Vírusy.sk - Informačný web server (www.virusy.sk)

Novinky - PC Vírusy - AV Systémy - Virus Bulletin - Download

_Novinky__
Editoriál
Novinky

_PC Vírusy__
Popisy vírusov
Vírusový radar
Poplašné správy
Napadnutý vírusom?
Diskusia o vírusoch

_AV Systémy__
AV programy
AV spoločnosti
AV testy
Trial verzie AV
Online verzie AV
Jednoúčelové AV
Diskusia o AV

_Virus Bulletin__
Virus Bulletin
Virus Bulletin
2004-2005

_O Vírusoch__
eKonferencie
Encyklopédie
Publikácie

_Redakcia__
Kontakt
Spolupráca

_Partneri__
LTC.sk

_Spriatelené sajty__
AVIR.sk
DrWeb32.sk
AEC.sk
Grisoft.cz
BitDefender.com
Info Consult.sk

 

 
 
23.12.2002 - Ján ŠIMKO - Publikácie
Aktívna antivírusová ochrana I.  (článok)

V dobe keď sa z Internetu, dobrého sluhu stáva zlý pán, je aktívny prístup k vírusovej problematike otázkou nutnosti. Znakom kvalitného riešenia je jeho celková komplexnosť a aktuálnosť. Ak by sme parafrázovali Hamletovskú otázku a opýtali sa "Mať či nemať antivírusovú ochranu", odpoveď by sme na rozdiel od Hamleta mali jasnú. Veď v dobe komerčného rozmachu Internetu je zaočkovanie našich počítačov rovnaká nutnosť ako pasterizácia potravín alebo ochranné opatrenia proti chorobe šialených kráv. Takže prečo teda pristupovať k tejto problematike aktívne?!

Doba sa od počiatkov samoreplikačného kódu "vírusov" dosť zmenila. To čo malo počítačových nadšencov viesť k umelej inteligencii viedlo k demencii dnešných tvorcov vírusov. Ich motiváciou je snaha ničiť, nie poukazovať na nedostatky programov ako to zvyknú niektorí romantizovať. Väčšinou ide o študentov, ktorí ešte nevytvorili žiadnu hodnotu a nemôžu pochopiť hodnotu straty dokumentov aj jednodňovej práce "hlúpych" používateľov. Nie vždy sa však jedná o "zábavu". Napríklad infiltrácia do systému prostredníctvom trójskeho koňa, môže mať za cieľ hospodársku špionáž, alebo infekcia vírusom schopným zašifrovať dáta na pevnom disku môže viesť k vydieraniu.

Pod pojmom aktívna antivírusová ochrana si treba predstaviť predovšetkým komplexné riešenie. Teda nejde len o kvalitné technické riešenie, ale hlavne o zodpovedného administrátora a náležite poučených používateľov. Je potrebné si uvedomiť, že bojujeme s nepriateľom využívajúcim sociálne inžinierstvo, veď kto by odolal vianočnému želaniu (... v ktorom sa skrýva I-Worm.NAVIDAD), peknej tenistke (... ktorá je zásterkou pre VBS/SST.A) či nahým ženám (... namiesto, ktorých nás ohúri I-Worm.NAKED).
Podľa Izraelu, krajiny ktorá vie o terorizme svoje, prichádzame denne do styku s terorizmom v kyberpriestore. Izraelský minister pre vedu žiadal, aby bol "kyberterorizmus" deklarovaný ako medzinárodný zločin. O tom že ide naozaj o vážnu hrozbu svedčí napríklad útok na server internetovského obchodného domu Amazon.com, alebo vyhľadávacej centrály Yahoo.com. Námorníctvo (Marine Corps.) USA bolo v prípade vírusu Melissa dokonca nútené vypnúť emailový systém spájajúci jednotlivé základne. Poškodené boli aj niektoré ďalšie vládne inštitúcie (napríklad: Department of Energy, Department of Veterans Affairs). Vaša sieť môže byť ďalšia na rade, pričom máte určite menej prostriedkov na odstránenie dôsledkov ako uvedené inštitúcie. Rovnako ako v našom zdravotníctve aj tu platí zásada prevencie.

Komplexnú antivírusovú ochranu LAN siete pripojenej k Internetu môžeme rozdeliť na tri základné úrovne:

1. Antivírusová ochrana staníc
2. Antivírusová ochrana groupwarových a súborových serverov
3. Antivírusová ochrana vstupných brán do vnútornej siete


Koncové stanice
Čo teda vlastne chránime? Pravdepodobne poznáte hoax Albánsky vírus, ktorý Vás inštruoval aby ste si sami zmazali pevný disk, lebo vďaka zlej sociálnej situácii v Albánsku to nešlo zautomatizovať. Nech sa to zdá byť akokoľvek vtipné, fakt je ten, že spúšťanie prakticky akéhokoľvek škodlivého kódu "zabezpečuje" samotný používateľ. Začnime teda na najnižšej úrovni topológie siete, na koncových staniciach. Základom je kvalitná rezidentná ochrana schopná zastaviť infekciu. Na základe fámy, že rezidentný skener neúmerne spomaľuje prácu, má veľa používateľov tendenciu túto ochranu vypínať. Preto je nutné chrániť program pred vypnutím či neautorizovanou zmenou nastavení a zabezpečiť optimálnu transparentnosť programu. Samozrejme nie všetko môže zabezpečiť rezident, ktorý nesmie spôsobovať zvýšenú záťaž systému (... napríklad skenovaním 300MB poštových databáz aplikácie MS Outlooku alebo archívnych súborov). Úlohou rezidentnej ochrany je zastaviť infekciu v momente jej šírenia, nie skenovanie celých pevných diskov. Na skenovanie veľkého množstva súborov je určený skener na požiadanie. Táto súčasť antivírusovej ochrany, by mala byť schopná nájsť infekciu v bežných súboroch a tiež v archívnych či komprimovaných súboroch. Kompletné skenovanie systému je časovo náročný proces preto je ho dobré presunúť na dobu, keď neobmedzuje používateľa, napríklad v čase obednej pauzy. Prakticky každý program umožňuje tzv. plánované úlohy. Zaujímavou modifikáciou je skenovanie spúšťajúce sa po spustení šetriča obrazovky, je jasné že v tom momente používateľ na počítači nepracuje. V snahe poskytnúť používateľovi najväčší možný komfort, je snahou tvorcov antivírusových programov čo najviac zjednodušiť rozhranie programu a použiť tzv. inteligentné nastavenia, odbremeňujúce od naštudovania podrobných nastavení, umožňujúce zabezpečiť kvalitnú antivírusovú ochranu aj laickému používateľovi.

Klasický AV skener porovnáva súbory s databázou vírusových vzoriek, čím spoľahlivo detekuje známe vírusy. Čo však s novými vírusmi? Odpoveďou na túto hrozbu je heuristická analýza súborových vírusov, makrovírusov a v poslednej dobe aj Visual Basic skriptov. V princípe ide o proces, pri ktorom sa emuluje testovaný programový kód a preveruje sa či nevykonáva podozrivú – škodlivú činnosť. Vďaka heuristike máme možnosť detekovať nové druhy trójskych koní i makrovírusov. Nevýhodou tohto prístupu sú však tzv. falošné poplachy, pri ktorých sú ako podozrivé označené častokrát aj úplne zdravé súbory. Odporúčaný postup v prípade detekcie podozrivého súboru, je umiestniť tento súbor do karanténneho adresára, zaktualizovať antivírusový program a dať súbor opäť skontrolovať klasickým skenerom na požiadanie.

Komplexnejšie programy ponúkajú tiež kontrolu elektronickej pošty vo forme plug-inov do najrozšírenejších poštových klientov, či kontrolu dát sťahovaných z Internetu. Najlepšie však je ak sa vírusová infekcia na koncovú stanicu vôbec nedostane. Spôsob ako to dosiahnuť je chrániť vyššie úrovne v topológii LAN... .

Vytlačiť článok... Zdroj: Corinex.sk


Súvisiace články:
30.12.2002  Aktívna antivírusová ochrana III. - Publikácie
27.12.2002  Aktívna antivírusová ochrana II. - Publikácie


Systémové hlásenie:
Pri generovaní stránky sa vyskytla nasledujúca chyba - nepodarilo sa nájsť požadovaný zdroj dát!

Na odstránení vzniknutého stavu sa intenzívne pracuje, skúste navštíviť naše web stránky o niečo neskôr.