Sakaru Pasaule - Žurnāls par
modernām komunikācijām

  
  


Atpakaļ Jaunais numurs Arhīvs Par mums Meklēšana

Revolūcija caur evolūciju

   

Revolūcija caur evolūciju

 

Ļaundabīgu programmu skaits gadā dubultojas, bet to klātbūtne datoros kļūst arvien nemanāmāka; speciālisti izsaka prognozes par antivīrusu klasisko signatūru metožu norietu, bet daži apgalvo, ka tās ir mirušas. Antivīrusu tirgū pavisam maziem spēlētājiem kļūst arvien grūtāk, bet lielajiem piebiedrojas Microsoft – šādi var raksturot laiku, kad dienas gaismu ir ieraudzījis jaunais antivīrusu kompānijas Kaspersky Lab flagmaņprodukts Kaspersky Internet Security 6.0.

 

Jaunas tehnoloģijas ekselentā izpildījumā

Pati par sevi jauna produkta iznākšana antivīrusu tirgū ir ikdienišķa parādība. Tomēr ir daži apstākļi, kas Kaspersky Internet Security 6.0 uz vispārējā fona padara īpašu. Pirmkārt, Kaspersky Lab vienmēr ir izcēlusies ar inovāciju un ļoti augstā līmenī realizējusi aizsardzības tehnoloģijas – ne velti daudzi to dēvē par antivīrusu tehnoloģisko līderi. Otrkārt, jaunais produkts nav mārketinga speciālistu pasūtītas interfeisa pārmaiņas vecam kodam, bet tas ir programmēts praktiski no nulles, paņemot no iepriekšējās paaudzes produktiem visu labāko, optimizējot to un, pats galvenais, pievienojot jaunas tehnoloģijas ekselentā izpildījumā.

Kaspersky Lab produktu jaunā paaudze jau ir guvusi starptautisku atzinību. Vairāku autoritatīvu IT izdevumu balvas, pirmās vietas dažādos neatkarīgu organizāciju testos un sekmīga sertifikācija ir diezgan pieklājīga panākumu bagāža trīs nepilniem vasaras mēnešiem. To visu vainago fakts, ka pasaulē lielākais interneta pakalpojumu sniedzējs AOL ir izvēlējies Kaspersky Lab jaunās paaudzes antivīrusu tehnoloģijas par pamatu aizsardzības programmatūras komplektam, kas tiek piedāvāts AOL Premium Services lietotājiem.

Šāda atzinība liecina, ka jaunā Kaspersky Lab produktu paaudze ir ienākusi antivīrusu tirgū kā precīza un perfekta analītiķu un izstrādātāju reakcija uz visiem IT drošības laukā notiekošajiem procesiem. Tāpēc ieskatīšanās Kaspersky Internet Security 6.0 komponentos un to spējās varētu būt noderīga un interesanta tiem, kas nopietni rūpējas par personālā datora drošību.

 

Signatūras turpina dzīvot…

Tiem, kas orientējas mūsdienu antivīrusu aizsardzības niansēs, ir labi zināms, ka antivīrusu kompānija Kaspersky Lab jau ilgstoši demonstrē ļoti labus rezultātus, reaģējot uz jaunu apdraudējumu, piemēram, datorvīrusu vai Trojas zirgu, parādīšanos, un caurmērā ātrāk par citiem izlaiž signatūras to identifikācijai. To apstiprina gan tieši reaģēšanas laika mērījumi, gan citi testi, kuros augsts rezultāts nav iespējams bez atbilstoši ātras reakcijas.

Īstenībā apzīmējums ļoti labi rezultāti te īsti neiederas, jo runa ir par sekundēs, minūtēs vai lielākās mērvienībās mērāmām lietām. Mērījumi, kurus veic Magdeburgas universitātes un AV-Test GmbH kopīgais projekts AV-Test.org, ir parādījuši, ka Kaspersky Lab pašlaik ir neapstrīdams līderis pasaulē ar vidējo reaģēšanas laiku uz bīstamākajiem ļaundabīgajiem kodiem intervālā no 0 līdz 2 stundām (http://blog.washingtonpost.com/securityfix/2005/12/ranking_response_times_for_ant.html).

Toties cita projekta AV-Comparatives.org pētījums Release rates & update sizes of Signature databases of some main top Anti-Virus products, kas publicēts šīgada jūlijā, atklāj pavisam pārsteidzošus faktus. Pētījumā salīdzināti četri Latvijā labi pazīstami produkti. Kā atzīmēts pētījuma atskaitē (http://www.av-comparatives.org/seiten/ergebnisse/Release_rates.pdf), Kaspersky Lab parasti izlaiž antivīrusa signatūru datubāzes atjauninājumus reizi stundā(!), bet pārējie - no divām reizēm dienā līdz piecām reizēm nedēļā. Piedevām Kaspersky Lab atļaujas tādu greznību, kā nekavējoties izlaist visiem lietotājiem pieejamu atjauninājumu pat tajā gadījumā, ja TIKAI VIENS lietotājs ir atsūtījis jauna kaitīgā koda paraugu. Neņemot vērā biežumu, Kaspersky Lab atjauninājumu kopējais apjoms nedēļā ir vismazākais – tikai 300 KB, kas panākts rūpīgas atjauninājumu procesa optimizācijas rezultātā.

Vai šāda veco klasisko tehnoloģiju attīstīšana līdz perfektumam pretēji viedoklim par to norietu būtu analītiķu netālredzīgums vai pieķeršanās kādreizējiem panākumiem? Kaspersky Lab produktu pirmās vietas ar rezultātu virs 99 procentiem antivīrusu failu skeneru jaunākajos testos uz lielām kaitīgo kodu kolekcijām liecina par pilnīgi pretējo (http://www.virus.gr/english/fullxml/default.asp?id=72&mnu=72). Signatūru tehnoloģijas atbilstošā izpildījumā arī pašlaik spēj nodrošināt ļoti augstu aizsardzību un ar spēju precīzi identificēt kaitīgos kodus ir un paliek pamatinstruments lielākajā daļā antivīrusu risinājumu.

Un tā jaunajā Kaspersky Internet Security 6.0 klasiskās antivīrusu tehnoloģijas, kas kaitīgo kodu identifikācijai izmanto signatūru datubāzi un heiristisko analīzi, ir pārstāvētas ar trim komponentiem: File Anti-Virus, Mail Anti-Virus un Web Anti-Virus. Šīs trīs sastāvdaļas labi attēlo antivīrusu un kiberdraudu attīstību. Pirmsākumos datorvīrusi ceļoja ar datu nesējiem, piemēram, disketēm, un tad pietika ar parastu failu antivīrusu (File Anti-Virus). Pēc tam e-pasts kļuva par dominējošo kaitīgo kodu ceļošanas kanālu un kā piedeva failu skenerim parādījās speciāli e-pasta pārbaudes komponenti, kas novērš kaitīgo kodu nokļūšanu pastkastītēs (Mail Anti-Virus). Tagad, kad kibernoziedznieku ierīkotas interneta vietnes konkurē ar e-pastu ļaundabīgo programmu izplatīšanā, ir radusies nepieciešamība ar speciālu skeneri reālā laikā filtrēt interneta trafiku, kas nonāk datorā ar pārlūkprogrammas starpniecību (Web Anti-Virus).

 

... ar spēcīgu proaktīvu piedevu

Aplūkojot Kaspersky Internet Security 6.0 komponentu sarakstu, bez trim jau minētajām redzama virkne citu. Interneta drošības paketē ir pilnīgi saprotama tādu sastāvdaļu klātbūtne kā Anti-Spam, kas paredzēta e-pasta plūsmas attīrīšanai no kaitinošā surogātpasta, un Anti-Hacker, kuru projekts FirewallLeakTester.com pirms dažiem mēnešiem personālo ugunsmūru testā aizsardzībai pret datu noplūdi no personālā datora titulējis ar Best Choice (http://www.firewallleaktester.com/kis6.htm).

Pirms tam nekad neredzētas Kaspersky Lab izpildījumā ir divi pilnīgi jauni Kaspersky Internet Security 6.0 komponenti: Proactive Defence un Anti-Spy.

Zem nosaukuma Anti-Spy ir apvienoti vairāki tādi datora aizsardzības instrumenti kā datorkrāpniecības vietņu detektors, uzlecošo logu, kaitīgo zvanīšanas programmu un reklāmas bloķētāji. Te jāpiebilst, ka ar tām ļaundabīgajām programmām, kuras pasaulē mēdz dēvēt par spiegošanas programmām, ļoti labi tiek galā jau iepriekš minētie failu, e-pasta un interneta trafika skenēšanas komponenti, pārspējot pat specializētas pretspiegu programmas (http://www.computerzeit.de/show_detail_viren.php?rub_id=3&id=170).

Neapskatīta ir palikusi tikai Proactive Defence. Tieši tā slēpj Kaspersky Lab lielāko jaunumu – kaitīgo kodu detektēšanu pēc to darbības jeb uzvedības, kā arī tādas funkcijas kā Windows sistēmas reģistra aizsardzība un programmu integritātes kontrole.

Ja palūkojamies uz šodienas situāciju virspusēji – vairāk nekā 99 procenti kaitīgo programmu Kaspersky Lab produkti vienmēr detektē arī ar klasiskajām tehnoloģijām un ir skaidri zināms, ka 100 procentu aizsardzībai mēs varam tikai tuvoties. Ko vēl var vēlēties? Vēl augstāku aizsardzības līmeni? Vai tas ir vajadzīgs un vispār iespējams?

Tomēr, pat nedaudz iedziļinoties pašreizējā situācijā un tuvākās nākotnes prognozēs, atbildēt var pilnīgi nešaubīgi – jā, ir vajadzīgs augstāks aizsardzības līmenis, turklāt aizsardzībai ir jābūt ļoti efektīvai cīņā ar vēl nezināmiem kaitīgajiem kodiem, kas nav paspējuši pabūt antivīrusu laboratorijās.

Krasās atšķirības starp vēl nesenu pagātni un šodienu izpaužas gan kaitīgo kodu skaita straujā pieaugumā, gan uzbrukumu raksturā. Pat procenta desmitdaļas, ko no visu kaitīgo kodu klāsta jebkurā mirklī nespēj detektēt visefektīvākais klasiskais signatūru antivīruss, tagad sāk kļūt par vērā ņemamu – tie ir simti jaunāko ļaundabīgo programmu. Ko lai saka par pirmā desmitnieka antivīrusiem, kas nespēj detektēt piecus vai pat visus 10 procentus!

Savukārt daudzi uzbrukumi ar kaitīgo kodu izmantošanu ir kļuvuši tik precīzi nomērķēti uz konkrētiem upuriem un izmanto tik profesionālas ļaundabīgo procesu slēpšanas metodes, ka var nenonākt antivīrusu kompāniju monitoringa sistēmu redzeslokā ilgu laiku. Īsāk sakot, antivīrusu industrija ir nonākusi pie robežas, kad pat visātrāk strādājošās antivīrusu laboratorijas ar vislabākajām interneta monitoringa sistēmām ar lielām grūtībām spēj nodrošināt augstu aizsardzību, izmantojot tikai klasiskās antivīrusu tehnoloģijas. Tādas ir sekas straujajai kibernoziedzības attīstībai.

Kaspersky Lab atbilde tikko minētajam situācijas saasinājumam ir jaunais proaktīvais komponents (Proactive Defence). Salīdzinājumā ar signatūru metodi, kas prasa ļoti biežu antivīrusa atjaunināšanu, uzvedības blokatoram ir liela priekšrocība – kaitīgo programmu uzvedības modeļi jāatjaunina daudz retāk, jo ar vienu modeli iespējams aprakstīt lielu grupu pašreizējo un līdzīgu nākotnes kaitīgo kodu. Šāda pieeja ir ļoti piemērota vēl nezināmu kaitīgo programmu identifikācijai.

Proactive Defence komponentu efektivitāte nesen tika pakļauta nopietnai pārbaudei neatkarīgās organizācijas AV-Comparatives.org laboratorijā, liekot detektēt dažādu tipu 6329 nezināmas kaitīgās programmas. Kā atzīst testa rīkotāji, tā uzrādīja izcili labus rezultātus, identificējot pēc uzvedības un bloķējot 99,4 procentus no kaitīgo programmu kolekcijas (http://www.av-comparatives.org/seiten/ergebnisse/KAV6_PDM_test.PDF).

 

99,4% + 99,4% = 99,999%

Tā saucamo uzvedības bloķētāju (behaviour blocker) ideja pasaulē jau ir zināma vismaz desmit gadus, taču neviena tās realizācija nav bijusi tik tuvu ideālajam rezultātam. Kaspersky Lab ir izdevies radīt patiešām izcilu aizsardzības priekšposteni ne ar ko neaizvietojamajai klasiskajai signatūru aizsardzības metodei. Tagad kļūst skaidrs, ka tikai šāda dažādu augstā līmenī realizētu metožu integrācija ļauj cerēt uz efektīvu cīņu ar kaitīgajiem kodiem nākotnē.

Valdis ŠĶESTERS

 
Design and programming by Anton Alexandrov - 2001