Výhled: Jaká je budoucnost antivirů? (1.)

S tím, jak se rozšiřují tabulky signatur malwaru, musejí výrobci antivirových řešení vývoj nových technologií, jež budou schopny sofistikovanějšími metodami odhalit a zneškodnit škodlivý kód, urychlit. Antivirová řešení byla donedávna postavena téměř výhradně na systému signatur. Současný vývoj malwaru však toto pojetí obrany postupně odsouvá na vedlejší kolej.


S tím, jak se rozšiřují tabulky signatur malwaru, musejí výrobci antivirových řešení vývoj nových technologií, jež budou schopny sofistikovanějšími metodami odhalit a zneškodnit škodlivý kód, urychlit. Antivirová řešení byla donedávna postavena téměř výhradně na systému signatur. Současný vývoj malwaru však toto pojetí obrany postupně odsouvá na vedlejší kolej.

Pomyšlení na současné antivirové programy přivádí Grega Shiplaye k šílenství a zároveň jej to rozesmává. „Vztah mezi antivirovými dodavateli, kteří staví své systémy na seznamech signatur, a tvůrci virů je téměř komický – jedni něco vytvoří a druzí na to poté reagují, zločinci se proto vracejí zpět a pokračují v tvorbě dalších maligních prvků. Je to bizarní závod, který v podstatě nemá konce,“ říká Shipley, CTO ve Neohapsisu, konzultační společnosti specializující se na bezpečnost. „Nejhorší částí tohoto závodu je to, že ani jedné straně není prospěšný. Jsem přesvědčen, že by se od způsobu zkoumání signatur mělo co nejdříve ustoupit – , protože se podle mne jedná o narušený model, který navíc spotřebovává příliš mnoho strojového času počítačových procesorů.“

Otázkou ale zůstává, kam se mohou zmíněné obranné systémy přesunout. Antivirový průmysl pojal svá řešení jako systémy imunní vůči zásahům uživatele, přičemž na základě určitých ukazatelů jsou schopny rozhodnout, zda se jedná o prvek, který je schopen počítači uškodit, a podle toho se zařídit. Pokrok u antivirů postavených na bázi signatur byl vidět poté, co se začaly využívat zjednodušené typy signatur (původně se hledaly specifické řádky kódu).

V současnosti, kdy je již dostupná sofistikovaná forma vyhledávání signatur, jde v oblasti bezpečnostního softwaru o dominantní metodu, ačkoliv i ta má samozřejmě svá omezení. Jedná se především o to, že ji uživatel nemůže použít pro zamezení úniku dat, a to právě v době, kdy řada typů škodlivého kódu je navržena tak, aby doslova vysála ze společnosti data. Například počet signatur malwaru zachycených bezpečnostní firmou F-Secure se v loňském roce zdvojnásobil.

I před rokem 2007 existovala spousta lidí, kteří podobně jako Shipley argumentovali tím, že antivirový průmysl prochází určitými problémy. Například v roce 2006 Robin Bloor, analytik ve firmě Hurwitz & Associates, napsal článek, jemuž dal titulek „Antivirová řešení jsou mrtvá“. Ve svém příspěvku argumentoval tím, že malware existuje jen kvůli tomu, že zároveň existují i antivirové programy a dodával, že antivirový software je odsouzen k zániku a že bude nahrazen jinými typy programů, které sám označil jako systémy řízení aplikací (application control) nebo nástroje softwarové autentizace (software authentication tools). Takové nástroje například nabízejí seznam povoleného softwaru (software whitelisting), které mohou uživatelé ve svých počítačích bez obav využívat; pokud by chtěli spustit jinou aplikaci, museli by pro tuto činnost vydat explicitní povolení.

Antivirové firmy jsou však přesvědčeny, že možnost jejich případné „smrti“ je příliš zveličována, protože už dnes se nespoléhají pouze na systém signatur – například firma BitDefender uvádí, že techniky postavené na bázi signatur odhalí pouze přibližně jednu pětinu malwaru, který jejich program zachytí.

„Systém signatur není mrtvý — uživatelé jej stále potřebují,” tvrdí Bogdan Dumitru, technologický šéf v této rumunské společnosti, která k zastavení útoků využívá techniky analýzy chování (behavioral targeting techniques). Její hlavní cíle v oblasti rozvoje jsou zaměřeny na vývoj tzv. “undo” funkcionality, tedy toho, co umožní uživatelům zasaženým útokem malwaru vrátit se ke stavu, který existovat ještě před tímto atakem. BitDefender doufá, že první produkty s těmito dovednostmi uvede na trh ještě v průběhu letošního roku.

Mezitím jiná firma, Bit9, jež se soustřeďuje na seznamy povolených aplikací (na ty, které zmiňoval Bloor ve svém výše zmíněném reportu), využívá antivirový software k tomu, aby sofistikovaněji vypracovala svou databázi — v současnosti pracuje s 22 druhy antivirových programů. V listopadu 2007 firma oznámila, že se dohodla se společností Kaspersky Labs o tom, že ta bude mít ke vznikající databázi přístup. Představitelé firmy Bit9 tehdy tvrdili, že jejich seznam pomůže společnosti Kaspersky vyhledávat nové signatury při omezení falešných pozitivních alertů (false positives).

Pravdou také je, že výrobci antivirových programů navzdory proklamacím Bloora i nadále prodávají své programy a inkasují si za ně miliardy dolarů. Bloor však i nadále tvrdí, že „způsob ochrany PC, který je založen na bázi virových signatur, je v současnosti už překonán“ a poukazuje na seznam firem, které nabízejí jím zmíněné nástroje pro autentizaci softwaru – nikoliv jen Bit9, ale také takové společnosti jako jsou Lumension (dříve SecureWave), Savant Protection, Computer Associates či AppSense. (Bloor navíc zmiňuje rozhodnutí firmy Apple chránit pomocí techniky whitelistingu třeba svůj iPhone.)

Pokračování článku vám přineseme v blízké době...











Komentáře