Cursa virus-antivirus ar putea fi subiect pe Animal Planet, pentru ca nu exista mila si nu se iau prizonieri. Iar mai nou, se schimba si premisa de baza a acestui binom: antivirusii trebuie sa detecteze virusii nu numai pe baza semnaturii, ci si pe a unui profil de comportament in retea. Suna chinezeste, dar ignorarea pericolului poate costa bani grei. La inceput, virusul informatic a fost (si este, evident) un program autoexecutabil in anumite conditii. Scriitorii de virusi isi testeaza "creatiile" pentru a le verifica capacitatea de a eluda masurile antivirus care se bazeaza pe "semnatura", inca eficiente, in mare.
Dar, de cativa ani, lucrurile au luat-o complet razna: noile tipuri de infectii au ca sursa programe raufacatoare care nu pot fi depistate decat prin scanarea si identificarea unui profil de comportament. Profilul de comportament al virusilor a devenit astfel noul si cel mai important indiciu in lupta cu virusii, potrivit mai tuturor producatorilor de asemenea aplicatii. Aceasta daca nu este vorba de asa-zisele "exploit" - programe care exploateaza pur si simplu existenta unor defecte in aplicatiile software si in sistemele de operare.
Mai repede ca Soarele. Care este diferenta dintre detectia pe baza de semnatura si cea pe baza de comportament? In primul rand, programele antivirus sunt de fapt niste motoare de scanare a aplicatiilor unui computer. Atunci cand scanati computerul, antivirusul "perchezitioneaza" efectiv fiecare program, atat sistemul de operare si suita Office, cat si toate fisierele salvate: doc-uri, multimedia, executabile etc., comparandu-le cu biblioteca de semnaturi de virusi incorporata (avem deja un istoric antivirus, de cativa ani buni).
Aici intervine un prim reglaj fin al programului: unele aplicatii antivirus sunt deosebit de suspicioase, alertand inclusiv asupra unor programe legitime. Cu cinci ani in urma, legendarul antivirus RAV, produs de Gecad, imi scana PC-ul alertandu-ma ca RTS-ul meu favorit, Cossacks, este "malitios". Si nici macar nu era piratat! Astazi, motorul de scanare si identificare al RAV este incorporat in sistemul de operare Vista, in partea de securitate.
Cam acesta este principiul scanarii si detectiei antivirus pe baza de semnatura, inca suficient de eficient. Dar, daca acest principiu se bazeaza pe compararea semnaturii (pentru un programator, la fel de evidenta ca sunetul unui motor pentru un mecanic) unui virus, atunci ce facem cu noii virusi?
De acestia se ocupa echipele de detectie, care scaneaza Internetul in cautarea noilor amenintari sau care receptioneaza alertele trimise de propriile programe antivirus instalate la clienti si care se confrunta cu executabile neidentificate (antivirusul se poate seta pentru a trimite o alerta la producatorul antivirusului, ori de cate ori este nevoie, fara ca utilizatorul sa stie).
Totul nu mai depinde decat de viteza si eficienta acestor "sanitari" ai retelei, care trebuie sa analizeze rapid codul-sursa al virusului, sa ii recreeze modul de actiune, sa scrie apoi un cod in sens invers, care sa neutralizeze agresorul, sa testeze antivirusul la un numar oarecare de scenarii si apoi sa-i dea drumul in retea, cu un "Doamne-ajuta" ca nu a fost prea tarziu. Prea tarziu? Un virus "serios", bine scris, deosebit de agresiv - adica un program autoexecutabil, bine proiectat si cu un cod bine scris - poate face inconjurul lumii mai rapid decat Soarele. Intervalul de timp maxim de reactie este de cateva ore. Acum, nici viteza de reactie nu mai este suficienta.
Profilul teroristului. Virusii pot penetra astazi sistemele informatice protejate de antivirusi setati sa detecteze pe baza de semnatura si pot face ravagii in acele cateva ore necesare laboratoarelor antivirus pentru a scrie antidotul si a-l raspandi. Este ca antidotul antivenin: trebuie administrat rapid si, mai ales, corespunzator speciei de sarpe sau insecta care a atacat.
Problema a fost denumita "vulnerabilitatea zilei zero" si a condus la crearea unui nou concept de antivirus, bazat pe evaluarea comportamentului unui program care se autoexecuta (adica incepe sa faca operatiunile presetate de creatorul sau). Dar... "evaluare a comportamentului unui virus" nu suna cumva bizar?
Daca antivirusii pe baza de semnatura actioneaza post factum si au ca miza limitarea infectiei, antivirusii pe baza de evaluarea comportamentala actioneaza preventiv si pot bloca o infectie din faza initiala. Pentru a intelege diferenta dintre sisteme, trebuie sa facem o comparatie cu atacarea unei banci. Bancile au sisteme de supraveghere video, cu ajutorul carora politistii pot identifica figura unei persoane, dupa ce aceasta a comis un jaf. Politistii ar putea preleva inclusiv amprente, marturii etc., totul insa post factum, dupa care ar incepe urmarirea pentru capturarea atacatorului. Dar ce-ar fi daca un specialist ar analiza comportamentul clientilor din holul bancii, incercand sa identifice persoanele cu un comportament care sa contina indicii asupra intentiilor lor viitoare de atac? Si daca noi, oamenii, putem fi "cititi", de ce nu ar putea fi evaluat si comportamentul unui program?
Suna neverosimil, dar, asa cum pentru noi toti este evident ca masinile nu zboara, la fel, pentru un programator, anumite
programe nu pot face decat anumite lucruri si numai intr-o anumita ordine. Problema (iarasi) este ca modelul comportamental poate genera alarme false. Un antivirus pe baza de semnatura suprapune ceea ce gaseste in cursul scanarii cu ceea ce are in biblioteca si trage concluzia simpla si obiectiva ca programul cercetat este sau nu malitios. Un antivirus pe baza de studiu comportamental depinde foarte mult de motorul de cautare a profilurilor comportamentale - acesta poate fi setat sa fie mai suspicios sau mai relaxat. Astfel, comportamentul unui program oarecare ar putea fi considerat suspect si oprit - chiar daca programul respectiv este perfect legitim. Problema dramatica este ca multe aplicatii fac lucruri considerate periculoase de unii antivirusi, cum ar fi banala formatare de disc.
Rezolvari
Anul trecut, Symantec a integrat in antivirusul sau Norton un asemenea motor de evaluare comportamentala, denumit Sonar, care cauta profiluri de comportament malitios, in special in traficul de mesaje electronice.
Firma Sophos, specializata in solutii de securitate informatica pentru corporatii, foloseste, la randul sau, un sistem de monitorizare a comportamentului, bazat pe un motor unic de scanare pentru intreg continutul - mail, programe sau trafic in retea. In felul acesta, Sophos incearca sa se asigure ca elimina maximum de posibile false alarme: motorul are o librarie de modele de comportament (ale programelor legitime si ale programelor malitioase identificate anterior si neutralizate), cu care compara modelele identificate la programele nou scanate, rezultand astfel o rata de succes imbunatatita.
Toata aceasta scanare si identificare are loc, de obicei, intr-o "camera izolata" a sistemului informatic. De altfel, specialistii in securitate informatica obisnuiesc sa creeze servere, sisteme si retele-fantoma, catre care atrag atacurile, astfel incat sa le poata studia si neutraliza. Pe de alta parte, neutralizarea virusilor are loc in incinte virtuale izolate, cunoscute in domeniu sub numele de "cutie cu nisip". In aceasta incinta, virusii sunt lasati sa isi faca de cap, fiindu-le studiat comportamentul pentru realizarea antidotului. Modelul studiului comportamental avand, deci, inca unele slabiciuni, el este oferit, in prezent, de firmele de securitate a informatiei impreuna cu clasicul sistem de detectie pe baza de semnatura.
McAfee ofera, de exemplu, o asemenea combinatie: un sistem de detectie a intruziunilor pe baza de semnatura si studiu comportamental, pe o platforma unica, plus firewall. Aceasta abordare se regaseste atat in produsele pentru companii, cat si in cele pentru utilizatorii casnici.
Pentru clientii sai corporatisti, Symantec a dezvoltat o metoda de protectie denumita generic "protectie pe baza de vulnerabilitate" si care functioneaza astfel: cand se anunta o amenintare informatica, laboratorul analizeaza conditiile necesare si suficiente pentru producerea unui atac. Apoi, programul de securitate analizeaza traficul in retea in cautarea semnalmentelor unui atac.
Toate acestea sunt insa metode de prevenire. Antivirusii pe baza de semnatura raman sa faca, in continuare, munca de izolare si eliminare a virusilor - cu atat mai mult cu cat cei mai multi scriitori de virusi dau dovada de o istorica lipsa de imaginatie. Majoritatea virusilor care circula in Internet sunt versiuni ale virusilor mai vechi. "Inovativi" sunt numai cei pe care ii vedeti in topurile producatorilor de antivirusi.
Moda la virusari
BitDefender, divizia de securitate informatica a Grupului Softwin, releva ca o noua generatie de virusi care infecteaza fisierele pe care utilizatorii le descarca prin serverele de file-sharing (filme, muzica, jocuri, aplicatii software) inlocuieste clasicii virusi care ataca prin e-mail. In aceasta perioada, cel mai agresiv pare a fi Puce.G, o noua varianta a unui virus mai vechi, care infecteaza fisiere transmise prin site-urile file-sharing. In prezent, BitDefender are in baza sa de date 641.523 semnaturi virusi.
Nota de plata , in 2006: 9,7 mld. euro
Pierderile financiare directe provocate de virusii informatici, anul trecut, la nivel mondial, au fost evaluate de Computer Electronics la 9,7 miliarde de euro. Tendinta este de scadere a acestor daune, de la 10,36 miliarde euro, in 2005 si 12,77 miliarde euro, in 2004. Modul de calcul al acestor pierderi este simplu: un PC este virusat si vor costa: timpul pierdut degeaba de angajatul al carui PC este infectat, plus timpul petrecut de un informatician pentru a dezinfecta PC-ul, plus timpul petrecut pentru a reconstitui datele. Iar un computer infectat infecteaza la randul sau mai departe...

