Człowiek - najsłabsze ogniwo
-
- Daniel Cieślak,
- 18.04.2006, godz. 12:00
Nie tak dawno Mike Danseglio - program manager z Microsoftu - oświadczył, iz najlepszym sposobem oczyszczenia systemu operacyjnego ze spyware'u jest... zainstalowanie go od nowa. Jego zdaniem przygotowanie kopii zapasowej systemu i odtwarzania go w przypadku infekcji będzie szybsze niż każdorazowe usuwanie "szpiega". Co sądzi pan o takich zaleceniach?
W mocno zainfekowanym programami szpiegowskimi środowisku operacyjnym (a do takiego odnosił się Danseglio) niezwykle trudne staje się odróżnienie programów "dobrych" i "wrogich", tym bardziej, że jego przykład dotyczył dużej organizacji rządowej z 2000 komputerów. W takim przypadku zamiast poszukiwać ukrytych w czeluściach systemu operacyjnego rootkitów z pewnością prościej jest odtworzyć system z bezpiecznej kopii wzorcowej (snapshota). Daje to 100% pewność, że niczego nie przeoczono, co nie jest osiągalne dla tradycyjnych metod poszukiwania malware.
Walka o zabezpieczenie domowego systemu komputerowego bądź korporacyjnego systemu teleinformatycznyego jest w zasadzie pojedynkiem człowieka z człowiekiem, w którym zarówno wirusy, jak i wszelkiej maści urządzenia elektroniczne (pendrive, palmtop, komórka) stanowią tylko dodatek. O wygranej może zdecydować tylko wiedza, kreatywność i zakres dostępnych środków.
Szerzej o bezpieczeństwie informacji i cennych danych informujemy w artykule "Pendrive: kij w mrowisku zabezpieczeń".
Polimorfizm systemów atakujących jest tak duży, że systemy bazujące na wzorcach znanych zagrożeń mogą zwyczajnie zawieść natrafiając na zmutowany kod atakujący przygotowany specjalnie na potrzeby konkretnego włamania. Jest to coraz czestsza praktyka stosowana przez włamywaczy: po wstępnym rozpoznaniu celu produkują oni specjalnie "uszyty na miarę", a przez to niewidoczny dla typowych systemów antywirusowych, wrogi kod.
Jedyną formą obrony przed tego typu zagrożeniami o nieznanej ostatecznej formie jest analiza behawioralna przeprowadzana w bezpiecznym, wyizolowanym środowisku wirtualnym. Jeśli pozwolimy takiemu ukrywającemu się wirusowi swobodnie się "wyszaleć", bardzo łatwo będzie można zaobserwować typowe zachowania wrogie. A im bardziej taki wrogi kod będzie chciał ukryć swoje działanie, tym łatwiej będzie wykryć jego rzeczywiste zamiary. Nie jest to przy tym "pieśń przyszłości", a realnie dostępna technologia Virus Prevention System zaszyta w naszych agentach obronnych dla stacji roboczych.
Zgadzam się natomiast z twierdzeniem, że strategia i procesy wokół tworzenia kopii zapasowych (i to zarówno dużych organizacji, jak i dla użytkowników indywidualnych) są niezwykle istotnym elementem bezpieczeństwa systemu. Swego rodzaju siatką bezpieczeństwa, gdyby stało się coś naprawdę krytycznego. Nie mówię tutaj tylko o rezultatach zmasowanego ataku. Nawet instalacja poprawek systemowych, a więc działanie mające podwyższyć bezpieczeństwo, może przecież zakończyć się unieruchomieniem systemu (znamy takie przypadki z przeszłości). Wtedy jedynym ratunkiem pozostaje skutecznie realizowany backup.
