Viirusetõrje on surnud, elagu viirusetõrje!

VirusViirusetõrje on elementaarne, ilma milleta ei tohiks tänapäeval ühendada mitte ühtegi arvutit mitte ühtegi võrku. Veelgi vähem internetti. Samas on viirusetõrjumine ja sellega seotud tehnoloogiad saanud viimaste aastate jooksul üsna vähe eetriaega. Siinkohal üritangi kokku võtta värskemaid trende viirusetõrjes toimuva kohta,  koos selgitustega miks üks või teine asi selliselt kujunenud või kujunemas on. Võib-olla annab see paremat aimu ja aitab natukene kaasa sellele, mida viirusetõrje valimisel võiks silmas pidada.

 

 

Vähem rõhku signatuuridel. Noh- jah… Enam- vähem.

Signatuurid ehk viirusetõrjeuuendused on sisuliselt mölakaregister, milles on kirjeldatud ühele või teisele viirusele/pahavarale (mölakale) omased failid. Signatuuridel baseeruvad või sõltuvad suuremal või vähemalt määral kõik viirusetõrjed. Ilma signatuurideta (või vananenud) on keskmine viirusetõrje sisuliselts pime. Signatuure genereerivad kõik viirusetõrjetootjad eraldiseisvalt vastavalt oma võimekusele, finantseerimisele ja sellele, kuidas satub laborisse pahavarasid,  mida analüüsida. Selle jaoks, et tundmatut materjali püüda, on paljudel üles ehitatud adekvaatsed võrgustikud – erinevad honeypotid, viirusetõrje heuristika tuvastused, ettevõtete perimeetril paiknevad võrguseadmed, kontaktivõrgustik jne. Viirusetõrje algaegadel ei olnud vahet kas uuendasid oma signatuure iga poole aasta või kuu tagant. Signatuuridesse ei olnud palju kirjeldamisväärt veel esialgu panna. Viimase 20 aasta jooksul on see aga oluliselt muutunud ja algsed signatuuribaasid on paljudel tootjatel kasvanud eksponentaanselt. Sellele kasvule aitab oluliselt kaasa tõsiasi, et ühte pahavara on võimalik lugematutel määradel ümber pakkida ja geneerida erinevaid variatsioone -kas viirusetõrjujate eest end peita või väheke teistmoodi käituma panna, et viirusetõrje silme alt ära saada. Sellest tulenevalt ei ole mõtet tänapäeval viirusetõrjetootjal rõhuda sellele , kui mitut viirust (mölakat) ta on suuteline võrreldes ühe või teise tootjaga tuvastama. Vastavad  numbrid muutuvad iga tunniga. Samuti ei ole reaalne, et kõiki leituid viiruseid signatuuridesse kirjeldamiseks kasutatakse inimest. Väga palju on signatuuride genereerimise juures kasutatud juba pikemat aega automatiseerituid protsesse. Igal juhul tutvustab selline signatuurifailide kasv endaga kaasa mõned olulised probleemid, millest üks on logistiline. Nimelt tuleb kuidagi toimetada signatuurimuutus viirusetõrjuja baasi – ning seda kõike kuidagi sünkroonis hoida lõpp-punkti  (olgu ta kas kodukasutaja või tööjaam ettevõttes) paigaldatud viirusetõrjes. Koormaks ei muutu fakt, et viirusetõrjuja andmebaasid kasvavad tööjaamas, sest käibel olevad kõvakettad kannatavad muretult selle mahu ära, kuid oluliseks probleemiks muutub viirusetõrje analüüsi juures toimuv signatuurikontroll. Mida rohkem on signatuure baasis  seda rohkem tuleb teha kontrolle,  mis tahest tahtmata sööb arvutiressurssi. Kogu selle probleemi maandamiseks on juba kasutusele võetud terve rida erinevaid tehnoloogiaid,  mida siinkohal pikemalt arutama ei hakka. Signatuurid ei ole pikas perspektiivis ka hea lahendus, sest uue viiruse või pahavara loomine on oluliselt odavam ja lihtsam kui selle analüüs, signatuuri genereerimise jaoks kuluv aeg ning selle tarkuse toimetamine lõppkliendi viirusetõrjesse. Signatuuri genereerimisega - olgugi, et see on päris suures mahus automatiseeritud – kulub päris palju aega. Suurem osa ajast,  mis signatuuri genereerimise peale kulub, on kvaliteedikontroll, sest uut signatuuri tuleb kontrollida tüüpiliselt terabaitidesse ulatuvate andmemasside vastu. Tuleb kontrollida signatuurifaili erinevate operatsioonisüsteemides, erinevate konfiguratsioonidega tööjaamades ja serverites. QA ehk Quality Assurance protsessi ajaline kestvus ja maht sõltub suuresti viirusetõrjetootja mastaabist – see sõltub sellest kui palju erinevaid tooteid seda viirusetõrjesignatuuri kasutavad, kui suur on kasutajaskond (kas viirusetõrje kliente on 100 või 100 miljonit erinevates regioonides) ning on  otseses korrellatsioonis selle peale kuluva aja ja vaevaga. Sellepärast saavadki väiksemad viirusetõrjetootjad “lõigata mõne koha peal nurki” ja anda välja signatuuriuuendusi kiiremini kui võib-olla globaalse ulatusega viirusetõrjetootjad. Sõltumata tootja laiahaardelisusest, on kõik tuntumad tootjad astunud vähemalt korra oma tegevuse ajaloos pimedalt mustust täis pange. Seal hulgas – Trend, McAfee, Symantec, Kaspersky, F-Secure jpm. Kes rohkem, kes vähem – sõltub sellest kui palju nurki on QA juures maha lõigatud ja kui riskialdis on tootja. Nn. “pange astumine” signatuuriuuenduses ei ole kunagi positiivse meediaga seotud. See ei meeldi ju kellelegi, et viirusetõrjuja tuvastab mõne legitiimse programmi kui viiruse ja üritab seda kas karantiini panna või maha kustutada. Samuti on sarnased eksimused  seotud pahatihti arvuti täieliku crashiga. See ei meeldi ettevõtetele – halbadel juhtudel on majanduskahju miljonites. Sellest hoolimata ei kao signatuurid ära niipea.

 

Suund käitumispõhisele analüüsile. Noh, jah.

Signatuuride lõigus ma alustasin rääkimist mölakatest ja mölakate ära tundmisest mölakaregistriga võrdlemise abil. Käitumispõhine analüüs selles kontekstis tähendab, et kuigi tal pole olemas mölakaregistris võib-olla analüüsitava mölaka pilti, kuid analüüsi (nt – heuristika) käigus selgub, et tundmatu objekt käitub piisavalt mölaklikult, et anda alust mölakatempli andmiseks. Käitumispõhine analüüs üritab jälgida lisaks analüüsitava objektile kogu arvutit võimalikult holistiliselt. Käitumispõhine analüüs peaks sisaldama: “buffer overflow detectionit”, tüüprakendusi ja tüüpilisi sisenemis-ja salvestuspunkte, mida mölakad kasutavad, OS’i sisenemispunkte, registrit, tervet rida spetsiifilisi süsteemifaile. Samuti kui viirusetõrje on piisavalt võimekas jälgima arvutist väljuvat ja sisenevat võrguliiklust,  siis peaks ta jälgima ja blokeerima ka tüüpilisi kasutatavaid porte ja teenuseid ning lubama nende kasutamist ainult erandrakendustele – näiteks miks peaks suvaline mitte-postiprogramm kasutama väljuvat TCP/25 liiklust? Rakenduse käitumispõhine ja võimalikult holistilise vaate saamine tööjaamast on küllaltki keeruline töö, et  tagada täielik adekvaatsus. Viirusetõrje saab paljusid kanaleid jälgida, kuid suurelt jaolt jääb siiski lõppkasutaja otsustada kas üks või teine rakendus,  mis parasjagu üritab midagi toimetada, on hea või halb. See tähendab, et mida rohkem keerata viirusetõrjet paranoiliseks siis seda rohkem sisendit ja alusteadmist nõutakse selle kasutajalt. Käitumispõhine analüüs veel esialgu on õhkõrnal balansil kasutusmugavuse ja usaldusväärsuse vahel, kuid teatud kohtades on kasutusel tehnoloogiaid, mis suudavad piisava adekvaatsusega tuvastada signatuurides kirjeldamata pahavara just nimelt käitumise/kavatsuse alusel piisava suure kindlusega. Samuti ei piirdu käitumispõhine analüüs minu antud nimekirjaga. Tüüpiliselt on väiksemad tootjad suutelised integreerima tõhusamalt uusi ja innovaatilisi tehnoloogiaid pahavara tuvastamisel kui suuremad tootjad, kes pigem integreerivad ettevaatlikumalt ja kaalutletumalt tehnoloogiaid. See on tradeoff.

 

Tulevik on pilves.

Tulevik on selgelt erinevate suurustega pilvedes. Pilv on siinkohal seotud viirusetõrjetootja internetiteenusega , millega saab lokaalne viirusetõrje kiirelt ja operatiivselt ühendust võtta ja nõu küsida. Erinevatel viirusetõrjujatel töötab see mõneti erinevalt, kuid põhimõte on suhteliselt sarnane. Kui arvutisse paigaldatud viirusetõrje tuvastab midagi “kahtlast” ning ei oska sellega midagi peale hakata,  siis ta ei langeta iseseisvalt otsust (blokeerida või läbi lasta) vaid konsulteerib pilvega. Kahtlustatavast failist tehakse hash (mis on hash- ei hakka lahti seletama vaid viitanhttp://en.wikipedia.org/wiki/Hash_function) ning edastatakse viirusetõrjujale pilve. Pilvest tuleb vastus kuidas kahtlustatavaga toime tulla. Selline pilvega konsulteerimine aitab viirusetõrje tootjal fokusseerida oma labori ressursid just nimelt sellele pahavarale, mis parasjagu tegeleb levimisega ning aitab oluliselt operatiivsemalt blokeerida 0-day pahavara ning aru saada kuidas regionaalselt levib üks või teine pahavara. Tüüpiliselt pahavara levik liigub päikesetõusuga koos – selle jälgimine nõuab, et viirusetõrje tootjal on globaalne nähtavus ja laborid igal pool maailmas. Muidugi  on pilvega  seotud ka terve rida probleeme. Üks päris suur probleem pilvega on see, et tegemist on pilvega :) – see tähendab, et selle jaoks, et viirusetõrje saaks kätte oma vastuse, peab ta olema ühendatud internetiga. Ühenduse lahtivõtmine tähendaks viirusetõrje jaoks pimedas olekut. Teiseks probleemiks on võimalikud privaatsusprobleemid, mis   teatud laadi ettevõtete jaoks olulisel kohal. Nimelt jääb paranoiliste jaoks küsimus pilveteenustele alati selleks, et mida sinna õigupoolest ikka saadetakse. Vähemalt McAfee osas on siin lahenduseks “lokaalne pilv” – see tähendab oma sisu seda, et mingisuguse regulaarsusega teeb viirusetõrjeserver kas osalise või täieliku koopia kaugemalasuvast pilvest ning viirusetõrjete päringud suunatakse interneti asemel lokaalsesse pilve ehk kohalikku serverisse. Samuti tuleb siinkohal täheldada, et erinevad antiviirused teevad pilves skänneerimist erinevalt. Mitmed “pilveskännerid” saadavad kogu faili pilve kontrollimiseks. McAfee seda ei tee.

 

Elagu mobiilsed rakendused!

Lisaks kõigele ülevalpool toodule toon sisse ka vähe teise teema. Nimelt on fookus natukene muutunud või õigemini tagasi tulnud mobiilsetele seadmetele – seekord vähe tõsisemalt. Seda eriliselt tänu nutitelefonide fenomenaalsele edule ja andmeedastuse olulisele odavnemisele. See tähendab, et käibele on tulnud väga palju huvitavaid nutitelefone ja erinevaid OS’e,  mis nendel jooksevad – IOS (Apple), Android, Windows Mobile ja  Symbian. Need pisikesed seadmed on läbi oma kasutusergonoomika ja funktsionaalsuse orienteeritud väga spetsiifilistele rakendustele. See tähendab, et kalkulaator on rakendus, Eesti Ekspressi lugemine on rakendus, Facebook on rakendus, jne. Väga raske on pisikese ekraani pealt näidata full-blown veebilehekülge – oluliselt lihtsam on teha spetsiifiline rakendus koos spetsiifilise liidesega ning olgugi, et teenusega seotud back-end võib-olla veebirakendus, siis selle esitluskihiks nutitelefonis on siiski kasutajale käepärasem rakendus. Paljudel juhtudel levivad  rakendused kontrollimatult ning seoses vähese kontrolliga nutitelefonis (kas sul on seal antiviirus?) võib paljudel juhtudel olla installeeritavas rakenduses kaasas ka lisaks funktsionaalsusele natukene rohkem – näiteks trooja. Ja telefonis on väga palju informatsiooni,  mida paljud ei soovi jagada – SMS, E-Mail, pildid, helifailid, jne.. Ära ei tasu unustada ka seda, et paljudes nutitelefonides on sisse integreeritud positsioneerimisvõimalus…Plahvatuslikult levivad rakendused ja väheselt kaitstud nutitelefonid annavad koos viljaka pinnase mölakate levikule mobiilsetes seadmetes. Selles mõttes, et see rumal ekraanile naljakaid pilte näitav rakendus,  mille sa nalja pärast Apple Storest tõmbasid, võib vahel saata kuskile ka Sinu füüsilise asukoha ja palju muud :)

Kas keegi viitsis lõpuni ka lugeda?:)

 

Ronnie Jaanhold / Security Software OÜ

Jäta oma kommentaarid

Lisa kommentaar külalisena

0
kasutustingimustega.

Vestluses olevad inimesed