Rengeteg számítástechnikai újság, weblap próbálta már megkeresni az éppen aktuálisan legjobb biztonsági programot. Többek között nálunk is találhattál már teszteket, amelyekben ezeket a termékeket hasonlítottuk össze, és minden bizonnyal te is elgondolkodtál, miért van az, hogy időnként még az aktuálisan nyertesnek kikiáltott termék is hibázik - nem ismer fel mondjuk egy kártevőt, vagy éppen ellenkezőleg, vírusnak gondol egy ártalmatlan fájlt. Vajon a fejlesztők nem képesek jobbat alkotni, vagy az ellenfél túl okos?
Nos, a válasz sokkal összetettebb: matematikailag lehetetlen egy valóban 100 százalékos találati aránnyal rendelkező biztonsági program elkészítése.
Ennek bizonyítása nem igényel komoly számításokat, Fred Cohen 1984-ben egyszerű gondolatkísérlettel vezette le az állítás igazságát. Tegyük fel ugyanis, hogy létezik ilyen 100 százalékos víruskereső. Készítsünk most egy olyan vírust, amely csak akkor fertőz, ha ez a program tisztának gondolja. Ezzel meg is alkottuk a 22-es csapdáját biztonsági programunk számára. Nem kell azonban kétségbeesni: attól még, hogy nincs 100 százalékos siker, nem biztos, hogy a 99,9999 százalékos nem elég - ezt a G Data szakértője, Karsten Hahn elemzése kiválóan bemutatja.
A víruskeresőket fejlesztő szakemberek számára az egyik nehézséget az okozza, hogy mozgó célpontra lőnek; mint azt a Cohen-féle bizonyításból is érezheted, a vírusok készítői megpróbálnak olyan programokat írni, amelyek ki tudják cselezni a védelmi rendszereket.
A fejlesztési igény tehát folyamatos (tulajdonképpen mindkét oldalról az), a cégek egyre újabb és újabb technológiákat dolgoznak ki és építenek termékeikbe. Talán meglepő, de ez nem jelenti azt, hogy a régi mechanizmusokat kidobnák: egy mintakeresésen alapuló algoritmus ugyanúgy használható marad attól még, hogy a szoftver közben heurisztikus megoldásokat, emulációt, viselkedéselemzést vagy akár az új slágert, a mesterséges intelligenciát használja. Persze az egyes víruskeresők reklámjaiban szép számmal találkozhatsz olyan kitételekkel, mint például hogy ez a termék már a következő generációt képviseli, de ennek kár bedőlni - mint ahogy nem szabad túlmisztifikálni a VirusTotal weboldalon összeállított keresőmotor-gyűjteménnyel kapott eredményeket sem, ezeknek ugyanis viszonylag kevés relevanciája van arra vonatkozóan, hogy a teljes biztonsági csomag miként reagál egy kártevőre (erre vonatkozó figyelmeztetés a VirusTotal oldalon is látható, mégis sokan átsiklanak felette).
Jobb a 99, mint a 101
Mi a jobb? Ha vírusvédelmi rendszered a vírusok 1 százalékát átengedi, vagy ha 0,1 százalékban hibás riasztásokat ad? A legtöbben alighanem gondolkodás nélkül rávágnák erre, hogy utóbbi, pedig nem: egy jól elkészített biztonsági csomag sokkal inkább koncentrál arra, hogy mi az, ami nem veszélyes, mint fordítva. Ennek oka az úgynevezett alapgyakoriság, más szóval az, hogy a víruskeresőd sokkal több ártalmatlan fájllal találkozik, mint veszélyessel. Azon a gépen például, amelyen ez a cikk íródik, a Windows-mappában ebben a pillanatban 236 486 darab fájl tartózkodik. Ha a víruskereső ennek 0,1 százalékát tévesen kártevőnek gondolná, akkor 237 állomány rögtön karanténban végezné, nekünk pedig valószínűleg előbb-utóbb elő kellene keresnünk a rendszer-helyreállító USB-meghajtót.
Ráadásul a rengeteg téves riasztásnak egy másik hátránya is lenne, és ugyanaz történne a programmal, mint a Windows Vistában a felhasználói fiókok felügyeletével: a felhasználók nagy része kikapcsolná a figyelmeztetéseket, inkább vállalva a megfertőződés kockázatát.
Sok szelet sajt
Na de hogy lehet akkor jól működő víruskeresőt írni, amely szinte minden vírust megfog, de nem ad ki téves riasztást? A megoldás a többrétegű védelem, más szóval az úgynevezett svájcisajt-modell használata. Ennek lényege, hogy különböző egymásra épülő technológiák igyekeznek kiszűrni a kártevőket úgy, hogy közben az egyes rétegeket inkább az átengedés, mintsem a téves riasztás felé hangszerelik. Ez, ha belegondolsz, nagyon logikus: ha az első réteg átenged egy vírust, még mindig ott van a második, harmadik réteg, amelyeken hipotetikus kártevőnk fennakadhat. Ám elég egyetlen téves riasztás, és máris vége a dalnak. Ez a svájcisajt-modell egyébként nem kizárólag a vírusvédelemhez kapcsolódik, gyakorlatilag bármilyen védelmi rendszer - legyen szó egy tank páncélzatáról, egy riasztóberendezésről vagy egy atomerőmű biztonsági megoldásairól - akkor lesz igazán hatékony, ha több, különböző módon működő rétegből áll össze.
Természetesen nem könnyű kitalálni, hogy az egyes rétegek miként dolgozzanak össze. Ha belegondolsz, zsarolóvírusok ellen adná magát egy olyan viselkedéselemzéssel foglalkozó védelem, amely azt érzékeli, ha egy program sok fájlt nevez át egyszerre. Eddig rendben van, de mi van akkor, ha te az IrfanView-val neveztetsz át egy rakás fényképet? Vagy ha egy biztonsági mentést végző szoftver tömegével másol és nevez át állományokat? Nyilvánvaló, hogy a szimpla "átnevezés-detektálás" paramétereit nagyon lazára kell venni a téves riasztás elkerülése érdekében, a teljes rendszer működőképességét pedig a különböző detektálási eljárások egymásra rétegzésével kell garantálni.
Ha szeretnél további tippeket kapni, akkor vedd meg a 2022/08-as PC World magazint, amely mellé értékes szoftvereket és PC-s teljes játékot is kapsz a hasznos tanácsok mellé.
