r   e   k   l   a   m   a
r   e   k   l   a   m   a

Relacja z wizyty w firmie ESET

Strona główna Aktualności

Przedstawiamy relację ze spotkania jakie zorganizowała firma ESET, producent programu antywirusowego NOD32, dla polskich dziennikarzy. Konferencja miała miejsce w dniach 6-7 października 2009 roku w Bratysławie, w siedzibie firmy. dobreprogramy też tam były.

Spotkanie rozpoczęło się od przedstawienia historii i profilu działalności ESET. Początki firmy sięgają 1987 roku gdy Peter Pasko i Miroslav Trnka odkryli wirusa Vienna i napisali program, który mógłby go wykryć i usunąć. Szukając dla niego nazwy, zainspirowali się telewizyjnym serialem Nemocnica na okraji mesta (sł. Szpital na skraju miasta, w Polsce znany jako Szpital na peryferiach) i wymyślili nazwę Nemocnica na okraji disku, w skrócie NOD. Gdy pojawiła się wersja 32-bitowa, dodane zostały jeszcze cyfry i w ten sposób powstałą znana dziś nazwa NOD32.

Firma ESET została założona w pięć lat później, w 1992 roku. Dziś zatrudnia 420 pracowników i ma 80 milinów aktywnych użytkowników. Wzrost w ciągu ostatnich 5 lat wyniósł 2860%. Główna siedziba ESETa znajduje się w Bratysławie a biura zlokalizowane są w San Diego, Pradze i Buenos Aires. W Krakowie znajduje się centrum badawcze.

r   e   k   l   a   m   a

Foto Foto
Foto Foto

W dalszej części spotkania omówiono techniki wykrywania wirusów użyte w silniku ThreatSense NODa. Pierwszą z nich są klasyczne sygnatury, czyli ciągi bajtów identyfikujące poszczególne wirusy. ESET gromadzi je i wymienia się nimi z innymi producentami antywirusów. Sygnatury pozwalają wykrywać wirusy praktycznie bez fałszywych alarmów ale za to nie obejmują nowych zagrożeń ani mutacji. Dlatego też kolejny poziom to sygnatury generyczne, które są bardziej ogólne i pozwalają wykrywać wiele odmian danego wirusa. Następnym sposobem wykrywania wirusów wykorzystywanym przez ESET jest statyczna analiza kodu wirusa. Za jej pomocą wykrywane są fragmenty kodu typowe dla szkodliwego kodu. Jest to metoda heurystyczna, pozwala więc wykrywać także nieznane zagrożenia ale może przy okazji generować fałszywe alarmy. Na podobnej zasadzie działa emulacja, która pozwala na śledzeniu wykonania się kodu wirusa i analizę jego wpływu na system.

Podczas prezentacji wspomniano także o nowościach w wersji 4 antywirusa NOD32. Jedną z nich jest mechanizm autoochrony, mający zapobiec wyłączeniu antywirusa przez inny program. Druga z kolei to blokada portów USB, która ma chronić przed wirusami rozprzestrzeniającymi się przez pendrive'y oraz przed nieautoryzowanym kopiowaniem danych na pendrive'y. Ciekawą zmianą jest przeniesienie interakcji z użytkownikiem na koniec procesu skanowania. Dzięki temu można rozpocząć skanowanie i pójść na kawę a na ewentualne pytania dotyczące znalezionych wirusów odpowiedzieć gdy skanowanie będzie ukończone. Dodano też obsługę kolejnych programów pocztowych: Thunderbird i Windows Live Mail.


Foto Foto
Foto Foto

Bardzo ciekawą prezentacją była ostatnia pokazana pierwszego dnia. Omawiała ona trendy rozwoju współczesnych zagrożeń. Większość szkodliwego oprogramowania oraz różne ataki są obecne przeprowadzane z pobudek finansowych a odpowiednie narzędzia są sprzedawane na czarnym rynku. Celem wielu wirusów jest wykradanie danych takich jak np. numery kart kredytowych czy loginy i hasła do kont bankowych, przeprowadzanie ataków DDoS i rozsyłanie spamu. Ciekawym zagrożeniem są wirusy, które w rzeczywistości nie są szkodliwe ale za pomocą wyświetlanych komunikatów o zainfekowaniu komputera próbują przekonać użytkownika do zakupu narzędzia, które je usunie. Takie narzędzia czasem nawet są prawdziwymi antywirusami, opartymi zwykle o otwarty ClamAV. Do rozsyłania wirusów i wiadomości phishingowych wykorzystywany jest e-mail, dziury w przeglądarkach i innych aplikacjach, zainfekowane strony internetowe, strony z pornografią i nielegalnym oprogramowaniem, typosquatting, komunikatory, pendrive'y oraz zawsze całkiem skuteczny social engineering.

Po prezentacjach uczestnicy spotkania mieli okazję zwiedzić siedzibę ESETa. Dziennikarzom pokazano m.in. pomieszczenie w którym przeprowadzana jest analiza działania wirusów. Podstawowym narzędziem pracy jest tu IDA (Interactive Disassembler), jeden z najbardziej zaawansowanych deasemblerów. Każdy pracownik ma dwa komputery, z których jeden służy do normalnej pracy a drugi do uruchamiania wirusów. System na tym drugim komputerze jest od czasu do czasu przywracany z obrazu. Wykorzystywane jest tu własne narzędzie ESETa, podobne do Ghosta. W pomieszczeniu, w którym analizowane są wirusy, wiszą ekrany pokazujące mapy z zaznaczoną szybkością rozprzestrzeniania się wirusów i aktywnością mechanizmu aktualizacji antywirusa.


Foto Foto
Foto Foto

Drugi dzień spotkania rozpoczął się od prezentacji, w której ESET opowiadał w jaki sposób NOD32 wyróżnia się spośród innych rozwiązań antywirusowych. Podkreślono wysokie miejsca w testach Virus Bulletin oraz AV-Comparatives, szybkość działania, małe obciążanie systemu, ochronę przed phishingiem i rootkitami. Przekonywano, że ESET słucha głosu użytkowników i dostosowuje swoje produkty do ich potrzeb.

Ostatnia prezentacja dotyczyła testowania antywirusów. Temat ten przewijał się przez całe spotkanie. NOD32 wypada bowiem w testach na ogół bardzo dobrze ale są też takie testy, w który produkt ESETa zajmuje ostatnie miejsca. Problem testów przedstawił Randy Abrams, przez wiele lat pracownik Microsoftu. W Redmond czuwał on aby Microsoft nie udostępnił zawirusowanego programu. W ESET zajmuje się edukacją pracowników i wdrażaniem procedur bezpieczeństwa.


Foto Foto
Foto

Jednym z głównych problemów przy testowaniu jest ogromna ilość wirusów. W teście trzeba więc użyć bardzo wielu próbek aby był on miarodajny. W praktyce więc bada się tylko mały wycinek zagrożeń. Ponadto różne antywirusy mają różne funkcje i są w różny sposób konfigurowane. Testy muszą więc uwzględniać konfigurację oraz specyfikę poszczególnych programów. Przykładem mogą tu być narzędzia kompleksowe, które rozwinęły się w różny sposób. Jedne programy były zwykłymi antywirusami, które potem rozszerzono o inne moduły, np. firewalla. Inne były firewallami ale dobudowano do nich funkcje antywirusowe.

Aby rozwiązać problem testów, producenci antywirusów powołali Anti-Malware Testing Standards Organization (AMTSO), która ma wypracować metodologię i narzędzia do przeprowadzania miarodajnych testów programów antywirusowych. ESET bierze w niej aktywny udział.

Spotkanie polskich dziennikarzy z firmą ESET zakończyło się grą w kręgle. Odbyły się dwie gry, w których dobreprogramy były bezkonkurencyjne i zwyciężyły dwukrotnie :)

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.