Státisíce vírusov pribudnú v digitálnom svete každý deň. Ako si s nimi poradiť a ako je vlastne možné tieto hrozby zachytiť?
Odpoveď je aj v digitálnej dobe ešte stále jednoznačná. Bez skutočných výskumníkov to nejde. Len samotný ESET eviduje okolo 300 000 nových unikátnych škodlivých kódov denne. To je rýchlosť, na ktorú treba nasadiť pokročilú techniku.
Vzorky kódov
Škodlivý kód je potrebné nejako analyzovať a faktom je, že len „živí ľudia“ by na toto určite nestačili. Nie v dobe, keď sa objavujú tisíce modifikácií týchto kódov. Programy, ktoré dokážu vytvárať modifikované škodlivé kódy, sú dostupné na internete a stoja desiatky prípadne stovky dolárov. Našťastie, odborníci z vírusových laboratórií poznajú signatúry kódov, teda akési ich DNA a jednoduchšie ich tak rozpoznajú. To aj napriek tomu, že sú v zásade odlišné a používajú mierne odlišný spôsob nákazy.
Takto je potrebné preskúmať značnú časť kódu, a to na základe spoločných alebo podozrivých prvkov. Toto všetko zvládnu nástroje, ktoré vírusové laboratóriá používajú a na základe nich analyzujú obsah súborov.
Kódy sú zobrazené v hexadecimálnom stave a niekedy tvorcovia škodlivého kódu zanechajú svoj podpis alebo odkaz vybranej antivírusovej firme. Takto sa to v minulosti stalo napríklad ESET-u, ktorý si pri analýze škodlivého kódu v ňom našiel „pozdrav“.
Jedna vec je kód programovať, druhá je vyznať sa v ňom. Kód samotný ale dostupný nebýva, a tak nastupujú experti v bezpečnostných firmách, a to prostredníctvom reverzného inžinieringu. Okrem samotných anomálií a podozrivých zápisov sa kontrolujú aj inštrukcie pre procesor, ktoré v sebe kód obsahuje. Analytik kontroluje programový zápis naozaj komplexne. Programy, ktoré sú označené ako spustiteľné, najčastejšie EXE, sú vlastne skompilované zdrojové kódy. V reverznom inžinieringu sa používa disassembler, teda opak prekladača programovacieho jazyka do strojového kódu.
To, čo sa zobrazí po tomto úkone, je podobné programovaciemu kódu, ako samotný program vznikol. Analýza však nie je jednoduchá a pochopiť hoci aj originálny zdrojový kód nie je pre iného človeka vôbec jednoduché. Toto je fáza, kedy sa program nespustí ale skúma sa.
Takisto existuje fáza, kedy sa program spustí a toto robia aj antivírusové či lepšie povedané bezpečnostné programy. Izolujú podozrivý program alebo proces a spustia v tzv. sandboxe, či po našom povedané „v pieskovisku“. Tam sa zisťuje, aké oblasti systému sa snaží program napadnúť alebo kam chce mať prístup. Na základe toho sa určuje, či je rizikový alebo nie. Aj preto niektoré programy pri prvom spustení vyžadujú dlhší štart. Kontrola bezpečnostného programu chvíľu trvá a väčšinou sa tento úkon vykoná raz. Antivírus si následne uloží informáciu o tom, že tento program v minulosti skontroloval a ďalej jeho kontrolu nevykonáva. To platí dovtedy, kým ho napríklad neaktualizujete. Potom už ide z pohľadu antivírusového systému o modifikovaný súbor a treba ho skontrolovať znova.
Takto vyzerá analýza škodlivého kódu
Nejde však len o hľadanie zhody. Útočníci používajú rôzne maskovacie techniky a snažia sa proti odhaleniu brániť. Neraz si ich škodlivý kód vyskúšajú na viacerých verziách antivírusov. Takto si preveria, či je bezpečnostný program schopný kód zachytiť. A nemusí ísť vyslovene o antivírusové jadro. Kontrolovať treba hrozby aj na faktor, ktorý predstavuje spôsob infikovania počítača. Tu prichádza na rad firewall a rôzne HIPS systémy (Host-based Intrusion Prevention System). Takáto ochrana má na starosti blokovanie podozrivého správania programov, ktoré by vyžadovali neštandardné zásahy do systémových oblastí, napríklad registrov.
Aktuálny antivírus
Vďaka kombinácii umelej inteligencie a strojového učenia sa dajú zachytiť kódy, ktoré ešte neboli priamo nájdené. S tým zase súvisí aktuálnosť databázy škodlivých kódov na známe vzorky. Dnešné bezpečnostné systémy majú vďaka tomu aktualizácie už po niekoľkých hodinách. Takisto sa na rozdiel od dávnej minulosti viac spoliehajú na komunikáciu s dátovým centrom výrobcu. Ide o tzv. cloudovú ochranu, kde má výrobca bezpečnostného riešenia najnovšie databázy a informácie o škodlivých kódoch. Preto je, hoci to môže vyznieť paradoxne, bezpečnejšie byť na internet pripojený. Teda za predpokladu, že máte nainštalované bezpečnostné riešenie.
Dnes už výrobcovia neradi používajú pojem antivírus a prikláňajú sa skôr k riešeniu bezpečnostné riešenie. Je to pochopiteľné. Vírus ako taký nie je jediná vec, ktorá môže škodiť vášmu počítaču a dátam. Dnes máte toľko rôznych hrozieb, že vírusy vlastne ani netvoria najpočetnejšiu skupinu. Preto sa v tejto súvislosti viac používa pojem škodlivý kód alebo inak povedané malvér. Tam totiž patria nielen vírusy, ale trójske kone, webové alebo Office skripty, ransomvér a iné skupiny kódov či zameraných programov.
Čiže antivírus môžete mať aktualizovaný niekoľkokrát za deň. Nie je to ale nevyhnutné práve vďaka HIPS a systémom proaktívnej ochrany. Tie zastavia podozrivé správanie, spamové emaily alebo nebezpečné prílohy v emailoch.
Kontrola počítača testuje nielen klasické súbory, ale aj kritické oblasti operačného systému
Budúcnosť škodlivých kódov
Nevyzerá ružovo, no dá sa trochu prikrášliť. Tak, ako sú zločinci vynaliezaví, takisto majú svoje metódy aj ochrancovia našich dát. Bezpečnostní experti sledujú nové hrozby, skúmajú kam sa toto odvetvie uberá a vytvárajú nástroje na zachytenie nových hrozieb. Takých, ktoré ešte nepoznáme. Už dnes sú bezpečnostné nástroje schopné zachytiť škodlivé kódy, ktoré priamo nemajú v databáze, no pracujú s ich signatúrami. O kybernetickom výskume sa viac dočítate aj na www.bezpecnenanete.sk.
