Z wizytą w laboratorium antywirusowym ESET

Z wizytą w laboratorium antywirusowym ESET05.07.2012 10:36

Wirtualna Polska wybrała się do laboratorium antywirusowego firmy Eset, producenta oprogramowania jak np. NOD32, aby przyjrzeć się z bliska, jak wygląda praca takiego laboratorium i na czym dokładnie polega walka z cyberterroyzmem. Mieliśmy okazję porozmawiać z Robertem Lipovsky’m - szefem analityków zagrożeń w Eset oraz Peterem Stancik‘em - ekspertem bezpieczeństwa komputerowego w Eset.

Wirtualna Polska: Na czym tak dokładnie polega praca laboratorium antywirusowego? Widzimy mnóstwo monitorów, ciekawych wykresów, a samo laboratorium wygląda niczym centrala NASA przy kolejnej misji kosmicznej. Panuje tutaj jednak cisza i spokój. Nie widać tutaj oznak walki z wirusami i innymi zagrożeniami.

Robert Lipovsky: Laboratorium antywirusowe ESET, nazywane Houston (z uwagi na wygląd zbliżony do pomieszczenia kontroli lotów NASA), jest odpowiedzialne za kilka kluczowych dla firmy ESET działań. Po pierwsze i najważniejsze, to właśnie tam pracuje się nad tzw. detekcją zagrożeń - grupa ekspertów tworzy sygnatury, dzięki którym silnik antywirusowy programów ESET wie jak rozpoznać złośliwy kod. W tym samym laboratorium pracują analitycy, którzy przeprowadzają kompleksowe analizy konkretnych zagrożeń –. przygotowując ich opisy oraz publikacje dla ekspertów i prasy. W laboratorium pracują również specjaliści, zajmujący się tzw. inżynierią wsteczną, czyli badaniem sposobu działania poszczególnych zagrożeń. Praca tych wszystkich ludzi wymaga skupienia, to dlatego w laboratorium zwykle panuje cisza.

Źródło zdjęć: © Pierwsza linia frontu. To właśnie tutaj wykrywa się i analizuje nowe zagrożenia
Źródło zdjęć: © Pierwsza linia frontu. To właśnie tutaj wykrywa się i analizuje nowe zagrożenia

WP.PL: Ilość powstających codziennie zagrożeń jest ogromna. W jaki sposób automatyzujecie wyszukiwanie i analizowanie podejrzanych plików (programów) i jaka jest skuteczność takich rozwiązań? Automatyczne systemy mogą się mylić i zarówno, określić niewinny plik mianem zagrożenia, jak i nie zauważyć złośliwego oprogramowania.

*Robert Lipovsky: *Korzystamy ze specjalnego systemu, który pozwala rozkładać zagrożenia na elementy składowe, według określonych kryteriów. To znacząco upraszcza analizę i pozwala nam klasyfikować zagrożenia np. według identycznych funkcjonalności. Bez tego rodzaju systemu niemożliwe byłoby analizowanie tak ogromnej liczby próbek, jakie docierają do naszego laboratorium każdego dnia –. dziennie otrzymujemy około 200 tys. nowych potencjalnych zagrożeń. W pracy pomaga nam również silnik antywirusowy ThreatSense, który jest sercem rozwiązań ESET, dzięki heurystyce i kilku innym technologiom potrafi on samodzielnie i proaktywnie, tzn. jeszcze przed opublikowaniem stosownych szczepionek, wykryć zagrożenia, których dotąd jeszcze nie zidentyfikowano. W wykrywaniu zagrożeń pomaga również najnowsza technologia reputacyjna ESET LiveGrid oparta na chmurze. Oczywiście żaden system nie jest w stanie zapewnić 100% skuteczności – tu konieczne są wiedza i doświadczenie ludzi - naszych pracowników.

WP.PL: Dostawcy rozwiązań antywirusowych to łakomy kąsek dla cyberterrotystów. Wystarczyłoby włamać się do Waszych baz danych i określić w nich, że taki a taki trojan czy wirus to jak najbardziej bezpieczne oprogramowanie. Jak często spotykacie się z atakami na Wasze systemy i jak się przed nimi bronicie?

*Robert Lipovsky: * Często wykrywamy zagrożenia, które próbują wyłączyć program antywirusowy na komputerze użytkownika. Wachlarz technik, którymi złośliwie programy posługują się najczęściej, jest bardzo szeroki –. od najprostszych polegających na zmianie ustawień DNS dla serwisu aktualizacyjnego antywirusa poprzez modyfikację pliku host systemu Windows, po bardziej wyszukane, związane z bezpośrednim atakiem na konkretne rozwiązanie antywirusowe. Programy ESET są odporne na tego typu działania, dzięki zastosowaniu specjalnego modułu autoochrony.

*WP.PL: *No tak, ale pytaliśmy bardziej o ataki na serwery Eset, o to w jaki sposób Wy jesteście atakowani, a nie o komputery użytkownika końcowego.

*Robert Lipovsky: *Tutaj nie mamy nic do dodania.

*WP.PL: *Przy zabezpieczaniu komputerów istotna jest prędkość, z jaką oprogramowanie antywirusowe „wie”. że dany plik lub program jest niebezpieczny. Ile czasu potrzebujecie na przeanalizowanie zagrożenia i wydanie stosownych sygnatur?

Robert Lipovsky: Odpowiedź może zaskoczyć, ponieważ jak już wspominałem, dzięki proaktywnemu wykrywaniu zagrożeń, nasze programy potrafią identyfikować większość groźnych programów bez najnowszych szczepionek (sygnatur), a więc już w momencie ataku nowego wirusa, robaka czy konia trojańskiego.

WP.PL: Który wirus/trojan był w Waszej historii najciekawszym czy też największym wyzwaniem, a który zdradzał prawdziwy geniusz programistów –. przestępców? Flame, Stuxnet, Conficker, a może zupełnie inny?

Źródło zdjęć: © Fragment serwerowni Eset
Źródło zdjęć: © Fragment serwerowni Eset

*Robert Lipovsky: * Podczas gdy większość zagrożeń jest raczej prymitywna w działaniu, istnieje kilka, z którymi walka nie należy do najłatwiejszych –. z różnych powodów. Istnieją zagrożenia „kategorii wojskowej”, takie jak Stuxnet czy Flamer, których analiza zabiera bardzo dużo czasu – głównie z uwagi na wysoki poziom techniczny kodu oraz ogromny rozmiar (Flamer), a także obecność kodu PLC (Stuxnet) itd. Na szczęście czasochłonna analiza szczegółowa nie jest niezbędna do poznania wrogich zamiarów danego programu. Z drugiej strony trudne do zwalczenia są bootkity (zagrożenia, które po zainfekowaniu uruchamiają się jeszcze przed startem systemu), takie jak TDL4, ponieważ aktywują się zanim uruchomione zostaną wszystkie mechanizmy zabezpieczające dany komputer. Duże wyzwanie stanowią obecnie także pasożytnicze wirusy komputerowe, ponieważ pliki nimi zainfekowane trzeba wyleczyć, a nie jak w wypadku koni trojańskich – po prostu usunąć. Warto wspomnieć o potencjalnie niechcianych aplikacjach, z którymi
zdarzają się problemy natury prawnej co utrudnia ich jednoznaczną klasyfikację – identyfikować tego typu aplikacje jako zagrożenie, czy też nie.

WP.PL: Jesteście na pierwszej linii frontu i na bieżąco widzicie jak zmieniają się trendy w tworzeniu złośliwego oprogramowania. Jak to wyglądało kiedyś, jak wygląda dziś, ale przede wszystkim, czego możemy się spodziewać w przyszłości?

Peter Stancik: W ciągu ostatnich trzech dekad zagrożenia uległy niemal całkowitej transformacji –. zmieniły się cele i wektory ataków. W przeszłości zagrożenia były tworzone przez geeków, którzy popisywali się w ten sposób swoimi zdolnościami przed członkami większych społeczności. Te zagrożenia niekoniecznie były realnie szkodliwe dla użytkownika i komputera, istniały jednak i takie aplikacje, które potrafiły usuwać lub niszczyć zgromadzone na dyskach dane. Z kolei celem współczesnych zagrożeń jest kradzież informacji albo pieniędzy. Złośliwe programy bardzo często budują sieci komputerów zombie, którymi sterują zorganizowane grupy przestępcze i które można kupić na czarnym rynku razem z ... usługą pomocy technicznej. Niektóre z takich zagrożeń są zaawansowane technicznie i powstają by zaatakować konkretny cel – często, aby szpiegować wybrane przedsiębiorstwo. Dodam, że powszechną praktyką jest obecnie stosowanie przez twórcow zagrożeń techniki drive-by-download, dzięki której zagrożenie jest pobierane
podczas odwiedzania zainfekowanej strony, bez wiedzy i zgody użytkownika. Do wabienia internautów do zainfekowanych serwisów wykorzystywane są sztuczki socjotechniczne i techniki BlackhatSEO (wyświetlanie przez wyszukiwarki internetowe linków prowadzących do serwisów, nad którymi kontrolę przejęli cyberprzestępcy).

WP.PL: Gdybyście mogli w trzech, prostych zdaniach powiedzieć użytkownikom jak powinni się zachowywać, aby być bezpiecznymi w necie, aby nie dać się okraść z tożsamości, czy też pieniędzy, to co byście im powiedzieli?

Peter Stancik: Dam wszystkim trzy podstawowe rady

  1. Bądź ostrożny i powściągnij ciekawość – nie ufaj nieznajomym.
  2. Korzystaj z rozwiązania ochronnego – wybierz program, który najlepiej spełni Twoje oczekiwania i będzie naprawdę skuteczny. Pamiętaj, aby dbać o aktulizacje baz sygnatur wirusów.
  3. Aktualizuj swój system operacyjny i zainstalowane na dysku aplikacje.

_ Rozmawiał Jarosław Babraj _

© WP Tech·Redakcja·Regulamin·Polityka prywatności·Reklama
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź naUKRAINA