Mīti par IT drošību
Artículo de opinión
IT pasaule ir
caurvīta dažādiem mītiem un leģendām, kas galvenokārt
izplatās mutiski un ar e-pasta palīdzību. Tie nav
bēdīgi slavenie joki vai ķēdes vēstules, bet gan
pieņēmumi par dažu lietu eksistenci pat tad, ja īstenībā
tā nav. Tā kā to ir grūti pierādīt, tad to
uzskata par reālitāti pat bez pierādījumiem.
Šādi
noslēpumiem apvīti mīti pastāv arī IT drošības
jomā. Viens no tiem, kam pamatā ir vispārpieņemts fakts, kas
tiek aizvien vairāk atspēkots, ir šāds: ļaundabīgo
kodu autori ir labi programmētāji. Pirms vairākiem gadiem,
kad datorvīrusi atradās sākuma attīstības stadijā,
tas tik tiešām atbilda īstenībai.
Lai ļaunā
programma varētu sevi automātiski pārkopēt bez lietotāja
ziņas, pat apejot standarta drošības programmas, tai
jābūt labi saprogrammētai. Parasti programmētājiem bija
jāpārzina dažādas sistēmas, to iespējas, kā
arī jābūt resursiem jaunievedumu ieviešanai.
Diemžēl pašlaik šādi programmētāji vairs nav
IT topā, jo tagad ļaundabīgie kodi ir daudz zemākas kvalitātes
un ar vienkāršāku uzbūvi.
Gaobot.AAF
Apgalvojums, ka tagad
ļaundabīgo kodu autori ir zemas proves programmētāji
(vismaz ne tik labi, kā mēs domājam), nav nepamatots, jo ir
īpašas metodes šādu programmu skenēšanai, lai
izpētītu to uzbūvi. Viena no populārākajām, kuru bieži
izmanto vizuālam uzskatam, piedāvā ļaundabīgo
programmu daļu grafisko attēlojumu. Tās ir līnijas, kas
apzīmē katru apakšprogrammu, tādēļ
vienkārša programma ar pareizu uzbūvi tiks attēlota kā
vienkāršs un skaidrs grafiskais zīmējums. Bet, ja programmai
nav izteiktas uzbūves un sistēmas, tad grafiskais zīmējums
būs sarežģīts un dezorganizēts.
Programmām ar
līdzīgu uzbūvi būs arī līdzīgas grafikas. PandaLabs
(Panda Software ļaundabīgo kodu atklāšanas
laboratorija) salīdzina programmas, lai noteiktu līdzību ļaundabīgo
kodu variantiem. Tas tika darīts, jo grafiskajos zīmējumos
parādījās atsauce uz identisku funkciju dažādās
programmās.
Analizējot
robotprogammu (Gaobot.AAF), PandaLabs bija pārsteigta par
rezultātu: ne vien tāpēc, ka tas bija vizuāli iespaidīgs
(to nosauca par Nāves zvaigzni tās līdzības dēļ
ar kosmosa staciju no Zvaigžņu Kariem), bet galvenokārt līdz
šim neredzētās sarežģītības dēļ.
Kāpēc atkal
apritē parādījās šis zīmējums? Izskaidrojums
ir vienkāršs: Gaobot robotprogammas pirmkods bija brīvi
pieejams, tādēļ ikviens varēja uzrakstīt jaunu
variantu. Tā kā šie varianti netika optimizēti, tad
apritē tika izlaisti arvien sarežģītāki kodi. Tā
vietā, lai apliecinātu programmēšana spējas, Gaobot
autori pierādīja vienīgi to, ka viņu zināšanas ir
mistiskas, vairāk atgādinot zagļus, kas pārkopē
kāda rakstītu kodu.
Neatklājamie vīrusi
Izplatīts
mīts, kam pamatā ir viltoti e-ziņojumi, ir šāds: pastāv
vīrusi (tārpi, Trojas zirgi u. c.), kurus nespēj atklāt
neviens drošības risinājums. Diemžēl,
lai gan tā nav taisnība, šāds mīts pastāv. Nesen ziņās
parādījās raksts par to, ka kāds students ir radījis Trojas
zirgu, kas pārkopē attēlus no savu klases biedru tīkla
kamerām, lai pēc tam viņus šantažētu. Pastāvēja
uzskats, ka šis Trojas zirgs ir neatklājams.
Tomēr
šāds apgalvojums ir pretrunā ar to, ka varas iestādes izveidoja
sistēmu, lai atklātu un iznīcinātu šo kodu. Tādēļ
uz jautājumu, vai tas ir neatklājams vai nav, atbildes joprojām nav.
Svarīgāk ir atklāt pašu Trojas zirgu. Vairums
antivīrusu risinājumu ražotāju par pamatu ņem
ļaundabīgo kodu paraugus, izstrādājot atklāšanas
un dezinfekcijas sistēmu. Lai to paveiktu, jābūt diviem
nosacījumiem:
·
Ļaundabīgais
kods ir radījis aizdomas lietotājam. Taču, ja datorā
neparādās paziņojums vai arī kods neveic aizdomīgas darbības,
kas brīdina lietotāju, tad sistēma joprojām būs inficēta,
jo koda paraugs netiks nosūtīts laboratorijām analīzei.
·
Ļaundabīgajam
kodam jābūt ar noteiktu izplatīšanās koeficientu. Tas
palielina iespējamību, ka ietekmētie lietotāji paziņos
drošības laboratorijām par koda parādīšanos.
Gadījumā ar
šo Trojas zirgu neparādījās neviens no minētajiem nosacījumiem.
Tāpat kā lielākā daļa Trojas zirgu, tas neatklāja
neko sevis identificēšanai. Tā kā tas tika izplatīts nelielā
skaitā datoru (tikai hakera klases biedriem), neradās nekādas
aizdomas.
Tāda ir pašreizējā
situācija ļaundabīgās programmas ir droši apslēpti
neliela izmēri kodi. Tādēļ, kā tika uzsvērts iepriekš,
antivīrusa kompānijas tos nevarēs atklāt. Taču
šis apgalvojums nav pilnīgs: tos neatklās, kamēr vien neatradīs.
Tomēr
šī problēma pastāv tikai savu laiku nokalpojušām
ļaundabīgo kodu atklāšanas sistēmām, kam
pamatā ir vienīgi dati par ļaundabīgajām
programmām, neiekļaujot citas atklāšanas sistēmas. Tādēļ
jebkas, kas neatrodas šādas programmas vīrusu
datubāzē, tiks uzskatīts par likumīgu.
Modernās
tehnoloģijas novērš šīs problēmas, jo nebalstās
uz nevecojušām zināšanām, bet atklāj ļaundabīgos
kodus, analizējot to uzvedību. Līdz ar to,
ļaundabīgā programma, kas cenšas veikt darbības datorsistēmā,
tiks bloķēta nevis tās atklāšanas, bet gan
veicamās darbības dēļ.
Turpinot
paļauties uz vienpusējiem un novecojušiem risinājumiem
cīņā pret vīrusiem un citām
ļaundabīgajām programmām, lietotāji nespēs nodrošināt
savām datorsistēmām pilnīgu aizsardzību un tajās
joprojām būs neatklājami ļaundabīgie kodi,
nevis līdz šim nezināmas kaitīgās programmas.
Andrejs MAZJĀNIS
IT pasaule ir caurvīta dažādiem mītiem un leģendām, kas galvenokārt izplatās mutiski un ar e-pasta palīdzību. Tie nav bēdīgi slavenie joki vai ķēdes vēstules, bet gan pieņēmumi par dažu lietu eksistenci pat tad, ja īstenībā tā nav. Tā kā to ir grūti pierādīt, tad to uzskata par reālitāti pat bez pierādījumiem.
Šādi noslēpumiem apvīti mīti pastāv arī IT drošības jomā. Viens no tiem, kam pamatā ir vispārpieņemts fakts, kas tiek aizvien vairāk atspēkots, ir šāds: ļaundabīgo kodu autori ir labi programmētāji. Pirms vairākiem gadiem, kad datorvīrusi atradās sākuma attīstības stadijā, tas tik tiešām atbilda īstenībai.
Lai ļaunā programma varētu sevi automātiski pārkopēt bez lietotāja ziņas, pat apejot standarta drošības programmas, tai jābūt labi saprogrammētai. Parasti programmētājiem bija jāpārzina dažādas sistēmas, to iespējas, kā arī jābūt resursiem jaunievedumu ieviešanai. Diemžēl pašlaik šādi programmētāji vairs nav IT topā, jo tagad ļaundabīgie kodi ir daudz zemākas kvalitātes un ar vienkāršāku uzbūvi.
Gaobot.AAF
Apgalvojums, ka tagad ļaundabīgo kodu autori ir zemas proves programmētāji (vismaz ne tik labi, kā mēs domājam), nav nepamatots, jo ir īpašas metodes šādu programmu skenēšanai, lai izpētītu to uzbūvi. Viena no populārākajām, kuru bieži izmanto vizuālam uzskatam, piedāvā ļaundabīgo programmu daļu grafisko attēlojumu. Tās ir līnijas, kas apzīmē katru apakšprogrammu, tādēļ vienkārša programma ar pareizu uzbūvi tiks attēlota kā vienkāršs un skaidrs grafiskais zīmējums. Bet, ja programmai nav izteiktas uzbūves un sistēmas, tad grafiskais zīmējums būs sarežģīts un dezorganizēts.
Programmām ar līdzīgu uzbūvi būs arī līdzīgas grafikas. PandaLabs (Panda Software ļaundabīgo kodu atklāšanas laboratorija) salīdzina programmas, lai noteiktu līdzību ļaundabīgo kodu variantiem. Tas tika darīts, jo grafiskajos zīmējumos parādījās atsauce uz identisku funkciju dažādās programmās.
Analizējot robotprogammu (Gaobot.AAF), PandaLabs bija pārsteigta par rezultātu: ne vien tāpēc, ka tas bija vizuāli iespaidīgs (to nosauca par Nāves zvaigzni tās līdzības dēļ ar kosmosa staciju no Zvaigžņu Kariem), bet galvenokārt līdz šim neredzētās sarežģītības dēļ.
Kāpēc atkal apritē parādījās šis zīmējums? Izskaidrojums ir vienkāršs: Gaobot robotprogammas pirmkods bija brīvi pieejams, tādēļ ikviens varēja uzrakstīt jaunu variantu. Tā kā šie varianti netika optimizēti, tad apritē tika izlaisti arvien sarežģītāki kodi. Tā vietā, lai apliecinātu programmēšana spējas, Gaobot autori pierādīja vienīgi to, ka viņu zināšanas ir mistiskas, vairāk atgādinot zagļus, kas pārkopē kāda rakstītu kodu.
Neatklājamie vīrusi
Izplatīts mīts, kam pamatā ir viltoti e-ziņojumi, ir šāds: pastāv vīrusi (tārpi, Trojas zirgi u. c.), kurus nespēj atklāt neviens drošības risinājums. Diemžēl, lai gan tā nav taisnība, šāds mīts pastāv. Nesen ziņās parādījās raksts par to, ka kāds students ir radījis Trojas zirgu, kas pārkopē attēlus no savu klases biedru tīkla kamerām, lai pēc tam viņus šantažētu. Pastāvēja uzskats, ka šis Trojas zirgs ir neatklājams.
Tomēr šāds apgalvojums ir pretrunā ar to, ka varas iestādes izveidoja sistēmu, lai atklātu un iznīcinātu šo kodu. Tādēļ uz jautājumu, vai tas ir neatklājams vai nav, atbildes joprojām nav. Svarīgāk ir atklāt pašu Trojas zirgu. Vairums antivīrusu risinājumu ražotāju par pamatu ņem ļaundabīgo kodu paraugus, izstrādājot atklāšanas un dezinfekcijas sistēmu. Lai to paveiktu, jābūt diviem nosacījumiem:
· Ļaundabīgais kods ir radījis aizdomas lietotājam. Taču, ja datorā neparādās paziņojums vai arī kods neveic aizdomīgas darbības, kas brīdina lietotāju, tad sistēma joprojām būs inficēta, jo koda paraugs netiks nosūtīts laboratorijām analīzei.
· Ļaundabīgajam kodam jābūt ar noteiktu izplatīšanās koeficientu. Tas palielina iespējamību, ka ietekmētie lietotāji paziņos drošības laboratorijām par koda parādīšanos.
Gadījumā ar šo Trojas zirgu neparādījās neviens no minētajiem nosacījumiem. Tāpat kā lielākā daļa Trojas zirgu, tas neatklāja neko sevis identificēšanai. Tā kā tas tika izplatīts nelielā skaitā datoru (tikai hakera klases biedriem), neradās nekādas aizdomas.
Tāda ir pašreizējā situācija ļaundabīgās programmas ir droši apslēpti neliela izmēri kodi. Tādēļ, kā tika uzsvērts iepriekš, antivīrusa kompānijas tos nevarēs atklāt. Taču šis apgalvojums nav pilnīgs: tos neatklās, kamēr vien neatradīs.
Tomēr šī problēma pastāv tikai savu laiku nokalpojušām ļaundabīgo kodu atklāšanas sistēmām, kam pamatā ir vienīgi dati par ļaundabīgajām programmām, neiekļaujot citas atklāšanas sistēmas. Tādēļ jebkas, kas neatrodas šādas programmas vīrusu datubāzē, tiks uzskatīts par likumīgu.
Modernās tehnoloģijas novērš šīs problēmas, jo nebalstās uz nevecojušām zināšanām, bet atklāj ļaundabīgos kodus, analizējot to uzvedību. Līdz ar to, ļaundabīgā programma, kas cenšas veikt darbības datorsistēmā, tiks bloķēta nevis tās atklāšanas, bet gan veicamās darbības dēļ.
Turpinot paļauties uz vienpusējiem un novecojušiem risinājumiem cīņā pret vīrusiem un citām ļaundabīgajām programmām, lietotāji nespēs nodrošināt savām datorsistēmām pilnīgu aizsardzību un tajās joprojām būs neatklājami ļaundabīgie kodi, nevis līdz šim nezināmas kaitīgās programmas.
Andrejs MAZJĀNIS