Co dalej z oprogramowaniem antywirusowym? Wywiad z Ondřejem Vlčekiem, dyrektorem Avasta
Złośliwe oprogramowanie to już nie zwykły cyberwandalizm, topoważny, dochodowy biznes. Przychody z jego tworzenia pozwalająfinansować prace nad kolejnymi generacjami szkodników, stosującymiwyrafinowane techniki programistyczne do ominięcia zabezpieczeńsystemów operacyjnych i wykrycia przez antywirusowe skanery. Czytwórcy oprogramowania antywirusowego są w stanie wygrać w tymwyścigu? Czy stworzone przez nich narzędzia mogą wciążskutecznie chronić przed cyberatakami, obejmującymi dziś nie tylkopecety z Windowsem? O tych właśnie kwestiach – i nie tylko o nich– rozmawialiśmy z Ondřejem Vlčekiem, dyrektorem operacyjnymfirmy Avast, jednego z największych producentów oprogramowaniaochronnego na świecie.
Ondřej Vlček jest w Avaście od 1995 roku. Zaczynał jako zwykłyprogramista, by zostać w 2003 roku głównym programistą, w 2007roku dyrektorem technicznym, a od zeszłego roku – dyrektoremoperacyjnym. Ten młody i błyskotliwy człowiek jest więcej niżprogramistą, z wykształcenia to matematyk, specjalizujący się wmetodach nieliniowej optymalizacji. Niniejszy wywiad to efektrozmowy, jaką przeprowadziliśmy z nim wkrótce po wydaniutegorocznej wersji pakietu oprogramowania ochronnego AvastFree Antivirus.
dobreprogramy: Co sądzisz o trendzie przekształcaniaoprogramowania antywirusowego w kompleksowe pakiety zabezpieczające?Czy nie lepiej trzymać się zasady KISS (Keep it simple, stupid)?
Ondřej Vlček: Zasada KISS zawsze jest dobra, i właśnie dlategotrzymamy się jej w naszym darmowym narzędziu, Avast Free Antivirus.Korzysta ono z tego samego silnika antywirusowego co nasze produktypremium, ponieważ wierzymy, że wszyscy internauci zasługują naochronę. Zarazem jednak oferujemy klientom rozbudowane pakiety,zawierające dodatkowe funkcje ochronne, mechanizmy zwiększającewygodę korzystania z nich, ponieważ takie jest zapotrzebowanierynku.
Jakiego rodzaju wyzwania stawia Windows 10 przed producentamioprogramowania?
Aby przystosować nasze produkty do Windows 10 nie były potrzebnewiększe zmiany. Musieliśmy jedynie nieco zmodyfikować kilkakomponentów, by działały prawidłowo, ale nie trzeba byłowprowadzać żadnych zmian w zachowaniu czy komunikowaniu się całegooprogramowania.
Jaka jest faktyczna wartość tradycyjnych metod wykrywaniazłośliwego oprogramowania za pomocą sygnatur we współczesnym,coraz bardziej wrogim środowisku informatycznym?
Wykorzystanie tradycyjnych metod do wykrywania malware dzisiaj jużnie wystarczy. Na początku naszej działalnościodnotowywaliśmy od jednego do pięciu nowych szkodników dziennie.Twórcy wirusów pisali je dla sławy. Dzisiaj mamy do czynienia zezorganizowanymi cybergangami, czerpiącymi z tego finansowe korzyści.Dziennie odnotowujemy ponad 200 tys. szkodników, mutujących w ciągudni a nawet godzin. Nie da się ich złapać za pomocą tradycyjnychmetod. Skoro złośliwe oprogramowanie zaczęło przypominać BigData (duże, różnorodne zbiory danych, których przetwarzanie ianaliza jest niemożliwa za pomocą prostych metod formalnych –przyp. red.), musimy korzystać z analizy statystycznej do jegowykrywania.
Czy w takim razie rozwiązania antywirusowe mogą byćzastąpione przez coś takiego jak te dynamiczne czujniki wzorcówuruchamiania z głośnejostatnio platformy EPP, którą reklamowano jako następcę dzisiajużywanego oprogramowania ochronnego?
To nic nowego. Niektóre programy antywirusowe już dzisiajoferują dynamiczne wykrywanie wzorców uruchamiania. Avast uruchamiatakie dynamiczne wykrywanie, gdy program trafia do sandboksa(zabezpieczenia, które izoluje podejrzane oprogramowanie od systemuoperacyjnego – przyp. red.) i zgromadzone zostają logi jegodziałania. Jeśli będą w nich ślady podejrzanego zachowania, plikzostaje zablokowany.
**Czy polimorficzne szkodniki (złośliwe oprogramowanie, któresamo modyfikuje swój kod, by uniknąć wykrycia detekcją sygnatur –przyp. red.) mogą być efektywnie wykrywane i izolowane na słabszychkomputerach i urządzeniach mobilnych? **
Tak, takie szkodniki pojawiły się po raz pierwszy w latachdziewięćdziesiątych, kiedy komputery były znacznie wolniejsze niżdzisiaj, a jednak udawało się je wykryć.
A co ze szkodnikami, które zaczęły bezpośrednio atakowaćsamo oprogramowanie antywirusowe? Jak się zabezpieczyć przed czymś,co aktywnie zwalcza nasze zabezpieczenia?
To prawda, antywirusy mogą zostać zaatakowane przez obecne wnich luki i podatności. Właśnie dlatego ogłosiliśmy programypolowania na błędy, by szybciej luki te łatać (w zależności odwagi odkrycia, Avast oferuje od 400 do 10 000 dolarów zawykryty w jego oprogramowaniu błąd, który zagrażałbybezpieczeństwu – przyp. red.). Oczywiście szkodniki mogąpróbować bezpośrednio uszkodzić pliki antywirusa, zabić jegoprocesy – i dlatego właśnie Avast wyposażony jest w modułsamoobrony.
Jakiego rodzaju szkodniki są dziś najbardziej efektywne, adla Was najbardziej kłopotliwe?
Z perspektywy programów antywirusowych wszystkie szkodnikiwyglądają w zasadzie tak samo, ich forma jest skryta, kodszyfrowany. Szkodniki często się zmieniają, co czyni dla nasważnym wydawanie zbiorów sygnatur tak szybko jak to możliwe, bychronić naszych użytkowników.
Jak dziś powstają szkodniki? Które z metod ich tworzeniaszkodników są dziś najbardziej efektywne?
Złośliwe oprogramowanie budowane jest najczęściej przez grupydoświadczonych programistów. Stworzone przez nich szkodniki sązwykle owinięte polimorficznymi warstwami pakującymi iszyfrującymi, które zmieniają się bardzo szybko, będącwyzwaniem dla rozwiązań antywirusowych.
Co sądzisz o technice znanej jako Return Oriented Programming(metoda ataku pozwalająca na złożenie złośliwego kodu z komendinnego uruchomionego programu – przyp. red.)?
Wykorzystuje się ją do obejścia takich zabezpieczeń jakAddress Space Layout Randomization (ASLR) oraz Data ExecutionPrevention (DEP). Dziś używana jest w większości exploitów,ponieważ coraz częściej oprogramowanie jest kompilowane zewsparciem dla ASLR i DEP.
Jakie jest Twoje zdanie o dążeniu do izolacji ikonteneryzacji we współczesnym oprogramowaniu, tj. wirtualizacji,budowaniu piaskownic (sandboksów) itp.?
Izolacja i konteneryzacja to krok w dobrą stronę, ponieważpomaga oddzielić od siebie procesy, zmniejszając powierzchnięataku. Jeśli jednak w samej piaskownicy znajdą się błędy,szkodniki z niej uciekną i całe zabezpieczenie stanie się nic niewarte.
Dzisiaj coraz więcej aplikacji wykorzystuje własnepiaskownice, dostajemy wiele warstw bezpieczeństwa, ale czy tofaktycznie dobra droga, by decentralizować zabezpieczenia, sprawęzrzucać na poszczególne aplikacje?
To zależy od tego, jak warstwa bezpieczeństwa jest napisana. Jakjuż wspomniałem, jeśli w piaskownicy znajdą się podatności,złośliwe oprogramowanie z niej ucieknie i zarazi urządzenie.
Czy w takim razie można dziś stworzyć naprawdę bezpiecznysystem operacyjny ogólnego zastosowania?
Stworzenie całkowicie bezpiecznego systemu operacyjnego jest małoprawdopodobne. Jednak stworzenie systemu operacyjnego, który jestbezpieczniejszy od dzisiaj używanych, powinno być możliwe. Zdrugiej strony bezpieczeństwo w dużym stopniu zależy odużytkowników. Brak wiedzy i świadomości w tej kwestii sprawia, żeludzie padają ofiarami ataków wykorzystujących inżynierięspołeczną, takich jak phishing. Mogą one prowadzić douruchomienia złośliwego oprogramowania – a w takich wypadkachnawet najbezpieczniejszy system może zostać zainfekowany.
Co w takim razie z formalnie zweryfikowanymi systemami, takimijak seL4? (jądro systemowe, w którym dowiedziono brak błędów zapomocą formalnych metod matematycznych – przyp. red.)
Lubię takie podejścia, kiedy są stosowane wobec konkretnychproblemów bezpieczeństwa IT. Avast dostarcza jednak rozwiązańochronnych dla milionów ludzi i dlatego musimy patrzeć nazagrożenia w bardziej kompleksowy sposób. Posiadanie małego,formalnie zweryfikowanego jądra to dopiero początek w całym stosiewrażliwych kwestii bezpieczeństwa. Za tymi wrażliwymi kwestiamipodążają możliwe podatności lub błędy projektowe w systemachoperacyjnych i oprogramowaniu. W wielu wypadkach użytkownikuruchamia aplikacje, ponieważ przekonano go, że to niegroźnaaplikacja. Pytanie brzmi: co możesz osiągnąć wdrażając takiekonkretne rozwiązanie, i co z tego co pozostanie wciąż pozwolinapastnikowi zrealizować jego cele – zdobycia dostępu do danychużytkownika lub kontroli nad jego komputerem.
Stworzyliście też wersję waszego pakietu ochronnego dlasystemu OS X. Jak oceniasz ogólny poziom zabezpieczeń systemuMaków, jest lepszy czy gorszy niż w Windowsach?
Ogólne bezpieczeństwo OS-a X jest lepsze niż Windowsów, aleznaczącym tego powodem jest to, że ma on mniej użytkowników, coczyni z niego mniej interesujący cel dla napastników. W miaręwzrostu popularności Maków zauważamy jednak coraz więcej próbataku na ten system.
Czy OS X jest dla producenta oprogramowania antywirusowegotrudniejszym środowiskiem do pracy niż Windows?
To zależy od perspektywy, z której na to spojrzysz. Aby stworzyćrozwiązanie na Maki, musisz mieć inny zestaw umiejętnościprogramistycznych, zaangażować ludzi mających doświadczenie zUniksem, ponieważ OS X współdzieli wiele kodu z FreeBSD.Doświadczenie z pisaniem takiego oprogramowania dla Windows niewystarczy, ponieważ w sprawach związanych z bezpieczeństwem trzebakorzystać z konkretnych interfejsów, dostarczanych przezproducentów systemów operacyjnych. W tej kwestii Microsoft jestbardziej otwarty, chętniej dostarcza dokumentację swoich API niżApple. Prawda jest jednak taka, że obie platformy są podatne nazagrożenia i obydwaj producenci próbują je dziś zamknąć izabezpieczyć systemy samodzielnie. Jednak żaden z nich nie jest wstanie samodzielnie wykryć wszystkich zagrożeń i samemu ochronićprzed atakami, szczególnie takimi, które nastawione są naoszukanie użytkowników za pomocą phishingu i innych technikspołecznej inżynierii. Dlatego na rynku wciąż jest miejsce naspecjalizowane rozwiązania ochronne, zarówno dla Windowsa jak iOS-a X.
Jeśli byłbyś współtwórcą systemów Windows, co byś wnich zmienił, by uczynić je bezpieczniejszymi?
Systemy z rodziny Windows są używane na całym świecie. Zewzględu na ich historię i konieczność zachowania kompatybilności,od lat nie wprowadzono do nich żadnych znaczących zmian. Lubiępodejście, w którym każda aplikacja przebywa w swojej piaskownicy,a jej uprawnienia są jasno zdefiniowane, tak jak to jest w systemieiOS. Jeśli nie ma żadnych exploitów, to od razu rozwiązuje towiele problemów – choć oczywiście nie wszystkie. Tak więcwłaśnie chciałbym w Windowsach zobaczyć aplikacje wpiaskownicach. Odpowiednik czegoś takiego przygotowaliśmy wAvaście. Jeśli masz procesor ze wsparciem dla sprzętowejwirtualizacji, to przy uruchamianiu potencjalnie problematycznejaplikacji, np. nieznanego pochodzenia, możemy ją odizolować, takby jej kod nie mógł wpłynąć na system operacyjny, inne aplikacjei dane.
Co sądzisz o biometrycznym uwierzytelnianiu na pecetach? Czymoże to kiedykolwiek zastąpić klasyczną parę loginu i hasła?
Biometria jest dobrą alternatywą, ale pary login/hasło zawszebędą potrzebne, choćby w sytuacjach awaryjnych. Na przykład,jeśli twoje odciski palców zostaną wykradzione, hakerzy mogliby zaich pomocą uzyskać dostęp do wszystkich kont, a ty raczej niepójdziesz do chirurga zmienić odciski na nowe. Nie trzeba tuzresztą hakerów, wystarczy zresztą pomyśleć o sytuacji, w którejzraniłeś się w palec. Możliwość logowania się do konta zapomocą tradycyjnego hasła jest konieczna.
Czy Twoim zdaniem Internet Rzeczy jest bardziej okazją czyzagrożeniem dla naszego życia, zarówno wirtualnego jak ifizycznego? Co możemy zrobić, by ochronić te małe, niewspieraneurządzenia Internetu Rzeczy przed atakami szkodników?
Internet Rzeczy to okazja. Zagrożenie bierze się z ludzi –zarówno producenci jak i konsumenci ignorują podstawowe zasadybezpieczeństwa, niezbędne przy tego typu produktach.
Poważnym problemem w Internecie Rzeczy są przede wszystkimroutery, przez które łączą się wszystkie pozostaje urządzenia.Wielu użytkowników nawet nie jest świadomych tego, że ich routerymają panele administracyjne, w których powinni zmienić domyślnehasła urządzenia. Jeśli router korzysta z domyślnego hasła, atak jest dziś dla ponad połowy używanych na świecie urządzeńtej klasy, hakerzy mają łatwy dostęp i okazję by przejąćkontrolę nad sprzętem. To samo dotyczy wszelkich końcówekInternetu Rzeczy – jeśli to tylko możliwe, należy konieczniezmienić w nich domyślne hasła.
Druga ważna kwestia to podatności w samych routerach. Ichoprogramowanie pisane jest w niskopoziomowym kodzie, najczęściej wC, a to oznacza, że wiele ich problemów nie zostało należycierozwiązanych, wiele routerów jest na atak podatnych. Kolejny ważnyproblem to brak automatycznych aktualizacji – od użytkownikówzależy, czy zalogują się do paneli sterowania i ręczniezaktualizują firmware. Jak można się domyślać, niewielu toczyni.
