Kaitīgās programmas Latvijā
Aizsardzības kvalitāte pirmajā vietā
un antivīrusu
aizsardzības efektivitāte
Gada sākums ļaundabīgo
programmu sadalījumā, kas iegūts, apstrādājot
informāciju no inficētiem datoriem Latvijā, nav ienesis
būtiskas izmaiņas. Tāpat kā visa pagājušā
gada garumā, Trojas zirgi un reklāmas programmatūra turpina
uzvaras gājienu, vēlreiz apstiprinot datoru pagrīdes virzību
uz nelegālas peļņas gūšanu.
Antivīrusu efektivitāte
pirmajā vietā
Kā liecina inficēto datoru datu
analīze Latvijā, arvien biežāk šajā
statistikā nokļūst ar vairākām
ļaundabīgajām programmām inficēti datori, kuros jau ir
uzstādītas antivīrusu programmas. No vienas puses tas,
iespējams, liecina, ka arvien mazāk kļūst gandrīz pilnīgi
neaizsargātu datoru, bet no otras, ka daudzi drošības
risinājumu izstrādātāji diemžēl šobrīd
nav spējuši pielāgoties kibernoziedzības uzspiestajam
straujajam attīstības tempam un nodrošināt mūsdienu
apdraudējumiem atbilstošu aizsardzības produktu efektivitāti.
Visas lielākās aptaujas pasaulē, ko
regulāri veic dažādas autoritatīvas organizācijas, pastāvīgi
uzrāda ļaundabīgo programmu draudu pārsvaru pār citiem
kiberdraudu veidiem. Tā, piemēram, 2005 CSI/FBI Computer Crime and
Security Survey gan pēc uzbrukumu tipa, gan radīto zaudējumu
apjoma pārliecinošā pirmajā vietā ierindoja vīrusus,
ar kuriem šajā gadījumā tiek apzīmēti visi
kaitīgie kodi.
Līdz ar to var droši apgalvot, ka
antivīrusu aizsardzībai ir primāra loma jebkura mēroga
datorsistēmu drošībā. Tas savukārt nozīmē,
ka ir ļoti svarīgi prast vismaz aptuveni novērtēt izmantojamā
aizsardzības tehniskā risinājuma efektivitāti, jo ar katru
dienu pieaug kaitīgo programmu skaits, tās kļūst
profesionālākas un kopumā šīs tendences strauji
palielina distanci starp dažādu antivīrusu ražotāju
produktiem.
Jebkuru antivīrusu aizsardzības līdzekli
var raksturot ar šādiem lietotājiem svarīgiem rādītājiem:
spēju atvairīt uzbrukumus, datora resursu patēriņu, cenu,
tehnisko atbalstu un dažādām administrēšanas
iespējām. Tie vienmēr ir ietekmējuši lietotāju
izvēli par labu vienam vai otram risinājumam, turklāt ne
vienmēr aizsardzības efektivitāte ir bijusi pirmajā
vietā, dažkārt atdodot vadošās pozīcijas
pārējiem raksturojumiem. Tā, piemēram, korporatīvajā
vidē pietiekoši svarīga vienmēr ir bijusi attīstīta
centralizētas vadības iespēja, kamēr mājas datoru
sektorā svarīgāka loma ir cenai. Tomēr
kibernoziedzības attīstība ar tās radītajām
izmaiņām jaunu ļaundabīgo programmu plūsmas
kvantitatīvajā un kvalitatīvajā sastāvā ir
ienesusi korekcijas, īpaši izceļot aizsardzības
efektivitāti.
Kiberuzbrukumi kriminalizējas
Apskatot jaunu kaitīgo kodu plūsmas kopējos
kvantitatīvos raksturojumus, jāmin trīs svarīgi skaitļi.
Tā pēc antivīrusu kompānijas Kaspersky Lab datiem 2005.
gada beigās jaunu ļaundabīgo programmu pieplūdums sasniedza
vidēji 6368 eksemplārus mēnesī, bet pieaugums gada
laikā bija 117 procentu, par 24 procentiem vairāk nekā 2004.
gadā. Savukārt jaunu kaitīgo kodu plūsmas kvalitatīvie
rādītāji 2005. gadā tieši norāda uz aizvien
pieaugošu kiberuzbrukumu kriminalizāciju. Trojas zirgu klases (TrojWare)
programmas strauji vairojas, kamēr pašizplatošos kodu (VirWare)
sektorā vērojams kritums. Šīs tendences
pārliecinoši atainojas arī statistikas datos, kas iegūti no
inficētiem datoriem Latvijā.
Trojas zirgu klases programmu popularitāte
izskaidrojama ar to, ka tās ar mazākiem izstrādes
ieguldījumiem dod iespēju veikt ātrus un labi
mērķētus jeb lokalizētus kiberuzbrukumus. Tikmēr
arī pašā Trojas zirgu klasē vērojamas pārmaiņas.
Tā, piemēram, strauju lēcienu 413 procentu apmērā 2005.
gadā ir piedzīvojušas rootkit programmas, kas
neapšaubāmi liecina par kibernoziedznieku augošo
profesionālismu. Neiegrimstot sīkāk Trojas zirgu klases
dažādu apakšklašu pārmaiņu
uzskaitījumā, var teikt, ka vislielāko attīstību
guvušas programmas nelegālai naudas iegūšanai ar informācijas
zādzību vai svešu datoru resursu izmantošanas
palīdzību.
Vai antivīrusu industrija
spēj aizsargāt
Taču šī statistiskā
informācija būtu vienpusēja, nepieminot antivīrusu testu
jaunākos datus. 2006. gada janvārī tika publiskoti jaunākā
klasiskajā antivīrusu skeneru testa, kurā kādā
noteiktā laikā tiek pārbaudīta antivīrusu spēja
identificēt kaitīgo programmu paraugus no lielas to kolekcijas
(pietiekoši liela kolekcija minimizē kļūdu), rezultāti.
Portāls Virus.gr ir viena no nedaudzām organizācijām
pasaulē, kas regulāri veic plašus antivīrusu testus. Pasaulē
ir vēl divas autoritatīvas organizācijas AV-Test.org un
AV-Comparatives.org, kuras veic dažādus nopietna
līmeņa testus. Jaunākajā Virus.gr testā tika
izmantoti 113 334 dažādu tipu ļaundabīgo programmu paraugi.
Tātad pat viena procenta atšķirība antivīrusu
spējā identificēt kaitīgos kodus absolūtajos ciparos
dod vairāk nekā 1000 (!) ļaundabīgo programmu, turklāt
neidentificētās programmas visbiežāk ir pašas
jaunākās.
Un tā, ko tad parādīja
jaunākais Virus.gr tests? Pirmkārt jau to, ka kaitīgo
programmu detektēšanas spēja ar klasiskajām metodēm,
kas vēl arvien ir antivīrusu aizsardzības pamats, lielai
daļai antivīrusu nesasniedz 90 procentu līmeni, bet ir arī
tādi antivīrusi, kuriem detektēšanas līmenis ir zem 50
procentiem. Savukārt tikai dažas antivīrusu programmas var
lepoties ar rādītājiem virs 90 procentiem (augstākais
rādītājs Kaspersky Anti-Virus 99,46 %).
90 un 50 procentu robežas ir
izvēlētas speciāli, lai uzskatāmi parādītu, cik
ļoti mainās inficēšanās risks atkarībā no
antivīrusa spējas detektēt kaitīgās programmas.
Tā uz 10 uzbrukumiem ar 90 procentu aizsardzības efektivitāti
inficēšanās varbūtība sasniedz 65 procentus, bet ar 50
procentu efektivitāti - jau visus 99 procentus!
Rodas pamatots jautājums kā tad
antivīrusu industrija, izņemot tehnoloģiskos līderus,
vispār ir spējīga kaut ko aizsargāt, jo desmit dažādi
uzbrukumi mūsdienās var notikt pietiekoši īsā
laikā? Daudzos eksperimentos ir pierādīts, ka internetam
pieslēgts mājas dators sastopas ar uzbrukumiem pirmajās
minūtēs pēc tā parādīšanās
globālajā tīmeklī. Atbilde ir vienkārša antivīrusu
trūkumi daļēji tiek kompensēti ar citiem
līdzekļiem vai pasākumiem, kuri katrs atvaira vai
neitralizē daļu uzbrukumu. Te var minēt gan ugunsmūrus, gan
operētājsistēmas un lietojumprogrammu drošības
atjauninājumus, gan dažādas jaunas proaktīvās
aizsardzības metodes, gan lietotāju informētību par
apdraudējumiem utt.
Un tomēr, lai kādus papildu līdzekļus vai
pasākumus arī lietotu, daudz mazāks inficēšanās
risks būs tām datorsistēmām, kurās izmantotā
antivīrusu risinājuma kaitīgo programmu detektēšanas
spēja pietuvojas 100 procentiem. Īpaši šeit der
atcerēties nesenos notikumus ar tā saucamajām 0 dienu
ievainojamībām vienu Windows
operētājsistēmā, otru pārlūkprogrammā Internet
Explorer (IE). Abos gadījumos ļaundabīgie kodi internetā
parādījās pirms programmatūras atjauninājumu
iznākšanas.
Testi, testi, testi...
Droši vien grūti būs atrast kaut cik
pazīstamu antivīrusu risinājumu, kurš nevarētu
palepoties ar vismaz dažiem IT izdevumu apbalvojumiem un vairāk vai
mazāk obligātu sertifikātu klāstu. Tomēr pēc
iedziļināšanās rodas pamatots jautājums - kas tad
īsti apliecina antivīrusu risinājumu patieso efektivitāti mūsdienu
agresīvajos apstākļos? Pēc kādiem kritērijiem
orientēties lietotājam?
Pat ļoti pazīstamos IT izdevumos
mēdz parādīties antivīrusu salīdzinājumi, kuros
produktu spēja identificēt kaitīgos kodus tiek
pārbaudīta uz dažiem simtiem paraugu. Nav grūti saprast, ka
tad, kad antivīrusu datubāzēs ierakstu skaits pārsniedz 100
000, testā, piemēram, uz 700 ļaundabīgo programmu paraugiem,
var būt jebkurš rezultāts atkarībā no paraugu
izvēles. Arī vadošās antivīrusu sertifikācijas
shēmas ir veidotas pēc diezgan novecojušas metodikas, kuru antivīrusu
eksperti arvien biežāk kritizē.
Šobrīd eksistē neatkarīgi
antivīrusu produktu testēšanas projekti, kas veic regulārus
dažādu rādītāju mērījumus pēc korektas
un mūsdienām atbilstošas metodikas. Tā, piemēram,
Magdeburgas zinātnieku projekts AV-Test.org (www.av-test.org)
regulāri informē sabiedrību par antivīrusu laboratoriju
vidējo reaģēšanas laiku uz bīstamāko kaitīgo
kodu parādīšanos internetā. Austrijā AV-Comparatives.org
(www.av-comparatives.org) ik pēc pusgada veic antivīrusu
skeneru testus uz milzīgu kaitīgo kodu paraugu kolekciju un
tāpat ik pēc pusgada, bet ar trīs mēnešu nobīdi,
testus uz antivīrusiem vēl nezināmām
ļaundabīgajām programmām. Ievērības cienīgs
ir arī jau pieminētais projekts Grieķijā Virus.gr (www.virus.gr),
kas atšķiras ar testējamo antivīrusu programmu daudzumu.
Lai gan tas parastam interneta lietotājam,
visticamāk, nav vienkārši, tomēr tikai šādu avotu
informācijas apkopojums šobrīd dod realitātei visatbilstošāko
tā vai cita antivīrusu risinājuma efektivitātes novērtējumu.
Neņemot to vērā, lielākajā daļā
gadījumu ļoti ātri var nokļūt pie inficētām
vai, vēl sliktāk, arī zombētām
datorsistēmām.
* Apskatā izmantoti SIA Datoru drošības
tehnoloģijas apkopotie dati, kas raksturo datorvīrusu un citu
kaitīgo programmu izplatības vispārējo situāciju
Latvijā. Dati statistikas veidošanai tiek saņemti no
vairākām firmām, kas ārstē inficētus datorus.
Kaitīgo programmu sadalījums bāzējas uz Kaspersky
Anti-Virus datubāzē pieņemto klasifikāciju.
Valdis ŠĶESTERS
un antivīrusu aizsardzības efektivitāte
Gada sākums ļaundabīgo programmu sadalījumā, kas iegūts, apstrādājot informāciju no inficētiem datoriem Latvijā, nav ienesis būtiskas izmaiņas. Tāpat kā visa pagājušā gada garumā, Trojas zirgi un reklāmas programmatūra turpina uzvaras gājienu, vēlreiz apstiprinot datoru pagrīdes virzību uz nelegālas peļņas gūšanu.
Antivīrusu efektivitāte pirmajā vietā
Kā liecina inficēto datoru datu analīze Latvijā, arvien biežāk šajā statistikā nokļūst ar vairākām ļaundabīgajām programmām inficēti datori, kuros jau ir uzstādītas antivīrusu programmas. No vienas puses tas, iespējams, liecina, ka arvien mazāk kļūst gandrīz pilnīgi neaizsargātu datoru, bet no otras, ka daudzi drošības risinājumu izstrādātāji diemžēl šobrīd nav spējuši pielāgoties kibernoziedzības uzspiestajam straujajam attīstības tempam un nodrošināt mūsdienu apdraudējumiem atbilstošu aizsardzības produktu efektivitāti.
Visas lielākās aptaujas pasaulē, ko regulāri veic dažādas autoritatīvas organizācijas, pastāvīgi uzrāda ļaundabīgo programmu draudu pārsvaru pār citiem kiberdraudu veidiem. Tā, piemēram, 2005 CSI/FBI Computer Crime and Security Survey gan pēc uzbrukumu tipa, gan radīto zaudējumu apjoma pārliecinošā pirmajā vietā ierindoja vīrusus, ar kuriem šajā gadījumā tiek apzīmēti visi kaitīgie kodi.
Līdz ar to var droši apgalvot, ka antivīrusu aizsardzībai ir primāra loma jebkura mēroga datorsistēmu drošībā. Tas savukārt nozīmē, ka ir ļoti svarīgi prast vismaz aptuveni novērtēt izmantojamā aizsardzības tehniskā risinājuma efektivitāti, jo ar katru dienu pieaug kaitīgo programmu skaits, tās kļūst profesionālākas un kopumā šīs tendences strauji palielina distanci starp dažādu antivīrusu ražotāju produktiem.
Jebkuru antivīrusu aizsardzības līdzekli var raksturot ar šādiem lietotājiem svarīgiem rādītājiem: spēju atvairīt uzbrukumus, datora resursu patēriņu, cenu, tehnisko atbalstu un dažādām administrēšanas iespējām. Tie vienmēr ir ietekmējuši lietotāju izvēli par labu vienam vai otram risinājumam, turklāt ne vienmēr aizsardzības efektivitāte ir bijusi pirmajā vietā, dažkārt atdodot vadošās pozīcijas pārējiem raksturojumiem. Tā, piemēram, korporatīvajā vidē pietiekoši svarīga vienmēr ir bijusi attīstīta centralizētas vadības iespēja, kamēr mājas datoru sektorā svarīgāka loma ir cenai. Tomēr kibernoziedzības attīstība ar tās radītajām izmaiņām jaunu ļaundabīgo programmu plūsmas kvantitatīvajā un kvalitatīvajā sastāvā ir ienesusi korekcijas, īpaši izceļot aizsardzības efektivitāti.
Kiberuzbrukumi kriminalizējas
Apskatot jaunu kaitīgo kodu plūsmas kopējos kvantitatīvos raksturojumus, jāmin trīs svarīgi skaitļi. Tā pēc antivīrusu kompānijas Kaspersky Lab datiem 2005. gada beigās jaunu ļaundabīgo programmu pieplūdums sasniedza vidēji 6368 eksemplārus mēnesī, bet pieaugums gada laikā bija 117 procentu, par 24 procentiem vairāk nekā 2004. gadā. Savukārt jaunu kaitīgo kodu plūsmas kvalitatīvie rādītāji 2005. gadā tieši norāda uz aizvien pieaugošu kiberuzbrukumu kriminalizāciju. Trojas zirgu klases (TrojWare) programmas strauji vairojas, kamēr pašizplatošos kodu (VirWare) sektorā vērojams kritums. Šīs tendences pārliecinoši atainojas arī statistikas datos, kas iegūti no inficētiem datoriem Latvijā.
Trojas zirgu klases programmu popularitāte izskaidrojama ar to, ka tās ar mazākiem izstrādes ieguldījumiem dod iespēju veikt ātrus un labi mērķētus jeb lokalizētus kiberuzbrukumus. Tikmēr arī pašā Trojas zirgu klasē vērojamas pārmaiņas. Tā, piemēram, strauju lēcienu 413 procentu apmērā 2005. gadā ir piedzīvojušas rootkit programmas, kas neapšaubāmi liecina par kibernoziedznieku augošo profesionālismu. Neiegrimstot sīkāk Trojas zirgu klases dažādu apakšklašu pārmaiņu uzskaitījumā, var teikt, ka vislielāko attīstību guvušas programmas nelegālai naudas iegūšanai ar informācijas zādzību vai svešu datoru resursu izmantošanas palīdzību.
Vai antivīrusu industrija spēj aizsargāt
Taču šī statistiskā informācija būtu vienpusēja, nepieminot antivīrusu testu jaunākos datus. 2006. gada janvārī tika publiskoti jaunākā klasiskajā antivīrusu skeneru testa, kurā kādā noteiktā laikā tiek pārbaudīta antivīrusu spēja identificēt kaitīgo programmu paraugus no lielas to kolekcijas (pietiekoši liela kolekcija minimizē kļūdu), rezultāti. Portāls Virus.gr ir viena no nedaudzām organizācijām pasaulē, kas regulāri veic plašus antivīrusu testus. Pasaulē ir vēl divas autoritatīvas organizācijas AV-Test.org un AV-Comparatives.org, kuras veic dažādus nopietna līmeņa testus. Jaunākajā Virus.gr testā tika izmantoti 113 334 dažādu tipu ļaundabīgo programmu paraugi. Tātad pat viena procenta atšķirība antivīrusu spējā identificēt kaitīgos kodus absolūtajos ciparos dod vairāk nekā 1000 (!) ļaundabīgo programmu, turklāt neidentificētās programmas visbiežāk ir pašas jaunākās.
Un tā, ko tad parādīja jaunākais Virus.gr tests? Pirmkārt jau to, ka kaitīgo programmu detektēšanas spēja ar klasiskajām metodēm, kas vēl arvien ir antivīrusu aizsardzības pamats, lielai daļai antivīrusu nesasniedz 90 procentu līmeni, bet ir arī tādi antivīrusi, kuriem detektēšanas līmenis ir zem 50 procentiem. Savukārt tikai dažas antivīrusu programmas var lepoties ar rādītājiem virs 90 procentiem (augstākais rādītājs Kaspersky Anti-Virus 99,46 %).
90 un 50 procentu robežas ir izvēlētas speciāli, lai uzskatāmi parādītu, cik ļoti mainās inficēšanās risks atkarībā no antivīrusa spējas detektēt kaitīgās programmas. Tā uz 10 uzbrukumiem ar 90 procentu aizsardzības efektivitāti inficēšanās varbūtība sasniedz 65 procentus, bet ar 50 procentu efektivitāti - jau visus 99 procentus!
Rodas pamatots jautājums kā tad antivīrusu industrija, izņemot tehnoloģiskos līderus, vispār ir spējīga kaut ko aizsargāt, jo desmit dažādi uzbrukumi mūsdienās var notikt pietiekoši īsā laikā? Daudzos eksperimentos ir pierādīts, ka internetam pieslēgts mājas dators sastopas ar uzbrukumiem pirmajās minūtēs pēc tā parādīšanās globālajā tīmeklī. Atbilde ir vienkārša antivīrusu trūkumi daļēji tiek kompensēti ar citiem līdzekļiem vai pasākumiem, kuri katrs atvaira vai neitralizē daļu uzbrukumu. Te var minēt gan ugunsmūrus, gan operētājsistēmas un lietojumprogrammu drošības atjauninājumus, gan dažādas jaunas proaktīvās aizsardzības metodes, gan lietotāju informētību par apdraudējumiem utt.
Un tomēr, lai kādus papildu līdzekļus vai pasākumus arī lietotu, daudz mazāks inficēšanās risks būs tām datorsistēmām, kurās izmantotā antivīrusu risinājuma kaitīgo programmu detektēšanas spēja pietuvojas 100 procentiem. Īpaši šeit der atcerēties nesenos notikumus ar tā saucamajām 0 dienu ievainojamībām vienu Windows operētājsistēmā, otru pārlūkprogrammā Internet Explorer (IE). Abos gadījumos ļaundabīgie kodi internetā parādījās pirms programmatūras atjauninājumu iznākšanas.
Testi, testi, testi...
Droši vien grūti būs atrast kaut cik pazīstamu antivīrusu risinājumu, kurš nevarētu palepoties ar vismaz dažiem IT izdevumu apbalvojumiem un vairāk vai mazāk obligātu sertifikātu klāstu. Tomēr pēc iedziļināšanās rodas pamatots jautājums - kas tad īsti apliecina antivīrusu risinājumu patieso efektivitāti mūsdienu agresīvajos apstākļos? Pēc kādiem kritērijiem orientēties lietotājam?
Pat ļoti pazīstamos IT izdevumos mēdz parādīties antivīrusu salīdzinājumi, kuros produktu spēja identificēt kaitīgos kodus tiek pārbaudīta uz dažiem simtiem paraugu. Nav grūti saprast, ka tad, kad antivīrusu datubāzēs ierakstu skaits pārsniedz 100 000, testā, piemēram, uz 700 ļaundabīgo programmu paraugiem, var būt jebkurš rezultāts atkarībā no paraugu izvēles. Arī vadošās antivīrusu sertifikācijas shēmas ir veidotas pēc diezgan novecojušas metodikas, kuru antivīrusu eksperti arvien biežāk kritizē.
Šobrīd eksistē neatkarīgi antivīrusu produktu testēšanas projekti, kas veic regulārus dažādu rādītāju mērījumus pēc korektas un mūsdienām atbilstošas metodikas. Tā, piemēram, Magdeburgas zinātnieku projekts AV-Test.org (www.av-test.org) regulāri informē sabiedrību par antivīrusu laboratoriju vidējo reaģēšanas laiku uz bīstamāko kaitīgo kodu parādīšanos internetā. Austrijā AV-Comparatives.org (www.av-comparatives.org) ik pēc pusgada veic antivīrusu skeneru testus uz milzīgu kaitīgo kodu paraugu kolekciju un tāpat ik pēc pusgada, bet ar trīs mēnešu nobīdi, testus uz antivīrusiem vēl nezināmām ļaundabīgajām programmām. Ievērības cienīgs ir arī jau pieminētais projekts Grieķijā Virus.gr (www.virus.gr), kas atšķiras ar testējamo antivīrusu programmu daudzumu.
Lai gan tas parastam interneta lietotājam, visticamāk, nav vienkārši, tomēr tikai šādu avotu informācijas apkopojums šobrīd dod realitātei visatbilstošāko tā vai cita antivīrusu risinājuma efektivitātes novērtējumu. Neņemot to vērā, lielākajā daļā gadījumu ļoti ātri var nokļūt pie inficētām vai, vēl sliktāk, arī zombētām datorsistēmām.
* Apskatā izmantoti SIA Datoru drošības tehnoloģijas apkopotie dati, kas raksturo datorvīrusu un citu kaitīgo programmu izplatības vispārējo situāciju Latvijā. Dati statistikas veidošanai tiek saņemti no vairākām firmām, kas ārstē inficētus datorus. Kaitīgo programmu sadalījums bāzējas uz Kaspersky Anti-Virus datubāzē pieņemto klasifikāciju.
Valdis ŠĶESTERS