Sakaru Pasaule - Žurnāls par
modernām komunikācijām

  
  


Atpakaļ Jaunais numurs Arhīvs Par mums Meklēšana

Kaitīgās programmas Latvijā

   

Aizsardzības kvalitāte pirmajā vietā

un antivīrusu aizsardzības efektivitāte

 

Gada sākums ļaundabīgo programmu sadalījumā, kas iegūts, apstrādājot informāciju no inficētiem datoriem Latvijā, nav ienesis būtiskas izmaiņas. Tāpat kā visa pagājušā gada garumā, Trojas zirgi un reklāmas programmatūra turpina uzvaras gājienu, vēlreiz apstiprinot datoru pagrīdes virzību uz nelegālas peļņas gūšanu.

 

Antivīrusu efektivitāte pirmajā vietā

Kā liecina inficēto datoru datu analīze Latvijā, arvien biežāk šajā statistikā nokļūst ar vairākām ļaundabīgajām programmām inficēti datori, kuros jau ir uzstādītas antivīrusu programmas. No vienas puses tas, iespējams, liecina, ka arvien mazāk kļūst gandrīz pilnīgi neaizsargātu datoru, bet no otras, ka daudzi drošības risinājumu izstrādātāji diemžēl šobrīd nav spējuši pielāgoties kibernoziedzības uzspiestajam straujajam attīstības tempam un nodrošināt mūsdienu apdraudējumiem atbilstošu aizsardzības produktu efektivitāti.

Visas lielākās aptaujas pasaulē, ko regulāri veic dažādas autoritatīvas organizācijas, pastāvīgi uzrāda ļaundabīgo programmu draudu pārsvaru pār citiem kiberdraudu veidiem. Tā, piemēram, 2005 CSI/FBI Computer Crime and Security Survey gan pēc uzbrukumu tipa, gan radīto zaudējumu apjoma pārliecinošā pirmajā vietā ierindoja vīrusus, ar kuriem šajā gadījumā tiek apzīmēti visi kaitīgie kodi.

Līdz ar to var droši apgalvot, ka antivīrusu aizsardzībai ir primāra loma jebkura mēroga datorsistēmu drošībā. Tas savukārt nozīmē, ka ir ļoti svarīgi prast vismaz aptuveni novērtēt izmantojamā aizsardzības tehniskā risinājuma efektivitāti, jo ar katru dienu pieaug kaitīgo programmu skaits, tās kļūst profesionālākas un kopumā šīs tendences strauji palielina distanci starp dažādu antivīrusu ražotāju produktiem.

Jebkuru antivīrusu aizsardzības līdzekli var raksturot ar šādiem lietotājiem svarīgiem rādītājiem: spēju atvairīt uzbrukumus, datora resursu patēriņu, cenu, tehnisko atbalstu un dažādām administrēšanas iespējām. Tie vienmēr ir ietekmējuši lietotāju izvēli par labu vienam vai otram risinājumam, turklāt ne vienmēr aizsardzības efektivitāte ir bijusi pirmajā vietā, dažkārt atdodot vadošās pozīcijas pārējiem raksturojumiem. Tā, piemēram, korporatīvajā vidē pietiekoši svarīga vienmēr ir bijusi attīstīta centralizētas vadības iespēja, kamēr mājas datoru sektorā svarīgāka loma ir cenai. Tomēr kibernoziedzības attīstība ar tās radītajām izmaiņām jaunu ļaundabīgo programmu plūsmas kvantitatīvajā un kvalitatīvajā sastāvā ir ienesusi korekcijas, īpaši izceļot aizsardzības efektivitāti.

 

Kiberuzbrukumi kriminalizējas

Apskatot jaunu kaitīgo kodu plūsmas kopējos kvantitatīvos raksturojumus, jāmin trīs svarīgi skaitļi. Tā pēc antivīrusu kompānijas Kaspersky Lab datiem 2005. gada beigās jaunu ļaundabīgo programmu pieplūdums sasniedza vidēji 6368 eksemplārus mēnesī, bet pieaugums gada laikā bija 117 procentu, par 24 procentiem vairāk nekā 2004. gadā. Savukārt jaunu kaitīgo kodu plūsmas kvalitatīvie rādītāji 2005. gadā tieši norāda uz aizvien pieaugošu kiberuzbrukumu kriminalizāciju. Trojas zirgu klases (TrojWare) programmas strauji vairojas, kamēr pašizplatošos kodu (VirWare) sektorā vērojams kritums. Šīs tendences pārliecinoši atainojas arī statistikas datos, kas iegūti no inficētiem datoriem Latvijā.

Trojas zirgu klases programmu popularitāte izskaidrojama ar to, ka tās ar mazākiem izstrādes ieguldījumiem dod iespēju veikt ātrus un labi mērķētus jeb lokalizētus kiberuzbrukumus. Tikmēr arī pašā Trojas zirgu klasē vērojamas pārmaiņas. Tā, piemēram, strauju lēcienu 413 procentu apmērā 2005. gadā ir piedzīvojušas rootkit programmas, kas neapšaubāmi liecina par kibernoziedznieku augošo profesionālismu. Neiegrimstot sīkāk Trojas zirgu klases dažādu apakšklašu pārmaiņu uzskaitījumā, var teikt, ka vislielāko attīstību guvušas programmas nelegālai naudas iegūšanai ar informācijas zādzību vai svešu datoru resursu izmantošanas palīdzību.

 

Vai antivīrusu industrija spēj aizsargāt

Taču šī statistiskā informācija būtu vienpusēja, nepieminot antivīrusu testu jaunākos datus. 2006. gada janvārī tika publiskoti jaunākā klasiskajā antivīrusu skeneru testa, kurā kādā noteiktā laikā tiek pārbaudīta antivīrusu spēja identificēt kaitīgo programmu paraugus no lielas to kolekcijas (pietiekoši liela kolekcija minimizē kļūdu), rezultāti. Portāls Virus.gr ir viena no nedaudzām organizācijām pasaulē, kas regulāri veic plašus antivīrusu testus. Pasaulē ir vēl divas autoritatīvas organizācijas – AV-Test.org un AV-Comparatives.org, kuras veic dažādus nopietna līmeņa testus. Jaunākajā Virus.gr testā tika izmantoti 113 334 dažādu tipu ļaundabīgo programmu paraugi. Tātad pat viena procenta atšķirība antivīrusu spējā identificēt kaitīgos kodus absolūtajos ciparos dod vairāk nekā 1000 (!) ļaundabīgo programmu, turklāt neidentificētās programmas visbiežāk ir pašas jaunākās.

Un tā, ko tad parādīja jaunākais Virus.gr tests? Pirmkārt jau to, ka kaitīgo programmu detektēšanas spēja ar klasiskajām metodēm, kas vēl arvien ir antivīrusu aizsardzības pamats, lielai daļai antivīrusu nesasniedz 90 procentu līmeni, bet ir arī tādi antivīrusi, kuriem detektēšanas līmenis ir zem 50 procentiem. Savukārt tikai dažas antivīrusu programmas var lepoties ar rādītājiem virs 90 procentiem (augstākais rādītājs – Kaspersky Anti-Virus 99,46 %).

90 un 50 procentu robežas ir izvēlētas speciāli, lai uzskatāmi parādītu, cik ļoti mainās inficēšanās risks atkarībā no antivīrusa spējas detektēt kaitīgās programmas. Tā uz 10 uzbrukumiem ar 90 procentu aizsardzības efektivitāti inficēšanās varbūtība sasniedz 65 procentus, bet ar 50 procentu efektivitāti - jau visus 99 procentus!

Rodas pamatots jautājums – kā tad antivīrusu industrija, izņemot tehnoloģiskos līderus, vispār ir spējīga kaut ko aizsargāt, jo desmit dažādi uzbrukumi mūsdienās var notikt pietiekoši īsā laikā? Daudzos eksperimentos ir pierādīts, ka internetam pieslēgts mājas dators sastopas ar uzbrukumiem pirmajās minūtēs pēc tā parādīšanās globālajā tīmeklī. Atbilde ir vienkārša – antivīrusu trūkumi daļēji tiek kompensēti ar citiem līdzekļiem vai pasākumiem, kuri katrs atvaira vai neitralizē daļu uzbrukumu. Te var minēt gan ugunsmūrus, gan operētājsistēmas un lietojumprogrammu drošības atjauninājumus, gan dažādas jaunas proaktīvās aizsardzības metodes, gan lietotāju informētību par apdraudējumiem utt.

Un tomēr, lai kādus papildu līdzekļus vai pasākumus arī lietotu, daudz mazāks inficēšanās risks būs tām datorsistēmām, kurās izmantotā antivīrusu risinājuma kaitīgo programmu detektēšanas spēja pietuvojas 100 procentiem. Īpaši šeit der atcerēties nesenos notikumus ar tā saucamajām 0 dienu ievainojamībām – vienu Windows operētājsistēmā, otru pārlūkprogrammā Internet Explorer (IE). Abos gadījumos ļaundabīgie kodi internetā parādījās pirms programmatūras atjauninājumu iznākšanas.

Testi, testi, testi...

Droši vien grūti būs atrast kaut cik pazīstamu antivīrusu risinājumu, kurš nevarētu palepoties ar vismaz dažiem IT izdevumu apbalvojumiem un vairāk vai mazāk obligātu sertifikātu klāstu. Tomēr pēc iedziļināšanās rodas pamatots jautājums - kas tad īsti apliecina antivīrusu risinājumu patieso efektivitāti mūsdienu agresīvajos apstākļos? Pēc kādiem kritērijiem orientēties lietotājam?

Pat ļoti pazīstamos IT izdevumos mēdz parādīties antivīrusu salīdzinājumi, kuros produktu spēja identificēt kaitīgos kodus tiek pārbaudīta uz dažiem simtiem paraugu. Nav grūti saprast, ka tad, kad antivīrusu datubāzēs ierakstu skaits pārsniedz 100 000, testā, piemēram, uz 700 ļaundabīgo programmu paraugiem, var būt jebkurš rezultāts atkarībā no paraugu izvēles. Arī vadošās antivīrusu sertifikācijas shēmas ir veidotas pēc diezgan novecojušas metodikas, kuru antivīrusu eksperti arvien biežāk kritizē.

Šobrīd eksistē neatkarīgi antivīrusu produktu testēšanas projekti, kas veic regulārus dažādu rādītāju mērījumus pēc korektas un mūsdienām atbilstošas metodikas. Tā, piemēram, Magdeburgas zinātnieku projekts AV-Test.org (www.av-test.org) regulāri informē sabiedrību par antivīrusu laboratoriju vidējo reaģēšanas laiku uz bīstamāko kaitīgo kodu parādīšanos internetā. Austrijā AV-Comparatives.org (www.av-comparatives.org) ik pēc pusgada veic antivīrusu skeneru testus uz milzīgu kaitīgo kodu paraugu kolekciju un tāpat ik pēc pusgada, bet ar trīs mēnešu nobīdi, testus uz antivīrusiem vēl nezināmām ļaundabīgajām programmām. Ievērības cienīgs ir arī jau pieminētais projekts Grieķijā Virus.gr (www.virus.gr), kas atšķiras ar testējamo antivīrusu programmu daudzumu.

Lai gan tas parastam interneta lietotājam, visticamāk, nav vienkārši, tomēr tikai šādu avotu informācijas apkopojums šobrīd dod realitātei visatbilstošāko tā vai cita antivīrusu risinājuma efektivitātes novērtējumu. Neņemot to vērā, lielākajā daļā gadījumu ļoti ātri var nokļūt pie inficētām vai, vēl sliktāk, arī zombētām datorsistēmām.

 

* Apskatā izmantoti SIA Datoru drošības tehnoloģijas apkopotie dati, kas raksturo datorvīrusu un citu kaitīgo programmu izplatības vispārējo situāciju Latvijā. Dati statistikas veidošanai tiek saņemti no vairākām firmām, kas ārstē inficētus datorus. Kaitīgo programmu sadalījums bāzējas uz Kaspersky Anti-Virus datubāzē pieņemto klasifikāciju.

Valdis ŠĶESTERS

 

 

 
Design and programming by Anton Alexandrov - 2001