Na komáry platí repelent. Co na platí na počítačové viry?

29 Čvc

Uživatelů počítačů a internetu stále přibývá. Zdokonaluje se počítačová síť i možnosti komunikace. Roste nabídka programů, her, pomocníků i informací. To všechno je fajn. Spolu s tím však roste počet a vyvíjí se i schopnosti agresorů v podobě virů schopných všechny výdobytky informačních technologií obrátit proti nám. Už je to doslova válka. Musíme se tedy bránit. Ve střehu musíme být neustále, neboť velké nebezpečí hrozí především těm privátním „domácím“ uživatelům, kteří antivirovou ochranu zanedbávají a infikují svou korespondencí další soukromníky. Je jich bohužel stále příliš mnoho. Firemní uživatelé jsou většinou klidní, protože o centrální bod připojení k internetu se starají bdělí administrátoři.

Připojit se k internetové síti bez kvalitního antivirového programu a firewallu se dnes prakticky rovná zločinu obecného ohrožení. Antivirové programy (AV) zkrátka patří mezi tu nejzákladnější softwarovou výbavu každého PC. Společností, které vyvíjejí antivirové programy, nalezneme na našem trhu řádově desítky. Pole hlavních konkurentů je poměrně vyrovnané, a pokud si vyberete produkt některého z nich, velkou chybu neuděláte. Důležité je, že AV program vůbec budete mít. Přesto však rozdíly existují a mnohdy i malý rozdíl v rychlosti či kvalitě může znamenat potíže, bez kterých byste se určitě rádi obešli. Otřepané heslo platí v případě elektronických škůdců dvojnásobně. Neuškodí proto malý pohled do rodných listů jednotlivých odrůd. Mezi nejrozšířenější havěť lze zařadit tři druhy. Viry, červy a trojské koně.

Viry

Takto se obecně a nesprávně označují všechny formy elektronických škůdců. Ve skutečnosti viry nemají schopnost se samy šířit. Jako cizopasník napadají nejčastěji pouze spustitelné soubory. Tedy takové, co nesou například označení .EXE. Není už pravdou, že se aktivují teprve poté, co je nic netušící nešťastník spustí. Nové viry se dokážou spustit pouhým zobrazením infikované mailové zprávy. Zpravidla vyhledají a napadnou další soubory. A čím škodí? Některé vám pouze rozhází písmenka, jiné smažou data a ty destruktivnější dokážou třeba smazat veškerá data. Makroviry, pokrevní příbuzní virů, napadají i dokumenty programů, které podporují skriptování a makra (např. Word a sešity Excel). Polymorfní viry se zase snaží ztížit detekci. Jejich vnější vzhled je v každém exempláři jiný, i když po funkční stránce zůstávají shodné. V testech se obvykle používá pár polymorfních virů, které jsou namnoženy do stovek exemplářů, aby se ověřila skutečná účinnost AV produktu.

Červi

S tímto druhem škůdce se setkáváme nejčastěji a patrně již neexistuje uživatel internetu, který by neměl to potěšení si s některým z nich potřást klávesnicí. Šíří se zamaskováni jako příloha mailu s lákavým obsahem v podobě lepých děv či neutuchajícího štěstí. V okamžiku, kdy lačný uživatel přílohu otevře, červ okamžitě zaměří svou pozornost na adresář kontaktů a rozešle se na všechny adresy, co najde. Některé chytřejší verze už si umějí otevřít dvířka sami a stačí na infikovaný mail pouze nahlédnout. Nebezpeční jsou hlavně rychlostí šíření a schopností množstvím svých klonů zahltit servery k prasknutí.

Trojské koně

Velmi výstižný název vlastně vypovídá vše o jejich schopnostech a vlastnostech. Trojský kůň je samostatný program. Přesně jako Odysseův oř čeká v tichu na to, až se uživatel nebude dívat. Pak tomu, kdo je vyslal, umožní vylézt a nepozorovaně provádět nepřístojnosti. Třeba jenom změnit nastavení počítače, ale taky zkopírovat tajné dokumenty, zadávaná hesla a poslat si je na mail. Ovšem pozor! Někteří škůdci jsou natolik »sofistikovaní«, že je těžké je přesně zařadit – poté, co »vykradli« nějaké adresáře, dokážou se maskovat za různými adresami, aniž by to jejich uživatelé sami tušili.

Co a jak srovnávat?

Porovnává se zpravidla kvalita, s jakou AV program dokáže zachytit tzv. In The Wild viry. (WildList je seznam nejrozšířenějších virů – virů „In The Wild“, které se běžně ve světě vyskytují.) Porovnává se tedy schopnost zachytit již známé viry. Různých srovnávacích testů lze nalézt několik. Jejich relevance je různorodá a obvykle ji lze jen těžko bez dalších, detailnějších informací posoudit. Například prakticky po každém masovějším šíření nějakého viru se v odbornějších časopisech a internetových stránkách objeví žebříček srovnávající rychlost, s jakou jednotlivé antivirové programy škůdce zachytily. Na první pohled je srovnání v pořádku. Vždyť co je kromě samotné schopnosti vir zachytit důležitější než rychlost? Háček je například v metodách, které jsou schopny zachytit viry proaktivně.

Rychlejší než myšlenka

Podobně jako u boje s biologickými viry dokáže antivirový program standardně bojovat teprve se známým nepřítelem. Funguje tedy reaktivně. Jakmile je virus znám a rozšířen, tedy je zanesen v seznamu In The Wild virů, antivirové společnosti připraví sérum v podobě aktualizace/updatu, který už si s ním poradí. Na druhé straně metoda generické detekce či heuristika patří zjednodušeně řečeno mezi schopnosti antivirového programu reagovat proaktivně. Čili zachytit nepřítele ještě před tím, než je znám. Dělá to tak, že analyzuje část kódu programu v podobné souslednosti, jako by byl doopravdy spuštěn, a hledá v něm podezřelé či pro viry typické postupy. Úspěšnost zachycení neznámého viru pomocí těchto metod se u různých AV společností poměrně liší (viz tabulka 1). Pravděpodobně nejlepší metodou disponuje dlouhodobě NOD32 slovenské firmy Eset. Podle údajů společnosti je to cca 75 – 80% úspěšnost. Ony žebříčky srovnávající kvalitu a rychlost detekce však nemusí být tak relevantní. Na prvních místech se sice objeví třeba antivir A či B, ale antivir C, který obsadil třeba šesté místo, ve skutečnosti zachytil škodnou dávno před tím, než A a C vůbec zjistily, že nějaká existuje.

Virus Bulletin

Pravděpodobně nejprestižnější a odbornou veřejností nejuznávanější srovnávací testy publikuje anglický časopis Virus Bulletin. Činí tak zpravidla každé dva měsíce a výsledky s napětím očekávají zejména samotné antivirové společnosti. Časopis hodnotí v první řadě kvalitu uváděnou poměrem zachycených napadených souborů k celkovému počtu napadených souborů a rychlost skenování. Ty antivirové programy, které zachytí 100 % In The Wild virů, získají ocenění „Virus Bulletin 100 % Award“.

Podle čeho tedy vybírat?

Parametrů, podle kterých se lze orientovat v houšti dodavatelů, je mnoho. Zvolený AV program musí například fungovat na operačním systému, který používáte. Pomineme-li však takovéto základní podmínky a budeme pro zjednodušení počítat s verzí pro domácího uživatele, lze AV vybírat zhruba podle níže uvedených kritérií. Rychlost – v principu se sledují dvě rychlosti. Rychlost reakce – tedy rychlost, s jakou zareagovala antivirová společnost na nový virus a vydala update – a rychlost skenování. Tj. rychlost, se kterou AV program prohledává soubory a virus hledá, a tím zatěžuje systém. Ocenění – počet ocenění Virus Bulletin Award. Toto ocenění získá AV program, který zachytí 100 % virů ve všech testovaných vzorcích. Cena – lze soudit, že rozdíly v základních cenách za jednu licenci nejsou tak velké, aby se na ně kladla příliš velká váha. Velké rozdíly mezi AV programy se projevují až při větším počtu licencí. Je také nutné brát v úvahu cenu za právo na update (typickou dobou je jeden rok). Další – sem lze zařadit například již zmiňované metody na odchyt virů proaktivně, kvalitní reference či třeba hardwarové požadavky. Snad vám v případném rozhodování pomůže následující tabulka. Nepodchycuje všechny parametry výběru a je v ní uvedeno pouze šest nejznámějších AV programů. Můžete ji však použít jako vzor pro srovnání s dalšími. Pokud vybíráte AV program pro firemní účely, musíte brát v úvahu spoustu dalších ukazatelů, ve kterých se těchto šest konkurentů dále odlišuje a jsou pro rozhodování důležité.

Leave a Reply