Rik Ferguson to bardzo barwna postać - szybciej niż za specjalistę ds. cyber-przestępczości i bezpieczeństwa IT uznalibyście go za pracownika salonu tatuażu lub muzyka rockowego (chociaż to ostatnie jest akurat zgodne z prawdą; Rik w wolnych chwilach udziela się w grupie Clearly Deluded). Miałem okazję porozmawiać z nim pod koniec lutego br., gdy pojawił się na kilka dni w Polsce. Zobaczcie, co miał do powiedzenia w kwestiach takich jak skuteczny, nowoczesny antywirus, dominacja Windows i jej wpływ na obraz branży bezpieczeństwa.

PCWorld.pl: Czy nowoczesne oprogramowanie antywirusowe efektywnie spełnia swoją rolę?

Rik Ferguson: To zależy, kto je wyprodukował. Tradycyjne oprogramowanie skupiało się na wyszukiwaniu groźnych plików; korzystało z aktualizowanych baz sygnatur (definicji) wirusów, systematycznie dostarczanych przez producenta. Początkowo te aktualizacje następowały raz w miesiącu, potem raz na tydzień, potem co dziennie, a teraz nawet co godzinę. Klient, który ściągnął aktualizację bazy, czuł się bezpieczniejszy.

Cyberprzestępcy zaczęli jednak zastanawiać się, czy istnieje łatwy sposób obejścia tak skonstruowanego mechanizmu ochronnego. Odpowiedź okazała się bardzo prosta - było nią zwiększenie ilości złośliwych programów. W ten sposób złośliwe pliki pobierane na twój komputer za każdym razem wyglądają inaczej. A skoro tak, to nawet jeśli sygnatury wirusów są aktualizowane co godzinę, to nie są to wystarczająco częste update'y. Oprogramowanie wykorzystujące wyłącznie taką metodologię z pewnością nie może być uznane za skuteczne.

Jak zatem mierzyć efektywność antywirusa?

Weźmy np. dobrze znany test VB100, w którym testowany produkt musiał osiągnąć maksymalny wynik, czyli 100 %, w przeciwnym wypadku nie zaliczał badania. Był to test, z udziału w którym Trend Micro się wycofało - nie wierzymy w to, by jakiekolwiek narzędzie zabezpieczające mogło osiągnąć taki wynik. Nie istnieje cos takiego, jak stuprocentowa ochrona, a testy takie jak ten dają konsumentom fałszywe poczucie bezpieczeństwa. Użytkownik uważa, że jeśli kupi program z taką a taką nalepką na pudełku, to zapewni mu on stosowny poziom zabezpieczeń, co oczywiście nie ma miejsca.

Inny powód, dla którego takie testy są niewiarygodne, to sama technika ich przeprowadzania. Bierze się bazę wirusów, kopiuje na dysk, odłącza dostęp do Internetu i uruchamia skaner. Taki test w ogóle nie odzwierciedla typowej sytuacji, w jakiej znajduje się użytkownik narażony na działanie złośliwego oprogramowania. Przykładowo - otrzymujesz e-mail z linkiem do strony WWW, która zawiera JavaScript przekierowujący cię na inną stronę, która z kolei wykorzysta lukę w twoim oprogramowaniu, przez co na twój dysk ściągnięty zostanie groźny program. Dobry antywirus powinien powstrzymać cię już na etapie kliknięcia w link i odwiedzenia pierwszej strony z wymienionego łańcuszka.

Bardzo ciekawy test przeprowadziła swego czasu firma NSS Labs, niezależna spółka prowadzona przez byłego pracownika firmy ESET. Dużo uwagi poświęcił on kwestii tego, że tradycyjne metodologie testów oprogramowania nie dawały konsumentom precyzyjnego obrazu tego, co kupują. W teście NSS Labs programy wystawiono na działanie zagrożeń inżynierii społecznej w warunkach takich, w jakich korzystałby typowy użytkownik. Rezultaty badania były zgoła odmienne niż wyniki tradycyjnych testów...