Strona używa cookies (ciasteczek). Dowiedz się więcej o celu ich używania i zmianach ustawień. Korzystając ze strony wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.    X

Zabawna historia o tym, jak antywirusy przestały być potrzebne

Kilka miesięcy temu wdałem się tu w dość zażartą debatę na temat pakietów antywirusowych. To jeden z moich ulubionych tematów, ponieważ mam w owej kwestii dość zdecydowane poglądy. Po krótkiej wymianie zdań, szybko przypomniałem sobie jednak, że zadeklarowani użytkownicy oprogramowania antywirusowego cierpią na taką samą przypadłość, jak fani laptopów HP. Nie umiem jej poprawnie sklasyfikować. Zarówno użytkownicy skanerów heurystycznych z trójwymiarowym interfejsem (i animowanym radarem!) jak i ludzie twierdzący, że podstawka chłodząca to coś akceptowalnego, stosują jakąś formę sprzeciwu wobec faktów.

Mimo, że jest to już zapewne jasne, ponownie powiem wprost, że jestem wrogiem wszelkich programów antywirusowych. Głównie z definicji. Bawi mnie porównywanie plików z milionami wzorców, celem sprawdzenia czy przypadkiem nie trafiamy w czarną listę. Wydaje mi się oczywiste, że należy postępować dokładnie odwrotnie i stosować białe listy – a więc początkowo zakazać wszystkiego, i udzielać wstępu tylko wybranym elementom. W konsekwencji oznacza to, że skuteczność antywirusa można osiągnąć (i przebić!) stosując połączenie poprawnej konfiguracji, zaktualizowanego oprogramowania i zdrowego rozsądku.

Twierdzę tak od lat, ale mimo wszystko faktem jest, że dopiero zbliżamy się do stanu, w którym to jest w 100% prawda, w dodatku nierzadko czyniąc regres. Doskonałym kontrprzykładem są tu pendrive’y, zwłaszcza kilka lat temu (po chwili zastanowienia uświadomiłem sobie, że przez „kilka lat” miałem na myśli dekadę i poczułem się nieco stary). Wyłączenie klucza „NoDriveTypeAutorun” w systemie Windows XP nie wystarczało do wyłączenia go dla nośników USB. Wydano w tym celu aktualizację 953252. Nie rozwiązała ona problemu i plik autorun.inf w dalszym ciągu uruchamiał się częściej, niż powinien. Wtedy przyszła 967715, pierwsza z trzech „ostatecznych” rozwiązań problemu. Nie pomogła, więc wdrożono następną. Ona tymczasem ubiła autoodtwarzanie, ale nie powstrzymała Explorera przed wykonywaniem kodu poprzez „dwuklik” na ikonę dysku. A w międzyczasie okazało się, że nawet to nie wystarczy, ponieważ da się wykonać kod z poziomu pliku desktop.ini (bardzo pouczająca wiedza podczas mojej walki z Confickerem w sieci). Zatem 967940 miało wyłączyć domyślną obsługę autoodtwarzania w ogóle, ale przy okazji włączało wykrywanie sprzętu powłoki, toteż musiano wydać 971029. Mimo to w dalszym ciągu, mimo zainstalowania wszystkich aktualizacji, wyłączenia wszystkich autoodtwarzań w Rejestrze i wygaszeniu obsługi autorun.inf przez Zasady Grupy, mógłbym przysiąc, że całkiem niedawno znowu widziałem jakieś świństwo przyniesione z punktu ksero. Walka z pendrive’ami trwa już 10 lat i mimo zaktualizowanego systemu i poprawnych ustawień i tak czasem przyniesie się jakiś automatyczny skrypt w zaciemnionym Visual Basic Script’cie. Zatem podstawowy (taki „nietechniczny”) zdrowy rozsądek, ustawienia i aktualizacje potrafią czasem nie wystarczyć. Swoją drogą, co jest tak trudnego w wyłączeniu jednej usługi, że od ośmiu lat wydaje się tuziny wersji sześciu aktualizacji i dalej niewiele z tego wynika…

r   e   k   l   a   m   a

Przestarzałe zagrożenia

Może nie aż tak niewiele. Kryzys wirusów pendrivowych raczej już minął, w swoich laboratoriach się z nimi już nie spotykam, na Windows 10 nie widziałem ich ani razu, więc powiedzmy, że problem jednak rozwiązano. Pragnę jednak zwrócić uwagę na dwie rzeczy: obecne „zagrożenia w internecie” to raczej zabawki większego kalibru niż skrypty VBS, a pendrivowych świństw nie wykrył żaden antywirus. A więc nawet mając na uwadze wyjątki, jak te nieszczęsne nośniki wymienne, antywirusy dalej nie mają racji bytu, bowiem zamiast bycia niepotrzebnymi, są jedynie nieskuteczne. Tymczasem ankietowani ludzie jako główne zagrożenie dalej podają wirusy…

Zanim udowodnimy sobie, że bawienie się w oprogramowanie antywirusowe jest bez sensu, zastanówmy się, co doprowadziło do sytuacji, w której stwierdzono, że skanery porównawcze i heurystyczne to jednak dobry pomysł, a nie postawienie sprawy na głowie. Nie chcę tutaj robić przeglądu historii szkodliwego oprogramowanie, bo byłoby to nudne i przede wszystkim powierzchowne, a ja bardzo nie lubię formuły „spłyconej syntezy”, widząc dla niej zastosowanie jedynie w zabawach takich, jak gazetka szkolna. A więc czymś, czym nigdy w życiu nie wolno się zajmować, jeżeli kiedykolwiek w przyszłości chce się robić cokolwiek niepozbawionego sensu.

Jak to kiedyś było

Podarujmy sobie więc chlubne początki w postaci żartobliwych wirusów MS-DOS i oznaczmy początek w nieco późniejszych latach. Dobrym zwiastunem czasów, o których chcę mówić będzie pierwszy makro-wirus z 1995 roku (krążący po wewnętrznych firmowych grupach roboczych i był w prostej linii przodkiem niesławnego szkodnika Melissa), ale i tak interesuje nas jeszcze kilka lat do przodu. Właściwym początkiem bajzlu, który zdefiniował internetowe rozumienie wirusów był rok 2000 i oczywiście robak „VBS Love Letter”, czyli ILOVEYOU. Wszystkie wcześniejsze paskudztwa stworzone dla DOS-a może i były niszczycielskie, ale ich głównym mechanizmem przenoszenia były dyskietki. ILOVEYOU był pierwszym poważnym wirusem, który rozpowszechniał się z wykorzystaniem Internetu.

W jaki sposób Love Letter, paraliżujący Internet swoimi kopiami wysyłanymi z Książki Adresowej Outlook Express, odniósł taki sukces? Powodem było przeniesienie myślenia z dawnych czasów na grunt technologii znacznie nowocześniejszej. MS-DOS nie posiadał kontroli dostępu ani modelu usprawnień, bo był na to za prosty, a komputery ze słabe. Windows 95 wprowadził wymuszoną chronioną pamięć (nie działała, jak należy, ale dajmy punkty za chęci) i szkodniki nie mogły sobie skakać po całej przestrzeni adresowej, wraz z BIOS-em i buforem ekranu. Windows NT wprowadził uprawnienia i pozwalał, teoretycznie, na ograniczenie tego, co wolno, a czego nie. Powoli zmierzaliśmy do budowania kontrolowanych środowisk. Niestety, rynek wymusił na programistach z Redmond szybką reakcję na boom internetowy, w konsekwencji czego wzbogacono Okienka o szereg nowych platform uruchamiania, pozostawionych „samym sobie”. Skryptom VBS i stronom DHTML wolno było wszystko. Do tego stopnia, że zdalny skrypt VBS mógł sobie pobrać i zmodyfikować plik na komputerze użytkownika, korzystając z lokalnego URL. To między innymi dlatego tak szybko po premierze Internet Explorera 4 pojawiła się wersja 4.01 ;) Szybki rozwój zupełnie niepilnowanych środowisk, zaprojektowanych w ten sposób by jak najprędzej wywołać eksplozję zainteresowania (udało się), połączony z podpięciem ich do Internetu, poskutkował powstaniem platformy, w której wszystko wolno i której nie da się tak łatwo załatać. Blokowanie wywoływania skryptów VBS było możliwe za pomocą stref zabezpieczeń, ale cóż z tego, gdy skrypty dało się uruchamiać narzędziem CSCRIPT. Zablokowanie skryptów w Rejestrze lub w zasadach grupy świeżutkiego Windows 2000 również było możliwe, ale nie było miesiąca, w którym nie okazałoby się, że komuś znowu udało się ominąć taką blokadę. Windows był dziurawy jak sito, bowiem najwyraźniej nikt nie projektował nowych narzędzi pod kątem bezpieczeństwa i możliwości wyłączenia. Ale pamiętajmy, że nie istniało jeszcze Active Directory, a najpopularniejszymi systemami wśród użytkowników Internetu były Windows 98 i Windows 95 z IE.

Zablokowanie nowych platform było albo niemożliwe, albo nieskuteczne. Wtedy okazało się, że stare podejście z oprogramowaniem antywirusowym dalej się sprawdza. Po prostu łatwiej jest brać pod lupę wszystkie pobierane pliki, niż wierzyć w to, że Windows może być ustawiony w bezpieczny sposób. Ale pamiętajmy, ileż to tych plików się wtedy pobierało. Gorzej było raczej z tymi, które pobierały się same: Outlook Express zawsze pobierał całego maila sformatowanego w HTML, niezależnie od tego, w jakie odmęty prowadziły odnośniki. Internet Explorer miał pokaźną kolekcję dziur pozwalających na pobranie i zdalne wykonanie kodu. I było to zachowanie zgodne z założeniami projektowymi: o ile łatki do IE wychodziły ciągłym strumieniem przez cały rok, to Outlook Express przestał pobierać wszystkie elementy poczty dopiero w wersji 6.0 (a tak w pełni, to wraz z dodatkiem SP2). Trwało to zatem kilka lat, zanim powstrzymano Windowsy od samowolnego wywoływania ogólnoświatowych epidemii, paraliżujących komunikację.

Użytkownik zawsze winny

Mimo, że bezpieczeństwo pakietów internetowych powoli rosło, nie zmieniała się piramidalna głupota użytkowników. Mimo, że w dalszym ciągu możliwe było wymuszenie wykonania kodu przez złośliwą witrynę lub wiadomość, większość epidemii była wywoływana przez ręczne uruchomienie załączonego pliku wykonywalnego EXE. Największe przeboje roku 2001, a więc Nimda, Sircam, Code Red i Klez potrafiły się rozpowszechniać przez dziury w Internet Explorerze, a nawet błędy w usługach sieciowych Windows 2000, ale załamująco częstym źródłem infekcji było samodzielne uruchomienie kodu z „payloadem”. Dlatego w dalszym ciągu w systemie musiał stać stróż, który patrzył na plik i krzyczał „to jest wirus”, gdy użytkownik, more often than not, usiłował beztrosko uruchomić jakieś szkaradztwo.

Można by przypuszczać, że wystarczyłoby wybić użytkownikom z głowy uruchamianie wszelkich plików wykonywalnych, ale były dwie przeszkody na tej drodze. Po pierwsze, okropny pomysł z Windows 95 na domyślne ukrywanie rozszerzeń nazw plików, nierzadko połączony z fałszywymi ikonami, sprawiał, że wielu użytkowników nie wiedziało, że plik „txt” jest w rzeczywistości plikiem „txt.scr”, a więc plikiem wykonywalnym. To istotnie bardzo ważny powód, uznawany niegdyś za głównego winowajcę, ale pozostaje jeszcze inna kwestia, niekoniecznie oczywista dla użytkowników Internetu wychowanych na HTML5, czy też Web 2.0 (to drugie jest dziś mocno przestarzałym terminem, co ponownie mi przypomina, że jestem starcem). Otóż zanim powstał Facebook i interaktywne strony ze wszystkimi możliwymi głupotami, zanim istniały filmowe pocztówki Hallmark i żartobliwe strony we Flashu, wiele zabawnych gier, piosenek i animacji wysyłano sobie mailem, z załączonym plikiem EXE. Dziś być może brzmi to idiotycznie (Android?) ale 10-15 lat temu każdy z nas miał Tego Znajomego, który wysyłał łańcuszki z 80 zdjęciami i maila z tańczącym Billem Clintonem w EXE do 387 osób z książki adresowej, bez BCC. Takie zwyczaje naprawdę nie ułatwiały walki ze złośliwym oprogramowaniem.

Trustworthy Computing

Microsoft słusznie zidentyfikował ten problem „już” w pierwszych latach XXI wieku. Problem bowiem przyspieszał: pocztowe robaki może i wymagały ręcznego uruchomienia przez użytkownika, bo Internet Explorer był załatany, ale już raz uruchomione były niemal nie do zatrzymania: wykorzystywały luki i przepełnienia bufora w podsystemie usług sieciowych. A sieciowe systemy operacyjne były coraz popularniejsze wśród użytkowników domowych, bowiem Windows 98 przegrywał z zyskującym Windows XP. Wtedy też swoją popularność święciły – być może ktoś jeszcze pamięta – twory o medialnych nazwach Slammer, Blaster, Bolgimo i Sasser. Wykorzystywały one luki w zabezpieczeniach Windows 2000 i XP, w większości załatane przed swoim „debiutem” w Sieci. Oznaczało to rzecz jasna wyłączone Aktualizacje Automatyczne.

Aby zaradzić wirusowej katastrofie, na którą podatną okazał się nawet „najbezpieczniejszy dotychczas system operacyjny” Windows Server 2003, Microsoft wstrzymał pracę nad mitycznym systemem Longhorn, aby wreszcie naprawić zabezpieczenia Okienek, wypełniając tym samym żądanie wystosowane w stronę samego B. Gatesa w kodzie wirusa Blaster. Inicjatywa została nazwana Microsoft Trustworthy Computing i jej głównym osiągnięciem było napisanie Windows XP od nowa. O ile Windows 2000 (2195) i Windows XP (2600) były do siebie bardzo podobne i nawet Service Pack 1 (2800) tego nie zmienił, to Windows XP Service Pack 2 (2900) wydany pod koniec 2004 roku, de facto wprowadził do sprzedaży nowy system operacyjny. Trzyletni XP został poddany gruntownemu remontowi, dodano do niego szereg funkcji związanych z zabezpieczeniami (widocznych dla użytkownika w formie Centrum Zabezpieczeń), wymuszono bardziej restrykcyjne ustawienia domyślne, a cały kod przekompilowano nowym środowiskiem C++ z parametrem „GS”, celem zabezpieczenia kodu przed potencjalnymi przepełnieniami stosu. Od tego momentu, Windows był bardzo podejrzliwy względem plików wykonywalnych i obcej poczty oraz wymagał wyraźnego potwierdzenia przed uruchomieniem kodu pobranego z Internetu. Okienko „czy na pewno chcesz uruchomić ten plik” w tle wywoływało analizę antywirusową pliku, sprzężoną ze skanerem rozpoznawanym przez Centrum Zabezpieczeń. Producenci oprogramowania zabezpieczającego musieli dostosować swoje produkty do współpracy z pakietem SP2.

Dwa główne efekty masowego wdrożenia SP2 są przerażające i zarazem szalenie wymowne. Po pierwsze – liczba infekcji wyraźnie spadła, system naprawdę stał się bezpieczniejszy, między innymi dlatego, że wymuszał na użytkowniku posiadanie antywirusa. Ale była też druga kwestia, szybko podniesiona przez czasopisma komputerowe, krzyczące, że Service Pack nie jest lekiem na całe zło. W dalszym ciągu bowiem wybuchały ogólnoświatowe epidemie, niezależne od tego, czy system jest „utwardzony” przez aktualizacje. Zdrętwiałe mózgi ciemnych użytkowników w dalszym ciągu ręcznie uruchamiały binaria takich szkodników, jak m.in. Netsky i MyDoom, a korzystając z domyślnych praw administratora, ustanawiały serwer TCP i wyłączały Zaporę. Oprogramowanie stało się bardziej wyrafinowane, niż dziurawy stos internetowy Microsoftu z roku 1999, ale w dalszym ciągu było podatne na najbardziej ordynarne zagrywki. Rozwiązanie było dopiero „w produkcji” i nazywało się Windows Vista, a więc „ten drugi Longhorn”.

Obowiązkowo Vista!

Znienawidzona Vista, nieumiejąca sprzedać swoich zalet, wprowadziła kilka innowacji, które znacząco zmniejszyły zasięg internetowego robactwa. Na czele jest tu najbardziej znienawidzona (bo niezrozumiana) funkcja Kontroli Konta Użytkownika (UAC). W powszechnym rozumieniu, robiła ona z użytkownika idiotę, pytając go, czy na pewno chce robić to, co robi. Spotykało się to z urażoną dumą ludzi, którzy myśleli, że zawsze wiedzą, co robią. Jednakże prawdziwą rolą UAC było coś zupełnie innego: wdrażała ona jeden z fundamentów projektowych dla nowoczesnych systemów operacyjnych, czyli zasadę najniższego uprzywilejowania (principle of least priviledge). Chodzi tu o to, by każdemu programowi przydzielić najmniejszy poziom uprawnień niezbędnych do wykonania swojego zadania. Jeżeli program będzie potrzebować ich więcej, poprosi o nie. Wydaje się, że do zrealizowania tej zasady wystarczy Windows XP, a nawet Windows 2000, konto ograniczone oraz funkcja „Uruchom jako…” ze wskazaniem Administratora. Pamiętajmy jednak, co się dzieje gdy zachce nam się, w Windows XP, popracować na ograniczonym koncie i nagle, na chwilę, zdobyć prawa administracyjne. Jest kilka scenariuszy. Przede wszystkim, musimy uruchomić program od nowa, jako proces innego użytkownika. To może jednak nie zadziałać, np. niektóre aplety rundll32 nie wyświetlają się, gdy zostaną wywołane jako inny użytkownik. Może się jednak stać coś gorszego: otrzymamy komunikat „odmowa dostępu” a nasza praca zostanie wywalona. I istotnie tak jest najczęściej. W bardzo niewielu miejscach, Windows XP wyświetla okienko „Uruchom jako…”, znacznie częściej krzyczy po prostu „Odmowa dostępu”. Zwrócę tu bezczelnie uwagę na fakt, że szansę na uruchomienie kodu jako Administrator otrzymamy na koncie ograniczonym głównie w obszarach UI pochodzących bezpośrednio z Windows 2000, w nowszych rejonach system nas okrzyczy. Dlatego Windows 2000 na zawsze pozostanie moją ulubioną edycją okienek.

Nietrudno domyślić się, że po paru takich niespodziankach, zawiesza się pracę na koncie ograniczonym i wraca do Admina. Wiele osób też patrzy na ten temat ambicjonalnie, twierdząc, że praca na koncie ograniczonym nie przystoi szlachcie. W konsekwencji, miliony użytkowników pracowało na sieciowych systemach operacyjnych jako administratorzy i nawet SP2 tego nie zmienił. Vista miała zerwać z tym zwyczajem: program miał pracować bez uprawnień nawet, gdy uruchomiony przez administratora i poprosić o nie, gdy będą potrzebne. A gdy pracuje się na koncie ograniczonym, program nie wywali się, tylko poprosi o hasło (albo odcisk palca) administratora. Dlatego praca na ograniczonym koncie przestaje być bólem. UAC pięknie pokazuje swoją siłę w domenie Active Directory. Gdy więc załącznik z poczty nagle poprosi o dodatkowe uprawnienia, będzie dobry moment na to, by jednak mu ich nie przyznawać. Przy okazji wyjdą na jaw źle napisane programy i np. taki Adobe będzie mógł poprawić swojego Photoshopa, żeby jednak nie prosił o prawa administratora. Niestety, zdecydowana większość użytkowników zupełnie nie zrozumiała UAC i na potęgę wyłączano ten mechanizm. Doprowadziło to wręcz do tego, że Windows 7 upośledził, a Windows 8 niemal zupełnie zepsuł UAC, na szczęście da się ustawić Kontrolę tak, by dalej miała sens (a więc ustawić suwak na samą górę). Jednak zasada najmniejszego przywileju znacznie poprawiła bezpieczeństwo Windowsów. Bardzo pomogła tu również nowa Zapora oraz lokalizacje sieciowe (Praca, Dom, Publiczne – też popsuto). Program nie mógł sobie tak po prostu ustanowić serwera TCP, zacząć słuchać i dostarczać jakichś usług dla botnetu – strasznie dużo różnych okienek zaczęłoby hałasować.

Idzie nowe

Od-integrowanie Internet Explorera, wyłączenie czających się wszędzie kontrolek ActiveX, widoków Explorera opartych o folder.htt oraz rzeczywiste załatanie ziejących dziur w oprogramowaniu doprowadziło do wyraźnego spadku złośliwego oprogramowania, z zaszczytnym wyjątkiem dla pendrive’ów, ale marginalizacja wirusów to nie magiczna zasługa samej Visty. Ale również nie antywirusów: nastąpił jednak wzrost świadomości użytkowników, bowiem w szkodliwym oprogramowaniu zaczęło chodzić o pieniądze. Wiele firm wydało majątek na akcje reklamowe i szkolenia, uwrażliwiające na zagrożenia w Internecie. Stąd też ogólnoświatowe epidemie stawały się coraz rzadsze. Ostatnim dużym robakiem mailowym był Storm, sprzed ponad 9 lat. Zmienił się bowiem kierunek ataku…
„Nowy” internet nie opierał się już na poczcie e-mail. Dziś wiele osób niemal w ogóle nie używa poczty, niedawno słyszałem o studencie, któremu obca była instytucja załącznika do e-maila. Coraz więcej pracy odbywa się na samo-aktualizujących się przeglądarkach WWW, gdzie nie trzeba nigdy uruchamiać żadnego kodu, a jedynie gotowe web-aplikacje. Zmieniły się urządzenia, na których pracujemy. Nie da się odpalić wirusa EXE na telefonie z Androidem podczas sprawdzania poczty. Nikt nie trzyma już kontaktów w Książce Adresowej Windows. Wszystko leży „gdzie indziej”, przeglądarki powoli przestają nawet obsługiwać dodatki. Cóż miałby przeskanować antywirus, skoro kod potencjalnie szkodliwej web-aplikacji leży gdzieś daleko w chmurze? Nasze bezpieczeństwo zaczęło zależeć od tego, jakie sieciowe aplikacje podpinamy do usług webowych, do których jesteśmy zalogowani. Moich kontaktów nie ukradnie już wygaszacz ekranu z South Parku, tylko podejrzanie dopraszający się o uprawnienia quiz na Facebooku, albo niewykryta przez Google’a złośliwa aplikacja w Sklepie Play. Nawet to nieszczęsne konto administratora nie ma znaczenia: dziur pozwalających na zdalne wykonanie kodu przez przeglądarkę już niemal wcale nie ma, a nie uruchamialiśmy natywnych aplikacji przez cały ostatni kwartał. Nawet, gdyby ktoś jednak napisał wirusa, nikt by go nie uruchomił. A nikt nie pisze, bo się nie opłaca. Nawet nowe API jest dodawane z ostrożnością: WinRT wymaga Sklepu, a Powershell w ogóle domyślnie ma wyłączoną obsługę skryptów.

Ostatnią epidemią, do której wezwano mnie na pomoc, był Conficker, który zainfekował sieć kilkudziesięciu komputerów. Gdy odkryłem winowajcę (ludzkiego) prędko uświadomiłem sobie, że nie dostanę pieniędzy za swoją bitwę, ale było to i tak pouczające. Miało to miejsce w czasach największej świetności wirusów pendrive’owych. Istotnie, to pamięci USB „naniosły” szkodnika do sieci, jedynym antywirusem był tam McAfee (którego tamta odmiana umiała wyłączyć), a pozostałe komputery nie miały wymaganych aktualizacji. To wtedy odkryłem, że desktop.ini jednak naprawdę potrafi wywoływać złośliwy kod, jeżeli się postara. Początkowo przegrywałem, ale docelowo udało mi się ubić Confickera i uspokoić sieć. Dziś pamięci USB wreszcie (w większości) przestały być nośnikiem śmieci, jedyną skuteczną metodą jest wywoływanie kodu przez LNK, ale i to się kończy. Stuxnet, Flame i Duqu wyrządziły masowe szkody, ale gdyby coś o podobnej sile rażenia pojawiło się 10 lat wcześniej, nie byłoby co zbierać.

Dziś więc pracujemy inaczej, niż w czasach popularyzacji antywirusów, w dodatku na innych urządzeniach. Bardzo często z wykorzystaniem zamkniętych środowisk. Nie istnieje potrzeba uruchamiania żadnych plików wykonywalnych, „śmieszne filmiki” zyskały dedykowaną platformę tracenia czasu, a jeżeli instalujemy jakiekolwiek programy, to niepotrzebne. Wśród najpopularniejszych pobrań na portalu dobreprogramy, aplikacja, którą jest sens instalować jest dopiero na dziesiątym miejscu. Wszystko inne albo jest w systemie, albo posiada zamiennik, który i tak należy pobrać u źródła. Mimo, że obecnie wirusów po prostu nie ma, chyba jedyną metodą złapania jakiegoś świństwa jest właśnie pobieranie programów z podejrzanych repozytoriów. Zresztą ja w ogóle nie wiem, jak ludzie ściągają wirusy. Mnie się to nigdy nie udało. Nie wiem, co takiego trzeba robić, żeby złapać jedyne złośliwe oprogramowanie, jakie obecnie zostało na wolności, czyli CryptoLocker. Podobno instalatory podszywają się pod aktualizacje Flasha. Na szczęście i to się niedługo skończy.

Mieliśmy długą przeprawę z wirusami. Zanim udało się stworzyć środowisko pracy w większości odporne na złośliwy kod, musiały minąć lata oczekiwania, aż Windows będzie na tyle bezpieczny, by nie skanować wszystkiego, co dotykamy antywirusem. Heca z pamięciami USB trwała znacznie dłużej, niż nakazuje przyzwoitość, ale obecnie Windows, zwłaszcza poprawnie skonfigurowany, jest bez przesady systemem kompletnym i bezpiecznym. Bezradność antywirusów, przyznawana nawet przez samych ich twórców, wobec najnowszych i bardziej egzotycznych zagrożeń sprawia, że zupełnie uzasadnione jest korzystanie z silników antywirusowych projektowanych jedynie pod kątem tych najpopularniejszych zagrożeń (wszak czasy epidemii i tak za nami). W tej roli sprawdza się Windows Defender. Wymuszone aktualizacje automatyczne, systemu i oprogramowania, chronią użytkowników, którzy naprawdę nie mają pojęcia co robią przed monitorem. Jeżeli bardzo się postarają, i tak uruchomią tysiąc szkodników, zaszyfrują sobie pliki i stracą numer karty płatniczej. Podczas gdy w tle będą działać dwa antywirusy, CCleaner i inny Odkurzacz. Bardziej martwiłbym się o smartfony takich osobników, choć i one domyślnie nie zezwalają na instalacje softu spoza Sklepu (w którym pełno świństwa, fakt).
Nie widzę sensu w stosowaniu antywirusów. To umierające hobby, przypominające mi kasety czyszczące do głowic magnetofonowych. Rozwiązują problem, którego już nie ma, w sposób, który jest naprawdę smutny. A jeżeli ktoś złapał ostatnio (mam na myśli: w ciągu ostatnich kilku lat) wirusa, to cóż… pozostaje mi pogratulować. ;)

PS

Oczywiście, w dniu pisania tego tekstu dostałem wirusa, a jakże! Od razu poczułem się, jak w 2003 roku. Oto on:

Postanowiłem go więc uruchomić, w maszynie wirtualnej. Chciałem poczuć magię tej podróży do przeszłości. Zanim jednak zniszczę wszystko, chciałem wiedzieć o moim koledze więcej. Wysłałem go więc na VirusTotal. Oczywiście, plik został oznaczony jako wirus przez… 40% silników. Way to go. Analiza wykazała, co bardzo ciekawe, brak podlinkowania do NTDLL.DLL. To rzadkie. Kompilator nie został wykryty, ale w kodzie znajduje się padding (w formie znacznie nudniejszej, niż mtswslnk, czyli PADDINGXXPADDING). A więc kompilował to jakiś C++, który umie dodawać manifesty XML, ale nie linkuje pod NTDLL. Istniało w ogóle coś takiego? I czy ten program naprawdę zadziałałby pod Windows 98? Przyjrzyjmy mu się dalej i otwórzmy zasoby.

Nudy i amatorka. Jeden wielki przycisk z opisem, który chyba nie obsługuje Unicode’u. Językiem programu jest rzekomo szwajcarski dialekt niemieckiego. Coś mi się nie chce wierzyć. Ikonka udaje plik PDF. W środku pliku nie znalazłem dosłownie nic ciekawego, poza stringiem „ZroadcastClient”, dającym zero wyników w Google’u. No to co? Odpalamy!

Lipa. Nic się nie stało. A jak tak liczyłem na ciekawą historię! Fragmenty kodu w nieznaczących bitach piksmapy dodanej jako zasób do pliku PE, skompresowany i zaciemniony kod… Tak jest pisali w miesięczniku „Hakin9” 12 lat temu! ;)
Z dedykacją dla FreeWare_RK.
 

windows bezpieczeństwo

Komentarze