|
Strona 1 z 2 Pakiety ochronne typu Internet Security 2007 oferują wiele narzędzi zabezpieczających przed nowymi typami zagrożeń. Niestety, tylko nieliczne programy wykrywają podejrzane działania w systemie operacyjnym.
Producenci programów ochronnych przygotowali ich nowe wersje, uwzględniając stare i nowe typy zagrożeń. Oferowane dzisiaj pakiety wyposażono w sporo narzędzi o ciekawych nazwach, pudełka z programami pełne są zapewnień o zabezpieczeniach przed szpiegami, phishingiem, ochronie proaktywnej, analizie heurystycznej, udaremnianiu prób kradzieży tożsamości. Jak sprawdzają się te nowe narzędzia pakietów typu Internet Security? Przetestowanie działania modułów chroniących przed phish-ingiem czy kradzieżą tożsamości sprawia kłopoty, po części dlatego, że producenci nie udostępniają pełnej specyfikacji technicznej swoich narzędzi. Opisy funkcji pakietów są ogólnikowe, a sprawdzenie ich działania wymagałoby użycia dziesiątków, a nawet setek złośliwych programów. Gdy szukasz pakietu ochronnego do domowego komputera, nie masz nawet cienia szansy na racjonalny wybór tego, który zapewnia najwyższy poziom ochrony. Polegać można jedynie na marce produktu i obiegowej opinii. Nawet testy przeprowadzane przez takie organizacje, jak Virus Bulletin, nie dają pełnej wiedzy. Dlaczego? Testy tego typu nie sprawdzają reakcji pakietów ochronnych na nowe, nieznane zagrożenia. Należy też pamiętać, że dzisiejsze pakiety ochronne składają się z różnorodnych narzędzi. Produkt doskonale wykrywający wirusy może się okazać przeciętny, gdy przyjdzie sprawdzić szczelność zapory sieciowej. W wielu testach pakietów ochronnych pomijana jest też kwestia o podstawowym znaczeniu - czasu upływającego od pojawienia się nowego typu zagrożenia do dostarczenia aktualizacji pakietu przez producenta. Robak sieciowy potrafi rozprzestrzenić się na cały świat w ciągu kilku godzin. Laboratorium antywirusowe musi dostarczyć odpowiednią aktualizację pakietu ochronnego szybciej, aby ochronić przed infekcją. Analizy prowadzone przez firmy antywirusowe pokazują jednak, że globalne ataki robaków sieciowych będą zdarzać się coraz rzadziej.
Co naprawdę może grozić twoim danym?
Minęły czasy, gdy szczytem marzeń twórców wirusów było napisanie programu kopiującego się z komputera do komputera i usuwającego kilka plików z dysku. Dzisiaj programiści piszą złośliwe oprogramowanie przede wszystkim z chęci zysku. Globalne epidemie wywołane nowym typem robaka rozprzestrzeniającego się pocztą elektroniczną nie są wykluczone, ale włamywacze poświęcają czas raczej na projektowanie wyspecjalizowanych ataków na poszczególne instytucje (np. banki) i grupy klientów. Głównym zagrożeniem dla domowych komputerów jest dzisiaj kradzież poufnych danych, np. haseł używanych w bankowości internetowej. W takich razach włamywacze łączą rozwiązania technologiczne ze sztuczkami socjotechnicznymi, które mają skłonić użytkownika do ryzykownych zachowań i często okazują się znacznie skuteczniejsze niż wyrafinowana technologia.
Jak działa ochrona proaktywna?
Czym są tzw. ochrona proaktywna i analiza heurystyczna, którymi chwalą się producenci większości pakietów typu Internet Security? Powinny chronić system przed nowymi, nieznanymi dotąd zagrożeniami. Zakłada się, że wykryją wszelkie podejrzane i potencjalnie szkodliwe działania w systemie operacyjnym. W teście badaliśmy, jak ochrona proaktywna poradzi sobie z aplikacjami próbującymi formatować twardy dysk i wysyłającymi dane o plikach użytkownika przez Internet. Powinna także zareagować na próby modyfikacji rejestru oraz na przechwytywanie znaków wprowadzanych z klawiatury.
Testy dokładności skanowania
W testach programów antywirusowych dużą wagę przypisuje się dokładności wykrywania znanych zagrożeń: wirusów, makrowirusów, robaków sieciowych, koni trojańskich. Oczywiście, jest to istotna właściwość programu ochronnego, która daje jednak tylko częściową ochronę. Gdy komputer stanie się celem ataku złośliwego programu nowego rodzaju, tradycyjne wykrywanie wirusów może nie zadziałać. Dokładność wykrywania wirusów o charakterze historycznym ma drugorzędne znaczenie dla poziomu bezpieczeństwa komputera. Nowe zagrożenia rozprzestrzeniają się na całym świecie w ciągu godzin i jeśli producent w tym czasie nie dostarczy odpowiedniej aktualizacji swojej aplikacji, ochrona przed nimi jest niemal zerowa (może zadziałać tylko tzw. ochrona proaktywna). W naszym teście skontrolowaliśmy, jak moduły antywirusowe radzą sobie z wykrywaniem zagrożeń ze zbioru znanych wirusów plikowych i makrowirusów, ale nie należy oceniać programu ochronnego wyłącznie na podstawie tych wyników.
Jak ominąć zabezpieczenia pakietów ochronnych?
Poddaliśmy testowane pakiety ochronne prostej, choć złośliwej próbie. Przygotowaliśmy prostą aplikację, przechwytującą znaki wpisywane przez użytkownika za pomocą klawiatury. Kod procedury przechwytującej skopiowaliśmy z przykładów, powszechnie dostępnych w Internecie. Za pomocą tej samej "złośliwej" aplikacji próbowaliśmy też wysłać dane z komputera użytkownika (zawartość pliku C:\boot.ini) do skryptu umieszczonego na stronie WWW (wykorzystując wywołanie przeglądarki Internet Explorer 7). Następnie sprawdziliśmy, czy ochrona proaktywna, analiza heurystyczna i zapora sieciowa wbudowane w pakiety Internet Security wykryją te podejrzane działania. Rezultaty naszego testu nie napawają optymizmem. Z przetestowanych aplikacji tylko jedna (F-Secure Internet Security 2007) zareagowała na próbę przechwytywania znaków wpisywanych za pomocą klawiatury, a tylko cztery (F-Secure Internet Security 2007, Kaspersky Internet Security 6.0, AVG 7.5 Internet Security i Safe'n Sec) - na próbę wysłania danych z pliku C:\boot.ini do innego komputera.
|
Zmieniony ( 05.05.2010. )
|
