r   e   k   l   a   m   a
r   e   k   l   a   m   a

Co dalej z oprogramowaniem antywirusowym? Wywiad z Ondřejem Vlčekiem, dyrektorem Avasta

Strona główna AktualnościBEZPIECZEŃSTWO

Złośliwe oprogramowanie to już nie zwykły cyberwandalizm, to poważny, dochodowy biznes. Przychody z jego tworzenia pozwalają finansować prace nad kolejnymi generacjami szkodników, stosującymi wyrafinowane techniki programistyczne do ominięcia zabezpieczeń systemów operacyjnych i wykrycia przez antywirusowe skanery. Czy twórcy oprogramowania antywirusowego są w stanie wygrać w tym wyścigu? Czy stworzone przez nich narzędzia mogą wciąż skutecznie chronić przed cyberatakami, obejmującymi dziś nie tylko pecety z Windowsem? O tych właśnie kwestiach – i nie tylko o nich – rozmawialiśmy z Ondřejem Vlčekiem, dyrektorem operacyjnym firmy Avast, jednego z największych producentów oprogramowania ochronnego na świecie.

Ondřej Vlček jest w Avaście od 1995 roku. Zaczynał jako zwykły programista, by zostać w 2003 roku głównym programistą, w 2007 roku dyrektorem technicznym, a od zeszłego roku – dyrektorem operacyjnym. Ten młody i błyskotliwy człowiek jest więcej niż programistą, z wykształcenia to matematyk, specjalizujący się w metodach nieliniowej optymalizacji. Niniejszy wywiad to efekt rozmowy, jaką przeprowadziliśmy z nim wkrótce po wydaniu tegorocznej wersji pakietu oprogramowania ochronnego Avast Free Antivirus.

dobreprogramy: Co sądzisz o trendzie przekształcania oprogramowania antywirusowego w kompleksowe pakiety zabezpieczające? Czy nie lepiej trzymać się zasady KISS (Keep it simple, stupid)?

r   e   k   l   a   m   a

Ondřej Vlček: Zasada KISS zawsze jest dobra, i właśnie dlatego trzymamy się jej w naszym darmowym narzędziu, Avast Free Antivirus. Korzysta ono z tego samego silnika antywirusowego co nasze produkty premium, ponieważ wierzymy, że wszyscy internauci zasługują na ochronę. Zarazem jednak oferujemy klientom rozbudowane pakiety, zawierające dodatkowe funkcje ochronne, mechanizmy zwiększające wygodę korzystania z nich, ponieważ takie jest zapotrzebowanie rynku.

Jakiego rodzaju wyzwania stawia Windows 10 przed producentami oprogramowania?

Aby przystosować nasze produkty do Windows 10 nie były potrzebne większe zmiany. Musieliśmy jedynie nieco zmodyfikować kilka komponentów, by działały prawidłowo, ale nie trzeba było wprowadzać żadnych zmian w zachowaniu czy komunikowaniu się całego oprogramowania.

Jaka jest faktyczna wartość tradycyjnych metod wykrywania złośliwego oprogramowania za pomocą sygnatur we współczesnym, coraz bardziej wrogim środowisku informatycznym?

Wykorzystanie tradycyjnych metod do wykrywania malware dzisiaj już nie wystarczy. Na początku naszej działalności odnotowywaliśmy od jednego do pięciu nowych szkodników dziennie. Twórcy wirusów pisali je dla sławy. Dzisiaj mamy do czynienia ze zorganizowanymi cybergangami, czerpiącymi z tego finansowe korzyści. Dziennie odnotowujemy ponad 200 tys. szkodników, mutujących w ciągu dni a nawet godzin. Nie da się ich złapać za pomocą tradycyjnych metod. Skoro złośliwe oprogramowanie zaczęło przypominać Big Data (duże, różnorodne zbiory danych, których przetwarzanie i analiza jest niemożliwa za pomocą prostych metod formalnych – przyp. red.), musimy korzystać z analizy statystycznej do jego wykrywania.

Czy w takim razie rozwiązania antywirusowe mogą być zastąpione przez coś takiego jak te dynamiczne czujniki wzorców uruchamiania z głośnej ostatnio platformy EPP, którą reklamowano jako następcę dzisiaj używanego oprogramowania ochronnego?

To nic nowego. Niektóre programy antywirusowe już dzisiaj oferują dynamiczne wykrywanie wzorców uruchamiania. Avast uruchamia takie dynamiczne wykrywanie, gdy program trafia do sandboksa (zabezpieczenia, które izoluje podejrzane oprogramowanie od systemu operacyjnego – przyp. red.) i zgromadzone zostają logi jego działania. Jeśli będą w nich ślady podejrzanego zachowania, plik zostaje zablokowany.

Czy polimorficzne szkodniki (złośliwe oprogramowanie, które samo modyfikuje swój kod, by uniknąć wykrycia detekcją sygnatur – przyp. red.) mogą być efektywnie wykrywane i izolowane na słabszych komputerach i urządzeniach mobilnych?

Tak, takie szkodniki pojawiły się po raz pierwszy w latach dziewięćdziesiątych, kiedy komputery były znacznie wolniejsze niż dzisiaj, a jednak udawało się je wykryć.

A co ze szkodnikami, które zaczęły bezpośrednio atakować samo oprogramowanie antywirusowe? Jak się zabezpieczyć przed czymś, co aktywnie zwalcza nasze zabezpieczenia?

To prawda, antywirusy mogą zostać zaatakowane przez obecne w nich luki i podatności. Właśnie dlatego ogłosiliśmy programy polowania na błędy, by szybciej luki te łatać (w zależności od wagi odkrycia, Avast oferuje od 400 do 10 000 dolarów za wykryty w jego oprogramowaniu błąd, który zagrażałby bezpieczeństwu – przyp. red.). Oczywiście szkodniki mogą próbować bezpośrednio uszkodzić pliki antywirusa, zabić jego procesy – i dlatego właśnie Avast wyposażony jest w moduł samoobrony.

Jakiego rodzaju szkodniki są dziś najbardziej efektywne, a dla Was najbardziej kłopotliwe?

Z perspektywy programów antywirusowych wszystkie szkodniki wyglądają w zasadzie tak samo, ich forma jest skryta, kod szyfrowany. Szkodniki często się zmieniają, co czyni dla nas ważnym wydawanie zbiorów sygnatur tak szybko jak to możliwe, by chronić naszych użytkowników.

Jak dziś powstają szkodniki? Które z metod ich tworzenia szkodników są dziś najbardziej efektywne?

Złośliwe oprogramowanie budowane jest najczęściej przez grupy doświadczonych programistów. Stworzone przez nich szkodniki są zwykle owinięte polimorficznymi warstwami pakującymi i szyfrującymi, które zmieniają się bardzo szybko, będąc wyzwaniem dla rozwiązań antywirusowych.

Co sądzisz o technice znanej jako Return Oriented Programming (metoda ataku pozwalająca na złożenie złośliwego kodu z komend innego uruchomionego programu – przyp. red.)?

Wykorzystuje się ją do obejścia takich zabezpieczeń jak Address Space Layout Randomization (ASLR) oraz Data Execution Prevention (DEP). Dziś używana jest w większości exploitów, ponieważ coraz częściej oprogramowanie jest kompilowane ze wsparciem dla ASLR i DEP.

Jakie jest Twoje zdanie o dążeniu do izolacji i konteneryzacji we współczesnym oprogramowaniu, tj. wirtualizacji, budowaniu piaskownic (sandboksów) itp.?

Izolacja i konteneryzacja to krok w dobrą stronę, ponieważ pomaga oddzielić od siebie procesy, zmniejszając powierzchnię ataku. Jeśli jednak w samej piaskownicy znajdą się błędy, szkodniki z niej uciekną i całe zabezpieczenie stanie się nic nie warte.

Dzisiaj coraz więcej aplikacji wykorzystuje własne piaskownice, dostajemy wiele warstw bezpieczeństwa, ale czy to faktycznie dobra droga, by decentralizować zabezpieczenia, sprawę zrzucać na poszczególne aplikacje?

To zależy od tego, jak warstwa bezpieczeństwa jest napisana. Jak już wspomniałem, jeśli w piaskownicy znajdą się podatności, złośliwe oprogramowanie z niej ucieknie i zarazi urządzenie.

Czy w takim razie można dziś stworzyć naprawdę bezpieczny system operacyjny ogólnego zastosowania?

Stworzenie całkowicie bezpiecznego systemu operacyjnego jest mało prawdopodobne. Jednak stworzenie systemu operacyjnego, który jest bezpieczniejszy od dzisiaj używanych, powinno być możliwe. Z drugiej strony bezpieczeństwo w dużym stopniu zależy od użytkowników. Brak wiedzy i świadomości w tej kwestii sprawia, że ludzie padają ofiarami ataków wykorzystujących inżynierię społeczną, takich jak phishing. Mogą one prowadzić do uruchomienia złośliwego oprogramowania – a w takich wypadkach nawet najbezpieczniejszy system może zostać zainfekowany.

Co w takim razie z formalnie zweryfikowanymi systemami, takimi jak seL4? (jądro systemowe, w którym dowiedziono brak błędów za pomocą formalnych metod matematycznych – przyp. red.)

Lubię takie podejścia, kiedy są stosowane wobec konkretnych problemów bezpieczeństwa IT. Avast dostarcza jednak rozwiązań ochronnych dla milionów ludzi i dlatego musimy patrzeć na zagrożenia w bardziej kompleksowy sposób. Posiadanie małego, formalnie zweryfikowanego jądra to dopiero początek w całym stosie wrażliwych kwestii bezpieczeństwa. Za tymi wrażliwymi kwestiami podążają możliwe podatności lub błędy projektowe w systemach operacyjnych i oprogramowaniu. W wielu wypadkach użytkownik uruchamia aplikacje, ponieważ przekonano go, że to niegroźna aplikacja. Pytanie brzmi: co możesz osiągnąć wdrażając takie konkretne rozwiązanie, i co z tego co pozostanie wciąż pozwoli napastnikowi zrealizować jego cele – zdobycia dostępu do danych użytkownika lub kontroli nad jego komputerem.

Stworzyliście też wersję waszego pakietu ochronnego dla systemu OS X. Jak oceniasz ogólny poziom zabezpieczeń systemu Maków, jest lepszy czy gorszy niż w Windowsach?

Ogólne bezpieczeństwo OS-a X jest lepsze niż Windowsów, ale znaczącym tego powodem jest to, że ma on mniej użytkowników, co czyni z niego mniej interesujący cel dla napastników. W miarę wzrostu popularności Maków zauważamy jednak coraz więcej prób ataku na ten system.

Czy OS X jest dla producenta oprogramowania antywirusowego trudniejszym środowiskiem do pracy niż Windows?

To zależy od perspektywy, z której na to spojrzysz. Aby stworzyć rozwiązanie na Maki, musisz mieć inny zestaw umiejętności programistycznych, zaangażować ludzi mających doświadczenie z Uniksem, ponieważ OS X współdzieli wiele kodu z FreeBSD. Doświadczenie z pisaniem takiego oprogramowania dla Windows nie wystarczy, ponieważ w sprawach związanych z bezpieczeństwem trzeba korzystać z konkretnych interfejsów, dostarczanych przez producentów systemów operacyjnych. W tej kwestii Microsoft jest bardziej otwarty, chętniej dostarcza dokumentację swoich API niż Apple. Prawda jest jednak taka, że obie platformy są podatne na zagrożenia i obydwaj producenci próbują je dziś zamknąć i zabezpieczyć systemy samodzielnie. Jednak żaden z nich nie jest w stanie samodzielnie wykryć wszystkich zagrożeń i samemu ochronić przed atakami, szczególnie takimi, które nastawione są na oszukanie użytkowników za pomocą phishingu i innych technik społecznej inżynierii. Dlatego na rynku wciąż jest miejsce na specjalizowane rozwiązania ochronne, zarówno dla Windowsa jak i OS-a X.

Jeśli byłbyś współtwórcą systemów Windows, co byś w nich zmienił, by uczynić je bezpieczniejszymi?

Systemy z rodziny Windows są używane na całym świecie. Ze względu na ich historię i konieczność zachowania kompatybilności, od lat nie wprowadzono do nich żadnych znaczących zmian. Lubię podejście, w którym każda aplikacja przebywa w swojej piaskownicy, a jej uprawnienia są jasno zdefiniowane, tak jak to jest w systemie iOS. Jeśli nie ma żadnych exploitów, to od razu rozwiązuje to wiele problemów – choć oczywiście nie wszystkie. Tak więc właśnie chciałbym w Windowsach zobaczyć aplikacje w piaskownicach. Odpowiednik czegoś takiego przygotowaliśmy w Avaście. Jeśli masz procesor ze wsparciem dla sprzętowej wirtualizacji, to przy uruchamianiu potencjalnie problematycznej aplikacji, np. nieznanego pochodzenia, możemy ją odizolować, tak by jej kod nie mógł wpłynąć na system operacyjny, inne aplikacje i dane.

Co sądzisz o biometrycznym uwierzytelnianiu na pecetach? Czy może to kiedykolwiek zastąpić klasyczną parę loginu i hasła?

Biometria jest dobrą alternatywą, ale pary login/hasło zawsze będą potrzebne, choćby w sytuacjach awaryjnych. Na przykład, jeśli twoje odciski palców zostaną wykradzione, hakerzy mogliby za ich pomocą uzyskać dostęp do wszystkich kont, a ty raczej nie pójdziesz do chirurga zmienić odciski na nowe. Nie trzeba tu zresztą hakerów, wystarczy zresztą pomyśleć o sytuacji, w której zraniłeś się w palec. Możliwość logowania się do konta za pomocą tradycyjnego hasła jest konieczna.

Czy Twoim zdaniem Internet Rzeczy jest bardziej okazją czy zagrożeniem dla naszego życia, zarówno wirtualnego jak i fizycznego? Co możemy zrobić, by ochronić te małe, niewspierane urządzenia Internetu Rzeczy przed atakami szkodników?

Internet Rzeczy to okazja. Zagrożenie bierze się z ludzi – zarówno producenci jak i konsumenci ignorują podstawowe zasady bezpieczeństwa, niezbędne przy tego typu produktach.

Poważnym problemem w Internecie Rzeczy są przede wszystkim routery, przez które łączą się wszystkie pozostaje urządzenia. Wielu użytkowników nawet nie jest świadomych tego, że ich routery mają panele administracyjne, w których powinni zmienić domyślne hasła urządzenia. Jeśli router korzysta z domyślnego hasła, a tak jest dziś dla ponad połowy używanych na świecie urządzeń tej klasy, hakerzy mają łatwy dostęp i okazję by przejąć kontrolę nad sprzętem. To samo dotyczy wszelkich końcówek Internetu Rzeczy – jeśli to tylko możliwe, należy koniecznie zmienić w nich domyślne hasła.

Druga ważna kwestia to podatności w samych routerach. Ich oprogramowanie pisane jest w niskopoziomowym kodzie, najczęściej w C, a to oznacza, że wiele ich problemów nie zostało należycie rozwiązanych, wiele routerów jest na atak podatnych. Kolejny ważny problem to brak automatycznych aktualizacji – od użytkowników zależy, czy zalogują się do paneli sterowania i ręcznie zaktualizują firmware. Jak można się domyślać, niewielu to czyni.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.