Ce antivirus folosiți? (1)


Primul meu contact cu virușii digitali s-a produs cu mulți ani în urmă, pe când aveam un IBM 686, cumpărat, din câte țin minte, cu vreo 6 milioane de lei. Avea un procesor Cyrix de 200 MHz, memorie de 16 MB, hard-disc de 3.2 GB, placă video de 4 MB, fiind așadar comparabil cu un Pentium de vârf. Într-o zi, imediat după ce am pornit calculatorul, mi-a apărut pe ecran următorul mesaj text:

Ravage is wiping your data. Eddie & Murphy

iar calculatorul a rămas în această stare, cu beculețul corespunzător hard-discului aprinzându-se intermitent, semn că mesajul nu era o glumă. Soluția a fost să formatez discul după care, cred, am reinstalat DOS-ul.

real programmers code in binary

În epoca DOS-ului, virușii erau relativ puțini dar îndrăznesc să cred că mult mai bine implementați decât cei de azi, probabil aproape toți scriși în asamblare. Se transmiteau pe dischete și, odată rulați, infectau mai întâi alte executabile, pentru ca, în final, să îți joace diverse feste sau chiar să îți distrugă datele de pe calculator. Antivirușii erau și ei mult mai simpli, majoritatea concepuți pentru a fi rulați la cerere, deși existau încă de pe atunci antiviruși care rămâneau activi (rezidenți) în memoria calculatorului și scanau orice program lansat în execuție (de exemplu AVG). Pe vremea aceea, dezinfectarea efectivă a fișierelor virusate (adică eliminarea codului viral din sursa lor păstrând fișierele originale, ce putea fi apoi rulate fără probleme) era o regulă, nu o excepție, posibilă datorită faptului că virușii infectau fișiere benigne iar antivirușii conțineau baze de date cu „ADN”-ul majorității „tulpinilor virale” în uz, pe care astfel le puteau identifica la perfecție.

Odată cu apariția internetului, virușii au cunoscut o explozie fenomenală, datorită faptului că internetul le-a permis o propagare mult mai facilă iar ei au devenit, din simple mijloace de etalare a unor abilități de programare, instrumente de făcut bani. Foarte mulți bani, industria virușilor este una de milioane de euro. Astăzi aproape nici un virus nu îți mai șterge datele personale. De ce ar face asta, când ți le poate fura? De ce te-ar obliga să-ți reinstalezi Windows-ul, când îți poate înregistra fiecare tastă apăsată, fiecare parolă, fiecare carte de credit cu care plătești online? Când îți poate folosi, din umbră, resursele calculatorului și ale abonamentului la net pentru a mări artificial traficul pe anumite saituri (ca și cum ai intra tu pe ele), pentru a ataca anumite saituri (DDOS), pentru a mina bitcoini și pentru o mulțime de alte lucruri profitabile? Nu este exclus, dacă ești infectat, să devii un vector de spam, adică, de exemplu, virusul cu care te-ai pricopsit să înceapă să trimită mailuri comerciale și comentarii pe diverse bloguri, cu reclamă la viagra și alte cele, că doar nu credeați că tot acest spam este trimis manual de cineva, sau măcar de pe mașinile celor care au realizat aceste programe? Unii viruși de la ora actuală (de exemplu rootkits) sunt atât de sofisticați încât, odată ajunși pe PC-ul tău, vor descărca o familie întreagă de alți viruși, îi vor actualiza atunci când apar versiuni noi, se vor actualiza pe ei înșiși, vor face din calculatorul tău un nod într-o rețea uriașă de calculatoare infectate, care răspund la diverse comenzi și acționează coordonat, se vor ascunde de detecția antivirușilor și chiar îți vor activa uneori actualizările sistemului de operare (Windows Updates), pentru a nu risca să te infectezi și cu alți viruși, rivali. Contrar celor de mai sus, numeric vorbind, foarte mulți viruși de azi sunt extrem de prost scriși, cu multe erori, uneori chiar nefuncționali.

wanted: Snow White

În lumina acestei explozii de viruși noi, este lesne de înțeles de ce protecția pe bază de semnături nu mai este deloc o protecție reală sau eficientă. Să exemplific asta printr-o analogie. Să zicem că PC-ul propriu este un oraș iar antivirusul este poliția locală. Un antivirus bun va înconjura orașul cu un gard impenetrabil și va instala puncte de control la fiecare poartă de acces în oraș. Un antivirus bazat pe semnături este analogicul unei poliții care acționează pe bază de mandate deja emise. Fiecare persoană nouă este scanată la intrare, iar numele și poza ei sunt căutate într-o bază de date cu infractori cunoscuți. Dacă persoana figurează pe acea listă, nu este lăsată să intre. Altfel, este lăsată și mai departe poate face orice, odată ajunsă în oraș.

Limitările unui astfel de sistem sunt evidente: ca să fie oprit, un dubios trebuie să fi făcut ceva înainte și să fi fost deja identificat. Altfel spus, antivirușii tradiționali, bazați pe semnături, nu vor detecta virușii foarte noi, care încă nu au fost clasificați. Dacă în trecut acest lucru putea fi tolerat, numărul de răufăcători fiind extrem de mic, astăzi, cu zeci de mii de noi variante virale ce apar zilnic și cu un trafic infernal la porțile fiecărui oraș, este practic imposibil să te protejezi adăugând cât mai multe semnături. De fapt, este chiar imposibil să analizezi manual toate aceste variante, astfel încât companiile de antiviruși recurg la tot soiul de automatizări. În 2010, cei de la Kaspersky Lab au realizat un experiment interesant: au creat 10 programe absolut inofensive, care nu făceau decât niște calcule, le-au compilat și apoi le-au marcat în antivirusul lor ca fiind virale. După care le-au urcat pe Virus Total și le-au scanat. Evident, dintre cei 41 de antiviruși care operau la acea dată pe Virus Total, Kaspersky a fost singurul care a marcat fișierele respective cu steguleț roșu. Zece zile mai târziu, alți 14 antiviruși spuneau despre cel puțin unul dintre acele fișiere că este virusat. Experimentul seamănă oarecum cu cel realizat de Google în 2011, când echipa din spatele celui mai bun motor de căutare din lume a urcat în mod artificial câteva saituri pe prima poziție pentru anumite cuvinte cheie, pentru ca, la scurt timp, Bing să afișeze și el acele saituri pe prima poziție la căutări pe aceleași cuvinte cheie, deși saiturile respective nu aveau conținut relevant în sfera acelor cuvinte.

Kaspersky experiment 2010

Dar uite că ne-am lungit și s-a făcut seară. Continuarea, într-un episod viitor.

Advertisements

2 thoughts on “Ce antivirus folosiți? (1)

  1. Camelia 26.04.2017 / 22:36

    N-am înţeles mare lucru, lesne de priceput de ce, tu ştii că la astea sunt praf, nu vreau să ştiu nimic despre viruşii ăştia, am un Avira, un Bifidus dintr’ăla sau cum îi zice, ăsta ştiu că are treabă cu iaurtul, nu cu alte protecţii, când vine frate’meu pe la mine îi mai dă câteo scanare să vadă ce şi cum.

    • Lotus 26.04.2017 / 22:53

      În general ajunge unul, dar dacă îți merge bine PC-ul cu amândoi, ok. Avira e bunișor.

Comentezi?

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s