Vysoká škola ekonomická v Praze Fakulta informatiky a statistiky Vyšší odborná škola informačních služeb v Praze
Jiří Pešek
Srovnávací analýza bezpečnostního softwaru pro ochranu počítačových dat Bakalářská práce
2009
Prohlášení
Prohlašuji, že jsem bakalářskou práci na téma Srovnávací analýza bezpečnostního softwaru pro ochranu počítačových dat zpracoval samostatně a použil pouze zdrojů, které cituji a uvádím v seznamu použité literatury.
V Praze dne 18. prosince 2009
Podpis:
Obsah Seznam použitých zkratek ............................................................................................................... 8 1.
Úvod ............................................................................................................................... 10
1.1
Výběr tématu...................................................................................................................... 10
1.2
Cíl práce .............................................................................................................................. 10
1.3
Trendy v oblasti počítačové bezpečnosti ........................................................................... 10
I Teoretická část 2.
Současný stav řešené problematiky ................................................................................ 13
2.1
Srovnávací testy bezpečnostních programů ...................................................................... 13
2.1.1
Virus Bulletin................................................................................................................... 14
2.1.2
AV-Comparatives ............................................................................................................ 14
2.1.3
AV-Test............................................................................................................................ 15
2.1.4
Ostatní ............................................................................................................................ 15
2.2 3.
AMTSO ................................................................................................................................ 16 Malware ......................................................................................................................... 17
3.1
Vývoj škodlivých kódů ........................................................................................................ 17
3.2
Viry ..................................................................................................................................... 19
3.3
Červi.................................................................................................................................... 21
3.4
Trojští koně ......................................................................................................................... 22
3.5
Rootkity .............................................................................................................................. 22
3.6
Spyware .............................................................................................................................. 22
3.7
Adware ............................................................................................................................... 23
3.8
Phishing .............................................................................................................................. 23
3.9
Spam ................................................................................................................................... 24
3.10
Hoax ................................................................................................................................ 24
4.
Obrana před škodlivými kódy ......................................................................................... 25
4.1
Dělení antimalwarových programů.................................................................................... 25
4.1.1
Jednoúčelové antiviry ..................................................................................................... 25
4.1.2
Online skenery ................................................................................................................ 25
4.1.3
Antivirové programy ....................................................................................................... 25
4.1.4
Komplexní bezpečnostní balíky ...................................................................................... 25
4.2
Techniky antimalwarové kontroly ...................................................................................... 26
4.2.1
Antivirový skener ............................................................................................................ 26
4.2.2
Skenování sekvencí ......................................................................................................... 27
4.2.3
Generická detekce .......................................................................................................... 27
4.2.4
Heuristická analýza ......................................................................................................... 28
4.2.5
Kontrola integrity ............................................................................................................ 28
4.2.6
Monitory podezřelého chování ...................................................................................... 29
4.2.7
Emulace kódu ................................................................................................................. 29
4.2.8
Sand-Boxing .................................................................................................................... 30
4.3
Identifikace a pojmenování malwaru................................................................................. 30
4.4
Dezinfekce .......................................................................................................................... 30
4.4.1
Standardní dezinfekce .................................................................................................... 31
4.4.2
Generická dezinfekce...................................................................................................... 31
4.4.3
Heuristické léčení ........................................................................................................... 32
4.4.4
Léčení prostřednictvím kontroly integrity ...................................................................... 32
4.4.5
Očkování ......................................................................................................................... 32
4.5
Možnosti prevence ............................................................................................................. 33
4.5.1
Informovanost ................................................................................................................ 33
4.5.2
Aktualizace systému ....................................................................................................... 34
4.5.3
Windows Defender ......................................................................................................... 34
4.5.4
Řízení uživatelských účtů ................................................................................................ 34
4.5.5
Firewall ........................................................................................................................... 35
4.5.6
Záloha dat ....................................................................................................................... 35
4.5.7
Bezpečnostní programy .................................................................................................. 35
II Praktická část 5.
Komplexní bezpečnostní software .................................................................................. 37
5.1
Metodologie testování ....................................................................................................... 37
5.1.1
Použitý hardware ............................................................................................................ 37
5.1.2
Použitý operační systém ................................................................................................. 37
5.1.3
Programy ........................................................................................................................ 37
5.1.4
Postup při testování ........................................................................................................ 38
5.1.5
Základní pravidla ............................................................................................................. 38
5.1.6
Test č. 1 ........................................................................................................................... 38
5.1.7
Test č. 2 ........................................................................................................................... 38
5.1.8
Test č. 3 ........................................................................................................................... 39
5.2
Kritéria hodnocení .............................................................................................................. 39
5.2.1
Rozpoznání malwaru ...................................................................................................... 39
5.2.2
Falešné poplachy ............................................................................................................ 39
5.2.3
Výkon .............................................................................................................................. 39
5.2.4
Doba úplného prověření systému .................................................................................. 40
5.2.5
Nárok na paměť RAM ..................................................................................................... 40
5.3
Testované bezpečnostní balíky .......................................................................................... 41
5.3.1
Avast! 4 Professional ...................................................................................................... 41
5.3.2
AVG Internet Security 9.0 ............................................................................................... 44
5.3.3
ESET Smart Security 4 ..................................................................................................... 47
5.3.4
F-Secure Internet Security 2010 ..................................................................................... 50
5.3.5
Kaspersky Internet Security 2010 ................................................................................... 53
5.3.6
McAfee Internet Security 2010 ...................................................................................... 56
5.3.7
Norton Internet Security 2010 ....................................................................................... 59
5.3.8
TrustPort PC Security ...................................................................................................... 62
5.4
Shrnutí ................................................................................................................................ 66
5.4.1
Detekce ........................................................................................................................... 66
5.4.2
Výkon .............................................................................................................................. 68
5.4.3
Celkový výsledek ............................................................................................................. 70
6.
Vlastní přínos .................................................................................................................. 72
6.1
Metodologie testování ....................................................................................................... 72
6.2
Sbírka malware ................................................................................................................... 72
6.3
Průběh testování ................................................................................................................ 72
7.
Závěr............................................................................................................................... 73
8.
Seznam použité literatury ............................................................................................... 75
Resumé Bakalářská práce se ve své praktické části zabývá srovnávací analýzou bezpečnostního softwaru pro ochranu počítačových dat. Podle navržených pravidel jsou realizovány testy osmi programů, při nichž jsou zjišťovány detekční schopnosti škodlivého kódu a výkon jednotlivých aplikací. Hodnotícími kritérii jsou rozpoznání malware, falešné poplachy, rychlost prověření systému a maximum využité operační paměti. Z dosažených výsledků je pak sestaveno pořadí od nejlepšího po nejhorší. Teoretická část pojednává o nejznámějších typech počítačové infiltrace a technikách antimalwarové kontroly, a to jak z hlediska detekce, tak i následné dezinfekce. Pozornost je věnována také možnostem prevence před škodlivým kódem.
Seznam použitých zkratek AHD
(Advanced Heuristic Disinfector) pokročilý heuristický dezinfektor
AMTSO
(Anti-Malware Testing Standards Organization) organizace pro standardizaci testování antimalwarového softwaru
BSA
(Business Software Aliance) mezinárodní protipirátská organizace
CARO
(Computer Anti-Virus Researchers Organization) organizace počítačových antivirových výzkumníků
CD
(Compaq Disc) kompaktní disk
COM
formát spustitelného souboru systému MS-DOS s příponou .com
CPU
(Central Processing Unit) základní procesorová jednotka
DLL
(Dynamic Link library) dynamická knihovna
DVD
(Digital Video Disc) formát digitálního optického datového nosiče
EULA
(End User License Agreement) licence pro koncového uživatele softwaru
EXE
(Executable) formát spustitelného souboru
FAT
(File Allocation Table) souborový systém
FDD
(Floppy Disk Drive) disketová mechanika
HDD
(Hard Disk Drive) pevný disk
HTTP
(Hypertext
Transfer
Protocol)
internetový protokol určený
pro
výměnu hypertextových dokumentů ve formátu HTML HTTPS
nadstavba síťového protokolu HTTP používající šifrování pro výměnu dat
IDS
(Intrusion Detection System) systém pro detekci útoků
IM
(Instant Messaging) rychlá komunikace v reálném čase prostřednictvím internetu
IMAP
(Internet Message Access Protocol) internetový protokol pro vzdálený přístup k e-mailové schránce vyžadující trvalé připojení
IP
(Internet Protocol) protokol používaný v počítačových sítích, hlavně na internetu
IRC
(Internet Relay Chat) internetový komunikační kanál
MAPI
(Messaging Application Programming Interface) univerzální rozhraní pro přenos zpráv vytvořené firmou Microsoft
MBR
(Master Boot Record) boot sektor umístěný na úplném začátku pevného disku
MS-DOS
(Microsoft Disk Operating System) diskový operační systém od firmy Microsoft
NTFS
(New Technology File System) souborový systém
P2P
(Peer-To-Peer) architektura počítačových sítí, ve které spolu komunikují přímo jednotliví klienti
PC
(Personal Computer) osobní počítač
PIN
(Personal Identification Number) osobní identifikační číslo
POP
internetový protokol pro přenos e-mailů
RAM
(Random Access Memory) operační paměť
SCR
formát datového souboru, rozšíření používané pro spořič obrazovky ve Windows
SMTP
(Simple Mail Transfer Protocol) internetový protokol pro přenos e-mailů
URL
(Uniform Resource Locator) doménová adresa serveru
USB
(Universal Serial Bus) univerzální sériová sběrnice pro připojení periferií k počítači
VM
(Virtual Machine) virtuální stroj
XCP
(eXtendet Copy Protection) ochranný systém pro kompaktní disky
1. Úvod 1.1.
Výběr tématu
Téma absolventské práce Srovnávací analýza bezpečnostního softwaru pro ochranu počítačových dat jsem si vybral, protože bych o této problematice chtěl získat co nejširší přehled, abych mohl svůj počítač jak možno nejlépe zabezpečit proti škodlivým kódům a jiným (především internetovým) hrozbám. Prakticky až do této doby jsem otázce zabezpečení – stejně jako podle mého názoru většina počítačových uživatelů – nevěnoval velkou pozornost a zaujímal k němu spíše laxní přístup. To se mi ovšem jednoho dne stalo osudné a můj počítač se vlivem menší nepozornosti stal obětí malwarové nákazy. Nebýt nedávné zálohy systému na externí disk, mohl mít pro mě tento incident velice nepříjemné následky v podobě ztráty důležitých dat.
1.2.
Cíl práce
Cílem práce je vytvoření srovnávací analýzy bezpečnostního software dostupného v české lokalizaci. V teoretické části se budu věnovat aktuálním druhům malwaru, možnostem prevence a technikám antivirové kontroly. V praktické části navrhnu metodiku testování a zhodnotím schopnosti programů dle různých hledisek (výkon, vytížení operační paměti, falešné poplachy apod.).
1.3.
Trendy v oblasti počítačové bezpečnosti
Ochrana počítačových dat je v současné době důležitější než kdykoli předtím, neboť s neustále rostoucí dostupností počítačů připojených k internetu narůstá také objem škodlivých programů, které mohou způsobit narušení operačního systému a umožnit útočníkovi odcizení uživatelských dat. Pro představu: podle výsledku zprávy Internet Security Threat Report od společnosti Symantec zabývající se komplexní analýzou trendů na poli počítačové bezpečnosti vzrostl v loňském roce objem malwaru ve srovnání s rokem předchozím o celých 265 %. Jenom za toto období Symantec detekoval po celém světě přes 1,6 milionu škodlivý kódů. Během roku 2008 se tak každý den průměrně objevilo 4,5 tisíce nových hrozeb. [8, str. 13-16] Cílem škodlivých kódů už přitom není způsobit nestabilitu systému, ale především získat citlivá uživatelská data, se kterými se obchoduje. Za tímto účelem vyžívají útočníci hlavně metod phishingu (viz podkap. 3.1), neboli přesměrování na podvodné stránky napodobující například
rozhraní internetové bankovnictví, kde jsou uživatelé vyzváni k zadání svých přihlašovacích údajů. Se získanými uživatelskými údaji se obchoduje na internetu, přičemž nejpopulárnějším „kriminálním“ artiklem jsou informace z kreditních karet, jejichž cena se na černém trhu pohybuje od 6 centů. Plnou identitu lze přitom získat již za 70 centů. Druhou nejobchodovatelnější komoditou jsou pak přístupové údaje k bankovnímu účtu, které je možné koupit od 10 dolarů. [8, str. 82]
Tab. 1.1 – Zboží a služby obchodovatelné na černém trhu. Převzato z lit. [8, str. 82]
I.
Teoretická část
2. Současný stav řešené problematiky 2.1.
Srovnávací testy bezpečnostních programů
Srovnávacími testy bezpečnostních řešení se zabývá hned několik nezávislých organizací. Tyto testy se zpravidla zaměřují na kvalitu detekce malwaru jakožto primární funkci antivirových produktů, a to jak ve formě on-demand skenování, tak i on-access skenování (viz podkap. 4.2.1). Jejich výsledkem pak bývá množství rozpoznaných škodlivých kódů a počet falešných poplachů. Ostatní vlastnosti produktů, jakými jsou například uživatelské prostředí, instalace, služby apod. nejsou obvykle v těchto testech zkoumány. Těmi se naopak zabývají odborné časopisy a internetové portály věnované počítačové tématice, kde jsou tyto programy hodnoceny jako celek. Kvůli složitosti a časové náročnosti bývají však ochuzeny právě o detekční schopnosti. U srovnávacích testů antivirových skenerů jsou důležité především kvalita detekce a rychlost skenování. Prvně jmenovaná vlastnost se testuje na rozsáhlé sbírce malware, která obsahuje několik stovek tisíc až jednotek miliónů infikovaných souborů. Antivirový program pak při testech prověřuje tyto soubory a zjišťuje procentuální úspěšnost rozpoznání. Aby takovýto test měl vypovídající hodnotu, měla by sbírka malware obsahovat pouze exempláře, které představují opravdovou hrozbu infekce, což je při takto velké kolekci velmi těžké splnit. Kvalitní testování by také mělo počítat s neustálým doplňováním o nové vzorky (několik desítek tisíc měsíčně). Test falešných poplachů bývá realizován na velkém množství (až několik milionů) zdravých souborů. Co se týče rychlosti skenování, bývá prověřován buď celý systém, nebo jeho části. [17] Je třeba si uvědomit, že podobné testy nemají příliš vysokou vypovídající hodnotu o daném antivirovém programu. To je dáno tím, že ve sbírce malware bývají zařazovány i škodlivé kódy, které se reálně nešíří, a ty pak mohou zkreslovat výsledky, neboť nelze jednoznačně určit, zdali je chyba, když je antivirový skener nedetekuje. Stejně tak v reálném provozu těžko nastane situace, kdy se na pevném disku počítače objeví několik set tisíc vzorků škodlivého kódu. Třetí problém spočívá v tom, že při on-demand skenování musí být sbírka malware dopravena do počítače ještě před instalací bezpečnostních programů, aby byly zajištěny stejné výchozí podmínky. To se s sebou nese ale i negativum v podobě znevýhodnění programů, které svou sílu ochrany staví na proaktivní detekci (škodlivé soubory nejsou vpuštěny na pevný disk).
Testování antivirových programů není vůbec jednoduché. Při výběru bezpečnostního softwaru by se měl proto uživatel zajímat o metodologii testu a také o to, zdali se svými podmínkami blíží realitě. Rozhodně by neměl brát v potaz pouze schopnosti detekce, protože jak jsem sám ověřil v praktické části, většina programů od renomovaných firem jsou v tomto ohledu velmi vyrovnané. Důležité jsou i jiné parametry, jako například rychlost reakce na nové hrozby, velikost aktualizací virové databáze, nárok na paměť apod. Svou roli by mělo hrát rovněž to, jak je program úspěšný při odstraňování virů a léčbě infikovaných souborů. Testy posledně zmiňovaných parametrů se začínají objevovat až v poslední době po založení organizace AMTSO (viz podkap. 2.2).
2.1.1. Virus Bulletin Zřejmě nejznámější srovnávací testy bezpečnostních programů má na svědomí britský časopis Virus Bulletin, který je provádí zhruba každé dva měsíce, přičemž pokaždé na jiné platformě. Produktům splňující všechny podmínky testu je pak uděleno ocenění Virus Bulletin 100% Award. K jeho získání musí bezpečnostní program splnit následující kritéria: •
100% detekce ITW škodlivého kódu v režimu on-demand
•
100% detekce ITW škodlivého kódu v režimu on-access
•
detekce bez falešných poplachů
Zkratka „ITW“ označuje seznam počítačových virů „In-The-Wild“ sestavovaný reportéry z celého světa (http://www.wildlist.org). Jak už název napovídá, jedná se v podstatě o seznam nejrozšířenějších virů. V potaz jsou brány pouze viry coby jeden druh malwaru, ostatní typy škodlivých kódů jakožto červi, trojští koně nebo spyware nejsou do testu zahrnuty. Není proto divu, že ocenění VB 100% dostává jeden program za druhým, neboť viry se na rozdíl od jiných druhů malware dnes již téměř nevyvíjejí. Na to zřejmě přišli už i organizátoři těchto testů, poněvadž v roce 2009 představili nový testovací koncept, který zahrnuje kompletní antimalware test a anti-spam test. Podrobné výsledky a metodologie testování jsou dostupné pouze předplatitelům tohoto časopisu, stručné výsledky lze pak získat po registraci na www.virusbtn.com. [16]
2.1.2. AV-Comparatives AV-Comparatives je rakouská nezisková organizace, která pravidelně na svých stránkách zveřejňuje výsledky několika typů testů. Prvním je klasický test jako v případě Virus Bulletinu,
kdy je na kolekci infikovaných souborů ověřována kvalita detekce jednotlivých antivirových produktů. Zajímavější jsou ovšem tzv. retrospective/proactive testy, které zkoumají výkonnost proaktivních metod detekce, jakými jsou například generická detekce, heuristická analýza apod. (viz podkap. 4.2). Tyto testy realizované každé 3 měsíce probíhají tak, že jsou vždy k určitému datu zaktualizovány virové databáze programů, přičemž jejich stav je k tomu datu „zmražen“. Od této chvíle je pak po určitou dobu sbírán malware, který je pro bezpečnostní programy neznámý. Účelem těchto testů je tedy ověřit, v jaké míře si antiviry poradí s novými vzorky škodlivých kódů, jež nejsou dostupné v jejich databázi. Úspěšnost se v tomto případě pohybuje někde mezi 0-75 %. Programy jsou pak hodnoceny ve třech stupnicích: Standard, Advanced a Advanced+. Klasický a retrospective/proactive test jsou realizovány každé tři měsíce. AV-Comparatives také v říjnu 2008 uskutečnila test zkoumající výkonnostní parametry antivirových programů, v říjnu 2009 byl publikován test zaměřující se na schopnosti odstranění/dezinfekce malwaru. Do budoucna se chystá několik dalších různě zaměřených testů. [4]
2.1.3. AV-Test AV-Test je německá společnost, která provádí komplexní testy bezpečnostních řešení pro obchodní partnery, mezi něž patří řada národních i mezinárodních magazínů, dodavatelů bezpečnostního softwaru apod. V testech bývají srovnávány nejrůznější vlastnosti antivirových systémů. Kromě kvality detekce malwaru je to například test schopnosti léčení infikovaných souborů, rozpoznání a odstranění rootkitů , anti-spyware test nebo testy heuristické analýzy. AV-Test nabízí širokou škálu různých testovacích scénářů a vyvíjí nové testovací metody, aby odpovídaly požadavkům neustále se měnícím hrozbám malware, stejně jako nových bezpečnostních technologií. [5]
2.1.4. Ostatní V současné době se testování produktů zabývá celá řada dalších nezávislých společností a organizací. Zde jsou uvedeny některé z nich: •
NSS Labs
•
ICSA Labs
•
West Coast Labs
•
CheckVir
•
Anti-malware Test Lab
2.2.
AMTSO
Organizace pro standardizaci testování antimalwarového softwaru (AMTSO) vznikla v roce 2008 jako reakce na nespokojenost prováděných srovnávacích testů. "Již delší dobu panuje nespokojenost odborné bezpečnostní komunity s kvalitou testů a jejich metodologiemi. Proto se zástupci testovacích laboratoří, AV firem a některých odborných médií rozhodli iniciovat vznik nezávislé organizace, jejímž cílem je zvýšit kvalitu a objektivitu testování. Existuje řada řešení, která se dokážou s malwarem vypořádat, ovšem každé používá jinou technologii. Proto je důležité se standardizací zabývat, stanovit jistá pravidla a vše předložit uživatelům v přijatelné a hlavně objektivní formě," objasnil Karel Obluk impulz, který vedl k založení organizace. [6] AMTSO dnes spojuje téměř čtyřicet společností zabývajících se vývojem bezpečnostního softwaru a testy antimalwarových technologií. Na konferenci konané v říjnu 2009 byly přijaty dva dokumenty, z nichž první se týká problematiky vytváření malwaru pro účely testování bezpečnostních řešení, druhý pak testování antivirových produktů v síťovém prostředí. Mezi hlavní body organizace AMTSO patří vývoj a propagace objektivních standardů a nejlepší postupů pro testování antimalwarových produktů, poskytování jejich analýz a přehledů současných i budoucích testování a vytvoření diskusního fóra na toto téma. [6]
3. Malware Pojem malware vznikl spojením dvou anglických slov „malicious“ a „software“, což lze volně přeložit jako zákeřný program. Tento termín se používá pro souhrnné označené nejrůznějších podob škodlivého kódu, který byl naprogramován za účelem poškození počítačových dat, obtěžování uživatele či k jiné neprospěšné (a mnohdy nelegální) činnosti. V souvislosti s pojmem malware lze rovněž hovořit o počítačové infiltraci, kterou lze charakterizovat coby jakékoli neoprávněné vniknutí do počítače. Mezi nejznámější druhy malware, s nimiž se může počítačový uživatel setkat, patří zejména viry, trojští koně, internetoví červi, spyware a adware. [12] V souvislosti s terminologií škodlivých kódů je vhodné zmínit skutečnost, že do podvědomí lidí se nejvíce zapsal pojem virus, kteří jím mnohdy označují veškeré typy malwaru. Ono i samotné rozdělení škodlivých programů je složité, neboť třídy se často překrývají a není je proto možné přesně zařadit. V různých publikacích zabývajících se malwarem se tak můžeme setkat s několika variantami rozdělení. Protože existuje široké spektrum typů počítačové infiltrace, které lze třídit podle několika různých kritérií, a cílem této práce není jeho podrobná charakteristika, budu se popisem jednotlivých druhů malwaru zabývat pouze okrajově.
3.1.
Vývoj škodlivých kódů
Za úplně první počítačový virus je označován program pro platformu Apple-II s názvem „Elk Cloner“, který v roce 1982 naprogramoval tehdy patnáctiletý student Rich Skrenta z Pittsburghu. Tento škodlivý program – v této době ještě nebyl používán termín počítačový virus – se šířil kopírováním na 5,25“ diskety a uživatele obtěžoval tím, že se při každém 50. spuštění počítače zavěsil na tlačítko reset, po jehož stisknutí se na obrazovce objevila krátká básnička. [3, str. 37] O další škodlivý program, který by podle dnešní terminologie mohl být označován coby počítačový červ, se v roce 1983 postaral Dr. Frederick Cohen, když v rámci semináře o počítačové bezpečnosti vytvořil kód, jež byl po spuštění schopný samovolného šíření. O rok později Frederick Cohen rovněž zavedl termín „počítačový virus“ na doporučení svého poradce Leonarda Adlemana, který ho převzal z novel science fiction, a zároveň poskytl formální matematický model pro počítačové viry. [3, str. 38], [11]
Dalším důležitým milníkem je rok 1986, kdy dva pákistánští bratři zhotovili vůbec první virus pro platformu IBM PC. Pojmenovali ho Brain a jednalo se o tzv. boot virus, který se do počítače dostal z 5,25“ diskety a napadal spouštěcí sektor operačního systému MS-DOS. Motivem vytvořené tohoto viru bylo zjištění rozsahu počítačového pirátství v jejich zemi, neboť autoři se pohybovali v oblasti prodeje softwaru. [3, str. 120], [11] Díky popularitě operačního systému od Microsoftu se v roce 1987 začínají objevovat souborové viry, které napadají soubory s příponou COM a EXE. Do historie se zapsal virus Vienna známý také pod označením Charlie. Ten s určitou pravděpodobností po spuštění napadeného souboru restartoval počítač. [14] Velkou pozornost na sebe přitáhl v roce 1988 virus Jerusalem, který byl naprogramován tak, aby se aktivoval vždy v pátek třináctého. Virus Jerusalem byl poprvé zaznamenán na Hebrew University of Jerusalem (odsud jeho název) a rozšířil se mimo jiné i do Evropy a USA. [14]
Významnější byl ovšem téhož roku internetový červ Morris pojmenovaný po svém autorovi. Student Cornellovy univerzity chtěl tehdy na několika počítačích vyzkoušet šíření škodlivého kódu, což se mu ovšem vymklo z rukou a během několika hodin bylo napadeno zhruba 6 tisíc počítačů, které v té době představovaly asi 8 % světové počítačové sítě. Protože byly nakaženy a následně vyřazeny mnohé síťové zdroje, tento jeho pokus nepřímo ovlivnil milion lidí a celková škoda byla vyčíslena na 100 milionů amerických dolarů. [11] V roce 1988 začíná také éra antivirových programů, kdy se na trhu objevil dnes již legendární software VirusScan od společnosti McAfee. V témže roce byl rovněž vydán antivirový software Dr. Solomon AVTK.
O masovější rozšíření antivirových programů se roku 1989 zasloužila
společnost IBM, když se svůj interně používaný antivirový software rozhodla uvolnit svým zákazníkům. [11] Počátkem 90. let se začínají objevovat škodlivé kódy schopné poškozovat počítač postupně, nikoli jednorázově jako doposud, dále pak první polyfonní či tzv. „stealth“ viry, které se dovedou maskovat v systému. V roce 1992 vzniká první generátor virů, díky němuž zvládne škodlivý kód zhotovit i běžný uživatel. [9, str. 19]
Za zmínku stojí určitě boot virus On_half, který v roce 1994 zasáhl také Českou republiku. Tento virus šifroval data na disku a sám sloužil jako klíč, takže pokud byl poté odstraněn, uživatel nemohl svá data otevřít a tím pádem o ně přišel. [2, str. 12] S příchodem Windows 95 vznikají první makroviry ukrývající se v textových a tabulkových dokumentech Microsoft Office. S mohutným rozvojem internetu koncem 90. let začínají převládat škodlivé kódy šířící se elektronickou poštou. [9, str. 20] Rozšiřují se také možnosti napadení počítače, kdy už primárním cílem není poškodit soubory, ale krádež uživatelských dat či ovládnutí hostitelského počítače a jeho využití k vlastním účelům. Tento fenomén prakticky přetrvává do současnosti a společně se spamem a adwarem jde o nejrozsáhlejší hrozby. [8]
3.2.
Viry
Podle Dr. Frederica Cohena, který poprvé tento termín použil, zní definice viru takto: „Virus je program, který je schopen infekce dalších programů a je schopen jejich modifikací zajistit, aby obsahovaly potencionálně se vyvíjející kopii jeho samotného“. [3, str. 38] Z dnešního pohledu může být tato definice v určitých případech zavádějící, neboť některé viry neupravují data jiného programu. Přesnější definice je proto následující: „Počítačový virus je program, který rekurzivně a explicitně kopíruje potenciálně se vyvíjející verzi sebe sama.“ [3, str. 38] Odtud vyplývá, že abychom mohli program označit jako virus, musí se chovat automatizovaně a šířit se proti vůli uživatele. Virem tedy nemůže být program vyžadující ke svému šíření cizí pomoc. Virus ke své existenci potřebuje hostitelské prostředí, kterým bývá nejčastěji operační systém či jiné spustitelné prostředí. Zde potom infikuje soubory, systémové části nebo jiné objekty, a dále se replikuje. Viry jsou zdaleka nejpočetnější skupinou malwaru, zřejmě proto se z ní stalo univerzální označení pro veškerý škodlivý kód, bez ohledu na to, zdali se jedná skutečně o virus, trojského koně nebo červa. Viry lze rozdělit do několika desítek skupin, jejichž popis by vydal na celou knihu. V krátkosti se zaměřím proto jen na ty, s nimiž se lze nejčastěji setkat. Dělení podle metod infekce paměti •
Nerezidentní viry
•
Rezidentní viry
Nerezidentní viry neboli viry přímé akce nevyužívají paměť pro své šíření, ale jsou aktivovány společně se svým hostitelským programem.
Jakmile k tomu dojde, převezmou nad ním
kontrolu a napadnou určité množství nových souborů (někdy i všechny dostupné soubory) a poté následně předají řízení zpět hostiteli. Tyto viry se obvykle příliš nešíří, neboť při své replikaci na externí disky je lze snadno odhalit. Mohou však být úspěšné v síťovém prostředí. [3, str. 120] Naproti tomu rezidentní viry (paměťové) naopak přetrvávají v paměti, takže si při své aktivaci vyhradí její část, kam přemístí svůj kód. V této vyhrazené části pak dojde k jejich aktivaci, přičemž jsou napadány nové soubory či systémové oblasti. V paměti zůstávají tak dlouho, dokud není počítač vypnut. [3, str. 120] Dělení podle napadených oblastí •
Boot viry
•
Souborové viry
•
Makroviry
•
Polymorfní viry
•
Metamorfní viry
Boot viry patří mezi nejstarší typy počítačové infiltrace – jejich původ sahá až do roku 1986 (virus Brain, viz podkap. 3.1). Tyto viry infikují určitou systémovou oblast disku či boot sektor (např. u FDD, HDD, MBR atd.), které přepíší svým vlastním kódem, a ten původní uchovají na jiném místě. Stávají se tak aktivní okamžitě po spuštění systému. Jejich šíření probíhá prostřednictvím disket, které přijdou do styku s takto nakaženým počítačem. V současnosti se s těmito viry už téměř nesetkáme, neboť diskety a operační systémy, které se nejprve pokoušely bootovat z disketové mechaniky, se už běžně nevyskytují. [3, str. 120-126] Souborové viry tvoří jednu velkou skupinu virů. Tyto viry se nejčastěji připojují ke spustitelným souborům (EXE, COM atd.), po jejichž spuštění dojde k aktivaci škodlivého kódu. Podle techniky infekce souborů je můžeme rozdělit na přepisující viry, které se replikují přepsáním napadených souborů vlastním kódem, připojující viry, jejichž kód bývá připojen na konec hostitele, klasické parazitické viry přepisují začátek hostitele vlastním kódem, který pak uloží na jeho úplný konec,
přičemž funkčnost souboru bývá zachována. Doprovodné viry spadají do období operačního systému MS-DOS a na rozdíl od předchozích souborových virů nijak nemění stávající soubory, nýbrž vytvářejí nové kopie EXE souborů se stejným jménem, ovšem s příponou COM, v nichž je obsaženo tělo viru. Po volání programu přes příkazovou řádku pak dojde podle priorit MS-DOS ke spuštění tohoto nově vytvořeného (škodlivého) souboru. [3, str. 126-132], [11] Makroviry mají rovněž v oblasti počítačové infiltrace široké zastoupení díky jejich snadnému vytvoření a přenášení. Nejčastějším hostitelem jsou kancelářské dokumenty balíku Microsoft Office. Makro je de facto program, který může být součástí dokumentů, a pokud se jedná o virus, dojde k jeho aktivaci otevřením dokumentu a následnému šíření do jiných souborů, nejčastěji opět do dokumentů. Variant, jak škodit, se nabízí opravdu mnoho. [3, str. 75-84] Polymorfní viry jsou oproti klasickým virům charakteristické tím, že umějí měnit svůj descryptor do vysokého počtu odlišných instancí, což znamená, že při každé kopii vytvoří zcela nový kód, který se od toho původního liší. Zpočátku byly tyto viry velice odolné proti detekci antivirových programů, dnes už je však možné díky vylepšeným technikám antivirové kontroly identifikovat. [3, str. 237-238] Metamorfní viry na rozdíl od polymorfních virů neobsahují descryptor ani konstantní část svého těla. Umožňují však vytvářet nové generace kódu, které vypadají odlišně. [3, str. 244-258]
3.3.
Červi
Pro počítačové červi je charakteristické jejich šíření skrze sítě, někdy proto bývají označováni jako síťové viry. Oproti virům ovšem nepotřebují hostitele a na infikovaném počítači se obvykle aktivují bez jakéhokoli zásahu uživatele. Dalším typickým znakem je šíření ve formě síťových paketů a nikoli nakažených souborů, někteří červi však infikují soubory jako vedlejší efekt své replikace. Červi také umějí využívat bezpečnostních děr operačního systému či nainstalovaných aplikací, skrze které pak mohou proniknout a infikovat systém. Červi se zaměřují na nejrůznější komunikační kanály, podle kterých je lze dělit na e-mailové, internetové, IM a IRC červi. Nebezpečí červů spočívá v zahlcení sítě, paměti, omezení funkce počítače nebo jeho částí a ztrátě uložených dat. [3, str. 45], [9, str. 12]
3.4.
Trojští koně
Trojští koně jsou považováni za nejjednodušší druh škodlivého kódu, neboť nejsou schopni sebereplikace a infekce souborů. Toho však mohou dosáhnout ve spojení s jiným druhem malwaru. Trojský kůň se na první pohled tváří coby užitečný program, aby jej uživatel spustil na svém počítači. Ve skutečnosti jde ale o program škodlivý, který může například uživateli smazat veškerá data z pevného disku (Destruktivní trojani). Existuje několik typů trojských koní. PWS trojani zaznamenávají stisky jednotlivých kláves a ty pak odesílají na určené cíle. Díky tomu mohou jejich tvůrci snadno zjistit důležitá hesla. Naproti tomu Backdoor trojani vytváření zadní vrátka, kdy otevřou síťový port, pomocí něhož se může útočník dostat do vzdáleného počítače. Posledními podtřídami trojských koní jsou Dropper a Downloader. Zatímco Dropper v sobě nese další druhy škodlivého kódu, jímž pak po spuštění infikuje počítač, Downloader se snaží do počítače stáhnout malware z internetu podle předem stanovených adres. [3, str. 47], [9, str. 10], [11]
3.5.
Rootkity
Jako rootkit je možné označit kterýkoli prostředek, který má za úkol skrýt činnost prováděnou na operačním systému. V podstatě se jedná o běžně užívané systémové programy, jež jsou ovšem upravené tak, aby nebyly vidět a útočník mohl neomezeně přistupovat do systému. Název rootkit pochází z UNIXového prostředí, kde se jím označuje účet administrátora systému. Asi nejznámějším použití rootkitu má na svědomí vydavatelství Sony BMG Music Entertainment, které na hudební nosiče implementovala ochranu proti kopírování zvanou XCP. Jakmile byl disk vložen do počítače se systémem Windows, tento program se bez vědomí uživatele sám nainstaloval, aby znemožnil kopírování disku a vytvoření MP3. Protože ho nebylo možnými prostředky vidět a ani ho nešlo odinstalovat, firma Sony čelila ze strany uživatelů mnoha žalobám a nakonec byla nucena svým zákazníkům nosiče s programem XCP, pro něhož se vžil název Sony rootkit, vyměnit za nové bez této ochrany. [1, str. 65-66]
3.6.
Spyware
Termín vznikl spojení anglický slov „spy“ a „software“, což lze volně přeložit jako špionážní program. Jedná se o relativně nový druh aplikací, jejichž cílem je sbírat informace o uživateli (např. o nainstalovaném softwaru) a o jeho chování na internetu (např. navštívené stránky), aby na základě těchto informací mohla být cílena reklama. Spyware se do počítače nejčastěji dostává společně s instalací ne zcela legálních programů, které slouží například pro sdílení
médií. Důležitou vlastností spywaru je, že není napsán s úmyslem škodit, a proto je tedy zcela legální. Otázkou však zůstává, zdali jím získané informace nemohou být zneužity, nemluvě o narušení soukromí uživatele. Dalším problém spočívá v tom, že spywarové programy nemusí být dobře naprogramovány a v případě jejich většího množství v počítači mohou dramaticky snižovat jeho výkon. V horších případech pak může dojít i k poklesu úrovně bezpečnosti internetového prohlížeče či jiných částí systému. [2, str. 113-114], [3, str. 52-53]
3.7.
Adware
S reklamou se setkáváme na každém kroku a výjimkou není ani počítač. Je-li řeč o adwaru, nejčastěji se jedná o reklamu ve formě vyskakovacích pop-up oken, bannerů, nevyžádaných webových stránek, zobrazených ikon v oznamovací oblasti, přidání lišt na panel internetového prohlížeč a dalších prvků, které otravují uživatele. Do počítače se adware často dostává instalací bezplatných produktů, nebo může být jejich součástí. V tomto případě se ovšem nemusí jednat vždy o adware, nýbrž o způsob „placení“ za využívání služby. Na adware se vztahuje licenční ujednání EULA, takže s jeho instalací uživatel může nebo nemusí souhlasit. Někdy ovšem nemá na výběr, chce-li produkt s bezplatnou licencí používat. [2, str. 113-114], [3, str. 52-53]
3.8.
Phishing
Podstatou phishingu je vytvoření podvodné zprávy šířené e-mailem, pomocí které se snaží útočník vylákat citlivé údaje od koncového uživatele. Phishing využívá metod sociálního inženýrství, při nichž zneužívá důvěru osob uvnitř konkrétního systému. Pro tento účel se nejčastěji používají falešné e-maily, které se tváří, že pocházejí od významné finanční instituce, a žádají příjemce, aby kliknul na uvedený odkaz a vyplnit údaje v připraveném formuláři, jinak mu může být zablokován účet. Odkazované stránky přitom vypadají, jako by se jednalo o stránky dané instituce, napodobována bývá rovněž URL adresa. Ve skutečnosti ale jde o podvrh s cílem dostat od uživatele důvěrné informace – číslo bankovního účtu, PIN, atd. Tyto získané údaje pak mohou podvodníci snadno zneužít nebo s nimi obchodovat. Existuje několik výkladů, jak vznikl termín phishing. Jedna teorie tvrdí, že ve slově fishing (rybaření) bylo počáteční písmeno „f“ zaměněno za dvojici písmen „ph“. Další teorie říká, že jde o zkratku ze slov password harvesting fishing – sběr hesel rybařením, a podle třetí teorie se jedná o kombinaci slov „phreaking“ a „fishing“. Ať už je pravda jakákoli, v Česku se pro tento způsob protiprávního jednání vžil termín „rhybaření“ (skutečně s „rh“). [1, str. 112], [9, str. 16]
3.9.
Spam
Spam se stal velkým fenomén v oblasti internetové komunikace. Tento název se původně používal pouze pro nevyžádané reklamní e-maily, dnes se s ním ale můžeme setkat i v ostatních typech internetové komunikace (diskusní fóra, komentáře, IM, sociální sítě apod.). Ačkoli se jeho vznik datuje ještě před zrodem internetu, jaký známe dnes – v květnu 1978 odeslal obchodník Gary Thuerk příjemcům pošty v síti ARPANET zprávu s pozvánkou na promo akci nového počítače – svůj vrchol zažívá až v posledním desetiletí, kdy jeho objem jednoznačně převyšuje množství pošty žádoucí. Situace ohledně šíření nevyžádané pošty dospěla tak daleko, že nebýt účinných filtrů, e-mailové schránky by byly prakticky nepoužitelné. Spam tvoří nejčastěji reklama zaměřená na léčiva, kasino, nelegální software, finanční služby atd. Problematiku spamu v České republice od roku 2004 spravuje Zákon o některých službách informační společnosti (č. 480/2004 Sb.). [1, str. 104-105], [15]
3.10.
Hoax
Termínem hoax se označují poplašné zprávy a různé řetězové zprávy, které vždy žádají, aby je uživatel přeposlal dál. Někteří to skutečně udělají, takže se tyto nesmysly šíří dál a zbytečně tak obtěžují další příjemce, nemluvě o zatížení e-mailových schránek. Není proto divu, že v některých větších firmách vytvořili proti nim interní směrnice. [11] Co se týče poplašných zpráv, ty obvykle varují před hrozící počítačovou infekcí, která je smyšlená. Často se také objevují nejrůznější prosby o pomoc, ať už fiktivní, či neaktuální, fámy o mobilních telefonech, snadné zisky atd. Jeden příklad za všechny: „Ahoj vsichni. Prosim Vas neberte to na lehkou vahu. Bill Gates se rozhodl podelit se o sve bohatstvi … Myslel jsem si, ze je to blbost, ale po dvou tydnech, co jsem tento mail obdrzel a preposlal dale, me Microsoft kontaktoval kvuli adrese a během par dnu mi prisel sek na $ 24 800. Prosim preposlete to co nejvice lidem. Dostanete minimalne US$ 10 000.“ [10]
4. Obrana před škodlivými kódy 4.1.
Dělení antimalwarových programů
4.1.1. Jednoúčelové antiviry Tyto programy jsou určeny pro detekci a zpravidla i k odstranění jednoho či více druhů malwaru. Obvykle se jedná o jednoduché utility, které někteří výrobci uvolňují v případě rychle se šířící nákazy. Nelze je tedy brát coby plnohodnotnou antivirovou ochranu. Jako příklad lze uvést program ESET Conficker Removal Tool nebo BitDefender Removal Tool, což jsou nástroje k odstranění červa Conficker, dále pak McAfee Rootkit Detective, který naopak vyhledává a odstraňuje nebezpečné kódy typu rootkit. Podobných programů existuje celá řada a zpravidla jsou k dispozici zdarma.
4.1.2. Online skenery Pro uživatele, kteří chtějí ověřit, zdali se v jejich počítači nenachází nějaký malware a přitom nechtějí instalovat žádný program, jsou určeny tzv. online skenery. Ty lze charakterizovat coby jednoduché a bezplatné webové služby, které poskytuje drtivá většina velkých antivirových firem (ESET Online scanner, BitDefender Online scanner, Symantec Security Check apod.). Online skenery nejsou ovšem zaměřeny pouze na detekci škodlivých programů, některé také umějí otestovat zabezpečení komunikačních portů počítače nebo firewallu. Většina z těchto služeb, k jejichž činnosti stačí pouze podporovaný webový prohlížeč, také nabízí možnost odstranění škodlivého softwaru. V tomto případě opět nejde o plnohodnotnou ochranu.
4.1.3. Antivirové programy Antivirové programy představují nejčastěji používanou formu antimalwarových řešení. Obvykle v sobě zahrnují ochranu před všemi typy počítačové infiltrace tím, že kontrolují nejpodstatnější vstupní a výstupní místa, kudy mohou škodlivé kódy do počítače proniknout, například webové stránky, e-mail nebo přenosná média (CD, DVD, USB disk, atd.). Součástí těchto programů jsou samozřejmě také nástroje k odstranění malwaru a nechybí ani možnost aktualizace virové databáze.
4.1.4. Komplexní bezpečnostní balíky Komplexní bezpečnostní software je v podstatě antivirový program rozšířený o několik dalších komponent, které chrání počítač a uživatele před internetovými útoky, jakými jsou například
krádeže identity, spam nebo phishing. Z tohoto důvodu používají často ve svém názvu označení „internet security“. Mezi hlavní součást komplexních balíků patří na rozdíl od běžných antivirových programů téměř vždy personální firewall a obvyklá bývá také kontrola síťového připojení. V mnoha produktech lze dále narazit na rodičovský zámek, bezpečnostní hodnocení webových stránek a správu přihlašovacích údajů. Některý software obsahuje ještě další nadstavby, jako například zálohu a případnou obnovu dat, skartaci souborů, elektronický podpis, optimalizaci výkonu počítače atd. (viz podkap. 5.3)
4.2.
Techniky antimalwarové kontroly
Dnešní antimalwarové systémy používají pro ochranu před škodlivými kódy soubor několika technik, díky nimž většinou správně detekují malware a dokážou také opravit infikované soubory. Nutno ovšem poznamenat, že i přes neustálé vylepšování těchto technik není nikdy ochrana stoprocentní, o čemž se lze přesvědčit v praktické části bakalářské práce.
4.2.1. Antivirový skener Nejstarší metodou pro vyhledávání virů je proces skenování. Ten probíhá tak, že program vyhledává počítačové viry a další typy malwaru na základě dostupné virové databáze. Virová databáze je nedílnou součástí každého antimalwarového produktu a společně s názvem viru obsahuje i informace, podle nichž je možné ho detekovat (např. signatury – sekvence vyskytující se v těle jednotlivých virů). Zatímco dříve trvalo virům klidně i několik let, než se rozšířily po celém světě, dnes je díky internetu tato doba razantně kratší, a proto mezi důležité vlastnosti antimalwarových produktů patří také aktualizace virové databáze, při níž program stahuje informace o nově objevených virech, které pak bere v potaz při skenování. Aktualizace virové databáze bývá nejčastěji nastavena automaticky, neboť zpravidla probíhá několikrát za den. Protože doba mezi objevením nové infekce a vydáním patřičné aktualizace antivirovou společností se liší v řádech minut až hodin ve prospěch infekce a program tím pádem nemůže případnou hrozbu okamžitě objevit, používá se několik dalších metod detekce pro dosud neznámé infiltrace. Rozlišujeme dva druhy skenerů: on-demand a on-access. Jak už název napovídá, on-demand skener se spouští na požádání uživatele, tedy manuálně, přičemž kontrolovat lze buď kompletně celý systém, nebo jeho předem definované části (adresář, disková jednotka apod.). K dispozici také zpravidla bývá pokročilé nastavení, kde si lze zvolit, jaké druhy souborů se mají
kontrolovat, případně i techniky kontroly. Samozřejmostí pak bývá plánování kontroly po určité době, nebo v přednastavený čas. Protože může být obsluha on-demand skeneru pro běžného uživatele komplikovaná, současné jsou antimalwarové programy vybaveny i on-access skenerem. Ten naopak pracuje zcela automaticky a vyhledává škodlivé programy v datech, s nimiž uživatel pracuje. Jeho práce spočívá v tom, že se zavěsí na přístup k diskům a souborům nebo je implementován jako ovladač zařízení, který se připojuje na souborový systém (FAT, NTFS, atd.). Tomuto druhu ochrany se také říká rezidentní a zabraňuje, aby se v systému spustil známý virus. [3, str. 375], [9, str. 67-73]
4.2.2. Skenování sekvencí Nejjednodušším a zároveň nejstarším způsobem, jak detekovat počítačové viry, spočívá ve skenování řetězce neboli sekvencí, které jsou pro daný virus typické, a tudíž nejsou obsaženy v čistých programech. Tyto sekvence jsou uloženy ve virových databázích a skener je vyhledává v předdefinovaných složkách a systémových oblastech. Pokud se sekvence shodují, antivir označí daný soubor jako infikovaný. Tímto způsobem je možné detekovat nejen jeden konkrétní virus, ale také příbuzné viry. Na druhou stranu však může dojít k chybné identifikaci, proto se později začaly používat kontrolní záložky, aby bylo jisté, že se opravdu jedná o virus. Pro zrychlení detekce virů se později začala používat metoda skenování začátku a konce, tedy míst, na které se první počítačové viry připojovaly. Ještě rychlejší se pak antivirové skenery staly při používání metody skenování vstupních a fixních bodů neboli míst, jež jsou častým cílem počítačových virů. [3, str. 376-378], [9, str. 74]
4.2.3. Generická detekce Technika generická detekce rovněž spadá do období skenerů první generace a je obecnější metodou hledání známých virů. Tato metoda používá pro skenování prostý řetězec a uplatňuje se zejména u variant malwaru, které vznikají z původní verze, od níž se liší jen minimálně. Je-li nalezeno více variant škodlivého kódu, vybere se z nich vyhledávací řetězec, který je v nich obsažený, a podle něho lze pak snadno detekovat celou rodinu virů. Tato technika dnes nachází uplatnění především u pokusů o zneužití bezpečnostních děr internetových prohlížečů, které si bývají podobné, a tak v nich lze najít řetězec a podle něj pak odchytit škodlivý program nebo činnost. [3, str. 379], [9, str. 76-77]
4.2.4. Heuristická analýza Heuristická analýza je jednou z nejvíce používaných metod, díky níž mohou dnešní antivirové programy detekovat i dosud neznámý malware. Heuristika funguje tak, že analyzuje kód souboru a hledá v něm postupy, které jsou pro viry typické nebo nějakým způsobem podezřelé. V současné době se můžeme setkat s pokročilou heuristikou používající ke své činnosti virtuální stroj (VM), který je schopný simulovat některé funkce operačního systému. Kdykoli pak dojde k požadavku na otevření souboru, předá se volajícímu programu virtuální soubor. Škodlivý kód se tak spustí na virtuálním souborovém systému, který je součástí VM. Moderní emulátory dokážou kromě operačního systému simulovat také síťové zásobníky, internetové a poštovní protokoly. Spolehlivost heuristické metody určuje úroveň emulace operačního systému uvnitř skeneru, která je vzhledem k jeho složitosti velkou výzvou. Protože emulace není dokonalá, v praxi se mohou vyskytovat tzv. falešné poplachy, kdy je zcela neškodný soubor označen jako infikovaný. Díky stále se zdokonalujícím metodám jde ale spíše o výjimku než pravidlo. Pomineme-li falešné poplachy, chybí heuristické analýze k dokonalosti ještě několik věcí. Jedním z problémů je emulace DLL knihoven třetích stran, které nejsou součástí VM, a tak se při volání kódu viru emulace pravděpodobně zastaví. Potom také již existuje řada virů disponující ochranu proti emulaci nebo ty, které se nedají detekovat z žádného emulovaného prostředí. Dalším problémem může být rychlost skeneru, která by v případě dokonalé emulace byla pomalá, tudíž je třeba dělat kompromis kvůli rychlosti. [3, str. 406-410], [9, str. 75-76]
4.2.5. Kontrola integrity Princip kontroly integrity spočívá v tom, že jsou porovnávány aktuální stavy objektů s informacemi, které si kontrolor uchoval při posledním průzkumu, případně při své instalaci. Těmito informacemi jsou databáze kontrolních součtů, která bývá zpravidla vytvořena na chráněném místě operačního systému, nebo je dostupná online. Databáze se pak používá při každém spuštění kontroloru, aby bylo možné zachytit nové objekty v systému a změny v těch stávajících. Tímto způsobem lze velice efektivně detekovat virové infekce a jiné škodlivé zásahy do systému, v praxi ovšem bývá její použití problematické. Kontrola integrity totiž počítá s tím, že při prvním skenování není počítač infikován, což lze zaručit pouze po čerstvé instalaci operačního systému. V opačném případě by přítomný
malware považovala za neškodné soubory a kontrola by se minula účinkem. Dalším problémem je větší počet falešných poplachů, neboť se vyskytuje spousta programů, jež mění svůj vlastní kód, aniž by šlo o nebezpečnou činnost. Jedná se zejména automatické aktualizace systému, komprimace souborů, kdy dochází ke změně jejich velikosti i integritě. Navíc kontroly integrity fungují pouze na změněných objektech v systému, takže nedokážou rozpoznat nebezpečí ve formě vložení kódu do paměti (např. rychle se šířící červi). Z tohoto důvodu nelze kontrolu integrity také aplikovat na připojená paměťová zařízení, protože není znám jejich výchozí stav. Použití kontroly integrity má samo o sobě řadu nevýhod, ve spolupráci s jinými typy antivirové kontroly přináší ale velký přínos. Například v kombinaci s on-demand skenerem může značně urychlit proces prověřování počítače, kdy jeho kontrola (např. za použití metody skenování, heuristické analýzy apod.) může být díky sledování integrity prováděna pouze u nových a změněných souborů. [3, str. 420-422], [9, str. 77-78]
4.2.6. Monitory podezřelého chování Monitory podezřelého chování (monitorovací programy) fungují obdobně jako kontroly integrity, ovšem s tím rozdílem, že místo souborů sledují chování aplikací, na jejichž základě se snaží blokovat infekce virů. Tyto programy chrání v reálném čase, a pokud se například nějaká aplikace pokusí o nějakou změnu, která má charakteristiku chování viru, zobrazí se na obrazovce varování společně s požadavkem pro povolení této akce. V praxi má toto řešení ovšem několik vad na kráse, jako například to, že dojde ke spuštění varování při provádění legitimních operací a tím pádem i zbytečnému obtěžování uživatele. A jak už to tak bývá u všech antivirových kontrol, samozřejmě existují viry, které ji dokážou obejít nebo dokonce vypnout celý monitorovací systém. [3, str. 422-423], [9, str. 78-79]
4.2.7. Emulace kódu Emulace kódu je jednou z nejvýkonnějších technik pro detekci malwaru. Její princip spočívá v tom, že se škodlivý kód spouští ve virtuální prostředí skeneru, který simuluje CPU a systémy paměti, takže nehrozí nebezpečí spuštění virové nákazy. První program se softwarovou emulací byl F-PROT, jehož pozdější verze už byly schopny tímto způsobem emulovat složité polymorfní viry. Smyslem této metody je, aby program běžící v emulovaném prostředí získal falešnou verzi operačního systému. [3, str. 393-401]
4.2.8. Sand-Boxing Jednou z moderních metod pro vypořádání se s nebezpečným kódem představuje tzv. sandboxing. Toto řešení, které bývá součástí vícevrstvého bezpečnostního modelu, představuje jakýsi virtuální podsystém klasického operačního systému, v němž se ukládají soubory a spouštějí programy z nedůvěryhodných zdrojů. Pokud by se tedy stalo, že se zde objeví škodlivý program, který se pokusí učinit nějakou změnu nebo třeba poškodit ostatní soubory, bude se tak dít pouze v rámci tohoto „pískoviště“, přičemž samotný operační systém a data vně tohoto boxu nebudou ohroženy. Sand-boxing má ovšem i svá úskalí. Může například nastat problém s kompatibilitou, kdy nemusí určitý program ve virtuální prostředí správně pracovat. Další překážkou může být nedostatečné zabezpečení virtuálního nástroje nebo skutečnost, že i program z důvěryhodné zóny může být infikovaný. [3, str. 424-425]
4.3.
Identifikace a pojmenování malwaru
Aby bylo zřejmé, o jaký druh nákazy se přesně jedná, byl pro použití v antimalwarových programech vytvořen soubor pravidel, podle nichž jsou jednotlivé infiltrace pojmenovány. Za tímto účelem vznikla roku 1991 organizace CARO, kterou založili pánové Dr. Alan Solomon, Fridrik Skulason a Dr. Vesselina Bontchev. Základní model vypadá takto:
:///<jméno_rodiny>.<jméno_skupiny>. .<modifikátory> Většinou však škodlivé programy nevyžadují použití všech kolonek a prakticky vše kromě políčka <jméno_rodiny> je volitelné. Dále bývají používány různé modifikátory, které například vyjadřují způsob šíření dané nákazy. Nejznámějším modifikátorem je symbol “@mm”, který označuje druh virů šířící se e-mailem. V praxi bývá pojmenování velkým problémem, neboť kvůli rychlému vzniku nové nákazy se představitelé antivirových společností nestačí na jméně dohodnout a pro jednu konkrétní nákazu tak vznikne více názvů. [3, str. 53-60]
4.4.
Dezinfekce
Antivirové programy obsahují kromě technik pro detekci malwaru také metody, jimiž lze infikované soubory vyléčit. Pokud je některý ze souborů označen jako infikovaný, antivir ho přesune do karantény, aby zabránil jeho dalšímu šíření, respektive nákaze ostatních dat.
O tomto procesu bývá uživatel zpravidla informován, přičemž je mu nabídnuto – pokud není zapnuto automatické zpracování – co se má s dotyčným souborem udělat. V některých případech je k dispozici pouze krajní varianta - smazání, čímž může dojít ke ztrátě důležitých dat, případně součástí systému. U některých druhů malwaru, jimiž jsou například soubory trojských koní a doprovodných virů, je jejich smazání jedinou schůdnou cestou, neboť kromě škodlivého kódu neobsahují žádná další data. U jiných nakažených souborů ale platí, že většina uživatelů dá raději přednost dezinfekci. Je však třeba počítat s tím, že s rostoucím objemem malwaru je stále větší množství pouze detekováno, neboť není v silách antivirových firem, aby pro každý virus napsali léčebnou proceduru. Existuje sice možnost dezinfikovat neznámé viry, to je ale velice obtížné a nelze ji označit za opravdu spolehlivou. [3, str. 412-413]
4.4.1. Standardní dezinfekce Tuto metodu, která se rovněž nazývá algoritmické léčení, lze aplikovat, jsou-li známé informace o infikovaném souboru. Především je potřeba vědět, jak virus v souboru vypátrat (ve většině případů lze použít vyhledávácí řetězec vybraný z viru), kde ve viru najít původní začátek souboru a jeho velikost v bajtech. Jsou-li známy všechny tyto informace, je možné virus z těla souboru odstranit – přečte se původní začátek z kódu viru a vloží se na jeho původní místo, přičemž soubor bude zkrácen na původní délku, která se vypočítá z délky viru. Tento postup je poměrně zdlouhavý, proto byly vyvinuty systémy, které dovedou automaticky replikovat virové vzorky. Nelze ho ovšem všude uplatnit – odolné jsou zejména zakódované, mutující a polymorfní viry, nebo ty, které používají nové metody infekce. Co se týče makrovirů, vzhledem ke všeobecně známému formátu dokumentů Microsoft Office dokáže antivirový program snadno určit, kde jsou obsažená makra a tedy i případný virus. Pokud by nedokázal odlišit, která makra jsou škodlivá a která ne, může je v krajním případě odstranit všechna, čímž samotný text dokumentu zůstane nepoškozen. [3, str. 413-414]
4.4.2. Generická dezinfekce Generická dezinfekce představuje technologicky poměrně jednoduchý způsob, jak léčit infikované soubory, zejména jedná-li se o jednodušší viry. K jejich identifikaci mohou být použity jak techniky heuristických skenerů, tak i standardní metody detekce. Poté přichází na řadu dezinfektor, který načte tyto soubory a začne je emulovat do té doby, než virus obnoví soubor do původní podoby. Virus má totiž uložený začátek původního souboru a jediné, co je
potřeba udělat, je zkopírovat čistý program zpět do souboru. Tato technika ovšem není stoprocentní, neboť mohou nastat dva případy nesprávného léčení, a to buď takový, při němž dojde k odstranění velké části souboru, který pak bude nefunkční, nebo naopak bude vymazána příliš malá část a tím pádem v souboru zůstane zbytek kódu viru. Potom se klidně může stát, že ačkoli je tento soubor už prakticky neškodný, některé antivirové skenery ho přesto označí coby infikovaný a způsobí tak falešný poplach. [3, str. 414-418]
4.4.3. Heuristické léčení Mnoho antivirových programů používá pro léčení nakažených souborů technologii AHD neboli pokročilý heuristický dezinfektor. V podstatě se jedná o metodu generické dezinfekce zkombinovanou s heuristickým skenerem. [3, str. 416-417]
4.4.4. Léčení prostřednictvím kontroly integrity Malware lze také odstraňovat na základě kontroly integrity, kdy si antivirový program ukládá dostatek informací o původním souboru. Pokud je tento soubor následně infikován, na základě uložených informací může být vrácen do původní podoby a zároveň může být podle kontrolního součtu ověřeno, zda se vyléčená forma souboru shoduje s tou původní. [3, str. 420-422], [9, str. 77-78]
4.4.5. Očkování Metoda očkování se používala v dobách, kdy existoval pouze malý počet počítačových virů. V podstatě nejde ani tak o způsob léčení, ale spíše o prevenci. Tato myšlenka je podobná vakcinaci a její princip spočívá v tom, že software přidává do čistých objektů značku, kterou používají viry kvůli zabránění několikanásobné infekce. V praxi ovšem technika očkování naráží na řadu překážek, jako například to, že každý virus používá jinou značku (pokud tedy nějakou vůbec používá), nebo že očkování může způsobit problémy při detekci a případně dezinfekci. Nemluvě o tom, že není možné očkovat soubory proti neznámým virům. Proto se již tato metoda dnes nepoužívá. [3, str. 418-419]
4.5.
Možnosti prevence
Bezpečnostní software není jediným prostředkem, jak chránit data a operační systém před malwarem. Ještě důležitějším způsobem ochrany je samotná prevence, která kdyby byla ze strany uživatelů pečlivě dodržována, mohlo by se předejít drtivé většině případů souvisejících s počítačovou infiltrací.
4.5.1. Informovanost Mezi nejvýznamnější formy prevence před počítačovou infiltrací patří bez pochyby informovanost, která není bohužel u většiny populace příliš vysoká. Základním pravidlem je zejména neotvírání příloh e-mailů od neznámých odesílatelů, a vůbec kterýchkoli příloh s koncovkami EXE, COM a SCR, není-li si příjemce 100% jist jejich původem. Vůbec nejúčinnějším řešením je tyto a jiné nebezpečné přípony příloh v poštovním klientu filtrovat. Podobně by se měl uživatel chovat také při surfování na internetu a v případě procházení pochybných stránek (pornografie, nelegální software apod.) odolat pokušení a nestahovat odtud soubory do počítače. Vhodným pomocníkem pro kontrolu nezávadnosti stránek jsou bezpečnostní doplňky typu „link scanner“ (kontrola odkazů na právě prohlížené stránce), jež bývají součástí bezpečnostní produktů, samostatně ke stažení nebo případně jako doplňky k některým internetovým prohlížečům. Ty dovedou informovat uživatele o možném nebezpečí ještě předtím, než dané stránky navštíví. Samostatnou kapitolou je warez neboli nelegální software, který je mezi uživateli velice rozšířený. Právě s instalací warezu je spjato riziko virové nákazy a ztráty osobních dat či zneužití důvěrných informací, protože tento software může být upraven s cílem uživatele poškodit [1, str. 105-106].
Z analýzy BSA vyplývá, že mnozí lidé vůbec netuší, že pirátský software
z internetu může být nakažený viry nebo obsahovat škodlivý program, který o uživateli zasílá podvodníkům jejich soukromé údaje včetně hesel. Ještě větší riziko je pak placení za nelegální software platební kartou, kdy podvodný prodejce obdrží její číslo včetně bezpečnostního kódu.[7] Zlatým pravidlem, jak nepřijít o citlivé osobní informace, je nezadávat přihlašovací údaje na nezabezpečených stránkách. Zabezpečené stránky se poznají tak, že pro výměnu dat používají šifrovanou podobu protokolu HTTP – HTTPS.
Při instalaci programů by si měl uživatel přečíst licenční podmínky s koncovým uživatelem (EULA). Především u volně dostupných programů jsou totiž často připojovány špionážní a/nebo reklamní programy, díky nimž vývojáři získávají peníze (viz podkap. 3.6 a 3.7).
4.5.2. Aktualizace systému Snad každý počítačový operační systém obsahuje chyby – bezpečnostní díry, které mohou být využity pro napadení počítače. Tato skutečnost se ale netýká pouze operačního systému, ale i dalšího softwaru, typicky internetového prohlížeče. Případnému útoku lze tedy významně zabránit pravidelnou aktualizací – stažením záplat. Budeme-li brát v potaz nejrozšířenější operační systém Windows a nejčastěji používaný webový prohlížeč Internet Explorer, existuje od výrobce – firmy Microsoft – aktualizační služba Windows Update, která je dostupná na adrese windowsupdate.microsoft.com, kde bývají tyto záplaty zveřejňovány. Služba Windows Update je rovněž integrovaná do operačního systému, a pokud to uživatel povolí, mohou být bezpečnostní aktualizace stahovány a instalovány automaticky, což je jednak pohodlnější, ale především bezpečnější, neboť záplaty jsou k dispozici okamžitě po jejich zveřejnění. Opomenout nelze ani balík kumulovaných záplat, tzv. service pack, který zahrnuje všechny doposud vydané aktualizace pro daný operační systém zároveň s novými funkcemi a vylepšeními. [13]
4.5.3. Windows Defender Windows Defender je dalším bezpečnostním prvkem operačních systémů Windows. Ve verzích Vista a 7 je integrovaný, pro starší XP si ho lze zdarma stáhnout. Windows Defender chrání počítač před automatickým otvíráním oken, spywarem a dalším nežádoucím softwarem. Pokud uživatel nedisponuje vlastním bezpečnostním programem třetí strany, měl by Windows Defender pro zajištění větší bezpečnosti ponechat zapnutý. [13]
4.5.4. Řízení uživatelských účtů Řízení uživatelských účtů je rovněž vestavěný nástroj Windows Vista a 7, který pomáhá zabránit neoprávněným změnám v počítači. Jakmile má být provedena akce, jež může být potenciální hrozbou (například instalace nového programu), tento nástroj požádá uživatele o povolení. Cílem je, aby se zabránilo samovolné instalaci malwaru či spywaru. Pro větší bezpečnost se tedy rovněž doporučuje mít tento nástroj zapnutý. [13]
4.5.5. Firewall Základním bezpečnostním prvkem každého počítače připojeného k internetu by měla být aktivní brána firewall. Ta slouží ke kontrole veškeré komunikace mezi počítačem a vnějším světem, přičemž jeho hlavním úkolem je filtrovat nevyžádané činnosti a obsah. Firewall bývá nejčastěji obousměrný, což znamená, že kontroluje informace přicházející z internetu a rovněž zabraňuje úniku informací z počítače uživatele. Firewall existuje v hardwarové i softwarové podobě, v domácích podmínkách se nejčastěji setkáme s druhou variantou. Co se týče operačních systémů Windows, brána firewall je jejich standardní součástí od dob verze XP Service Pack 2. Krom toho existuje celá řada komerčních i volně dostupných řešení. Firewall bývá také zpravidla obsažen v komplexních bezpečnostních programech. [2, str. 53-78]
4.5.6. Záloha dat Žádná ochrana není 100% a i přes dodržení veškerých preventivních bezpečnostních opatření se může stát, že vlivem malwaru či jiné škodlivé činnosti přijde uživatel o svá data. Tomu lze však předejít pravidelnou a co nejčastější zálohou, nejlépe na externí disk. Program pro zálohování dat či celého operačního systému bývá rovněž obvykle jeho součástí, podobná řešení nabízejí i někteří výrobci počítačů (např. Rescue & recovery od společnosti Lenovo). Dostupné jsou také zálohovací aplikace třetích stran.
4.5.7. Bezpečnostní programy Poslední krok prevence spočívá v instalaci antivirového nebo bezpečnostního programu, díky němuž se podstatně sníží riziko virové nákazy a předejde se i spoustě jiným hrozbám. Programů existuje dnes na trhu celá řada, a to ve formě komerčních a bezplatných verzí.
Mezi
nejspolehlivější volbu z hlediska bezpečnosti patří pořízení komplexního bezpečnostního balíku, který v sobě obsahuje několik komponent pro ochranu počítačových dat. Čeští uživatelé mají ke konci roku 2009 na výběr z 8 bezpečnostních balíků, které jsou lokalizovány do jejich rodného jazyka (viz praktická část bakalářské práce).
II.
Praktická část
5. Komplexní bezpečnostní software 5.1.
Metodologie testování
5.1.1. Použitý hardware Zařízení: Lenovo ThinkPad R61 (notebook) Procesor: Intel Core 2 Duo T7250 @ 2,00 GHz Paměť RAM: 3,00 GB Pevný disk: 160 GB (5400 ot/min) Grafický adaptér: nVidia Quadro NVS 140M
5.1.2. Použitý operační systém Operační systém: Windows Vista Business SP2 Typ systému: 32bitový operační systém
5.1.3. Programy Kritérium výběru programů pro srovnávací analýzu: Komplexní bezpečnostní řešení dostupná k 15. 11. 2009 v české lokalizaci pro platformu Windows. Od každého výrobce softwaru, který toto kritérium splňuje, bude vždy testován pouze jeden produkt. Vybrán bude ten, jenž je přímo určen pro ochranu počítačových dat před internetovými hrozbami (internet security). Zvolena bude vždy nejnovější verze programu. Použity budou trial verze programů, které výrobci poskytují na svých domovských webových stránkách k volnému stažení a použití zpravidla na dobu 14 – 60 dní. Tyto zkušební verze se svou funkcionalitou nijak neliší od klasických komerčních produktů. •
Avast! 4 Professional
•
AVG Internet Security 9.0
•
ESET Smart Security 4
•
F-Secure Internet Security 2010
•
Kaspersky Internet Security 2010
•
McAfee Internet Security 2010
•
Norton Internet Security 2010
•
TrustPort PC Security
5.1.4. Postup při testování Základem testu budou níže uvedená pravidla, podle nichž bude test realizován. Vzhledem ke skutečnosti, že primárním účelem bezpečnostních balíků je správná detekce škodlivého kódu, bude mít toto kritérium největší váhu při výsledném hodnocení. Dalších důležitou vlastností, která bude hodnocena, je výkon jednotlivých bezpečnostních řešení, což znamená rychlost úplného prověření operačního systému a množství zabrané operační paměti, kterou program potřebuje ke své činnosti. Celkově budou pro každý bezpečnostní produkt zvlášť provedeny tři testy, při nichž budou prověřeny všechny uvedené vlastnosti.
5.1.5. Základní pravidla Aby byly zajištěny stejné výchozí podmínky pro všechny bezpečnostní balíky a výsledky byly objektivní, bude nejprve vytvořen obraz nově nainstalovaného operačního systému, který bude uložen na externí disk a pro každý dílčí test vždy nahrán znovu do počítače. Během všech dosud uvedených procedur nebude počítač připojen k internetu a ani k němu nebudou připojována žádná další externí paměťová zařízení, aby nemohlo dojít k nevyžádané infiltraci malwarem. Při jednotlivých testech bude použito tzv. on-demand skenování, tedy ručně vyvolaná antimalwarová kontrola celého pevného disku nebo konkrétních adresářů.
5.1.6. Test č. 1 Schopnost rozpoznání škodlivého kódu bude realizována na sbírce malwaru, jež čítá 66 713 infikovaných souborů o celkové velikosti 6,5 GB. Tato kolekce škodlivého kódu bude nahrána na pevný disk počítače ještě před instalací bezpečnostního balíku, aby nemohl ovlivňovat průběh jeho kopírování na disk. Následně dojde k instalaci jednoho bezpečnostního programu a připojení počítače k internetu po dobu nezbytně nutnou pro stažení aktuální virové databáze. Poté bude spuštěn 1. test – prověření vytvořené složky „C://Malware“, jehož cílem bude zjistit množství rozpoznaného malwaru. Tento test bude prováděn pro každý program zvlášť a před jeho počátkem bude vždy do počítače nahrána onen dříve vytvořený obraz operačního systému z externího disku.
5.1.7. Test č. 2 Tento test má za úkol zjistit, jak si na tom jednotlivé bezpečnostní řešení stojí z hlediska falešných poplachů. Coby falešný poplach je brána situace, při níž dojde k chybnému označení
souboru jako infikovaný. Pro toto zjištění bude do počítače nahráno přibližně 1,5 milionu různých souborů, které nejsou infikované.
5.1.8. Test č. 3 V pořadí třetí test se bude zabývat sledováním výkonnostních parametrů bezpečnostních balíků – doby úplného prověření systému a velikost využité operační paměti. Tento test bude vždy spuštěn po obnovení operačního systému, který v sobě zahrnuje pouze minimální počet uživatelských dat a integrovaný software.
5.2.
Kritéria hodnocení
Výrobce Produkt Verze programu DETEKCE (60 %) Rozpoznání malware (30 %) Falešné poplachy (30 %) VÝKON (40 %) Doba úplného prověření systému (20 %) Nárok na paměť RAM (20 %) CELKOVÉ HODNOCENÍ
5.2.1. Rozpoznání malwaru Kvalitní detekce malware je alfou a omegou každého bezpečnostního balíku. K testování této vlastnosti bude použita rozsáhlá sbírka nejrůznějšího druhu malwaru a podle toho, jak velký objem bude rozpoznán, získá program hodnocení vyjádřené v procentech. Na celkovém hodnocení bude mít rozpoznání malwaru vliv 30 %.
5.2.2. Falešné poplachy Kromě kvalitní detekce by měl bezpečnostní software vyvolat co nejmenší počet falešných poplachů a vyvarovat se tak zbytečným omylům, kdy je za škodlivý kód označen čistý soubor. Toto kritérium bude mít stejnou váhu jako schopnost rozpoznání malwaru.
5.2.3. Výkon Bezpečnostní balík by neměl uživatele příliš omezovat a zpomalovat počítač, proto je důležitým kritériem kromě detekčních schopností také výkon. Tím se v tomto případě rozumí rychlost, jakou program dokáže pracovat – prověřit operační systém, a jeho náročnost na operační paměť.
5.2.4. Doba úplného prověření systému V tomto případě platí „čím kratší, tím lepší“. Program, který prověří operační systém nejrychleji, získá u této položky hodnocení 100 %. Od toho času pak bude v příslušném poměru odvozeno hodnocení pro ostatní programy. Protože měření rychlosti kompletního prověření systému bude u každého programu realizováno ve výchozím nastavení, při němž nelze zaručit, že bude ve všech případech kontrolováno stejné množství souborů, bude srovnávací jednotkou počet zkontrolovaných souborů za sekundu. Doba úplného prověření systému se na celkovém hodnocení bude promítat 20 %.
5.2.5. Nárok na paměť RAM Opět zde platí, že čím méně, tím lépe. Obdobně jako v předchozím případě bude mít zde 100 % hodnocení ten program, jehož náročnost na operační paměť počítače bude nejnižší. Od tohoto čísla se pak stejným systémem odvodí zbylá hodnocení pro ostatní programy. Využití operační paměti jednotlivých programů bude měřeno při úplném prověřování systému freeware programem Sledování paměti (v4.5.0.1). Jako výsledná hodnota bude bráno maximum využité paměti.
Poznámky k testování •
všechny produkty budou testovány v základním (továrním) nastavení
•
operační systém na počítači bude obsahovat nejnovější opravný balíček, tzv. service pack
•
počítač během testování nebude připojen k internetu
•
během testování nebudou prováděny žádné další činnosti, aby nebyl narušen jeho průběh
5.3.
Testované bezpečnostní balíky
5.3.1. Avast! 4 Professional Avast! 4 Professional pochází od české společnosti Alwil Software a představuje soubor technologií pro ochranu počítačových dat. Program existuje také v odlehčené verzi Home pro domácí uživatele, jimž je poskytován zcela zdarma. Uživatelské rozhraní Avast! 4 Professional obsahuje dvě uživatelská rozhraní, mezi nimiž lze přepínat. Jednoduché rozhraní se svým vzhledem podobá multimediálnímu přehrávači a slouží výhradně ke spouštění testů, práci s výsledky a ke změně základního nastavení. Jedná se o hlavní rozhraní programu, z něhož se jde dostat k jeho ostatním součástem. Kromě toho také podporuje skiny, díky nimž si lze jeho vzhled přizpůsobit vlastnímu vkusu. U rozšířeného rozhraní, na rozdíl od toho jednoduchého, probíhá kontrola systému či jeho součástí prostřednictvím Úloh. Uživatel si nejprve nastaví vlastnosti dané úlohy společně s mnoha parametry prohledávání. Každou takto vytvořenou úlohu lze provádět jednou či opakovaně. Po dokončení se automaticky vytváří výsledky testu, s nimiž je možné dále pracovat. Nechybí zde ani plánovač pro nastavení konkrétní doby spuštění úlohy a frekvence jejího opakování. Z hlavní obrazovky rozšířeného rozhraní lze kromě úloh také upravovat parametry rezidentní ochrany, aktualizovat
virovou
databázi
nebo se přímo dostat do virové truhly
(karanténa)
obsahující
infikované soubory. Obr. 5.1 – Hlavní obrazovka Avast! 4 Professional
Funkce Základní funkcí aplikace je rezidentní ochrana, která se na rozdíl od samotného programu spouští automaticky se startem systému. Rezidentní ochrana chrání počítač v reálném čase. V případě Avastu je tato ochrana založena tzv. rezidentních poskytovatelích neboli modulech sloužících k ochraně jednotlivých částí počítače. Mezi těmito moduly se nachází webový štít monitorující a filtrující veškerý provoz pocházející z webových stránek, síťový štít chránící proti
známým útokům internetových červů a analyzující veškerý síťový provoz, dále pak štíty na ochranu programů pro online komunikaci a P2P sítě. Nechybí štít pro ochranu elektrické pošty, který se skládá z dalších dvou částí. První z nich je obecný skener pracující na úrovni e-mailových protokolů, druhý je pak speciální doplněk do poštovní aplikace Microsoft Outlook. Za zmínku stojí rovněž Script Blocker, jehož posláním je sledování veškerých skriptů spuštěných systémem a skriptů aktivovaných na internetových stránkách v podporovaných webových prohlížečích. Poslední úloha – základní štít – chrání systém souborů. V případě potřeby mohou být jednotlivé rezidentní úlohy buď pozastaveny, nebo v několika stupních změněna citlivost jejich citlivost.
Netypickou funkcí programu Avast jsou tzv. push aktualizace virové databáze. Ty se vyznačují tím, že jsou iniciovány ze strany serveru, což znamená, že počítač reaguje okamžitě na rozdíl od klasických aktualizací, při nichž program
kontroluje
nových
updatů
stanoveném
dostupnost v přesně
intervalu. Avast
umožňuje také zobrazit o každém viru, který má ve své virové databázi, základní údaje. U velmi rozšířených virů lze rovnou zobrazit poměrně
rozsáhlé
informace
prostřednictvím propojení Avastu s webovou virovou databází.
Obr. 5.2 – Nastavení rezidentní ochrany
Protože se modul pro skenování systému nezapíná automaticky, obsahuje program možnost prověření systému po jeho startu. Tu lze využít v případě podezření na aktivní virus v počítači. Test je vlastně prováděn ještě před samotným naběhnutím systému, tedy v době, kdy virus nemůže být aktivován a ovlivnit tak chování systému. K izolaci potencionálně nebezpečných objektů je určena virová truhla. Truhlu si lze představit jako složku na disku, která odděluje soubory v ní uložené před zbytkem operačního systému. Se soubory v truhle lze dále pracovat, ovšem s jistými bezpečnostními omezeními.
Test Programu Avast! 4 Professional se podařilo detekovat 65 334 infikovaných souborů z celkového počtu 66 713 možných hrozeb, což představuje přibližně 97,9 % úspěšnosti. Ve druhém testu, který měřil úroveň falešných poplachů na vzorku 1,5 miliónu souborů, označil chybně 2 čisté soubory. Doba úplného prověření systému, do níž bylo zahrnuto celkem 356 846 nejrůznějších položek, trvala celkem 29 minut a 18 sekund. Rychlost prověřování tedy v tomto případě činila 203 souborů za sekundu. K této činnosti aplikace využila 69 845 kB operační paměti.
Obr. 5.3 – Zobrazení přehledu výsledků po dokončeném testu
Výrobce Produkt Verze programu DETEKCE Rozpoznání malware (66 173 variant) – počet rozpoznaných souborů Falešné poplachy (1,5 mil souborů) VÝKON Doba úplného prověření systému (356 846 souborů) – rychlost prověřování (souborů za sekundu) Nárok na paměť RAM (kB) Tab. 5.1 – Výsledky testů
Alwil Software Avast! 4 Professional 4.8.1351 97,9% 65 334 2 0:29:18 203 69 845
5.3.2. AVG Internet Security 9.0 AVG Internet Security je produktem české společnosti AVG Technologies (dříve Grisoft), která již na poli počítačové bezpečnosti působí od roku 1991. Na celosvětový trh však vstoupila až v roce 2009, kdy představila novou produktovou řadu 9. Uživatelské rozhraní Při prvním spuštěním programu uvítá uživatele hlavní obrazovka obsahující přehled veškerých nainstalovaných modulů a umožňující přístup ke všem funkcím programu. Celkem je zde k dispozici 12 komponent, u kterých se zobrazuje jejich stav, tedy zdali jsou momentálně aktivní a fungují správně. Na hlavní obrazovce se dále nachází základní statistika, v níž je uvedena doba posledního testu, aktualizace a číslo virové databáze, verze programu atd. Pod ní se vyskytuje vysouvací okénko zobrazující případné upozornění. Kromě přehledu komponent a statistiky lze na hlavní obrazovce narazit na záložku aktualizace, po jejímž kliknutí se v případě nového vydání
aktualizuje
jak
virová
databáze, tak i samotná aplikace. Instalace nových aktualizací se rovněž
mohou
automaticky.
uskutečňovat
Přímo
z hlavní
obrazovky je možné spustit test celého
počítače,
vybraných
součástí nebo samostatný antirootkit test. Jednotlivé testovací úlohy si lze naplánovat na libovolný čas.
Obr. 5.4 – Hlavní obrazovka AVG Internet Security 9.0
Funkce Jak už jsem uvedl výše, AVG Internet Security 9.0 se skládá z 12 různých komponent, z nichž 10 je určenou k ochraně počítače. Jedná se o Anti-Virus, Anti-Spyware, Anti-Spam, Firewall, LinkScanner, Anti-Rootkit, Kontrola pošty, Identity Protection, Webový štít a Rezidentní štít. Zbývajícími dvěma moduly jsou Správa aktuálního licenčního čísla a Systémové nástroje, což je v podstatně pokročilé nastavení. V této části se znázorňují informace o procesech, síťových připojeních, automaticky spuštěných aplikacích atd.
Komponentu Anti-Virus lze charakterizovat coby virovou databázi AVG, jež slouží k identifikaci známých virů. To má na starost testovací jádro antivirového programu, které skenuje všechny soubory. Pokud je detekován virus, program okamžitě zabrání jeho aktivaci a následně jej odstraní nebo přesune do virové karantény. K detekci virů je použito skenování, heuristická analýza nebo generická detekce. V případě potřeby se uvedené techniky mohou v rámci jednoho testu kombinovat. Obdobně jako Anti-Virus funguje modul Anti-Spyware s tím rozdílem, že slouží výhradně k identifikaci známého spywaru a umožňuje otestovat počítač na jeho přítomnost. Program pracuje nepřetržitě a na pozadí prověřuje všechny spuštěné aplikace. Provoz na všech síťových portech počítače
řídí
pravidelně
Firewall.
vyhodnocuje
Ten jednak
běžící aplikace, ale také programy, které se snaží navázat komunikaci zvenčí. Kromě toho také průběžně kontroluje uživatelským
výměnu
dat
mezi
počítačem
a ostatními počítači v rámci lokální sítě. Obr. 5.5 – Sledování systémových procesů
Cílem LinkScanneru je chránit počítač před nebezpečnými webovými stránkami a odkazy. Jejich ověřování probíhá v reálném čase, při němž se zkoumá, zda jsou prohlížené internetové stránky bezpečné. Současně se také vyhodnocuje a graficky označuje bezpečnost odkazů na nejčastěji používaných vyhledávačích (Google, Yahoo, atd.). Komponentu Kontrola pošty existuje ve formě plug-inu pro vybrané poštovní klienty (např. Outlook Express, Mozilla Thunderbird), který automaticky prověřuje e-mailové zprávy, jestli v nich není obsažen virus či jiný nebezpečný kód. Kontrolu příchozí elektronickou pošty se stará dále modul
Anti-Spam, který nevyžádané zprávy označuje a zároveň také chrání proti
phishingu. Posláním modulu AVG Identity Protection je ochrana proti krádeži osobních dat (přístupová hesla, bankovní úcty, čísla kreditních karet) prostřednictvím škodlivého softwaru. Kromě toho
ověřuje, zdali všechny spuštěné programy pracují správně. V opačném případě škodlivý program zablokuje. Test Programu AVG Internet Security 9.0 se podařilo detekovat 61 552 infikovaných souborů z celkového počtu 66 713 možných hrozeb, což představuje přibližně 92,3 % úspěšnosti. Ve druhém testu, který měřil úroveň falešných poplachů na vzorku 1,5 miliónu souborů, označil chybně 2 čisté soubory. Doba úplného prověření systému, do níž bylo zahrnuto celkem 374 173 nejrůznějších položek, trvala celkem 1 hodinu, 4 minuty a 26 sekund. Rychlost prověřování tedy v tomto případě činila 97 souborů za sekundu. K této činnosti aplikace využila 97 524 kB operační paměti.
Obr. 5.6 – Zobrazení přehledu výsledků po dokončeném testu
Výrobce Produkt Verze programu
AVG Technologies AVG Internet Security 9.0 9.0.709 DETEKCE
Rozpoznání malware (66 173 variant) – počet rozpoznaných souborů Falešné poplachy (1,5 mil souborů)
92,3% 61 552 2
VÝKON Doba úplného prověření systému (374 173 souborů) – rychlost prověřování (souborů za sekundu) Nárok na paměť RAM (kB)
1:04:26 97 97 524
Tab. 5.2 – Výsledky testů
5.3.3. ESET Smart Security 4 ESET Smart Security 4 je bezpečnostní balík spojující uznávanou aktivní ochranu NOD32 Antivirus s firewallem a anti-spamovou technologií. Uživatelské rozhraní ESET Smart Security 4 obsahuje stejně jako konkurenční produkt Avast! 4 Professional dva režimy – jednoduchý a rozšířený. Nejedná se však o úplně totožné pojetí, neboť v programu od společnosti ESET je uživatelské rozhraní pro oba režimy stejné a liší se pouze v zobrazených možnostech nastavení. V jednoduchém módu jsou uživateli znázorněny primárně informace o stavu aktuální ochrany, poslední kontroly počítače a virové databáze, základní nastavení umožňující
vypnutí
a
zapnutí
jednotlivých součástí programu a přístup k nápovědě či technické podpoře. podrobné
Všechna
nastavení
statistiky
jsou
a pak
k dispozici v rozšířeném režimu. Zde lze
například
sledovat
aktivitu
souborového systému či síťového provozu a nechybí ani přehledné statistiky ochrany.
dostupných
způsobů Obr. 5.7 – Hlavní obrazovka ESET Smart Security 4
Funkce ESET Smart Security 4 je komplexním balíkem zajišťující ochranu v síti, ať už se jedná o připojení počítače k internetu či propojení na lokální bázi. Produkt se skládá ze čtyř základních modulů – antiviru, antispywaru, personálního firewallu a antispamu. První dva moduly jsou založeny na technologii ThreatSense, kterou společnost označuje veškeré použité metody detekce škodlivého kódu. Kromě kontroly podle virové databáze jsou přítomny i metody proaktivní detekce schopné objevit doposud neznámý malware. Sem patří například pokročilá heuristická analýza, generická detekce a další techniky. Za zmínku stojí rovněž služba TheatSense.net, což je systém včasného varování. Pokud uživatel tento způsob při instalaci programu povolí, může
program odesílat podezřelé objekty do laboratoře společnosti ESET a v případě potřeby poskytnout příslušné aktualizace. Co se týče personálního firewallu, ten je vybaven systémem IDS, který umí odhalit různé druhy síťových útoků. Nový režim učení automaticky vytváří pravidla pro firewall tím, že sleduje, jakým způsobem je počítač používán a nabízí i rozšířené režimy nastavení firewallu pro uživatele s pokročilejšími znalostmi a konkrétními požadavky na nastavení. Komunikační kanály jsou navíc kontrolovány i se šifrováním SSL. Mezi ně patří zejména protokoly HTTPS a POP3S. K dalším klíčovým vlastnostem nejnovější verze Smart Security 4 se řadí ochrana proti spamu díky vylepšenému anti-spamovému filtru. Proti škodlivým kódům je příchozí pošta chráněna na úrovni protokolu POP3. Při kontrole přijímaných
zpráv
jsou
použity
všechny pokročilé metody kontroly obsažené
ve skenovacím
jádře
ThreatSense. Tím je zabezpečena detekce nebezpečných programů ještě
před
aktualizací
virových
databází.
Veškerá
mailová
komunikace
je
zajištěna
pouze
u klienta Microsoft Outlook, pro něhož byl vyvinut plug-in.
Obr. 5.8 – Statistika antivirové a antispywarové ochrany
Program ESET se chlubí širokými možnostmi nastavení pro kontrolu počítače. Uživatel si může vybrat z několika přednastavených profilů, u nichž lze konfigurovat jednotlivé vlastnosti, například jaké typy objektů se mají kontrolovat, cíle kontroly, které metody při kontrole použít atd. Mezi doplňkové funkce se pak řadí plánovač úloh, karanténa pro bezpečné uchování infikovaných souborů či protokoly zaznamenávající veškeré podstatné události v aplikaci. Součástí SmartSecurity 4 je také program SysInspector, jež má za úkol důkladně prozkoumat počítač a zobrazit informace, jako jsou nainstalované ovladače a programy, síťové připojení či údaje z databáze registru . Ty pak mohou pomoci zjistit příčiny podezřelého chování systému, ať už vlivem nekompatibility, nebo infekcí škodlivým kódem.
Za zmínku stojí dále ESET SysRescue, což je utilita, která umožňuje vytvořit bootovatelné médium (CD/DVD, USB) obsahující ESET Smart Security. Hlavní výhodou tohoto nástroje je, že běží nezávisle na aktuálně nainstalovaného operačního systému, přičemž má přímý přístup k disku a celému souborovému systému. Test Programu ESET Smart Security 4 se podařilo detekovat 63773 infikovaných souborů z celkového počtu 66713 možných hrozeb, což představuje přibližně 95,6 % úspěšnosti. Ve druhém testu, který měřil úroveň falešných poplachů na vzorku 1,5 miliónu souborů, označil chybně 2 čisté soubory. Doba úplného prověření systému, do níž bylo zahrnuto celkem 339 052 nejrůznějších položek, trvala celkem 26 minut a 28 sekund. Rychlost prověřování tedy v tomto případě činila 212 souborů za sekundu. K této činnosti aplikace využila 40 424 kB operační paměti.
Obr. 5.9 – Zobrazení přehledu výsledků po dokončeném testu
Výrobce Produkt Verze programu DETEKCE Rozpoznání malware (66 173 variant) – počet rozpoznaných souborů Falešné poplachy (1,5 mil souborů) VÝKON Doba úplného prověření systému (339 052 souborů) – rychlost prověřování (souborů za sekundu) Nárok na paměť RAM (kB) Tab. 5.3 – Výsledky testů
ESET ESET Smart Security 4 4.0.467.0 95,6% 63 773 2 0:26:38 212 40 424
5.3.4. F-Secure Internet Security 2010 Bezpečnostní programy F-Secure jsou na českém trhu poměrně rozšířené, za což vděčí především skutečnosti, že Telefónica O2 nabízí zdarma plnou verzi F-Secure Anti-virus všem svým zákazníkům využívající internet. Uživatelské rozhraní Program F-Secure se pyšní jednoduchým, přehledným a graficky velmi vydařeným uživatelským rozhraním. Úvodní obrazovku tvoří rozcestník, který umožňuje rychlý přístup k zobrazení stavu aktuální ochrany, úlohám a statistikám. Z hlavní obrazovky se lze rovněž dostat ke kontrole počítače a detailnímu nastavení jednotlivých funkcí. V záložce Statistika jsou uvedeny veškeré akce, které program od doby své instalace provedl. Sem patří například poslední úspěšná kontrola
aktualizací,
zkontrolovaných souborů,
počet
zablokovaných
a
počet
infikovaných
povolených programů
a atd.
Významnější je ovšem záložka Stav, v níž lze sledovat nainstalované funkce a zabezpečení. Funkce jsou rozděleny do tří sekcí – počítač, připojení k síti a internet, kde u každé je uvedeno, zdali je zapnuta či nikoli.
Obr. 5.10 – Hlavní obrazovka F-Secure Internet Security 2010
Funkce Základními stavebními kameny F-Secure Internet Security 2010 jsou ochrana počítače proti malwaru, kontrola mailového a webové přenosu, firewall a rodičovský zámek. Rodičovská kontrola se konfiguruje hned při instalaci programu a pomocí režimů lze nastavit, na jaké stránky mohou jednotliví uživatelé na internetu přistupovat a kdy. Vše je zabezpečeno pomocí nastaveného hesla, které je pak vždy nutné zadat při vstupu do nastavení programu. Kontrola virů a spywaru ve výchozím nastavení automaticky prohledává místní jednotky, vyměnitelná média a stažený obsah. Možnosti kontroly nejsou příliš široké – uživatel si může zvolit, zdali kontrolovat pouze známé typy souborů, čímž se urychlí vyhledávání, nebo zdali
provádět kontrolu v komprimovaných souborech. Poslední možností je pak použití pokročilé heuristiky. Kontrola může být prováděna v reálném čase, nebo si ji lze naplánovat. Součástí F-Secure Internet Security je aplikace DeepGuard, která analyzuje obsah souborů a chování programů a blokuje nové neobjevené viry, červi a další nebezpečné programy, které se pokoušejí provádět v počítači změny, jež mohou být škodlivé. Jedná se například o změny nastavení systému, pokusy o vypnutí důležitých programů systému nebo jejich úprava. Blokovat programy lze pomocí funkce DeepGuard rovněž manuálně. Mezi
další
stěžejní
prvky
bezpečnostního softwaru FSecure patří také síť ochrany v reálném čase, což je online služba, která poskytuje rychlé reakce na internetové hrozby díky
informacím
nainstalovaných společnosti.
z
programů Obr. 5.11 – Nastavení kontroly virů a spywaru
Vestavěná brána firewall pracuje s profily definující úroveň ochrany počítače. Každý profil brány má přednastavená neměnná pravidla, do nichž lze však přidávat pravidla nová či vytvořit zcela nový profil. Profily firewallu existují v rozsahu od velmi přísné po velmi mírné. Další funkcí je Ochrana procházení internetu zabraňující neúmyslnému přístupu k nebezpečným webům. V podstatě se jedná se o plug-in v prohlížeči, který zobrazuje hodnocení zabezpečení webů uvedených ve výsledcích vyhledávačů a v obsahu webové pošty. Tato ochrana využívá nástroje Exploit Shield, což jsou opravy vyvinuté společností F-Secure, které chrání před zjištěnými chybami zabezpečení v nainstalovaných programech. Nástroje Exploit Shield identifikují nebezpečné weby a znemožňují jim zneužití chyb zabezpečení například k vynucení neoprávněného stažení souborů obsahujících malware. Podporovány jsou všechny známé vyhledávače jako Google, Yahoo apod. Co se týče e-mailové komunikace, filtrování nevyžádané pošty a ochrana proti phishingu pracuje pouze s protokolem POP3.
Test Programu F-Secure Internet Security 2010 se podařilo detekovat 64 210 infikovaných souborů z celkového počtu 66 713 možných hrozeb, což představuje přibližně 96,2 % úspěšnosti. Ve druhém testu, který měřil úroveň falešných poplachů na vzorku 1,5 miliónu souborů, označil chybně 1 čistý soubor. Doba úplného prověření systému, do níž bylo zahrnuto celkem 217 115 nejrůznějších položek, trvala celkem rovných 56 minut. Rychlost prověřování tedy v tomto případě činila 65 souborů za sekundu. K této činnosti aplikace využila 39 780 kB operační paměti.
Obr. 5.12 – Zobrazení přehledu výsledků po dokončeném testu
Výrobce Produkt Verze programu
F-Secure F-Secure Internet Security 2010 10.00 build 246 DETEKCE
Rozpoznání malware (66 173 variant) – počet rozpoznaných souborů Falešné poplachy (1,5 mil souborů)
96,2% 64 210 1
VÝKON Doba úplného prověření systému (217 115 souborů) – rychlost prověřování (souborů za sekundu) Nárok na paměť RAM (kB)
0:56:00 65 39 780
Tab. 5.4 – Výsledky testů
5.3.5. Kaspersky Internet Security 2010 Kasperky Internet Security 2010 patří mezi nejvybavenější produkty tohoto druhu na trhu. Aplikace poskytuje nejen antivirovou ochranu, ale také ochranu před nevyžádanou poštou, síťovými útoky a phishingem. Uživatelské rozhraní Program disponuje velice uživatelsky přívětivým a přehledným rozhraním. Hlavní okno se skládá ze tří částí – informačního panelu, nabídky a aktuálního výběru. Horní část okna ukazuje stav ochrany počítače, která může nabývat tří hodnot barevně odlišených podobně jako světla na semaforech. Levá strana okna poskytuje rychlý přístup k hlavním funkcím aplikace, včetně úloh jednotlivých kontrol, zabezpečení, aktualizací atd. V pravé části nalezneme informace o funkci modulu vybraného v levé části. Slouží ke konfiguraci nastavení této funkce a nabízí nástroje k provedení úloh antivirové kontroly, stažení aktualizací domovské
atd.
Na
obrazovce
hlavní se také
nachází odkaz do podrobného nastavení, karantény a zprávě, která
v grafickém
znázornění
pomocí grafů informuje o počtu kontrolovaných
souborů
a
zachycených škodlivých objektech za zvolené období.
Obr. 5.13 – Hlavní obrazovka Kaspersky Internet Security 2010
Funkce Veškeré komponenty programu Kaspersky Internet Security jsou sdruženy v záložce Moje ochrana, kde jsou rozděleny do třech různých větví: osobní data, objekty operačního systému včetně aplikací instalovaných v počítači a síťová aktivita. Odtud se lze rychle dostat k požadované službě a jejímu nastavení.
Každý uživatel produktů výrobce může při instalaci programu povolit službu Kaspersky Security Network, která shromažďuje údaje o vybraných bezpečnostních a aplikačních operacích a zasílá je k další analýze ve společnosti Kaspersky Lab pro identifikaci nových hrozeb a jejich zdrojů. Kaspersky Internet Security poskytuje ochranu prostřednictvím 13 vestavěných komponent. K hlavním modulům patří File Anti-Virus, který sleduje systém souborů, provádí kontrolu všech souborů a v připojených diskových jednotkách, které lze otvírat, spouštět nebo ukládat, přičemž jednotlivé soubory jsou kontrolovány na známé viry. Celkem existují 3 druhy antivirové kontroly, a to kontrola zvolených objektů, úplná kontrola skenující celý systém či rychlá kontrola spouštěcích objektů
operačního
systému.
O
neznámé hrozby se stará proaktivní obrana, která umožňuje detekovat nový škodlivý program dříve, než provede svoji škodlivou činnost. Tato součást je založena na sledování a analýze chování všech aplikací, které jsou nainstalovány v počítači.
Obr. 5.14 – Jednotlivé komponenty programu
Mail Anti-Virus vyhledává viry ve všech příchozích a odchozích e-mailech, jejichž analýzou v nich zjišťuje přítomnost škodlivých programů. Podporovány jsou protokoly POP3, SMTP, IMAP, MAPI a NNTP, přičemž nechybí ani ochrana proti phishingu. Oproti tomu modul Anti-Spam se integruje do poštovního klienta nainstalovaného v počítači a vyhledává ve veškeré příchozí poště nevyžádaný obsah. Tyto zprávy jsou pak označeny speciálním záhlavím. Program si poradí také s reklamními informacemi, které jsou umístěné na reklamních lištách nebo zabudované do rozhraní různých aplikací. Za tímto účelem byla vytvořena komponenta Anti-Banner. Co se týče součásti Web Anti-Virus, ta naopak sleduje veškerý datový provoz HTTP a rovněž analyzuje webové stránky a detekuje phishing. Prostřednictvím modulu IM Anti-Virus program zajišťuje bezpečnou činnost různých aplikací určených pro rychlé zasílání zpráv. Brána firewall zajišťuje bezpečnost síťové práce v místních sítích i internetu. Tato součást filtruje všechny síťové činnosti pomocí pravidel dvou typů: pravidel pro aplikace a pravidel pro
pakety. Při komunikaci se světem najde uplatnění také Blokátor síťových útoků, který se spouští společně se startem operačního systému a sleduje v příchozím datovém toku výskyt charakteristických aktivit síťových útoků. Chráněna je také identita uživatele, o kterou se stará Kontrola aplikací spravující práva programů provádět činnosti s daty uživatele. Zahrnuty jsou složky a klíče registru, uživatelské soubory cookies apod. Test Programu Kaspersky Internet Security 2010 se podařilo detekovat 62 995 infikovaných souborů z celkového počtu 66 713 možných hrozeb, což představuje přibližně 94,4 % úspěšnosti. Ve druhém testu, který měřil úroveň falešných poplachů na vzorku 1,5 miliónu souborů, označil chybně 2 čisté soubory. Doba úplného prověření systému, do níž bylo zahrnuto celkem 227 946 nejrůznějších položek, trvala celkem 20 minut a 12 sekund. Rychlost prověřování tedy v tomto případě činila 188 souborů za sekundu. K této činnosti aplikace využila 42 459 kB operační paměti.
Obr. 5.15 – Zobrazení přehledu výsledků po dokončeném testu
Výrobce Produkt Verze programu
Kaspersky Lab Kaspersky Internet Security 2010 9.0.0.463 DETEKCE
Rozpoznání malware (66 173 variant) – počet rozpoznaných souborů Falešné poplachy (1,5 mil souborů)
94,4% 62 995 2
VÝKON Doba úplného prověření systému (227 946 souborů) – rychlost prověřování (souborů za sekundu) Nárok na paměť RAM (kB)
0:20:12 188 42 459
Tab. 5.5 – Výsledky testů
5.3.6. McAfee Internet Security 2010 McAfee Internet Security je sada zabezpečení, která chrání počítač před viry, spywarem, podvodnými e-maily a rychlými zprávami, hackery a síťovými škůdci a provádí automatické zálohování důležitých souborů. Uživatelské rozhraní Výchozí komponenta pro ovládání veškerých funkcí programu nese název SecurityCenter a je dostupná okamžitě po startu operačního systému. SecurityCenter obsahuje dvě nabídky – základní a rozšířenou. V rozšířené verzi se nacházejí veškeré navigační nástroje a ovládací prvky, které jsou potřeba pro správu všech oblastí ochrany počítače. Základní nabídku pak tvoří pouze běžné úlohy, jako například
zobrazení
posledních
událostí, podpora, správa sítě, údržba počítače apod. V obou případech pak SecurityCenter slouží ke sledování stavu zabezpečení počítače a pokud se vyskytne nějaký problém, je možné ho zde opravit. Stará se také o stahování a instalaci aktualizací, které probíhají automaticky.
Obr. 5.16 – Hlavní obrazovka McAfee IS2010 (SecurityCenter)
Funkce Kromě modulu SecurityCenter je v bezpečnostním balíku McAfee Internet Security 2010 obsaženo ještě dalších 7 programů: VirusScan, Personal Firewall, SiteAdvisor, Anti-Spam, Parental Controls, EasyNetwork a Backup and Restore. Stěžejním bodem aplikace je komponenta VirusScan, která chrání proti nejnovějším bezpečnostním hrozbám. Ochrana se přitom netýká pouze souborů a složek počítače, ale zaměřuje se také na hrozby z různých vstupních bodů, včetně e-mailů, rychlých zpráv a internetu. Prohledávání probíhá standardně v reálném čase, využít lze ale také ruční prohledávání z Průzkumníku Windows. Z komponenty SecurityCenter se pak dá spustit úplné, rychlé nebo vlastní prohledávání včetně možnosti
plánování.
Obsaženo je i rychlé skenování QuickScan, které zjišťuje přítomnost hrozeb
v částech počítače, které jsou nejčastějšími cíli útoků. Firewall je stejně jako u většiny konkurenčních produktů obousměrný, neboť je sledován příchozí i odchozí internetový provoz. Dále se pyšní pokročilou monitorovací funkcí - umožňuje prohlížet grafické mapy celého světa, na nichž je zobrazen zdroj nepřátelských útoků a provozu.
Nalézt
podrobné
informace
zdrojové zeměpisné
adresy údaje,
lze
IP
dokonce
i
o
vlastníkovi
a
související
nebo
sledovat
činnost jednotlivých programů.
Obr. 5.17 – Konfigurace programu Počítač a soubory
Program Anti-Spam zabraňuje přijetí nevyžádaných zpráv do složky Doručená pošta kontrolou příchozích e-mailů a jejich následným označením jako spam, chrání ale také zároveň proti phishingu. Aplikace pracuje s účty POP3 a několika e-mailovými klienty, jimiž jsou například Microsoft Outlook, Mozilla Thunderbird apod. Rodičovská kontrola slouží primárně k filtraci nevhodných stránek, jejími dalšími funkcemi jsou dále ochrana před krádežemi identity online a blokování přenosu osobních údajů. Kromě toho umožňuje také sledovat, kontrolovat a zaznamenávat některé zvyky při procházení neověřených webů a poskytuje bezpečné úložiště osobních hesel. Na nebezpečné webové stránky upozorňuje SiteAdvisor pomocí barevně označených hodnocení. Program EasyNetwork umožňuje bezpečné sdílení souborů, tiskáren mezi počítači připojenými do domácí sítě a zjednodušuje přenos souborů. Tyto funkce jsou následně přístupné na všech počítačích zapojených v síti, kde je tento program nainstalován. Data Backup automaticky ukládá kopie nejdůležitějších souborů na disky CD nebo DVD, do zařízení USB nebo na externí či síťovou jednotku. Za zmínku také stojí program Shredder, který skartuje položky z pevného disku počítače. Ty už pak na rozdíl od běžného vymazání nelze žádným způsobem obnovit.
Test Programu McAfee Internet Security 2010 se podařilo detekovat 65 536 infikovaných souborů z celkového počtu 66 713 možných hrozeb, což představuje přibližně 98,2 % úspěšnosti. Ve druhém testu, který měřil úroveň falešných poplachů na vzorku 1,5 miliónu souborů, označil chybně 2 čisté soubory. Doba úplného prověření systému, do níž bylo zahrnuto celkem 271 302 nejrůznějších položek, trvala celkem 2 hodiny, 26 minut a 35 sekund. Rychlost prověřování tedy v tomto případě činila 31 souborů za sekundu. K této činnosti aplikace využila 53 768 kB operační paměti.
Obr. 5.18 – Zobrazení přehledu výsledků po dokončeném testu
Výrobce Produkt Výrobce Verze programu
McAfee McAfee Internet Security 2010 9.15.135 DETEKCE
Rozpoznání malware (66173 variant) – počet rozpoznaných souborů Falešné poplachy (1,5 mil souborů)
98,2% 65 536 2
VÝKON Doba úplného prověření systému (271302 souborů) – rychlost prověřování (souborů za sekundu) Nárok na paměť RAM (kB)
2:26:35 31 53 768
Tab. 5.6 – Výsledky testů
5.3.7. Norton Internet Security 2010 Norton Internet Security 2010 je nejnovější komplexní bezpečnostní balík od společnosti Symantec. Program využívá model zabezpečení s označením Quorum, který zajišťuje unikátní zjišťování nových škodlivých kódů. Uživatelské rozhraní Úvodní obrazovka programu se skládá ze tří hlavních sekcí – počítač, síť a web, kdy u každé lze jedním kliknutím zapínat/vypínat základní funkce programu. U každého okénka je rovněž umístěn odkaz pro přechod do pokročilého nastavení pro danou oblast. Dále je zde uvedena uplynutá doba od poslední aktualizace virové databáze, vstup do historie zabezpečení a karantény. V sekci počítač může uživatel spustit úplné, rychlé nebo vlastní prověřování. Co se týče rychlého prověřování, v tomto případě jsou kontrolovány nejčastěji infikovatelné oblasti, u vlastního prověřování lze skenovat jednotlivé disky, složky nebo soubory. V sekci síť si uživatel může nechat zobrazit počet zranitelných míst programů a částí systému, které jsou aplikací chráněny. Dále se zde setkáme s mapou zabezpečení sítě, pomocí níž lze zjistit, zdali je počítač připojený do sítě zabezpečený či nikoli. Na hlavní stránce je možné také pozorovat využití procesoru, a to jednak celkové, ale také samostatné pro úlohy Norton. K dispozici jsou i grafy sledující vytížení procesoru a paměti, záznamy
nebo o
graf
znázorňující
instalaci
programů,
stažených souborech a kontrole systému včetně možností zobrazení podrobností k daným záznamům. Obr. 5.19 – Hlavní obrazovka Norton Internet Security 2010
Funkce Zatímco tradiční technologie zjišťování jsou založené na definicích a analýze chování, funkce Quorum coby klíčový prvek aktuálních bezpečnostních produktů společnosti Symantec funguje
tak, že sleduje soubory a jejich atributy (např. stáří, zdroj, rozšířenost apod.), podle nichž je pomocí mnoha algoritmů stanovena jejich pověst. Ta je pak na základě změny těchto atributů aktualizována, přičemž dalším hlediskem vytváření pověsti je distribuce souboru v internetu. Snahou nové technologie má být co nejrychlejší schopnost detekce hrozeb, neboť záměrem počítačových pirátů je vytvořit nové a unikátní fragmenty škodlivého kódu, které ještě nebyly identifikovány. V modelu zabezpečení Quorum ovšem právě naprostá jedinečnost souboru a jeho atributů signalizuje, že půjde s největší pravděpodobností o škodlivý kód. Mezi další hlavní technologie programu patří skupina
funkcí
Norton
Insign.
Funkce
Download Insign má za úkol analyzovat bezpečnost nových souborů a aplikací ještě před tím, než budou naistalovány a spuštěny. Systém Insign naopak poskytuje informace o systému za účelem jeho optimalizace, kterou lze uskutečnit prostřednictvím automatické či vyžádané optimalizace programů. Tato funkce také zobrazuje poslední události v počítači a poskytuje informace potřebné ke zkoumání a analyzování problémů s počítačem. Threat Insign
zjišťuje
podrobnosti
o
hrozbách
v počítači, určuje jejich původ a první kontakt s nimi.
Obr. 5.20 – Nastavení počítače
Funkce Insign Network založená na technologii Quorum stanovuje úroveň důvěryhodnosti souboru pomocí statistické analýzy atributů souboru vycházející z prověření několika miliónů počítačů. Díky tomu je program schopen určit důvěryhodné a nedůvěryhodné soubory. Podobně funguje služba Norton Safe Web, která k výsledkům hledání vyhledávačů Google, Yahoo! a Live.com přidává hodnocení bezpečnosti webových serverů. V záložce web je si je možné importovat přihlašovací údaje z internetového prohlížeč pro různé webové stránky. Ty jsou následně šifrovány a chráněny v datovém úložišti, aby nedošlo k jejich
odcizení. Funkce Identity Safe zároveň také blokuje falešné webové stránky před podvodným vylákáním osobních údajů a automaticky uživatele přihlašuje na webové stránce. Test Programu Norton Internet Security 2010 se podařilo detekovat 65 735 infikovaných souborů z celkového počtu 66 713 možných hrozeb, což představuje přibližně 98,5 % úspěšnosti. Ve druhém testu, který měřil úroveň falešných poplachů na vzorku 1,5 miliónu souborů, neoznačil chybně žádný čistý soubor. Doba úplného prověření systému, do níž bylo zahrnuto celkem 262 568 nejrůznějších položek, trvala celkem 50 minut a 43 sekund. Rychlost prověřování tedy v tomto případě činila 86 souborů za sekundu. K této činnosti aplikace využila 45 266 kB operační paměti.
Obr. 5.21 – Zobrazení přehledu výsledků po dokončeném testu
Výrobce Produkt Verze programu
Symantec Norton Internet Security 2010 17.1.0.19 DETEKCE
Rozpoznání malware (66 173 variant) – počet rozpoznaných souborů Falešné poplachy (1,5 mil souborů)
98,5% 65 735 0
VÝKON Doba úplného prověření systému (262 568 souborů) – rychlost prověřování (souborů za sekundu) Nárok na paměť RAM (kB)
0:50:43 86 45 266
Tab. 5.7 – Výsledky testů
5.3.8. TrustPort PC Security TrustPort PC Security je komplexní bezpečnostní balík, který kromě běžných funkcí zahrnuje i několik neobvyklých komponent. Unikátní funkcí je rovněž použití několika skenovacích motorů. Uživatelské rozhraní TrustPort PC Security se skládá celkem z 6 modulů, které lze obsluhovat v
uživatelském rozhraní
pojmenovaném TrustPort Control. Toto uživatelské rozhraní obsahuje dva režimy – zjednodušený a rozšířený – mezi nimiž lze snadno přepínat. Zatímco v jednoduché nabídce je výpis jednotlivých komponent, které lze zpravidla pouze aktivovat, případně
spouštět
jejich
nejčastěji
používané
funkce, v rozšířeném režimu jsou tyto komponenty zobrazeny ve stromové struktuře, pomocí níž se uživatel dostane ke všem funkcím TrustPort PC Security. Bezpečnostní balík dále podporuje změnu vzhledu svých aplikací prostřednictvím skinů, které lze zdarma stáhnout na www.wincustomize.com.
Obr. 5.22 – Hlavní obrazovka TrustPort
Funkce TrustPort PC Security se od konkurenčních řešení liší především tím, že obsahuje hned několik skenovacích motorů, díky nimž dosahuje výborných výsledků při detekci malwaru. Stinnou stránkou je však delší doba prověřování, neboť program jednotlivé soubory kontroluje hned několikrát. Skenovací motory jsou ve verzi PC Security aktuálně celkem dva – AVG a BitDefender. U každého motoru jsou zobrazeny dvě zaškrtávací políčka, která slouží k určení, pro jaký skener se má daný motor použít. Tuto funkci lze využít při kontrole na vyžádání, rezidentní ochrany a internetové ochrany, což znamená, že je možné vybrat třeba jen jeden motor pro rezidentní ochranu a pro kontrolu na vyžádání mít všechny dostupné motory. Mezi stěžejní prvky TrustPort Security patří modul Antivirus, který v sobě mimo jiné zahrnuje také rezidentní ochranu, e-mailový a webový skener. Samozřejmě nechybí ani kontrola na
vyžádání, která je určena k vyhledávání malwaru ve vybraném adresáři, na pevných discích a výměnných médiích. Kontrolu lze spustit ze systémového menu, kontextového menu nebo přes rychlé spuštění. Co se týče e-mailu, program kontroluje všechnu komunikaci na protokolu POP3, nebo může být využit jako doplněk pro poštovní klienty Outlook, Windows Mail a Mozilla ThunderBird. Součástí emailového skeneru je také ochrana proti
spamu.
Webový
skener
sleduje veškerou komunikaci přes HTTP protokol. V případě pokusu prohlížet nebo stáhnout zavirovaný soubor
zobrazí
v
prohlížeči
chybovou stránku se základními informacemi o tomto souboru.
Obr. 5.23 – Nastavení skenovacích motorů
TrustPort PC Security obsahuje konfigurovatelný firewall se čtyřmi přednastavenými pravidly filtrace spojení. Uživatelé znalí problematiky pak jistě ocení vytváření dalších filtrů na základě protokolu událostí. Ve složce firewall lze dále narazit na statistiku síťového provozu a přehled komunikace podle síťových portů. Modul Data Shredder je skartovací program, který se postará o likvidaci citlivých dat tak, aby je už nebylo možné obnovit, což pro klasické mazání neplatí. Tato funkce dále umožňuje skartovat určité části systému, jež mohou obsahovat citlivá data v nešifrované podobě, jako například cookies, dočasné soubory, odpadkový koš atd. Modul Disk Protection umožňuje online šifrování dat pouhým přesunutím souboru na virtuální disk, jejichž počet může být libovolný. S šifrováním dat souvisí také komponenta Archive Protection. Jak už název napovídá, tento program je určen k vytváření šifrovaných archivů, které jsou komprimovány a tudíž vhodné pro datové přenosy. Poslední modul s názvem eSign má na starost zabezpečení elektronické komunikace prostřednictvím asymetrického šifrování a elektronického podpisu. Její součástí je nástroj pro správu soukromých klíčů a uživatelských
certifikátů, takže s ní lze snadno opatřit dokumentu elektronickým podpisem a časovým razítkem. Test Programu TrustPort PC Security 2010 se podařilo detekovat 66133 infikovaných souborů z celkového počtu 66713 možných hrozeb, což představuje přibližně 99,1 % úspěšnosti. Ve druhém testu, který měřil úroveň falešných poplachů na vzorku 1,5 miliónu souborů, označil chybně 3 čisté soubory. Doba úplného prověření zahrnuto
systému, celkem
do
níž
bylo
236 166
nejrůznějších položek, trvala celkem 1 hodinu, 19 minut a 24 sekund. Rychlost prověřování tedy v tomto případě činila 50 souborů za sekundu. K této činnosti aplikace využila 65852 kB operační paměti.
Obr. 5.24 – Zobrazení přehledu výsledků po dokončeném testu
Výrobce Produkt Verze programu DETEKCE Rozpoznání malware (66173 variant) – počet rozpoznaných souborů Falešné poplachy (1,5 mil souborů) VÝKON Doba úplného prověření systému (236166 souborů) – rychlost prověřování (souborů za sekundu) Nárok na paměť RAM (kB) Tab. 5.8 – Výsledky testů
TrustPort TrustPort PC Security 5.0.0.4071 2010 99,1% 66 133 3 1:19:24 50 65 852
Tab. 5.9 – Přehled funkcí bezpečnostních programů Produkt Domovská stránka Cena* Licence Platformy (Windows) Základní funkce Rezidentní ochrana Autom. aktualizace VD Ochrana před − viry − spyware − trojské koně − červi − rootkity − spam − phishing Síťová ochrana Firewall Zabezpečení sítě Kontrola stah. souborů Statistika síťového provozu Ochrana dat a komunikace Záloha dat Vytvoření záchranného disku Ochrana osobních údajů Kontrola online komunikace Skenování pošty Webový štít Další funkce Aut. skenování ext.disků Kontrola chování aplikací Rodičovský zámek Integrace do systému
Norton IS 2010 McAfee IS 2010 www.mcafee.com/cz www.symantec.com/cs 1 699 Kč 1 589 Kč 3 počítače 1 počítač 2000, XP, Vista, 7 XP, Vista, 7
TrustPort PC Security www.trustport.com/cz 2010 1 003 Kč 1 počítač 98,2000, XP, Vista, 7
Avast! 4 Professional www.avast.cz 1 107 Kč 1 počítač 9x, 2000, XP, Vista, 7
AVG IS 9.0 www.avg.com/cz 1 345 Kč 1 počítač 2000, XP, Vista, 7
ESET Smart Sec. 4 www.eset.cz 1 486 Kč 1 počítač 2000, XP, Vista, 7
F-Secure IS 2010 www.f-secure.com 1 402 Kč 3 počítače XP, Vista, 7
Kaspersky IS 2010 www.kaspersky.cz 1 119 Kč 1 počítač XP, Vista, 7
Ano Ano
Ano Ano
Ano Ano
Ano Ano
Ano Ano
Ano Ano
Ano Ano
Ano Ano
Ano Ano Ano Ano Ano Ne Ne
Ano Ano Ano Ano Ano Ano Ano
Ano Ano Ano Ano Ano Ano Ne
Ano Ano Ano Ano Ano Ano Ano
Ano Ano Ano Ano Ano Ano Ano
Ano Ano Ano Ano Ano Ano Ano
Ano Ano Ano Ano Ano Ano Ano
Ano Ano Ano Ano Ano Ano Ano
Ne Ano Ano Ne
Ano Ano Ano Ne
Ano Ano Ano Ano
Ano Ano Ano Ano
Ano Ano Ano Ano
Ano Ano Ano Ne
Ano Ano Ano Ano
Ano Ano Ano Ano
Ano Ne Ne Ano Ano Ano
Ne Ne Ano Ano Ano Ano
Ne Ano Ne Ano Ano Ano
Ne Ne Ano Ano Ano Ano
Ne Ano Ano Ano Ano Ano
Ano Ano Ano Ano Ano Ano
Ano Ano Ano Ano Ano Ano
Ne Ano Ano Ano Ano Ano
Ne Ne Ne Ano
Ano Ano Ne Ano
Ano Ano Ne Ano
Ano Ano Ano Ano
Ano Ano Ano Ano
Ne Ano Ano Ano
Ano Ano Ano Ano
Ano Ano Ano Ano
*Ceny jsou uvedeny včetně DPH a pocházejí z e-shopů výrobců k 15. 11. 2009
5.4.
Shrnutí
5.4.1. Detekce Nejvíce infikovaných souborů detekoval program TrustPort PC Security, který dokázal rozeznat 99,1 % malwaru. Toto přední umístění se dalo očekávat, neboť TrustPort na rozdíl od ostatních testovaných řešení obsahuje dva na sobě nezávislé skenovací motory, díky nimž se kontrola stává důkladnější. Jak se ovšem ukázalo, použití dvou skenovacích motorů má i svou zápornou stránku, kterou je vyšší počet falešných poplachů. Těch totiž provedl TrustPort ze všech testovaných bezpečnostních balíků nejvíce, což mu v tomto dílčí testu ubralo několik procent, kvůli nimž se program nakonec umístil na 2-3 pozici společně se softwarem od společnosti McAfee. První příčku obsadil Norton Internet Security 2010, jehož schopnost rozpoznání malwaru sice nebyla nejvyšší, oproti ostatním programům však nevyvolal žádné falešné poplachy.
67000 66000 65000 64000 63000 62000 61000 60000 59000 TrustPort
Norton
McAfee
Avast
F-Secure
Obr. 5.25 – Nalezených infikovaných souborů (rozpoznání malware)
ESET
Kaspersky
AVG
3
2
2
2
AVG
ESET
2
2
1
0 Norton
F-Secure
Avast
Kaspersky
McAfee
TrustPort
Obr. 5.26 – Počet falešných poplachů
99,3%
98,1%
98,1%
98,0% 97,6% 96,8% 96,2%
95,1%
Norton
McAfee
TrustPort
Avast
F-Secure
Obr. 5.27 – Hodnocení detekce (rozpoznání malware + falešné poplachy)
ESET
Kaspersky
AVG
Z uvedených výsledků si lze povšimnout, že všechny programy jsou z hlediska detekčních schopností velmi vyrovnané a dokážou rozeznat drtivou většinu infikovaných souborů v počítači. Zároveň také disponují vyspělými technikami detekce malwaru, díky nimž se lze s falešnými poplachy setkat pouze ve výjimečných případech.
5.4.2. Výkon Ve výkonnostních měřeních nejlépe obstál ESET Smart Security 4, který dokázal prověřit systém nejvyšší průměrnou rychlostí 212 souborů za sekundu. K tomu maximálně potřeboval pouze 40 424 kB operační paměti, což je druhý nejnižší výsledek v testu. Na druhé pozici se umístil produkt Kaspersky Internet Security 2010, a to i přesto, že ani v jednom výkonnostním testu nedosáhl na první, ba dokonce ani na druhý nejlepší výsledek. V obou případech měl však velmi vyrovnané výsledky, které mu zajistily toto umístění. To se ovšem nedá říci o programu Avast! 4 Professional, který sice prověřil systém druhou nejvyšší rychlostí 203 souborů za sekundu, při tom si ale vyžádal relativně vysoké množství operační paměti.
McAfee TrustPort F-Secure Norton AVG Kaspersky Avast ESET 0
50
100
Obr. 5.28 – Počet prověřených souborů za sekundu
150
200
250
AVG 100000 90000
Avast
80000
TrustPort
70000
kB
60000
F-Secure ESET
50000
McAfee Norton Kaspersky
40000 30000 20000 10000 0 Obr. 5.29 – Maximum využité operační paměti při prověřování systému
99,2% 91,2% 76,3% 65,2%
ESET
Kaspersky
Avast
F-Secure
64,3%
Norton
44,3%
43,2%
41,9%
McAfee
AVG
TrustPort
Obr. 5.30 – Hodnocení výkonu (počet prověřených souborů za sekundu + maximum využité operační paměti)
Zatímco u detekčních schopností byly výsledky velice vyrovnané, ve výkonnostních testech bylo možné pozorovat velké rozdíly. Pro příklad lze uvést srovnání nejlepší a nejhorší hodnoty u rychlosti prověřování systému, které se lišily téměř sedminásobně. Podobně tomu bylo také v případě využití operační paměti, kdy nejméně náročný program F-Secure zabral při kontrole systému okolo 40 MB RAM, zatímco AVG potřeboval téměř 100 MB.
5.4.3. Celkový výsledek První místo si v celkovém pořadí vybojoval bezpečnostní software ESET Smart Security 4, který získal hodnocení 97,8 %. Na druhé pozici skončil program Kaspersky Internet Security 2010 s 94,2 %, třetí příčka pak patří produktu Avast! 4 Professional hodnocený 89,3 %.
97,8%
ESET
94,2%
Kaspersky
89,3%
Avast
85,3%
Norton
84,7%
F-Secure
76,6%
75,6%
74,4%
McAfee
TrustPort
AVG
Obr. 5.31 – Celkové hodnocení (detekce + výkon)
Na celkovém výsledku se velkou měrou podepsal výkon bezpečnostních aplikací, a to i přesto, že mu byla zpočátku stanovena menší váha než detekčním schopnostem (40 : 60). Tuto skutečnost lze vysvětlit tím, že výsledky u rozpoznání infikovaných souborů a falešných poplachů byly jednotlivé velmi vyrovnané, zatímco u výkonnostních testů se mnohdy zásadně lišily. Co z toho vyplývá? Uživatelé by se při výběru bezpečnostního softwaru či samostatného antivirového programu měli zajímat také o jiné parametry, než jakým jsou schopnosti detekce škodlivého kódu, poněvadž v tomto ohledu si jsou současné produkty dostupné na trhu v české lokalizaci velmi podobné.
Tab. 5.10 – Celkové pořadí
1. místo
2. místo
3. místo
4. místo
Výrobce Produkt Verze programu
ESET ESET Smart Security 4 4.0.467.0
Kaspersky Lab Kaspersky IS 2010 9.0.0.463
Alwil Software Avast! 4 Professional 4.8.1351
Symantec Norton IS 2010 17.1.0.19
DETEKCE (60 %)
96,8 %
96,2 %
98,0 %
99,3 %
Rozpoznání malware (30 %) Falešné poplachy (30 %)
95,6 % 98,0 %
94,4 % 98,0 %
97,9 % 98,0 %
98,5 % 100 %
VÝKON (40 %)
99,2 %
91,2 %
76,3 %
64,3 %
Doba úplného prověření systému (20 %) Nárok na paměť RAM (20 %)
100 % 98,4 %
88,6 % 93,7 %
95,7 % 57,0 %
40,7 % 87,9 %
CELKOVÉ HODNOCENÍ
97,8 %
94,2 %
89,3 %
85,3 %
5. místo
6. místo
7. místo
8. místo
Výrobce Produkt Verze programu
F-Secure F-Secure IS 2010 10.00 build 246
McAfee McAree IS 2010 9.15.135
TrustPort TrustPort PC Security 5.0.0.4071
AVG Technologies AVG IS 9.0 9.0.709
DETEKCE (60 %)
97,6 %
98,1 %
98,1 %
95,1 %
Rozpoznání malware (30 %)
96,2 %
98,2 %
99,1 %
92,3 %
Falešné poplachy (30 %)
99,0 %
98,0 %
97,0 %
98,0 %
VÝKON (40 %)
65,2 %
44,3 %
41,9 %
43,2 %
Doba úplného prověření systému (20 %) Nárok na paměť RAM (20 %)
30,5 % 100 %
14,5 % 74,0 %
23,4 % 60,4 %
45,6 % 40,8 %
CELKOVÉ HODNOCENÍ
84,7 %
76,6 %
75,6 %
74,4 %
POŘADÍ (1-4)
POŘADÍ (5-8)
6. Vlastní přínos 6.1.
Metodologie testování
Poměrně složitým úkolem bylo definovat pravidla, podle nichž bude test realizován, aby měl co největší vypovídající hodnotu. Protože hlavním účelem bezpečnostních programů je kvalitní detekce škodlivého kódu, přiřadil jsem tomuto kritériu největší váhu. Kromě samotné detekce malwaru jsem se rozhodl měřit také počet falešných poplachů, který měl na výsledném hodnocení rovněž velký podíl, jinak by totiž mohl být teoreticky za nejlepší antimalwarový program považován ten, který označí v počítači všechny soubory jako infikované. Coby druhé kritérium hodnocení jsem zvolil výkon, neboť si myslím, že také hraje velkou roli při výběru bezpečnostního programu. Bylo by sice hezké, kdyby software dokázal předejít veškerým hrozbám, pokud by ale v negativním pojetí zásadně ovlivnil výkon počítače, o jeho použitelnosti by se dalo polemizovat.
6.2.
Sbírka malware
Jako velký problém se ukázalo obstarání sbírky malwaru. Na internetu se sice podobných kolekcí vyskytuje spousta, ty ale buď obvykle obsahují velký počet nefunkčních exemplářů škodlivého kódu (u větších sbírek), nebo jsou příliš malé, čímž by mohla vzniknout situace, že každý program bude mít při detekci 100% úspěšnost a srovnání tak bude bezpředmětné. Nakonec se mi ale podařilo dohledat sbírku přiměřeného rozsahu kvality, jak se později podle výsledků testů ukázalo.
6.3.
Průběh testování
Velmi náročné bylo samotné testování, co se časového hlediska týče. Abych mohl s jistotou říci, že všechny programy měly stejné výchozí podmínky, bylo nutné před každým dílčím testem obnovit „čistý“ operační systém ze zálohy a znovu nainstalovat bezpečnostní program. V případě měření detekčních schopností (rozpoznání malware, falešné poplachy) bylo potřeba ještě nahrát do počítače velké množství dat z externího disku. Časově náročné bylo i jednotlivé skenování složek s infikovanými soubory, čistými soubory a úplné prověření systému. Celkově mi tak testování zabralo zhruba 2 týdny (10-12 hodin denně).
7. Závěr Hlavním bodem mé bakalářské práce bylo provést srovnávací analýzu bezpečnostního softwaru pro ochranu počítačových dat, který je dostupný v české lokalizaci. Pro tento účel jsem navrhl hodnotící kritéria a postupy, podle nichž jsem jednotlivé programy testoval. Zkoumány byly detekční schopnosti – rozpoznání malwaru a počet falešných poplachů, společně s výkonnostními parametry – dobou úplného prověření systému a maximum využité operační paměti. Všechny tyto parametry byly zjišťovány celkem ve třech dílčích testech. Do celkového hodnocení se větší měrou podílely detekční schopnosti (60 %), zbylých 40 % patřilo výkonnostním parametrům. V prvním testu – schopnost rozpoznání škodlivého kódu – se nejlépe umístil TrustPort, který detekoval 99,1 % malwaru. Druhý skončil Norton s 98,5 %, třetí pak McAfee s 98,2 %. Je třeba zmínit, že v tomto testu byly všechny programy velice vyrovnané a dosahovaly podobných výsledků. U druhého testu zkoumajícího počet falešných poplachů si nejlépe vedl Norton, který neoznačil žádný neškodný soubor jako infikovaný. Za ním se umístil F-Secure s jedním falešným poplachem. Zbylé programy obvykle vytvořily dva falešné poplachy vyjma TrustPortu, jenž takto reagoval třikrát. Z hlediska rychlosti prověřování operačního systému dosáhl nejlepších výsledků balík ESET skenující paměť rychlostí 212 souborů za sekundu. Druhý Avast prováděl tuto činnost rychlostí 203 souborů za sekundu a třetí Kaspersky 188 souborů za sekundu. Současně s rychlostí prověřování systému bylo také měřeno maximum využití RAM. Nejmenší nárok na operační paměť měl F-Secure (39 780 kB) následovaný programem ESET (40 424 kB). Třetí skončil Kaspersky, který k této činnosti potřeboval 42 459 kB operační paměti.
Celkové pořadí, do něhož se promítly výsledky všech uvedených dílčích testů, pak bylo následující: 1) ESET Smart Security 4 (97,8 %) 2) Kaspersky Internet Security 2010 (94,2 %) 3) Avast! 4 Professional (89,3 %) 4) Norton Internet Security 2010 (85,3 %) 5) F-Secure Internet Security 2010 (84,7 %) 6) McAfee Internet Security 2010 (76,6 %) 7) TrustPort PC Security (75,6 %) 8) AVG Internet Security 9.0 (74,4 %)
V teoretické části jsem se zabýval typy počítačové infiltrace. Protože je tato problematika velice obsáhlá, zmínil jsem se pouze o obecných charakteristikách jednotlivých druhů malwaru, aby bylo zřejmé, co je předmětem testů v praktické části. Z tohoto důvodu jsem také zařadil kapitolu věnovanou technikám antivirové kontroly neboli tomu, jak bezpečnostní software pracuje. Zabývám se zde jednak samotným odhalením škodlivého kódu v počítači, ale také způsoby, jakými se odstraňuje. Vzhledem ke složitosti jsou opět popsány jen nejpoužívanější (obecné) techniky, specifické technologie proti útokům škodlivých kódů popisuji v praktické části u příslušných produktů. Závěr teoretické části patří prevenci, tedy jaká učinit opatření, aby nedošlo k počítačové infiltraci (vyjma instalace bezpečnostního balíku). Malware a bezpečnostní programy, o kterých pojednává tato bakalářská práce, souvisejí s platformou Windows, jenž má v současné době na trhu dominantní postavení a tudíž je vývojáři škodlivých kódů a útočníky (hackery) zcela nejvíce protěžována. Některé typy malwaru jsou však svou povahou (např. spam) zcela nezávislé na použité platformě. Na ochranu dat je zde pohlíženo z hlediska cílových stanic – uživatelských počítačů. Nezabýval jsem se ochranou bran, sítí a serverů.
8. Seznam použité literatury Tištěná literatura 1. JIROVSKÝ, Václav. Kybernetická kriminalita : nejen o hackingu, crackingu, virech a trojských koních bez tajemnství. Praha : Grada, 2007. 288 s. ISBN 978-80-247-1561-2. 2. KOCMAN, Rostislav, LOHNISKÝ, Jakub. Jak se bránit virům, spamu a spyware. Brno : Computer Press, 2005. 152 s. ISBN 80-251-0793. 3. SZOR, Peter. Počítačové viry : analýza útoku a obrana. Brno : Zoner Press, 2006. 608 s. ISBN 80-86815-04-8 Elektronické zdroje 4. AV-Comparatives : Independent Tests of Anti-Virus Software [online]. 2009 [cit. 2009-12-10]. Dostupný z WWW: . 5. AV-Test : Tests of Anti-Virus and Security Software [online]. 2009 [cit. 2009-12-10]. Dostupný z WWW: . 6. AVG Anti/Virus a Internet Security: V Praze se konalo setkání Organizace pro standardizaci testování antimalwarového softwaru : Tisková zpráva [online]. 2009 [cit. 2009-12-10]. Dostupný z WWW: . 7. Business Software Alliance [online]. 2000-2009 [cit. 2009-12-10]. Dostupný z WWW: . 8. FOSSI, Marc, et al. Symantec Global Internet Security Threat Report : Trends for 2008. Symantec Global Internet Security Threat Report [online]. 2009, vol. XIV [cit. 2009-1110], s. 1-110. Dostupný z WWW: . Zpráva společnosti Symantec o celosvětových bezpečnostních hrozbách. Trendy pro rok 2008. Roční přehled a analýza internetových hrozeb po celém světě, přehled známých zranitelností a škodlivých kódů. 9. HÁK, Igor. Moderní počítačové viry. 3. aktualiz. vyd., 2005. 110 s. Dostupný z WWW: . 10. HOAX [online]. 2000-2009 [cit. 2009-12-10]. Dostupný z WWW: . 11. KOLÁČEK, Michal. Počítačová havěť - vývoj a rozdělení malware. Svět hardware : ... vše ze světa počítačů [online]. 2009 [cit. 2009-12-10]. Dostupný z WWW: . ISSN 1213-0818. 12. Malware. WIKIPEDIA : The Free Encyclopedia [online]. 2009 [cit. 2009-11-10]. Dostupný z WWW: < http://cs.wikipedia.org/wiki/Malware>. 13. Microsoft [online]. 2009 [cit. 2009-12-10]. Dostupný z WWW: .
14. PŘIBYL, Tomáš. Kapitoly z historie hackingu - [VI] A přišel virus.... SecurityWorld [online]. 2007 [cit. 2009-12-10]. Dostupný z WWW: . 15. Spam. WIKIPEDIA : The Free Encyclopedia [online]. 2009 [cit. 2009-11-10]. Dostupný z WWW: < http://cs.wikipedia.org/wiki/Spam>. 16. Virus Bulletin : Independent Malware Advice [online]. 2009 [cit. 2009-12-10]. Dostupný z WWW: . 17. Viry.cz [online]. c1998-2007 [cit. 2009-11-12]. Dostupný z WWW: . ISSN 1213-4694. Internetové stránky věnované zpravodajství z oblasti škodlivého softwaru. Nachází se zde i recenze a testy bezpečnostního softwaru, návody na likvidaci infikovaných souborů a diskusní fórum. Internetové stránky výrobců bezpečnostního software 18. ALWIL software : avast! antivirus protection [online]. 1988-2009 [cit. 2009-11-12]. Dostupný z WWW: . 19. AVG Technologies [online]. c2009 [cit. 2009-11-12]. Dostupný z WWW: . 20. Eset : Chráníme vaše digitální světy [online]. c1992-2009 [cit. 2009-11-12]. Dostupný z WWW: http://www.eset.cz/cz 21. F-Secure [online]. c2009 [cit. 2009-11-12]. Dostupný z WWW: . 22. Kaspersky Lab [online]. c2009 [cit. 2009-11-12]. Dostupný z WWW: . 23. McAfree [online]. c2003-2009 [cit. 2009-11-12]. Dostupný z WWW: http://www.mcafee.com/CZ/ 24. Symantec : Jistota v propojeném světě [online]. c1995-2009 [cit. 2009-11-12]. Dostupný z WWW: . 25. TrustPort : Keep It Secure [online]. c2009 [cit. 2009-11-12]. Dostupný z WWW: .
Související zdroje 26. DOSEDĚL , Tomáš. 21 základních pravidel počítačové bezpečnosti : Jak ochránit počítač. Brno : Computer Press, 2005. 56 s. ISBN 80-251-0574-1. 27. DOSEDĚL, Tomáš. Počítačová bezpečnost a ochrana dat . 1. vyd. Brno : Computer Press, 2004. 200 s. ISBN 80-251-0106-1.
28. DOSTÁLEK, Libor, et al. Velký průvodce protokoly TCP/IP: Bezpečnost. 2. aktualiz. vyd. Brno : Computer Press, 2003. 592 s. ISBN 80-7226-849-X. 29. HÁK, Igor, ZELENKA, Josef. Ochrana dat. Škodlivý software. Hradec Králové : Gaudeamus, 2005. 211 s. ISBN 80-7041-594-0. 30. KRÁL, Mojmír. Bezpečnost domácího počítače - prakticky a názorně. Praha : Grada, 2008. 336 s. ISBN 80-247-1408-6. 31. LOCKHART, Andrew. Bezpečnost sítí na maximum : 100 tipů a opatření pro okamžité zvýšení bezpečnosti vašeho serveru a sítě. Brno : Computer Press, 2005. 280 s. ISBN 80-251-0805-8. 32. MCCLURE, Stuart, SCAMBRAY, Joel, KURTZ, George. Hacking bez tajemství. 3. aktualiz. vyd. Brno : Computer Press, 2004. 632 s. ISBN 80-722-6948-8. 33. NORTHCUTT, Stephen, et al. Bezpečnost počítačových sítí : Kompletní průvodce návrhem, implementací a údržbou zabezpečené sítě. Brno : Computer Press, 2005. 592 s. ISBN 80-2510697-7. 34. Security World.cz [online]. c2009 [cit. 2009-11-12]. Dostupný z WWW: . Internetový deník o bezpečnost počítačových systémů, ochraně dat, informací a soukromí. 35. STREBE, Matthew, PERKINS, Charles. Firewally a proxy-servery : Praktický průvodce. Brno : Computer Press, 2003. 472 s. ISBN 80-722-6983-6. 36. THOMAS, Thomas M. Zabezpečení počítačových sítí : bez předchozích znalostí. Brno : Computer Press, 2005. 344 s. ISBN 80-251-0417-6. 37. VRANÝ, Boleslav. Bezpečnost v digitálním věku. Zdarma.org [online]. 2005 [cit. 2009-09-04], s. 1-39. Dostupný z WWW: http://www.zdarma.org/?s=kniha-bezpecnost-v-digitalnim-veku. 38. ZEMÁNEK, Jakub. Slabá místa Windows aneb Jak se bránit hackerům. Praha : Computer
Media, 2004. 156 s. ISBN 80-86686-11-6.
