Архивы: по дате | по разделам | по авторам

Спасение от вирусов — дело рук самих вирусов

Архив

автор : Дмитрий Гуц 07.03.2006

Дмитрий в настоящее время занимается разработкой антивируса, учитывающего, по его мнению, многие из высказанных ниже положений. Как только антивирус будет готов, мы протестируем его и расскажем о результатах. Впрочем, предлагающаяся автором идеология работы антивирусного ПО вызывает неоднозначную оценку экспертов. Мы попросили представителей компаний "Лаборатория Касперского" и StarForce [Эта компания известна не только своей защитой от копирования лицензионных CD, но и программой Safe’n’Sec, защищающей PC от вирусов на основе анализа действий запущенных программ, а не сигнатуры известных вирусов. Эту методологию работы антивируса предлагает реализовывать в смартфонах и автор статьи] прокомментировать статью. - К.К.

Уже разработаны и успешно опробованы многие алгоритмы, позволяющие использовать элементы искусственного интеллекта в стратегии поведения прикладных программ. Но в области создания мобильных антивирусов этот опыт оказался невостребованным, текущая методология построения средств защиты смартфонов близка по уровню к тому, что было реализовано в первых антивирусах для операционной системы MS-DOS, десятилетней давности!

Поскольку мобильные вирусы стремительно развиваются, чтобы выиграть или хотя бы не проиграть в этой войне, антивирусу необходимо уже сейчас:

выживать в любых условиях, иметь в своем составе надежную реализацию функций автоматической реанимации себя и пораженной системы;

уметь отслеживать модификации собственного кода и функционально важных элементов системы;

Лаборатория Касперского: Именно так и происходит. Антивирусы содержат в себе много зашифрованных модулей, следят за своей целостностью и противодействуют попыткам со стороны вирусов удалить или отключить антивирус, в этом нет ничего нового.

Михаил Калиниченко (StarForce): Большинство антивирусов уже имеют механизмы защиты от вирусов.

анализировать в реальном времени любые изменения, происходящие в системе, иметь набор надежных критериев для обнаружения опасных ситуаций. Уметь обнаруживать не только известные вирусы, но и неизвестные программы, с достаточной вероятностью являющиеся вирусами, - то есть нести в себе элементы искусственного интеллекта;

заимствовать часть свойств вируса, его живучесть и способность к воспроизведению в формах, сохраняющих функциональность. А именно: антивирусы должны содержать в себе саморазмножающиеся модули, способные действовать не только по факту заражения конкретным вирусом, но и упреждающе. Антивирус должен распространяться между телефонами и уничтожать найденные вирусы;

Лаборатория Касперского: С точки зрения специалиста в "самораспространении" антивирусных программ нет никакого смысла.

Михаил Калиниченко: При подобном подходе можно оказаться гражданским лицом на поле боя, со всеми вытекающими последствиями в виде "шальной пули" - погибшей раньше времени операционной системы. И как можно представить распространение? Бесплатно? Но с кого потом спрашивать за качество защиты? За деньги? Но тогда это очень похоже на вымогательство…

избегать запросов к пользователю на разрешение лечения. Если обнаружен вирус, он должен быть уничтожен немедленно, а если это не вирус, то спрашивать не о чем. Подавляющее большинство пользователей не способны отличить вирус от невируса, их некомпетентное суждение не должно ставиться во главу угла при обеспечении безопасности;

Лаборатория Касперского: В случае обнаружения вируса пользователь, конечно, должен быть извещён о произошедшем. Решать, что делать с подозрительным файлом, это прерогатива пользователя.

автоматически получать самую свежую информацию о вирусной активности. Обновлять вирусные базы и синхронизировать базы самообучения, избегая любых запросов к пользователю. Пользователь не может знать, что, когда и в каком объёме следует обновлять, его суждение в подавляющем большинстве случаев необоснованно;

насколько возможно исключить из своего состава интерфейсную часть, так как в любой операционной системе эта часть программы является наиболее уязвимой. В случае Symbian практически невозможно обеспечить её надежную защиту;

стать условно бесплатными, поскольку регистрационная информация является серьёзной уязвимостью любого антивируса, при её разрушении антивирус становится нелегальной копией и частично или полностью теряет заложенную в него функциональность;

препятствовать присутствию в системе конкурирующих антивирусов, рассматривая их в общем случае как угрозу безопасности всей системы и, в частности, угрозу собственной безопасности. Такая конкуренция существенно повысит качество антивирусных продуктов и в определённой степени гарантирует предсказуемость их поведения;

Лаборатория Касперского: Поиск и удаление конкурентной антивирусной программы бессмысленны, так как никакой пользы эта функция в себе не несёт, более того, имеет явно криминальные признаки.

Совершенно ясно, что антивирусу, помимо прочего, нужна гораздо большая самостоятельность, нежели сейчас. Конечно, это вопрос доверия. Но разве пользователь не доверяет компании, производящей антивирус, когда устанавливает его в свою систему? Он доверяет ей и надеется на надёжную защиту. Следовательно, нужно пройти лишь чуть дальше - доверить, наконец, и сам процесс защиты, не прерывая действие антивируса неуместными и порой некомпетентными действиями. А вот продукт не должен доверять пользователю, о котором гипотетически ничего не известно. Антивирус должен принимать решения самостоятельно.

Михаил Калиниченко: В идеале так и должно быть. Но в корпоративных сетях секретарша действительно не должна видеть работу антивируса, тогда как системный администратор просто обязан получать отчеты и предупреждения. В корпоративной среде далеко не всегда производители антивирусов знают ситуации лучше, чем администраторы информационной безопасности. А смартфоны уже занимают свою нишу и там.

Разумеется, возникает вопрос, чем же такая программа будет отличаться от вируса? Ответ достаточно прост: с технической точки зрения практически ничем, а с идеологической - многим. Действия антивируса будут направлены на борьбу с вредоносными программами, обеспечение защиты пользователя и его информации, поэтому такая программа не может называться "вирусом", даже если она и обладает некоторыми из его свойств.