ako sa uvedú na komerčný trh je dosť zložitou, nákladnou a dlhotrvajúcou záležitosťou. Napriek tomu už na Slovensku máme 7. verziu antivírusového programu AVG. Jeho programový kód je výrazne prepracovaný, upravený a optimalizovaný do takej miery, aby poskytoval čo najvyšší skenovací výkon a zachoval si pritom čo najväčšiu mieru kompatibility so všetkými existujúcimi verziami OS MS Windows. Tento AV-systém používa technológiu spoločného detekčného jadra. Kedysi v minulosti mali totiž antivírusy problém s tým, že skener mal nastavené plnohodnotné vyhľadávacie funkcie, na ktoré nadväzoval rezident, ktorý musel pracovať rýchlo. Preto sa podarilo vyhľadať len tie najfrekventovanejšie vírusy. Dnes je definovaných zhruba 1000 vírusov, ktoré prostredníctvom Virus bulletin vkladané do testov. Ked softvér dokáže chytiť 100% z tejto vzorky, potom už ostatné vírusy nie sú zaujímavé. AVG tým, že je vytvorené pre operačný systém Windows, má detekčné jadro, ktoré beží ako služba na pozadí. Jednotlivé komponenty systému, e-mailový skener, súborový skener, makroskener atď. nerobia nič iné, iba sprostredkúvajú komunikáciu danou aplikáciou (s Wordom, Excelom, či Outlookom). Ak sa niečo detekuje, podozrivé vzorky sa odoberú a podávajú servru na testovanie, kde sa vyhodnocujú. Výsledkom je, že ktorákoľvek časť AVG, či už je to skener, rezident, alebo e-mail má 100% detekčnú schopnosť, vždy kontroluje spločné jadro. Technológia detekčného jadra dáva uživáteľovi istotu, že sa môže na výsledok testu spoľahnúť nech bol realizovaný akýmkoľvek komponentom z hľadiska užívateľského rozhrania.

Testy

Komplexný test je tá súčasť, kedy program testuje všetky súbory, ktoré môžu byť nositeľmi vírusov. Všetky systémové oblasti, poštové priečinky postupne prejde jednotlivými metódami, aby mal istotu, že mu nič neunikne. Ako prvý prichádza do úvahy test integrity, teda či súbor bol, alebo nebol modifikovaný od posledného testu. Druhý je sken, test ktorý vyhľadáva na základe známych reťazcov. Vieme, že napr. určitý vírus má v sebe postupnosť inštrukcií F8AB4C a v žiadnom inom softvéri sa takýto reťazec nevyskytuje. Potom príde na rad heuristický test, akási inteligentná metóda, ktorá sa snaží zistiť čo ten program robí a či náhodou neobsahuje nejaké škodlivé informácie. Je to ako keď chodíte po obchode a vidíte, že niekto sa priveľmi často pozerá k pokladni a robí podozrivé pohyby s rukami. Poviete si, ten človek sa podozrivo chová. Asi to bude zlodej. Tak isto ak heuristika vidí, že sú tam nejaké inštrukcie, ktoré idú podozrivo po sebe, tak môže užívateľovi povedať: Pozor, tento súbor je podozrivý na vírus! Potom sú ešte špeciálne testy, ktoré sú algoritmami na veľmi nebezpečné vírusy, čiže sa nehľadá nejaký typ vírusu, ale konkrétny vírus. Takto je mimo bežných testov ešte pre istotu skontrolovaná konkrétna vírusová nákaza. Keď všetky tieto testy nad súborom prebehnú, súbor je v prípade, že sa nič nenašlo, považovaný za čistý. V opačnom prípade za zavírený. Technológia detekčného jadra je tak rýchla, že celý proces kontroly trvá na jednom súbore rádovo stotiny sekundy. Test celého počítača trvá dve-tri minúty.

Karanténa

V prípade že sa detekuje vírus, tak sa napadnutý súbor vloží do vírusového trezora. Je to vlastne akási karanténa, ktorá užívateľovi počítača umožní, aby nenarobil ešte viac škody. Jeho úlohou je bezpečne (t.j. v kódovanej podobe) uchovať v špeciálnom adresári umiestnenom na pevnom disku všetky nevyliečiteľné objekty, ktoré počas svojej činnosti identifikuje rezidentný štít a klasický skener. O objektoch uložených v trezore sú k dispozícii nielen všeobecné, ale aj detailné informácie. V prípade potreby je možné po vykonaní nových aktualizácií databázy vírusových reťazcov jednotlivé infikované objekty liečiť, exportovať, odstrániť alebo zaslať na analýzu do spoločnosti Grisoft. Samozrejme u jednoduchých vírusov dokáže AVG súbor aj vyliečiť.

Užívateľské rozhranie

Napriek tomu, že nie ste vírusovým odborníkom, máte možnosť byť ochránený tak, ako keby ste zamestnávali špecialistu na vírusy. Všetko čo by odborník robil zložitým spôsobom, umožňuje AVG jediným stačením tlačidla. Kompletný test, zálohovanie, obnova systémových oblastí, aktualizácia. Aby však aj administrátor, teda odborník získal čo potrebuje, AVG má jednu nikátnu vlastnosť. Má dve užívateľské rozhrania. Základné a pokročilé. Zatiaľ čo základné je určené užívateľom, ktorí nemajú veľmi veľké skúsenosti s prácou s počítačmi, to pokročilé je pre administrátorov. Aj pri antivírusovom systéme platí, že užívateľ musí dostať silný nástroj, ale jednoduchý na používanie. Veď 99% užívateľov ani nevie čo znamenajú pojmy ako heuristická analýza, sken na základe reťazcov, test na makrovírusy a pod. Mnohé organizácie ani nemajú pre svoju počítačovú sieť administrátora. Bežná obchodná firma má obchodníkov, má pokladníčky, má skladníkov, ale nemá administrátora. AVG aj keď umožňuje užívateľskú konfiguráciu a dosť rozsiahlu, ale základné užívateľské rozhranie má jednoduché. Pretože jediné čo častokrát užívateľ povie: Chcem to otestovať. A poriadne! Trhu jasne ukazuje o čo majú ľudia záujem. Škatuľový produkt je veľmi obľúbený. Ide predovšetkým o klasickú ochranu jedného PC, ak si ho zákazník vyberie a nainštaluje na počítač, má aktualizačnú podporu 24 mesiacov cez sieť AKAMAI - to znamená, že nie je jeden aktualizačný server (www.grisoft.cz), ale niečo ako kedysi boli BBS-ky, teda sieť serverov vo svete. V prípade, že v rámci vírusovej infekcie jeden server vypadne, nič sa nedeje, zastúpi ho ďalší.

Konkurencia

Od drvivej väčšiny konkurencie západných krajín sa AVG odlišuje svojou regionálnou príbuznosťou. Vznikol v tomto regióne, centrála vývoja je v Brne, pracoviská sú umiestnené v USA. Tým je dané to, že systém dokáže rýchlejšie reagovať na vírusy vznikajúce u nás, v krajinách strednej a východnej Európy. Kedysi práve slovenský vírus bodoval v rebríčku svetových nákaz, no teraz sa zdá že z hľadiska zdrojov vírusov sú horšie tie, čo pochádzajú z krajín ako Filipíny, alebo Južná Amerika, ale je len otázka času kedy sem dorazí niečo z krajín bývalého „ostbloku“, kde je ešte obrovské množstvo šikovných programátorov, ktorí nemajú až také veľké pracovné vyťaženie, aby sa nemohli venovať aj niečomu inému. S regionálnou príbuznosťou súvisí aj možnosť komunikácie s dodávateľom v slovenskom jazyku. To by ste s centrálou ktorá vyvíja softvér v Amerike urobiť nemohli.

„Sme primárne orientovaní na tento trh. To znamená že slovenskí užívatelia sú pre nás najdôležitejší. Z hľadiska svetového producenta je Slovensko nejakou krajinou, ktorá mu urobí 0,5 promile obchodného obratu a nebude venovať pozornosť tomu, aby napríklad systém odladil tak, aby bežal aj na lokalizovaných verziách operačného systému, lebo sú tam určité odlišnosti. To čo funguje na anglickej verzii, nemusí na českej či slovenskej.“ dodáva Dušan Peško, predseda predstavenstva a riaditeľ spoločnosti Cígler software Slovensko.

Cenová politika

Cena za AVG odráža cenu, ktorú je schopný zaplatiť slovenský užívateľ. Nie je to dolárová cena prepočítaná dolárovým kurzom. To znamená, že cena je dlhodobo platná a nemení sa výkyvmi koruny voči doláru, či euru. V prípade konzultácie má zákazník buď bezplatný telefonický hot line v pracovnom čase, alebo na brnenskom telefónnom čísle 24 hodinový hot line, čo môžu využiť zákazníci, ktorí v noci odvírujú počítače mimo pracovnej doby. E-mailový hot line je dostupný v slovenčine, alebo češtine. Ak ste už v koncoch so svojimi znalosťami, môžete požiadať aj o výjazdný servis za účelom odvírenia, ale vo väčšine prípadov sa dá poradiť po telefóne. Vírusy sú nepríjemná vec, ale dá sa s nimi bojovať ak je užívateľ aspoň trocha zručný a má na druhej strane konzultanta, ktorý vie čo má v danom momente poradiť. (rak)