Η ασφάλεια στον κυβερνοχώρο είναι ένα από τα πιο σημαντικά ζητήματα, που απασχολούν τις εταιρείες και τους οργανισμούς αλλά και τους απλούς χρήστες. Παρακάτω, θα παρουσιαστούν κάποιοι βασικοί αμυντικοί μηχανισμοί (antivirus, anti-malware, firewall) και διάφορες μέθοδοι ανίχνευσης ιών.
Antivirus
Οι ιοί είναι ένας τύπος κακόβουλου λογισμικού, που μπορεί να αναπαραχθεί. Τα antivirus έχουν σχεδιαστεί για την αντιμετώπιση πολλών ειδών κακόβουλων προγραμμάτων, και όχι μόνο ιών. Ωστόσο, δεν παρέχουν πλήρη προστασία. Συνήθως, στοχεύουν τα κλασικά κακόβουλα προγράμματα όπως είναι οι ιοί, τα worms, τα Trojans, τα keyloggers και τα adwares. Δουλειά των antivirus είναι η σάρωση των αρχείων του υπολογιστή, με σκοπό την ανίχνευση κοινών απειλών και την εξάλειψή τους.
Anti-malware
Τα anti-malwares διαφέρουν από τα antivirus. Σαρώνουν τα αρχεία σε ένα βαθύτερο επίπεδο και μπορούν να βρουν πολλά περισσότερα είδη κακόβουλων προγραμμάτων. Σε κάθε περίπτωση είναι καλό να χρησιμοποιούμε και antivirus και anti-malware για την προστασία του υπολογιστή. Τα antivirus για καθημερινή χρήση και τα anti-malware για μια στο τόσο.
Firewall
Το Firewall είναι ένα σύστημα ασφάλειας δικτύου. Δουλειά του είναι να παρακολουθεί τη ροή δεδομένων της συσκευής ή του δικτύου σας. Το Firewall ακολουθεί ένα σύνολο κανόνων, που έχετε ορίσει. Σύμφωνα με αυτούς τους κανόνες, καθορίζει ποια πακέτα επιτρέπεται να περάσουν και ποια πακέτα θα μπλοκαριστούν, επειδή θεωρούνται πιθανή απειλή.
Σχεδιασμός antivirus
Για να είναι αποτελεσματικό ένα antivirus πρέπει να προστατεύει τον υπολογιστή μας από διάφορες πιθανές πηγές κακόβουλων προγραμμάτων.
Αρχικά, το antivirus θα πρέπει να ελέγχουν αν οι διαδικασίες, που πρέπει να εκτελεστούν, μπορούν να προκαλέσουν βλάβη ή όχι. Αν υπάρχει περίπτωση να προκαλέσουν κάποια ζημιά, τότε η διαδικασία θα πρέπει να διακοπεί πριν καν αρχίσει.
Επίσης, τα antivirus πρέπει να είναι σε θέση να σαρώνουν αρχεία, όταν ο χρήστης ανοίγει ένα φάκελο, δηλαδή πριν εκτελεστεί οποιοδήποτε από τα αρχεία.
Ένα ακόμα σημαντικό στοιχείο, το οποίο, όμως, δεν θεωρείται υποχρεωτικό σε όλα τα antivirus, είναι η προστασία των χρηστών, το οποίο έχει να κάνει με την προστασία των προσωπικών πληροφοριών των χρηστών (π.χ. κωδικοί πρόσβασης).
Για να είναι καλό ένα antivirus, πρέπει, επίσης, να είναι σε θέση να προστατεύσει τον εαυτό του. Αυτό σημαίνει ότι πρέπει να είναι όλα τα στοιχεία του ασφαλή, ώστε να μην μπορεί να “ηττηθεί” εύκολα από τα κακόβουλα λογισμικά, που προσπαθούν να εισχωρήσουν στους υπολογιστές των θυμάτων.
Τα antivirus μπορούν να αντιμετωπίσουν μια μόλυνση από ιό με δύο τρόπους. Μπορούν να αφαιρέσουν το αρχείο, που περιέχει τον ιό, και να επαναφέρουν τον υπολογιστή στην αρχική του κατάσταση ή μπορούν να “βάλουν σε καραντίνα” το κακόβουλο αρχείο, ώστε να αποφασίσει ο χρήστης τι θα κάνει με αυτό.
Επομένως, το antivirus ξέρει πού να ψάξει, τι να προστατεύσει και πώς να αντιμετωπίσει μια επίθεση. Πώς, όμως, ανιχνεύει τους ιούς;
Ακολουθούν οι μέθοδοι ανίχνευσης:
Signature-based Μέθοδος
Η αρχή, στην οποία βασίζεται αυτή η μέθοδος, είναι ότι κάθε ιός έχει μια υπογραφή, η οποία είναι μοναδική και χρησιμοποιείται για την αναγνώριση αυτού του συγκεκριμένου ιού. Τα antivirus συγκρίνουν την υπογραφή ενός προγράμματος με μια λίστα υπογραφών γνωστών ιών. Αν βρεθεί σε αυτή τη λίστα, τότε το πρόγραμμα αντιμετωπίζεται ως ιός και διαγράφεται από το σύστημα.
Μέθοδος βασισμένη στη “συμπεριφορά”
Αυτός ο τύπος antivirus προσπαθεί να κατανοήσει τη “συμπεριφορά” ή την “πιθανή συμπεριφορά” ενός συγκεκριμένου προγράμματος και έτσι καθορίζει εάν πρόκειται για κάποιο κακόβουλο πρόγραμμα ή όχι. Πότε χαρακτηρίζεται μια συμπεριφορά ύποπτη;
Συνήθως, συγκεκριμένες συμπεριφορές καθορίζονται ως φυσιολογικές. Επομένως, οποιαδήποτε συμπεριφορά διαφέρει από αυτές, θεωρείται ύποπτη. Αυτή η μέθοδος είναι παρόμοια με τον αλγόριθμο, που χρησιμοποιείται για την ανίχνευση απάτης με πιστωτικές κάρτες. Αν κάποιος χρησιμοποιήσει την κάρτα σε μια περιοχή, που δεν έχει σχέση με τον τόπο που ζει, θεωρείται ασυνήθιστη συμπεριφορά και άρα ύποπτη.
Βέβαια, αυτή η μέθοδος έχει κάποια αρνητικά. Για παράδειγμα, μπορεί να θεωρηθεί ύποπτη μια συμπεριφορά, χωρίς να είναι ή και το αντίθετο. Επιπλέον, αν ο επιτιθέμενος γνωρίζει ποια συμπεριφορά έχει καθοριστεί ως φυσιολογική, μπορεί να παρακάμψει το antivirus.
Ευρετική Μέθοδος
Μοιάζει αρκετά με τη μέθοδο, που βασίζεται στην υπογραφή, καθώς χρησιμοποιεί τον κώδικα του προγράμματος για να καθορίσει αν ένα ύποπτο πρόγραμμα είναι ιός ή όχι. Η ευρετική ανάλυση, σε αντίθεση με τη μέθοδο, που βασίζεται στην υπογραφή, μπορεί να αναγνωρίσει και νέους ιούς (όχι μόνο γνωστούς).
Εφαρμόζεται με τρεις τρόπους: δυναμική σάρωση, ανάλυση αρχείων και ανίχνευση υπογραφής.
Δυναμική Σάρωση
Η δυναμική σάρωση χρησιμοποιεί μια εικονική μηχανή. Τοantivirus τρέχει το ύποπτο αρχείο στην εικονική μηχανή και παρακολουθεί τη συμπεριφορά του. Παρατηρεί, για παράδειγμα, αν αναπαράγεται ή αν εκτελεί payload ενός trojan.
Ανίχνευση Υπογραφής
Σχεδόν ίδια με τη μέθοδο, που βασίζεται στην υπογραφή. Η εφαρμογή αποσυντίθεται, έτσι ώστε να μπορεί να εξακριβωθεί το source code της. Έπειτα, ο κώδικας συγκρίνεται με τον κώδικα γνωστών ιών. Εάν μοιάζει με αυτούς τους ιούς, θεωρείται απειλή και τίθεται σε καραντίνα.
Ανάλυση αρχείων
Ανάλυση του σκοπού του κώδικα. Αναλύει εάν ο σκοπός είναι ή διαγραφή ορισμένων αρχείων ή αν στοχεύει σε κάτι άλλο ασυνήθιστο.
Αυτή η μέθοδος ανίχνευσης είναι καλύτερη από την υπογραφή, καθώς ανιχνεύει μοτίβα στη συμπεριφορά και όχι την άμεση υπογραφή των ιών. Επομένως, μπορεί να ανιχνεύσει περισσότερους ιούς, ωστόσο, δεν είναι τόσο αποτελεσματική όσο η μέθοδος, που βασίζεται στη συμπεριφορά.
Είναι αποτελεσματικά τα antivirus;
Έρευνες έχουν δείξει ότι η αποτελεσματικότητα των antivirus έχει μειωθεί τα τελευταία δώδεκα χρόνια. Υπάρχουν πολλοί λόγοι γι΄αυτό. Ένας βασικός λόγος είναι η συνεχής εμφάνιση νέων ιών και επιθέσεων: zero-day ευπάθειες, ransomware κ.ά. Η μέθοδος, που βασίζεται στην υπογραφή δεν είναι πλέον τόσο αποτελεσματική, αφού οι ιοί εξελίσσονται συνεχώς και με γοργούς ρυθμούς. Η μέθοδος, που βασίζεται στη συμπεριφορά, χρησιμοποιείται ακόμα, αλλά ούτε αυτή είναι τόσο αποτελεσματική ενάντια σε πολλούς σύγχρονους ιούς.
