Antivírusové programy začali vznikať pred rokom 1990. U nás sa v dôsledku neskoršieho nástupu počítačov začali používať krátko po príchode prvých PC. Boli však tiež len svetlými výnimkami.
V dôsledku mohutného rozmachu používania softvéru z nelegálnych zdrojov sa začalo dariť aj vírusom. Ale väčšina užívateľov počítačov sa stále uspokojovala s tým, že "im sa to nemôže stať". Tí opatrnejší si zaobstarali nejaký antivírusový program a verili, že sú chránení. O nejakej aktualizácii nechyrovali. Až druhá polovica deväťdesiatych rokov zaznamenala "veľký tresk". Prišiel čas e-mailov a zasielania súborov elektronickou poštou. A to bola výzva pre autorov vírusov. Objavili sa nové typy, ktoré využívali už aj slabiny operačných systémov, ale predovšetkým ľudskú naivitu a zvedavosť. Už nestačilo mať "nejaký" antivírusový program, ale bolo ho treba pravidelne aktualizovať. Napriek tomu, vždy boli vpredu autori vírusov. Vznikajú nové pomenovania pre škodlivé kódy - "červ" a "trójsky kôň". Od vírusov sa odlišujú spôsobom fungovania - tým, ako prenikajú do systému a tým, aké akcie vykonávajú. Vírusy sa maskujú, modifikujú svoje charakteristické znaky a tak sťažujú detekciu a odstránenie.
NAMIESTO POŠTY - VÍRUS
Dnes, hoci sa (najmä medzi laickou verejnosťou) stále hovorí o vírusoch, skutočné útoky sú už o niečom inom. V posledných rokoch sa škodlivé kódy šíria predovšetkým internetom, a to v e-mailoch alebo priamo z infikovaných webových (a iných) serverov. Mnohé z nich využívajú publikované aj nepublikované chyby v operačných systémoch, tzv. zraniteľnosti. Prenášajú sa ukryté do zdanlivo neškodných dát, napr. ako dáta http protokolu (spôsob prenosu obsahu webovej stránky do počítača klienta). Alebo napádajú počítače tým, že do neho preniknú cez otvorené porty (laicky povedané, sú to vyhradené pamäťové miesta, na ktorých počítač očakáva určitú informáciu, napr. pri prenose súborov v lokálnej sieti - nie sú to konektory na zadnej strane PC). Šíria sa nepredstaviteľnou rýchlosťou - vďaka vzájomnému prepojeniu dokážu v priebehu niekoľkých minút napadnúť milióny počítačov na celom svete. Stačí pripomenúť, aký chaos v internetovom svete vyvolala známa Nimda či Code Red, Klez, Bugbear a Blaster alebo nedávny Sasser.
NAPROGRAMOVANÍ HACKERI
Dnešné útoky sa viac podobajú na činnosť hackerov - kódy využijú chyby v systéme a preniknú do neho. Usadia sa v ňom, šíria sa z neho ďalej a často vyčkávajú buď na určený dátum alebo na inicializáciu zvonku, aby mohli spustiť nejakú ďalšiu akciu. (Napr. Code Red bol naprogramovaný na koordinovaný útok na webové servery Bieleho domu.) Pre tieto útoky už nepokladajú za vírusy, ale označujú sa ako kombinované útoky, kombinované hrozby (blended threats), trošku nadnesene ako naprogramovaní hackeri a pod. Používajú kombináciu vlastností vírusov, červov, trójskych koní a nebezpečného kódu s využitím slabých miest systémov v internete. Predstavujú vysoko aktuálne nebezpečenstvo a hrozbu znefunkčnenia obrovských a rozľahlých elektronických systémov.
O to dôležitejšia je otázka ochrany proti takýmto nebezpečenstvám. A nie je to len otázka veľkých firiem, tie obvykle nájdu prostriedky na zabezpečenie svojej siete. Oveľa zraniteľnejšie sú malé a stredné firmy, kde sa takéto nebezpečenstvo často z ekonomických dôvodov podceňuje. A strata dôležitých dát alebo výpadok servera, ktorý často takáto firma má len jeden, môže predznamenať jej krach.
POČÍTAČ AKO SPROSTREDKOVATEĽ
V poslednom roku sa aj u nás konečne výraznejšie rozšírili možnosti širokopásmového pripojenia na internet aj pre malé firmy a domácnosti (ADSL a prenos káblovým televíznym rozvodom). A každý takýto trvale pripojený počítač je nielen potenciálnou obeťou útoku, ale predovšetkým ďalším možným sprostredkovateľom pri šírení nákazy, a to aj dlhodobo, bez vedomia jeho majiteľa.
Ako teda postupovať, aby sme sa nestali ani obeťou, ani nevedomým útočníkom?
ZÁSADY POSTUPU
Existujú v podstate tri základné zásady. Prvou z nich je minimalizovať zraniteľnosti systému. Zraniteľné nie sú len Windows (aj keď väčšina ľudí si to myslí). Každý operačný systém, či už je to Windows, Solaris, Linux či OS Cisco, má svoje slabé miesta. Zneužiteľné chyby sa nachádzajú aj v modemoch, routeroch, firewalloch a iných zariadeniach. Treba sledovať informácie na webe a pravidelne inštalovať tzv. patche (záplaty) a aktualizácie (update), samozrejme, len z dôveryhodného zdroja. Niektorí výrobcovia poskytujú automatizované bezplatné služby, ktoré to urobia za vás. Stačí byť pripojený na internet. Pri OS Windows, ktoré používa väčšina spotrebiteľov, sa táto služba volá Windows update.
Druhou zásadou je v maximálne možnej miere oddeliť sa od vonkajšieho prostredia. Že na to slúžia firewally, o tom už väčšina používateľov počítačov asi počula. Ale menej známe je to, že firewall nestačí len jeden na rozhraní medzi internetom a vašou firemnou sieťou. Aj keď to znie paranoicky, čím viac prekážok, tým lepšie. Nuž, a aby vás nenakazil počítač vášho kolegu, proti tomu vás môže ochrániť jedine tzv. personálny firewall, teda priamo na vašom počítači. Je to program, ktorý kontroluje komunikáciu, resp. povolí len tú, ktorú chcete vy. Taktiež ho treba pravidelne aktualizovať.
Treťou zásadou je, samozrejme, používať antivírusový program. Ale kvalitný. Pozor na lacné a najmä bezplatné riešenia. Antivírus sa nekupuje ako kresliaci program, ten vám stačí aj 5-ročný. Takýto program musí byť aktualizovaný denne, niekedy dokonca aj viackrát za deň. A to si môže dovoliť len niekoľko silných výrobcov. Takáto aktualizácia je, pochopiteľne, nákladná a ak vám niekto ponúka antivírus za pár eur či korún, dobre uvažujte. Obyčajne je to vykúpené slabou, alebo žiadnou podporou. Veľmi dobré rady poskytuje nezávislá webová stránka Virus Bulletin (http://www.virusbtn.com/), na ktorej možno nájsť testy programov z celého sveta.
VIACÚROVŇOVÉ FILTROVANIE
Pri podnikových sieťach sa fitrovanie škodlivého kódu robí viacúrovňovo. Prvý filter býva hneď na vstupe - pre e-maily aj http (prezeranie webov) sú to antivírusové gatewaye (brány), ktoré bývajú často združené s firewallmi, resp. tzv. proxy servermi. Na týchto bránach obvykle možno zachytiť väčšinu zavírených e-mailov. Firewally (len tie kvalitné, využívajúce tzv. aplikačnú vrstvu) tiež zabránia prieniku škodlivého kódu ukrytého do iných inak neškodných dát, ktoré žiadny antivírusový program neodhalí. Druhým stupňom býva kontrola na vnútornom serveri, ktorý poskytuje mailové (groupwarové) služby. Obvykle ide viac do hĺbky, umožňuje presnejšie nastavenia a okrem toho kontroluje aj odosielanú poštu. Často tu býva možnosť brániť sa nielen proti vírusom, ale aj nevyžiadanej reklamnej pošte (spamu). A posledná, aj keď nie významom, je ochrana jednotlivých počítačov a serverov v sieti. Rezidentný (trvalo bežiaci) antivírusový program kontroluje každý prístup k súborom a personálny firewall chráni pred nepovolenými typmi prenosu dát. Často sa zabúda najmä na vnútrofiremné servery a tie sa stávajú vnútorným zdrojom nákazy.
EŠTE K AKTUALIZÁCII
Už som sa zmienil o aktualizácii. Musí byť pravidelná a čo najčastejšia. Čo si môžete pomyslieť o firme, z ktorej vám v polovici mája príde e-mail a na jeho konci je "Prešlo antivírusovou kontrolou programom ABC. Databáza 6.2.5.x zo dňa 15. marca 2004"? Najlepšie riešenie by bolo e-maily z takejto firmy zakázať už na vstupe. Pri väčších firemných sieťach (cca od 10 počítačov) sa aktualizácia nevyhnutne musí riadiť centrálne. Nemožno očakávať od bežných pracovníkov, že si budú denne ručne aktualizovať antivírusový program. Mnohí výrobcovia k antivírusom dodávajú tiež manažovacie nástroje, umožňujúce z jedného miesta riadiť ochranu aj tisícov počítačov.
Nuž a veľmi dôležitou otázkou je ľudský faktor. Bezpečnosť sa nedotýka len IT štruktúry, súvisí aj s personalistikou, s organizačnou štruktúrou a firemnou kultúrou. Treba pracovníkov naučiť a aj vyžadovať od nich určité zásady - neotvárať neznáme emaily, nechodiť na podozrivé stránky atď. Ale to už je téma na iný článok...