Chip 01/2005: antivirový koutek
Virové epidemie jsou v posledních letech stále četnější, masivnější a prudší. To je bohužel fakt, se kterým se uživatelé počítačů a Internetu museli naučit žít. Ty tam jsou doby, kdy viru trvalo několik měsíců, než se alespoň trochu rozšířil. Tento trend má několik příčin: dvěma hlavními kanály pro šíření virů jsou dnes elektronická pošta a zneužívání bezpečnostních děr v operačním systému či aplikacích. Ten první kanál vyžaduje alespoň částečnou „spolupráci“ uživatelů, ten druhý je závislý na množství počítačů, které využívanou chybu obsahují. Smutné je to, že obě tyto podmínky bývají v řadě případů splněny více než dostatečně! K velkým epidemiím přispívá i to, že autoři virů stále častěji využívají zkompromitované počítače nic netušících uživatelů k prvotnímu co nejmasovějšímu rozeslání virů ještě předtím, než je jsou schopny antivirové programy detekovat.
Ne všechny viry se šíří volně mezi uživateli (anglicky „In the Wild“, tedy v divočině) – řada z nich toho není vůbec schopna, jiné prostě mají smůlu. Přesto se virových epidemií objevuje stále velké množství, a až na výjimky informace o nich už ani neproniknou do obecných médií. Tento jev se prostě stal „normální“ součástí našeho života – dlouhodobá průměrná četnost infikovaných zpráv se dnes pohybuje kolem patnácti procent.
Dnes bych se ale rád podíval na problém epidemií z opačného hlediska, tedy z pohledu uživatelů antivirových programů. Pro ně je totiž nejdůležitější, aby vše fungovalo tak, jak má, aby nové viry byly identifikovány co nejdříve – prostě aby jim od nich žádné nebezpečí nehrozilo.
Pro antivirové firmy dnes není vůbec žádný problém přidat detekci nového viru. Existují zavedené mechanismy, které umožňují analyzovat a přidat rozpoznání nového viru ve velmi krátké době, prakticky během několika minut. Poté musejí následovat nezbytné testy (například falešných poplachů) a poté zveřejnění aktualizace na Internetu. A právě zde leží největší problém: jak takovou aktualizaci dostat co nejdříve k co největšímu počtu uživatelů. Antivirové firmy řeší tento problém různě, základní principy jsou ale podobné. Ukažme si, jak takové aktualizace probíhají v programu avast!. Aktualizace databáze virů jsou inkrementální, přenášejí se tedy jen nové/změněné záznamy. To umožňuje radikálně zmenšit velikost přenášených dat (typicky na 1 až 30 KB), a tak jednak urychlit stahování pro jednotlivé uživatele a jednak snížit zátěž pro aktualizační servery a vyhnout se jejich zahlcení. Aktualizace navíc probíhá zcela automaticky – při připojení k Internetu a pak každé čtyři hodiny program kontroluje, zda nejsou k dispozici nová data. K dispozici je i samozřejmě i ruční aktualizace a také (zcela unikátní) „push“ aktualizace, vyvolaná speciální zprávou elektronické pošty. Tento mechanismus zaručuje, že nejpozději do čtyř hodin od vydání jsou aktualizované všechny počítače, připojené k Internetu, což je v případě rozsáhlé epidemie velmi důležité.
Ještě důležitější je tento úkol u nasazení antivirové ochrany v počítačové síti. Pro takovou činnost je výhodné mít centrální správu, která umožňuje z jediného místa řídit a nastavovat celý systém, vytvářet hierarchickou strukturu úloh, definovat hlášení o virech a včas distribuovat aktualizace. Důležité je mít možnost používat lokální mirror aktualizací, protože je samozřejmě nesmyslné, aby se všechny počítače z vnitřní sítě aktualizovaly z Internetu. Mirror stahuje potřebná data pouze jedenkrát a pak nabízí aktualizace ostatním počítačům v síti lokálně. V počítačové síti je důležité správně nastavit poštovní server – aplikováním několika jednoduchých pravidel (například zakázem posílání nebezpečných souborů) je možno velkou část epidemií zcela eliminovat. Nevhodným nastavením serveru je možné naopak potíže, způsobené viry, mnohonásobně zvýšit – pamatuji se na jednu instituci, kde se informace o zjištěném viru v elektronické poště posílala hned třem administrátorům najednou. Toto docela logické a nevinně vypadající nastavení se změnilo v nástroj, který „shodil“ server v okamžiku velké epidemie, kdy 40 000 příchozích infikovaných zpráv vyvolalo odeslání dalších 120 000 informačních zpráv pro administrátory. Podobně může fungovat i zasílání informace o viru pro odesílatele a adresáta infikované zprávy – navíc dnes tato informace zcela postrádá smysl, protože adresa odesílatele je takřka ve sto procentech falšována a adresáta příliš nezajímá. V počítačových sítích by měl být zcela určitě vypracován „krizový scénář“, který by určoval, co je potřeba v případě epidemie udělat a kdo je za to zodpovědný. Znalost krizových postupů může pomoci překonat epidemii daleko dříve a s mnohem menšími následky.
Je potřeba si uvědomit, že kromě správného používání antivirových programů je potřeba zajistit dvě další neméně důležité věci: včasné aplikování oprav (záplat) operačního systému a používaných aplikací a pravidelné zálohování. Při dodržování všech těchto základních pravidel Vás pak snad ani největší epidemie nezaskočí J !