Lūdzu, ņemiet vērā, ka raksts ir vairāk nekā piecus gadus vecs un ir pārvietots uz mūsu arhīvu. Mēs neatjauninām arhīvu saturu, tāpēc var būt nepieciešams meklēt jaunākus avotus.
/nginx/o/2018/07/12/8721414t1h3243.jpg)
Arvien jauni datorvīrusu izplatīšanās ātruma rekordi, kā arī mēģinājumi inicializēt to epidēmijas ar surogātpasta metožu palīdzību, ir īpaši saasinājuši jautājumu par antivīrusu programmatūras savlaicīgu gatavību atvairīt kārtējos draudus.
Lūk neliela ilustrācija datorvīrusu izplatīšanās ātrumam. Attēlu galerijā ir redzama e-pasta tārpa «Email-Worm.Win32.Zafi.d» uzvedība pagājušajā nedēļā notikušās epidēmijas pirmajā dienā. Šie grafiki parāda reģistrēto unikālo Latvijas IP adrešu skaitu stundā, no kurām uz «Inbox.lv» šī gada 7. un 14. decembrī tika izsūtītas datorvīrusus saturošas vēstules. 7. decembra grafiks raksturo tipisku diennakti, kad nav izteiktu jaunu datorvīrusu epidēmiju. Uz tās fona lieliski redzams, kā 14. decembrī burtiski pāris stundu laikā, no 15.00–17.00, datorvīrusa «Zafi.d» epidēmija sasniedz maksimumu. Šoreiz uz tās sākšanās brīdi Latvijā daudzu ražotāju antivīrusu produkti jau bija gatavi atvairīt jaunā vīrusa uzbrukumu, jo pasaulē pirmās šī tārpa kopijas tika reģistrētas 13. decembra vakarā. Tātad antivīrusu kompānijām bija diezgan daudz laika, lai izlaistu antivīrusu datubāžu atjauninājumus. Diemžēl tā tas nav vienmēr.
Vidējais laiks, kas tiek atvēlēts antivīrusu kompānijām, lai noreaģētu uz jaunu bīstamu datorvīrusu, ir sarucis tiktāl, ka pasaulē arvien biežāk izskan viedoklis, ka klasiskie signatūru antivīrusi, kuru darbība pamatojas uz pārbaudāmo objektu salīdzināšanu ar īpaši sagatavotiem datu paraugiem — signatūrām, ir izmirstoši dinozauri. Tā žurnāla «Virus Bulletin» šī gada oktobra numura saturs sākas ar rakstu «Definition-based AV software is dead», bet portāls «[s:4142]» nosauc signatūru antivīrusus par rudimentāriem.
Antivīrusu testi — fokusējuma maiņa
Tomēr, lai nu paliek viedokļi. Jaunu kaitīgo programmu skaits strauji aug un pagaidām nav izstrādāts brīnumlīdzeklis, kas pilnībā spētu aizstāt signatūru antivīrusu. Programmas, kas darbojas uz citiem principiem, pašreizējā to attīstības stadijā var būt tikai laba piedeva, kas tuvākajā nākotnē kļūs arvien svarīgāka. Līdz ar to līdzās parastajiem antivīrusu [s:4143] šogad priekšplānā ir izvirzījušās antivīrusu ražotāju reakcijas ātruma pārbaudes. Būtībā tās mazāk raksturo pašus antivīrusu produktus, bet vairāk parāda antivīrusu laboratoriju spēju ātri un kvalitatīvi reaģēt uz jauniem draudiem, izlaižot kaitīgo programmu identifikācijas moduļus. Īpaši jāuzsver, ka antivīrusu atjauninājumu kvalitāte ir ne mazāk svarīga par to iznākšanas ātrumu, tā kā nekvalitatīvs atjauninājums var ne tikai nepildīt savu tiešo uzdevumu, bet arī novest pie antivīrusa vai visas datorsistēmas darbības traucējumiem.
Ar atjauninājumu iznākšanas ātruma mērījumiem jau vairāk nekā gadu nodarbojas viena no autoritatīvākajām antivīrusu testēšanas organizācijām pasaulē, kuras testu rezultāti tiek publicēti daudzos IT izdevumos, tai skaitā žurnālā «[s:4144]» — Magdeburgas Universitātes un «AV-Test GmbH» kopīgais projekts «[s:4145]». Šī projekta ietvaros uzsāktais antivīrusu ražotāju monitorings aptver 24 kompānijas un intervāls, ar kādu tiek automātiski aptaujāti to tiešsaistes resursi, ir saīsināts no 5 minūtēm šī gada pirmajā pusē līdz 1 minūtei šobrīd.
Lai gan jau šī gada februārī kļuva zināmi pirmie rezultāti publikācijā «[s:4146]» tiešsaistes IT izdevumā «Datamation», apkopotā veidā, aptverot jau 45 īpaši bīstamu kaitīgo kodu parādīšanos, tie tika parādīti ikgadējā konferencē «Virus Bulletin 2004» (29. septembris — 1. oktobris, Čikāga, ASV). Galvenie dati no «AV-Test.org» konferences prezentācijas, kas ar laipnu «AV-Test.org» atļauju tiek šeit publicēti un raksturo dažādu antivīrusu kompāniju vidējos reakcijas laikus, ir sekojoši:
- mazāk nekā 2 stundas: neviens!
- mazāk nekā 4 stundas: «Kaspersky» un «Bitdefender»
- mazāk nekā 6 stundas: «AntiVir», «Dr. Web», «F-Secure», «Panda» un «RAV»
- mazāk nekā 8 stundas: «Quickheal» un «Sophos»
- mazāk nekā 10 stundas: «AVG», «Command», «F-Prot», «Norman», «Trend Micro» un «VirusBuster»
- mazāk nekā 12 stundas: «Avast» and «eTrust» (CA)
- mazāk nekā 14 stundas: «Ikarus» un «McAfee»
- mazāk nekā 16 stundas: «eTrust» (VET) un «Symantec» (Intelligent Updates, bet ne LiveUpdates, kas tiek atjauninātas retāk).
Piezīme: reakcijas laiku mērījumu rezultāti balstās uz datiem par notestētu atjauninājumu iznākšanu un neapskata atjauninājumu beta versijas, kas iznāk ātrāk, bet parasti nav pieejamas caur automātiskās atjaunināšanas programmām, tā kā to izmantošana saistīta ar paaugstinātu risku.
Un tā, vidējais antivīrusu industrijas reakcijas laiks šobrīd pēc «AV-Test.org» datiem sastāda 10 stundas. Kā norāda šī testēšanas organizācija, reakcijas laiks ir viens galvenajiem pašreizējo antivīrusu risinājumu efektivitātes kritērijiem un 10 stundas ir uzlabojams rādītājs.
Datorvīrusu kļūst vairāk un vairāk
Vēl viena raksturīga mūsdienu iezīme bez kaitīgo kodu izplatīšanās ātruma pieauguma ir to skaita krasā palielināšanās. Tā, piemēram, «Kaspersky Lab» antivīrusu laboratorijas analītiķi pirms trīs gadiem apstrādāja vidēji 27 kaitīgās programmas dienā, pirms gada — 62, bet šogad, strādājot jau trīs maiņās 24 stundas diennaktī un izlaižot regulāros atjauninājumus reizi stundā, 100 kaitēkļus. Šāds rezultāts iespējams pateicoties pilnīgi automatizētai kvalitātes pārbaudes sistēmai, kas ar katru atjauninājumu veic testēšanas procedūru uz lielu datu apjomu dažādās operētājsistēmās.
«AV-Test.org» atzīmē dažādu ražotāju signatūru faila izmēra vidējo pieaugumu 25% šī gada pirmajos astoņos mēnešos. Neapšaubāmi šāds darba apjoma un tempa pieaugums nevar neatstāt iespaidu uz daudzu antivīrusu kompāniju spēju ne tikai savlaicīgi un kvalitatīvi, bet arī vispār identificēt visas kaitīgās programmas, kuru paraugi tām ir pieejami (šobrīd antivīrusu kompānijas apmainās ar visiem pēdējā mēneša laikā konstatētajiem vīrusu paraugiem reizi mēnesī, īpaši bīstamos gadījumos - uzreiz).
Nākotnes antivīruss — viss vienā
Vai viedokļiem par signatūru antivīrusu galu būtu jāpiekrīt? Personīgā pieredze rāda, ka atrodoties «Kaspersky Anti-Virus» un «Kaspersky Anti-Hacker» aizsardzībā var strādāt droši, tomēr sajūta, ka arvien biežāk tiek balansēts uz naža asmens, neatstāj.
Kā prognozē Deivids Emms (David Emm) «Kaspersky Labs UK» vecākais tehnoloģiju konsultants, antivīrusu ražotāji tuvākajā laikā piedāvās produktus, kas ietvers sevī līdzekļus jaunu draudu atvairīšanai bez signatūru nepieciešamības. Pie tam produkti iekļaus sevī ne tikai programmu uzvedības analizatorus, ielaušanās novēršanas sistēmas (IPS) un ugunsmūru tehnoloģijas, bet arī līdzekļus cīņai ar surogātpastu, reklāmas un spiegu programmām kā vienotu risinājumu. Šāda aizsardzības tehnoloģiju konverģence atspoguļo tendenci datorvīrusu un citu kaitīgo programmu draudu attīstībā apvienot agrāk nodalītas tehnoloģijas. Tomēr sķiet pilnīgi droši, ka signatūru antivīruss paliks kā šī vienotā risinājuma sastāvdaļa.
Jaunās vēsmas jau ir atstājušas iespaidu arī uz «AV-Test.org», kuras prezentācija «Virus Bulletin 2004» konferencei beidzās ar paziņojumu, ka 2005. gada janvārī tā veiks sev pirms tam neraksturīgus ielaušanās detektēšanas sistēmu (IDS) un ielaušanās novēršanas sistēmu (IPS) testus. Tikmēr «Datoru Drošības Tehnoloģijas» gatavojas paziņot par jaunu «Kaspersky Anti-Virus Personal» versiju, kas bez datorvīrusiem spēj identificēt arī uzbrukumus no tīkla un bloķēt to avotus uz noteiktu laiku, kā arī bez grūtībām atpazīst reklāmas, spiegu un citu antivīrusiem neraksturīgu programmatūru un nepieļauj tās instalāciju datorā.