Wirtualna Polska wybrała się do laboratorium antywirusowego firmy Eset, producenta oprogramowania jak np. NOD32, aby przyjrzeć się z bliska, jak wygląda praca takiego laboratorium i na czym dokładnie polega walka z cyberterroyzmem. Mieliśmy okazję porozmawiać z Robertem Lipovsky’m - szefem analityków zagrożeń w Eset oraz Peterem Stancik‘em - ekspertem bezpieczeństwa komputerowego w Eset.
Wirtualna Polska: Na czym tak dokładnie polega praca laboratorium antywirusowego? Widzimy mnóstwo monitorów, ciekawych wykresów, a samo laboratorium wygląda niczym centrala NASA przy kolejnej misji kosmicznej. Panuje tutaj jednak cisza i spokój. Nie widać tutaj oznak walki z wirusami i innymi zagrożeniami.
Robert Lipovsky: Laboratorium antywirusowe ESET, nazywane Houston (z uwagi na wygląd zbliżony do pomieszczenia kontroli lotów NASA), jest odpowiedzialne za kilka kluczowych dla firmy ESET działań. Po pierwsze i najważniejsze, to właśnie tam pracuje się nad tzw. detekcją zagrożeń - grupa ekspertów tworzy sygnatury, dzięki którym silnik antywirusowy programów ESET wie jak rozpoznać złośliwy kod. W tym samym laboratorium pracują analitycy, którzy przeprowadzają kompleksowe analizy konkretnych zagrożeń –. przygotowując ich opisy oraz publikacje dla ekspertów i prasy. W laboratorium pracują również specjaliści, zajmujący się tzw. inżynierią wsteczną, czyli badaniem sposobu działania poszczególnych zagrożeń. Praca tych wszystkich ludzi wymaga skupienia, to dlatego w laboratorium zwykle panuje cisza.
WP.PL: Ilość powstających codziennie zagrożeń jest ogromna. W jaki sposób automatyzujecie wyszukiwanie i analizowanie podejrzanych plików (programów) i jaka jest skuteczność takich rozwiązań? Automatyczne systemy mogą się mylić i zarówno, określić niewinny plik mianem zagrożenia, jak i nie zauważyć złośliwego oprogramowania.
*Robert Lipovsky: *Korzystamy ze specjalnego systemu, który pozwala rozkładać zagrożenia na elementy składowe, według określonych kryteriów. To znacząco upraszcza analizę i pozwala nam klasyfikować zagrożenia np. według identycznych funkcjonalności. Bez tego rodzaju systemu niemożliwe byłoby analizowanie tak ogromnej liczby próbek, jakie docierają do naszego laboratorium każdego dnia –. dziennie otrzymujemy około 200 tys. nowych potencjalnych zagrożeń. W pracy pomaga nam również silnik antywirusowy ThreatSense, który jest sercem rozwiązań ESET, dzięki heurystyce i kilku innym technologiom potrafi on samodzielnie i proaktywnie, tzn. jeszcze przed opublikowaniem stosownych szczepionek, wykryć zagrożenia, których dotąd jeszcze nie zidentyfikowano. W wykrywaniu zagrożeń pomaga również najnowsza technologia reputacyjna ESET LiveGrid oparta na chmurze. Oczywiście żaden system nie jest w stanie zapewnić 100% skuteczności – tu konieczne są wiedza i doświadczenie ludzi - naszych pracowników.
WP.PL: Dostawcy rozwiązań antywirusowych to łakomy kąsek dla cyberterrotystów. Wystarczyłoby włamać się do Waszych baz danych i określić w nich, że taki a taki trojan czy wirus to jak najbardziej bezpieczne oprogramowanie. Jak często spotykacie się z atakami na Wasze systemy i jak się przed nimi bronicie?
*Robert Lipovsky: * Często wykrywamy zagrożenia, które próbują wyłączyć program antywirusowy na komputerze użytkownika. Wachlarz technik, którymi złośliwie programy posługują się najczęściej, jest bardzo szeroki –. od najprostszych polegających na zmianie ustawień DNS dla serwisu aktualizacyjnego antywirusa poprzez modyfikację pliku host systemu Windows, po bardziej wyszukane, związane z bezpośrednim atakiem na konkretne rozwiązanie antywirusowe. Programy ESET są odporne na tego typu działania, dzięki zastosowaniu specjalnego modułu autoochrony.
*WP.PL: *No tak, ale pytaliśmy bardziej o ataki na serwery Eset, o to w jaki sposób Wy jesteście atakowani, a nie o komputery użytkownika końcowego.
*Robert Lipovsky: *Tutaj nie mamy nic do dodania.
*WP.PL: *Przy zabezpieczaniu komputerów istotna jest prędkość, z jaką oprogramowanie antywirusowe „wie”. że dany plik lub program jest niebezpieczny. Ile czasu potrzebujecie na przeanalizowanie zagrożenia i wydanie stosownych sygnatur?
Robert Lipovsky: Odpowiedź może zaskoczyć, ponieważ jak już wspominałem, dzięki proaktywnemu wykrywaniu zagrożeń, nasze programy potrafią identyfikować większość groźnych programów bez najnowszych szczepionek (sygnatur), a więc już w momencie ataku nowego wirusa, robaka czy konia trojańskiego.
WP.PL: Który wirus/trojan był w Waszej historii najciekawszym czy też największym wyzwaniem, a który zdradzał prawdziwy geniusz programistów –. przestępców? Flame, Stuxnet, Conficker, a może zupełnie inny?
*Robert Lipovsky: * Podczas gdy większość zagrożeń jest raczej prymitywna w działaniu, istnieje kilka, z którymi walka nie należy do najłatwiejszych –. z różnych powodów. Istnieją zagrożenia „kategorii wojskowej”, takie jak Stuxnet czy Flamer, których analiza zabiera bardzo dużo czasu – głównie z uwagi na wysoki poziom techniczny kodu oraz ogromny rozmiar (Flamer), a także obecność kodu PLC (Stuxnet) itd. Na szczęście czasochłonna analiza szczegółowa nie jest niezbędna do poznania wrogich zamiarów danego programu. Z drugiej strony trudne do zwalczenia są bootkity (zagrożenia, które po zainfekowaniu uruchamiają się jeszcze przed startem systemu), takie jak TDL4, ponieważ aktywują się zanim uruchomione zostaną wszystkie mechanizmy zabezpieczające dany komputer. Duże wyzwanie stanowią obecnie także pasożytnicze wirusy komputerowe, ponieważ pliki nimi zainfekowane trzeba wyleczyć, a nie jak w wypadku koni trojańskich – po prostu usunąć. Warto wspomnieć o potencjalnie niechcianych aplikacjach, z którymi
zdarzają się problemy natury prawnej co utrudnia ich jednoznaczną klasyfikację – identyfikować tego typu aplikacje jako zagrożenie, czy też nie.
WP.PL: Jesteście na pierwszej linii frontu i na bieżąco widzicie jak zmieniają się trendy w tworzeniu złośliwego oprogramowania. Jak to wyglądało kiedyś, jak wygląda dziś, ale przede wszystkim, czego możemy się spodziewać w przyszłości?
Peter Stancik: W ciągu ostatnich trzech dekad zagrożenia uległy niemal całkowitej transformacji –. zmieniły się cele i wektory ataków. W przeszłości zagrożenia były tworzone przez geeków, którzy popisywali się w ten sposób swoimi zdolnościami przed członkami większych społeczności. Te zagrożenia niekoniecznie były realnie szkodliwe dla użytkownika i komputera, istniały jednak i takie aplikacje, które potrafiły usuwać lub niszczyć zgromadzone na dyskach dane. Z kolei celem współczesnych zagrożeń jest kradzież informacji albo pieniędzy. Złośliwe programy bardzo często budują sieci komputerów zombie, którymi sterują zorganizowane grupy przestępcze i które można kupić na czarnym rynku razem z ... usługą pomocy technicznej. Niektóre z takich zagrożeń są zaawansowane technicznie i powstają by zaatakować konkretny cel – często, aby szpiegować wybrane przedsiębiorstwo. Dodam, że powszechną praktyką jest obecnie stosowanie przez twórcow zagrożeń techniki drive-by-download, dzięki której zagrożenie jest pobierane
podczas odwiedzania zainfekowanej strony, bez wiedzy i zgody użytkownika. Do wabienia internautów do zainfekowanych serwisów wykorzystywane są sztuczki socjotechniczne i techniki BlackhatSEO (wyświetlanie przez wyszukiwarki internetowe linków prowadzących do serwisów, nad którymi kontrolę przejęli cyberprzestępcy).
WP.PL: Gdybyście mogli w trzech, prostych zdaniach powiedzieć użytkownikom jak powinni się zachowywać, aby być bezpiecznymi w necie, aby nie dać się okraść z tożsamości, czy też pieniędzy, to co byście im powiedzieli?
Peter Stancik: Dam wszystkim trzy podstawowe rady
- Bądź ostrożny i powściągnij ciekawość – nie ufaj nieznajomym.
- Korzystaj z rozwiązania ochronnego – wybierz program, który najlepiej spełni Twoje oczekiwania i będzie naprawdę skuteczny. Pamiętaj, aby dbać o aktulizacje baz sygnatur wirusów.
- Aktualizuj swój system operacyjny i zainstalowane na dysku aplikacje.
_ Rozmawiał Jarosław Babraj _
