Juraj Záruba: pro zábavu už nikdo viry nepíše

Na trhu je nová verze bezpečnostního software ESET Smart Security a NOD32. Dříve vznikaly viry hlavně kvůli nešťastné lásce a s oblibou se říkalo, že by si jejich autoři programováním nevydělali ani na suchý krajíc chleba. Jak se změnily počítačové viry a způsoby, jakými se snaží chránit proti odhalení? Které programovací jazyky jsou u virů nejvíce využívány? Nejen na tyto otázky odpovídá v rozhovoru manažer technické podpory ESET Juraj Záruba.

Juraj Záruba

Plánujete uvolnit novou verzi ESET Smart Security a NOD32. Jaké jsou hlavní odlišnosti od předchozí verze?

Na začátku listopadu jsme do prodeje uvolnili zcela nový produkt ESET Smart Security, což je nový bezpečnostní balík pro domácí a firemní zákazníky. Obsahuje čtyři komponenty – antivirus, antispyware, osobní firewall a antispam, které navzájem spolupracují na bázi pokročilé heuristické technologie ThreatSense a skenovacího jádra ESET NOD32. Spolu s ním jsme představili novou generaci antiviru ESET NOD32 Antivirus. Stávající uživatelé předchozí verze 2.7 mohou na verzi 3.0 přejít zdarma a získají tak mimo jiné vylepšené skenovací jádro a kompletně nové grafické rozhraní.

Vaše konkurence používá falešné e-mailové účty k analýze spamu a údajně provozuje také 40 000 senzorů rozmístěných ve více než 180 zemích pro odhalení nových virů. Jak odhaluje nové viry a spam vaše společnost?

Naše produkty využívají technologie ThreatSense, která dokáže odhalit i dosud neznámé hrozby. Jedná se o pokročilou heuristiku, které eliminuje prodlevu nastávající v případech, kdy antivirová firma reaguje na novou hrozbu až s vydáním nové aktualizace. Od chycení nového viru do vydání aktualizace ale může uběhnout několik hodin a během té doby může hrozba napáchat velké škody.

Váš produkt ESET Smart Security využívá vzájemné propojení antiviru, antispamu a osobního firewallu. Můžete na praktickém příkladu popsat, jak spojení těchto zabezpečení přispívá k vyšší bezpečnosti uživatele?

Jednotlivé pilíře programu byly od počátku vyvíjeny současně. Tím je zajištěna jejich dokonalá souhra při odhalování virových útoků, což se výrazně projevuje v dosahování vysoké rychlosti skenování při zachování systémové nenáročnosti. ESET Smart Security obsahuje řídicí úroveň, která jednotlivé moduly jako je antivirus, atispyware, osobní firewall a antispam propojuje tak, aby se při vyhodnocování potenciálních hrozeb daly využít všechny dostupné informace. Jednotlivé části programu neustále monitorují operace probíhající na pozadí systému a předávají řídicí úrovni informace, co se v počítači děje.

Dříve psali viry hlavně studenti a mladí lidé pro zábavu anebo z nešťastné lásky. O tehdejších autorech virů se tvrdilo, že by si programováním nevydělali ani na suchý chleba. Dnes se staly viry nástrojem počítačové kriminality. Jak vypadá zdrojový kód virů nyní?

Psaní virů je dnes jednoznačně velký byznys. Pro zábavu již virové hrozby nikdo nepíše. A pokud ano, tak jen pro studijní účely třeba na univerzitách. Srovnávat zdrojové kódy nelze, viry před 20 lety byly velmi jednoduché. Dnes se navíc šíří zcela jiné typy hrozeb – před 20 lety neexistoval Internet a tudíž ani červi, adware, spyware nebo spam.

Změnily se techniky, jakými se viry snaží zabránit odhalení ze strany antivirových programů? Můžete je blíže popsat?

Hrozby se neustále vyvíjejí a stejně procházejí evolučními změnami i způsoby, kterými se snaží vyhýbat detekci. Těchto způsobů dnes již existuje velké množství, například již vzpomenutá neustálá tvorba nových variant infiltrace. V některých případech vydávají tvůrci těchto hrozeb modifikované varianty v řádově minutových intervalech, čímž snižují účinnost tradiční aktualizace.

Některé infiltrace, takzvané rootkity, se snaží nabourat nejnižší funkce operačního systému tak, aby znemožnily svoje odhalení standardními funkcemi systému. Infiltrovat funkce a soubory využívané už přímo uživatelem či přímo antivirovým softwarem. Kromě toho se dnes infiltrace běžně skrývají za libovolnou obálkou, ať už je to kód či komerční komprimovací formát tak, aby ztížily schopnost analytiků a antiviru dostat se na kobylku i takto ukryté hrozbě.

Jak se změnily typy virů? Představují nyní největší hrozbu červy?

V současnosti je velmi těžké charakterizovat typy infiltrací nějakým jednoduchým názvoslovím. Často používané kategorie jako trojský kůň, červ, virus, keylogger a podobně se stávají méně užitečné, protože už běžně existují infiltrace, které vykazují charakteristiky všech těchto skupin. Co se týká červů, tak podle definice je to infiltrace, která se replikuje a šíří po síti, tradičně se pod tímto názvem infiltrace myslí e-mailový červ. I v této oblasti však nastaly změny.

Dnes existují červi, kteří se šíří přes různé IM programy jako ICQ a MSN messenger, případně přes různá fóra, chaty nebo peer-to-peer aplikace jako KaZaa, DC či BitTorrent. Ve všeobecnosti však možno potvrdit, že proti nedávné minulosti, kdy červi virové scéně dominovali, dnes v procentuálním zastoupení ztrácejí krůček po krůčku ve prospěch dalších hrozeb, jako jsou phishing, adware, spyware a podobně.

Jak dlouho dojde podle vašich zkušeností k první infekci u počítače, který je čerstvě nainstalovaný a připojený bez antiviru k síti?

Tak toto je velmi těžká otázka, a odpověď závisí na mnoha faktorech jako například, jestli je počítač zapojený do nějaké lokální sítě, kde hrozí šíření infekce přes sdílení. Případně jestli je počítač připojen jen do Internetu, řekněme například přes telefonní modem, kdy infekce závisí jen na uživateli a jeho vlastních aktivitách. Jestli začne uživatel okamžitě stahovat cracky na programy nebo se nechá zlákat neznámými kodeky, může být nakažený ještě rychleji než v prvním případě.

Viry stále častěji využívají důmyslných triků sociálního inženýrství. Vzpomenete si na nějaký virus, který by mohl obelstít i poměrně ostražitého odborníka?

Určitě taková situace může nastat, pokud třeba tvůrce infiltrace využije do té doby neznámou chybu. Jestli mám uvést nějaký konkrétní případ, mohlo se to stát například při zneužití chyby ve formátu jpg, která při otevření správně vytvořeného obrázku způsobila spuštění nechtěného kódu. V době, kdy na chybu neexistovaly oficiální záplaty, mohl i odborník otevřít zdánlivě neškodný obrázek, který přišel z e-mailové adresy podobně zkušeného známého.

V jakém programovacím jazyce se dnes nejčastěji tvoří viry a škodlivý software?

Tvůrci hrozeb se neostýchají kopírovat celé části kódu, který vytvořil někdo jiný. Tedy pokud bychom měli hovořit jen o objemu vytvářených hrozeb, můžeme říci, že rozšířený je ten jazyk, ve kterém byla zveřejněná část kódu, například na fóru. Můžeme tedy sledovat i trendy, které se liší od regionu k regionu. Abych byl konkrétní, tak se nejčastěji střetáváme s hrozbami psanými v Delphi a Borland C. Často se však využívá více jazyků. Například je vytvořený exploit v JavaScriptu, který infiltraci stáhne a nainstaluje na počítač. Ta samotná infiltrace je napsaná v jazyce C, přičemž některé její komponenty zabezpečující rootkit funkcionalitu jsou zase napsané v assembleru.

Testujete a zkoumáte konkurenční antivirové programy? Jak takový test probíhá?

Nemáme žádné oddělení, které by se specificky zaobíralo testováním konkurenčních produktů. Avšak vzhledem k nedostatku relevantních údajů jsme si před vydáním nového balíku ESET Smart Security udělali interní test zatížení systémových souborů i v porovnání s některými produkty konkurence. Co se týká funkcí produktu, víc se spoléháme na uživatelskou odezvu a výsledky nezávislých autorit a před kopírováním konkurence upřednostňujeme vlastní inovace.

Máte virovou laboratoř, kde je možné na počítačích vidět v „akci“ jednotlivé viry? Jakým způsobem jste vlastně schopni zjistit přesné chování viru z pohledu uživatele a nikoliv zdrojového kódu?

Ve virové laboratoři využíváme i specializované systémy určené na analýzu chování infiltrací. Ať už jde o to, jak se chovají v rámci konkrétního počítače, tedy například jak se program instaluje a podobně, nebo i v rámci sítě. Tedy jestli se někam připojuje, něco stahuje, případně se snaží přistupovat na sdílené disky atd. S vývojem hrozeb se však nějaká podrobná a přesná analýza stává komplikovanější.

Infikované počítače se mohou stát součástí takzvaného botnetu, tedy sítě infikovaných počítačů propojených přes Internet a spravovaných počítačovým kriminálníkem. V takovém případě nemusí infiltrace celé dny či týdny vykazovat žádnou speciální činnost, což se však může změnit jediným příkazem správce takového botnetu. Po takovém příkazu mohou infikované počítače začít rozesílat spam, osobní údaje nebo se například i aktualizovat o úplně novou funkci, řekněme kradení přístupu na internetové bankovnictví.

Profil

Juraj Záruba je absolventem Fakulty elektrotechniky a informatiky Slovenskej technickej univerzity v Bratislavě. Už během studií začal pracovat ve společnosti ESET jako specialista technické podpory a od roku 2005 se specializuje na poskytování technické podpory zahraničním partnerům. Od letošního roku zastává ve firmě pozici manažera technické podpory.