&1 Antivirové systémy Následující článek se bude zajímat o ochranu především běžných domácích uživatelů. Antivirový systém se skládá z částí, které sledují všechny nejpodstatnější vstupní/výstupní místa, kterými by případná havěť mohla do počítačového systému proniknout. Skládá se tedy z částí: * vykonávající nepřetržitý dohled - antivirovou kontrolu nad daty, se kterými uživatel pracuje (tzv. on-access skener). * umožňující provést antivirový test na vybrané oblasti. Test je vyvolán na základě požadavku uživatele (on-demand) a díky tomu se tato část označuje jako on-demand skener. * udržující antivirový systém v aktuální podobě. Zajišťuje stahování aktualizací antivirového systému z Internetu. * vykonávající automatickou antivirovou kontrolu příchozí a odchozí elektronické pošty. Mezi další části, které nemusí být natolik běžné patří například: * plánovač událostí (scheduler), který umožňuje ve zvoleném termínu automaticky vyvolat naplánovanou úlohu (např. antivirovou kontrolu důležitých dokumentů). * kontrola integrity. * karanténa (quarantine). * monitorovací programy. * antivirový plug-in pro aplikaci Microsoft Office. * antivirový spořič obrazovky (screensaver). * další. Zajímavým doplňkem některých AV je i tzv. osobní firewall či anti-spam (obvykle pak už není takový produkt nazván antivirovým, ale bezpečnostním balíkem - "Internet Security" apod.) Uvedené části patří do skupiny těch, kterých si uživatel všimne a se kterými může přímo manipulovat. Uvnitř antivirového systému pochopitelně existuje celá řada dalších důležitých částí (virová databáze, skenovací "motor" apod.) Poznámka: Absence řady uvedených "viditelných" částí v antivirovém systému nemusí nijak ovlivnit celkovou kvalitu antivirového systému. Nutným minimem je ovšem on-access skener (bod 1) a část udržující antivirový systém v aktuální podobě (stahování aktualizací z Internetu - bod 3). Pokud antivirový systém tyto části neobsahuje, bude bezpečnější se mu velkým obloukem vyhnout. &1 Aktualizace (update) antivirového systému V dávných dobách, kdy světu dominovaly 3.5" diskety a vznikaly viry, které biologickým sourozencům dělaly jméno, potřebovala tato havěť několik měsíců až let na opravdu důkladné rozšíření po celém světě. Antivirové společnosti tak měly spoustu času na vydání patřičné aktualizace, navíc pokud ji uživatelům zasílali klasickou poštou na disketě či cédéčku jednou za čtvrt roku. Teoreticky tak mohla nastat situace, kterou by si jistě každý dnes přál. Uživatel totiž mohl v některých případech "čekat" na to, až za několik měsíců po aktualizační disketě či cédéčku dorazí i samotný virus, který je zmiňovanou aktualizací detekován :-) A dnes? Dnes človek ani nestíhá včas stahovat aktualizace přes rychlý Internet. Dnešní viry, červi a ostatní havěť je díky Internetu natolik rychlá, že antivirový systém nemůže klasickou metodou detekce (vyhledávání známé infiltrace) včas zareagovat a vždycky zde vznikne několika minutová až hodinová mezera mezi objevením nové infekce a momentem, kdy je tato nová havěť detekována antivirovým systémem. Další věc souvisí s tím, že né každá nová havěť může způsobit globální problém. Speciálně různá infiltrace spadající nebo se blížící kategorii "trojský kůň" (tyto programy se nedokážou sami o sobě šířit) může představovat pouze miniaturní problém několika uživatelů rozsetých po světě. Může trvat věčnost (v lepším případě několik měsíců), než některému z těchto jedinců dojde, že z jeho PC není něco v pořádku a dodá antivirové společnosti podezřelé soubory k zajištění detekce do budoucna. V horším případě ani zmiňovaní jedinci nepoznají, že s jejich PC je něco v nepořádku (trojský kůň může např. sloužit pouze jako "brána" na odesílání spamu a přímo uživatele nijak trápit nemusí). Toto vysvětluje i případy, kdy uživatel používal léta antivirus A, později na chvíli vyzkoušel antivirus B a tento i přes přítomnost antiviru A našel spoustu havěti. Není to v drtivém množství případů rozhodně způsobeno tím, že by antivirová společnost produkujicí antivirus A kašlala na své zákazníky a "spala na vavřínech", ale nezodpovědným přístupem uživatele k PC a zároveň skutečností, která byla uvedena výše. Otázkou je i to, co vlastně antivirus B zachytil. Antivirus nemusí nutně zachytávat pouze havěť jako takovou, ale i různé "vtípky" - Jokes apod., ale i kategorie, které nemusí být antivirem A vůbec detekovány (nikde není psáno, že antivirus musí chytat i spyware, adware a další software). Antivirové společnosti se snaží zajistit co možná nejkvalitnější detekci v čase mezi objevením nové havěti a vydáním patřičné aktualizace pro antivirový systém - tedy v době, kdy není nová infiltrace klasickým antivirovým "skenerem" detekována (dále "díra"). Je omylem, že antivirová společnost vydávající aktualizace několikrát za den (třeba i každou hodinu) musí poskytnout vyšší úroveň zabezpečení než společnost, která jich produkuje několik za týden. Pokud se objeví globální problém, dokážou obě společnosti zareagovat stejně rychle a patřičná aktualizace "jde ven" v podobném čase. Spíše je důležité, jak často se o stažení aktualizace pokouší antivirus na straně uživatele. Obecně platí, že čím častěji, tím lépe. A třeba i každých 15 minut není luxusem. Souhrnně lze prohlásit, že pro efektivní činnost aktualizace je nutné zajistit: * rychlou reakci ze strany AV společnosti, * správné nastavení části, stahující aktualizace na straně uživatele. Výše zmiňovanou "díru" se tak snaží vyplnit metodami detekce, mezi než patří především heuristická analýza a generická detekce. Heuristická analýza je založena na schopnosti "porozumění" programového kódu ze strany antiviru a rozumném vyhodnocení získaných informací (může být infikován / je "čistý"). Generická detekce vychází z toho, že spousta nové havěti je vytvořena modifikací starších kousků, popř. že je pro některé techniky využíván tentýž nebo mírně upravený programový kód. Těmto technologiím jsou ale věnovány samostatné kapitoly přímo v knize o virech. Majitelé s pomalejším připojením do sítě Internet (prostřednictvím modemu --- dial-up apod.) jistě bude zajímat rychlost, s jakou se aktualizace ze serveru stáhne do počítače uživatele. AV společnosti se snaží zajistit co možná nejrychlejší proces stahování aktualizace. Rychlost ovlivňuje nepochybně velikost aktualizace. Metodou, jak snížit velikost aktualizace je její rozdělení na dvě nezávislé části: * aktualizace programové části antivirového systému. Tato aktualizace odstraňuje nedostatky v programové části antiviru, popřípadě tuto část rozšiřuje o nové funkce. * aktualizace virové databáze. Tato aktualizace zajišťuje detekci nových virů, popřípadě upravuje detekci těch stávajících. To jakým způsobem se aktualizují virové databáze je opět závislé na konkrétním antiviru. Obecně existují dva způsoby: * "plná" aktualizace, kdy se pokaždé stahuje celá virová databáze znovu. Logicky je tento typ aktualizace časově více náročný s přibývajícím množstvím známých virů. Velikost každé takové aktualizace lze obvykle měřit na MB. AV společnosti se tak snaží tomuto způsobu aktualizace vyhnout. * inkrementální aktualizace, kdy se stahují pouze ty části virové databáze, které na serveru výrobce přibyly od poslední aktualizace provedené uživatelem. Výsledkem je, že jsou stahovány pouze ty informace, které se na cílové stanici dosud nevyskytují (nestahuje se vše opakovaně jako v předchozím případě). Pozitivem je zároveň i rychlost a velikost aktualizací (obvykle maximálně několik desítek KB). Tak jako tak ale jednou za čas následuje souhrná - bázová aktualizace, od které se následující inkrementální aktualizace odvíjejí a která zároveň obsahuje veškeré předcházející inkrementální aktualizace v jednom "balíku". Poznámka: Část, zabezpečující stahování aktualizací z Internetu je v případě všech známých AV natolik "inteligentní", že při každém pokusu stahuje pouze nové aktualizace, nikoliv znovu ty, které se vyskytují na stanici uživatele. Další detailnější informace lze najít v knize o virech.