Czy da się udusić wirusa?
W waszej skrzynce pojawiają się ostatnio dziwne maile? Maile od nieznanych osób, z podejrzanie wyglądającymi załącznikami? Jest to skutek rozprzestrzeniającej się na całym świecie epidemii wirusów. Nad jej powstrzymaniem pracują największe firmy komputerowe. Dzisiejsza Gazeta Wyborcza informuje o nowej metodzie walki z wirusami komputerowymi. Postanowiliśmy ją zaprezentować i poprosić specjalistów o skomentowanie.
Jednym z najnowszych pomysłów jest tzw. "virus throttling" - "duszenie wirusów". Pomysł opiera się na znanym medykom haśle: "Łatwiej zapobiegać, niż leczyć". Dotychczas wirusy leczono dopiero po infekcji systemu. Przed kuracją zdążyły one zarazić kolejne maszyny.
Wirusy najczęściej rozprzestrzeniają się rozsyłając e-maile do jak największej liczby użytkowników. W normalnych warunkach stacja robocza wysyła znacznie mniej maili, z reguły są one zaadresowane do względnie stałej grupy odbiorców.
Infekcje można by zatem powstrzymać poprzez ograniczenie możliwości wysyłania poczty elektronicznej. "Throttling" ogranicza listę osób, z którymi możemy korespondować, do naszych najczęstszych kontaktów. Jeżeli nagle zachcielibyśmy wysłać maila do kogoś nowego, trafiałby on na koniec kolejki wiadomości oczekujących na wysłanie. To dawałoby więcej czasu na wykrycie i usunięcie ewentualnej infekcji. Takie rozwiązanie mogłoby również wspomóc walkę ze spamem.
Eksperci komentują:
Pomysł jest dobry, lecz problemem byłoby jego wdrożenie na masową skalę w krótkim czasie. Obawiam się, że twórcy wirusów opracowaliby sposób na obejście tej technologii, podobnie było ze spamerami, którzy obchodzą filtry wysyłając grafikę lub celowo popełniając błędy w pisowni. Nie znaczy to, że nic się nie da zrobić, niemniej jednak sądzę, że wirusy, robaki będą nam już zawsze towarzyszyć. (...) Należy również wziąć pod uwagę konieczność stworzenia bazy danych, w oparciu o którą program pocztowy decydowałby z kim korespondujemy stale, a z kim nie. Tutaj możliwe są 2 rozwiązania, żadne z nich nie jest idealne. Baza mogłaby znajdować się u operatora poczty albo u użytkownika. Pierwsze rozwiązanie oznaczałoby konieczność udostępnienia operatorowi wielu danych personalnych. Drugie wiązałoby się z koniecznością znacznej modyfikacji oprogramowania u użytkowników. (...) Co więcej ograniczanie ilości połączeń to ograniczanie wolności użytkownika. Wyobraźmy sobie, że chcemy rozesłać życzenia świąteczne do naszych znajomych, z którymi nie utrzymujemy stałej korespondencji, co wtedy?
Robert Pająk/INTERIA.PL
Pomysł na proaktywną walkę z wirusami jest właściwy. Najlepiej byłoby zatrzymać wirusa zanim się rozprzestrzeni. (...) Nie łudźmy się jednak, że zabezpieczenie takie byłoby skuteczne w 100%, bo takich po prostu nie ma i nie będzie. (...) "Throttling" nie powinien być jedynym stosowanym zabezpieczeniem, a jedynie dodatkiem do już stosowanych. Powinien zostać zintegrowany z już działającymi pakietami antywirusowymi. (...) Najefektowniejsze byłoby oprogramowanie wykrywające potencjalnego, nieznanego jeszcze wirusa zanim zaatakuje i przesyłające go do programistów. Oni mogliby szybko opracować działającą szczepionkę. Takie technologie (inne niż heurystyka) są już opracowywane, wejdą na rynek już za kilka miesięcy. (...) Jak już wspomniałem "duszenie" to pomysł fajny, ale musi zostać zintegrowany z innymi, aby mógł być skuteczny.
Piotr Skowroński/Panda Software Polska
Z całą pewnością "Virus throttling" nie będzie tak skuteczny jak zakładają to jego twórcy. Nawet najdoskonalsze technologie informatyczne nie rozwiążą problemów związanych z wirusami dopóki nie zwiększy się świadomość użytkowników. (...) Być może rozwiązaniem okaże się nie tyle ograniczenie liczby połączeń (nie taka jest idea Internetu), co ujednolicenie prawa międzynarodowego regulującego oraz nakładającego odpowiedzialność użytkownika za korzystanie z sieci Internet (np. poprzez autoryzację dostępu do sieci). (...) Ponadto opisywana w artykule technologia w żaden sposób nie uwzględnia wirusów wywołujących epidemie bez wykorzystania poczty elektronicznej (np. Blaster, Slammer). (...) Należy także zastanowić się nad kosztami wprowadzenia proponowanych przez twórców technologii "Virus throttling" zmian w infrastrukturze sieci, ponieważ nie wszystkich dostawców usług internetowych stać na wdrożenie niezbędnego minimum jakim obecnie jest ochrona antywirusowa, nie mówiąc już o systemach IDS/IPS. (...) Naszym zdaniem pomysł należy raczej sklasyfikować jako próbę zminimalizowania epidemii, jednak jak każdy tego typu system będzie on musiał dostosować się do wymagań stawianych przez ciągły rozwój technologii komputerowej i Internetu, a może to spowodować, iż nie będzie rewolucyjnym rozwiązaniem, lecz jednym z wielu współistniejących elementów chroniących nasze komputery.
Piotr Kupczyk/Kaspersky Lab Polska
