Vysoká škola ekonomická v Praze Fakulta informatiky a statistiky Vyšší odborná škola informačních služeb v Praze

Transkript

1 Vysoká škola ekonomická v Praze Fakulta informatiky a statistiky Vyšší odborná škola informačních služeb v Praze Jiří Pešek Srovnávací analýza bezpečnostního softwaru pro ochranu počítačových dat Bakalářská práce 2009

2 Prohlášení Prohlašuji, že jsem bakalářskou práci na téma Srovnávací analýza bezpečnostního softwaru pro ochranu počítačových dat zpracoval samostatně a použil pouze zdrojů, které cituji a uvádím v seznamu použité literatury. V Praze dne 18. prosince 2009 Podpis:

3 Obsah Seznam použitých zkratek Úvod Výběr tématu Cíl práce Trendy v oblasti počítačové bezpečnosti I Teoretická část 2. Současný stav řešené problematiky Srovnávací testy bezpečnostních programů Virus Bulletin AV-Comparatives AV-Test Ostatní AMTSO Malware Vývoj škodlivých kódů Viry Červi Trojští koně Rootkity Spyware Adware Phishing Spam Hoax... 24

4 4. Obrana před škodlivými kódy Dělení antimalwarových programů Jednoúčelové antiviry Online skenery Antivirové programy Komplexní bezpečnostní balíky Techniky antimalwarové kontroly Antivirový skener Skenování sekvencí Generická detekce Heuristická analýza Kontrola integrity Monitory podezřelého chování Emulace kódu Sand-Boxing Identifikace a pojmenování malwaru Dezinfekce Standardní dezinfekce Generická dezinfekce Heuristické léčení Léčení prostřednictvím kontroly integrity Očkování Možnosti prevence Informovanost Aktualizace systému Windows Defender... 34

5 4.5.4 Řízení uživatelských účtů Firewall Záloha dat Bezpečnostní programy II Praktická část 5. Komplexní bezpečnostní software Metodologie testování Použitý hardware Použitý operační systém Programy Postup při testování Základní pravidla Test č Test č Test č Kritéria hodnocení Rozpoznání malwaru Falešné poplachy Výkon Doba úplného prověření systému Nárok na paměť RAM Testované bezpečnostní balíky Avast! 4 Professional AVG Internet Security ESET Smart Security F-Secure Internet Security

6 5.3.5 Kaspersky Internet Security McAfee Internet Security Norton Internet Security TrustPort PC Security Shrnutí Detekce Výkon Celkový výsledek Vlastní přínos Metodologie testování Sbírka malware Průběh testování Závěr Seznam použité literatury... 75

7 R e s u m é Bakalářská práce se ve své praktické části zabývá srovnávací analýzou bezpečnostního softwaru pro ochranu počítačových dat. Podle navržených pravidel jsou realizovány testy osmi programů, při nichž jsou zjišťovány detekční schopnosti škodlivého kódu a výkon jednotlivých aplikací. Hodnotícími kritérii jsou rozpoznání malware, falešné poplachy, rychlost prověření systému a maximum využité operační paměti. Z dosažených výsledků je pak sestaveno pořadí od nejlepšího po nejhorší. Teoretická část pojednává o nejznámějších typech počítačové infiltrace a technikách antimalwarové kontroly, a to jak z hlediska detekce, tak i následné dezinfekce. Pozornost je věnována také možnostem prevence před škodlivým kódem.

8 Seznam použitých zkratek AHD AMTSO BSA CARO CD COM CPU DLL DVD EULA EXE FAT FDD HDD (Advanced Heuristic Disinfector) pokročilý heuristický dezinfektor (Anti-Malware Testing Standards Organization) organizace pro standardizaci testování antimalwarového softwaru (Business Software Aliance) mezinárodní protipirátská organizace (Computer Anti-Virus Researchers Organization) organizace počítačových antivirových výzkumníků (Compaq Disc) kompaktní disk formát spustitelného souboru systému MS-DOS s příponou.com (Central Processing Unit) základní procesorová jednotka (Dynamic Link library) dynamická knihovna (Digital Video Disc) formát digitálního optického datového nosiče (End User License Agreement) licence pro koncového uživatele softwaru (Executable) formát spustitelného souboru (File Allocation Table) souborový systém (Floppy Disk Drive) disketová mechanika (Hard Disk Drive) pevný disk HTTP (Hypertext Transfer Protocol) internetový protokol určený pro výměnu hypertextových dokumentů ve formátu HTML HTTPS IDS IM nadstavba síťového protokolu HTTP používající šifrování pro výměnu dat (Intrusion Detection System) systém pro detekci útoků (Instant Messaging) rychlá komunikace v reálném čase prostřednictvím internetu

9 IMAP IP IRC MAPI MBR MS-DOS NTFS P2P PC PIN POP RAM SCR SMTP URL USB VM XCP (Internet Message Access Protocol) internetový protokol pro vzdálený přístup k ové schránce vyžadující trvalé připojení (Internet Protocol) protokol používaný v počítačových sítích, hlavně na internetu (Internet Relay Chat) internetový komunikační kanál (Messaging Application Programming Interface) univerzální rozhraní pro přenos zpráv vytvořené firmou Microsoft (Master Boot Record) boot sektor umístěný na úplném začátku pevného disku (Microsoft Disk Operating System) diskový operační systém od firmy Microsoft (New Technology File System) souborový systém (Peer-To-Peer) architektura počítačových sítí, ve které spolu komunikují přímo jednotliví klienti (Personal Computer) osobní počítač (Personal Identification Number) osobní identifikační číslo internetový protokol pro přenos ů (Random Access Memory) operační paměť formát datového souboru, rozšíření používané pro spořič obrazovky ve Windows (Simple Mail Transfer Protocol) internetový protokol pro přenos ů (Uniform Resource Locator) doménová adresa serveru (Universal Serial Bus) univerzální sériová sběrnice pro připojení periferií k počítači (Virtual Machine) virtuální stroj (extendet Copy Protection) ochranný systém pro kompaktní disky

10 1. Ú v o d 1.1. Výběr tématu Téma absolventské práce Srovnávací analýza bezpečnostního softwaru pro ochranu počítačových dat jsem si vybral, protože bych o této problematice chtěl získat co nejširší přehled, abych mohl svůj počítač jak možno nejlépe zabezpečit proti škodlivým kódům a jiným (především internetovým) hrozbám. Prakticky až do této doby jsem otázce zabezpečení stejně jako podle mého názoru většina počítačových uživatelů nevěnoval velkou pozornost a zaujímal k němu spíše laxní přístup. To se mi ovšem jednoho dne stalo osudné a můj počítač se vlivem menší nepozornosti stal obětí malwarové nákazy. Nebýt nedávné zálohy systému na externí disk, mohl mít pro mě tento incident velice nepříjemné následky v podobě ztráty důležitých dat Cíl práce Cílem práce je vytvoření srovnávací analýzy bezpečnostního software dostupného v české lokalizaci. V teoretické části se budu věnovat aktuálním druhům malwaru, možnostem prevence a technikám antivirové kontroly. V praktické části navrhnu metodiku testování a zhodnotím schopnosti programů dle různých hledisek (výkon, vytížení operační paměti, falešné poplachy apod.) Trendy v oblasti počítačové bezpečnosti Ochrana počítačových dat je v současné době důležitější než kdykoli předtím, neboť s neustále rostoucí dostupností počítačů připojených k internetu narůstá také objem škodlivých programů, které mohou způsobit narušení operačního systému a umožnit útočníkovi odcizení uživatelských dat. Pro představu: podle výsledku zprávy Internet Security Threat Report od společnosti Symantec zabývající se komplexní analýzou trendů na poli počítačové bezpečnosti vzrostl v loňském roce objem malwaru ve srovnání s rokem předchozím o celých 265 %. Jenom za toto období Symantec detekoval po celém světě přes 1,6 milionu škodlivý kódů. Během roku 2008 se tak každý den průměrně objevilo 4,5 tisíce nových hrozeb. [8, str ] Cílem škodlivých kódů už přitom není způsobit nestabilitu systému, ale především získat citlivá uživatelská data, se kterými se obchoduje. Za tímto účelem vyžívají útočníci hlavně metod phishingu (viz podkap. 3.1), neboli přesměrování na podvodné stránky napodobující například

11 rozhraní internetové bankovnictví, kde jsou uživatelé vyzváni k zadání svých přihlašovacích údajů. Se získanými uživatelskými údaji se obchoduje na internetu, přičemž nejpopulárnějším kriminálním artiklem jsou informace z kreditních karet, jejichž cena se na černém trhu pohybuje od 6 centů. Plnou identitu lze přitom získat již za 70 centů. Druhou nejobchodovatelnější komoditou jsou pak přístupové údaje k bankovnímu účtu, které je možné koupit od 10 dolarů. [8, str. 82] Tab. 1.1 Zboží a služby obchodovatelné na černém trhu. Převzato z lit. [8, str. 82]

12 I. Teoretická část

13 2. Současný stav řešené problematiky 2.1. Srovnávací testy bezpečnostních programů Srovnávacími testy bezpečnostních řešení se zabývá hned několik nezávislých organizací. Tyto testy se zpravidla zaměřují na kvalitu detekce malwaru jakožto primární funkci antivirových produktů, a to jak ve formě on-demand skenování, tak i on-access skenování (viz podkap ). Jejich výsledkem pak bývá množství rozpoznaných škodlivých kódů a počet falešných poplachů. Ostatní vlastnosti produktů, jakými jsou například uživatelské prostředí, instalace, služby apod. nejsou obvykle v těchto testech zkoumány. Těmi se naopak zabývají odborné časopisy a internetové portály věnované počítačové tématice, kde jsou tyto programy hodnoceny jako celek. Kvůli složitosti a časové náročnosti bývají však ochuzeny právě o detekční schopnosti. U srovnávacích testů antivirových skenerů jsou důležité především kvalita detekce a rychlost skenování. Prvně jmenovaná vlastnost se testuje na rozsáhlé sbírce malware, která obsahuje několik stovek tisíc až jednotek miliónů infikovaných souborů. Antivirový program pak při testech prověřuje tyto soubory a zjišťuje procentuální úspěšnost rozpoznání. Aby takovýto test měl vypovídající hodnotu, měla by sbírka malware obsahovat pouze exempláře, které představují opravdovou hrozbu infekce, což je při takto velké kolekci velmi těžké splnit. Kvalitní testování by také mělo počítat s neustálým doplňováním o nové vzorky (několik desítek tisíc měsíčně). Test falešných poplachů bývá realizován na velkém množství (až několik milionů) zdravých souborů. Co se týče rychlosti skenování, bývá prověřován buď celý systém, nebo jeho části. [17] Je třeba si uvědomit, že podobné testy nemají příliš vysokou vypovídající hodnotu o daném antivirovém programu. To je dáno tím, že ve sbírce malware bývají zařazovány i škodlivé kódy, které se reálně nešíří, a ty pak mohou zkreslovat výsledky, neboť nelze jednoznačně určit, zdali je chyba, když je antivirový skener nedetekuje. Stejně tak v reálném provozu těžko nastane situace, kdy se na pevném disku počítače objeví několik set tisíc vzorků škodlivého kódu. Třetí problém spočívá v tom, že při on-demand skenování musí být sbírka malware dopravena do počítače ještě před instalací bezpečnostních programů, aby byly zajištěny stejné výchozí podmínky. To se s sebou nese ale i negativum v podobě znevýhodnění programů, které svou sílu ochrany staví na proaktivní detekci (škodlivé soubory nejsou vpuštěny na pevný disk).

14 Testování antivirových programů není vůbec jednoduché. Při výběru bezpečnostního softwaru by se měl proto uživatel zajímat o metodologii testu a také o to, zdali se svými podmínkami blíží realitě. Rozhodně by neměl brát v potaz pouze schopnosti detekce, protože jak jsem sám ověřil v praktické části, většina programů od renomovaných firem jsou v tomto ohledu velmi vyrovnané. Důležité jsou i jiné parametry, jako například rychlost reakce na nové hrozby, velikost aktualizací virové databáze, nárok na paměť apod. Svou roli by mělo hrát rovněž to, jak je program úspěšný při odstraňování virů a léčbě infikovaných souborů. Testy posledně zmiňovaných parametrů se začínají objevovat až v poslední době po založení organizace AMTSO (viz podkap. 2.2) Virus Bulletin Zřejmě nejznámější srovnávací testy bezpečnostních programů má na svědomí britský časopis Virus Bulletin, který je provádí zhruba každé dva měsíce, přičemž pokaždé na jiné platformě. Produktům splňující všechny podmínky testu je pak uděleno ocenění Virus Bulletin 100% Award. K jeho získání musí bezpečnostní program splnit následující kritéria: 100% detekce ITW škodlivého kódu v režimu on-demand 100% detekce ITW škodlivého kódu v režimu on-access detekce bez falešných poplachů Zkratka ITW označuje seznam počítačových virů In-The-Wild sestavovaný reportéry z celého světa ( Jak už název napovídá, jedná se v podstatě o seznam nejrozšířenějších virů. V potaz jsou brány pouze viry coby jeden druh malwaru, ostatní typy škodlivých kódů jakožto červi, trojští koně nebo spyware nejsou do testu zahrnuty. Není proto divu, že ocenění VB 100% dostává jeden program za druhým, neboť viry se na rozdíl od jiných druhů malware dnes již téměř nevyvíjejí. Na to zřejmě přišli už i organizátoři těchto testů, poněvadž v roce 2009 představili nový testovací koncept, který zahrnuje kompletní antimalware test a anti-spam test. Podrobné výsledky a metodologie testování jsou dostupné pouze předplatitelům tohoto časopisu, stručné výsledky lze pak získat po registraci na [16] AV-Comparatives AV-Comparatives je rakouská nezisková organizace, která pravidelně na svých stránkách zveřejňuje výsledky několika typů testů. Prvním je klasický test jako v případě Virus Bulletinu,

15 kdy je na kolekci infikovaných souborů ověřována kvalita detekce jednotlivých antivirových produktů. Zajímavější jsou ovšem tzv. retrospective/proactive testy, které zkoumají výkonnost proaktivních metod detekce, jakými jsou například generická detekce, heuristická analýza apod. (viz podkap. 4.2). Tyto testy realizované každé 3 měsíce probíhají tak, že jsou vždy k určitému datu zaktualizovány virové databáze programů, přičemž jejich stav je k tomu datu zmražen. Od této chvíle je pak po určitou dobu sbírán malware, který je pro bezpečnostní programy neznámý. Účelem těchto testů je tedy ověřit, v jaké míře si antiviry poradí s novými vzorky škodlivých kódů, jež nejsou dostupné v jejich databázi. Úspěšnost se v tomto případě pohybuje někde mezi 0-75 %. Programy jsou pak hodnoceny ve třech stupnicích: Standard, Advanced a Advanced+. Klasický a retrospective/proactive test jsou realizovány každé tři měsíce. AV-Comparatives také v říjnu 2008 uskutečnila test zkoumající výkonnostní parametry antivirových programů, v říjnu 2009 byl publikován test zaměřující se na schopnosti odstranění/dezinfekce malwaru. Do budoucna se chystá několik dalších různě zaměřených testů. [4] AV-Test AV-Test je německá společnost, která provádí komplexní testy bezpečnostních řešení pro obchodní partnery, mezi něž patří řada národních i mezinárodních magazínů, dodavatelů bezpečnostního softwaru apod. V testech bývají srovnávány nejrůznější vlastnosti antivirových systémů. Kromě kvality detekce malwaru je to například test schopnosti léčení infikovaných souborů, rozpoznání a odstranění rootkitů, anti-spyware test nebo testy heuristické analýzy. AV-Test nabízí širokou škálu různých testovacích scénářů a vyvíjí nové testovací metody, aby odpovídaly požadavkům neustále se měnícím hrozbám malware, stejně jako nových bezpečnostních technologií. [5] Ostatní V současné době se testování produktů zabývá celá řada dalších nezávislých společností a organizací. Zde jsou uvedeny některé z nich: NSS Labs ICSA Labs West Coast Labs

16 CheckVir Anti-malware Test Lab 2.2. AMTSO Organizace pro standardizaci testování antimalwarového softwaru (AMTSO) vznikla v roce 2008 jako reakce na nespokojenost prováděných srovnávacích testů. "Již delší dobu panuje nespokojenost odborné bezpečnostní komunity s kvalitou testů a jejich metodologiemi. Proto se zástupci testovacích laboratoří, AV firem a některých odborných médií rozhodli iniciovat vznik nezávislé organizace, jejímž cílem je zvýšit kvalitu a objektivitu testování. Existuje řada řešení, která se dokážou s malwarem vypořádat, ovšem každé používá jinou technologii. Proto je důležité se standardizací zabývat, stanovit jistá pravidla a vše předložit uživatelům v přijatelné a hlavně objektivní formě," objasnil Karel Obluk impulz, který vedl k založení organizace. [6] AMTSO dnes spojuje téměř čtyřicet společností zabývajících se vývojem bezpečnostního softwaru a testy antimalwarových technologií. Na konferenci konané v říjnu 2009 byly přijaty dva dokumenty, z nichž první se týká problematiky vytváření malwaru pro účely testování bezpečnostních řešení, druhý pak testování antivirových produktů v síťovém prostředí. Mezi hlavní body organizace AMTSO patří vývoj a propagace objektivních standardů a nejlepší postupů pro testování antimalwarových produktů, poskytování jejich analýz a přehledů současných i budoucích testování a vytvoření diskusního fóra na toto téma. [6]

17 3. Malware Pojem malware vznikl spojením dvou anglických slov malicious a software, což lze volně přeložit jako zákeřný program. Tento termín se používá pro souhrnné označené nejrůznějších podob škodlivého kódu, který byl naprogramován za účelem poškození počítačových dat, obtěžování uživatele či k jiné neprospěšné (a mnohdy nelegální) činnosti. V souvislosti s pojmem malware lze rovněž hovořit o počítačové infiltraci, kterou lze charakterizovat coby jakékoli neoprávněné vniknutí do počítače. Mezi nejznámější druhy malware, s nimiž se může počítačový uživatel setkat, patří zejména viry, trojští koně, internetoví červi, spyware a adware. [12] V souvislosti s terminologií škodlivých kódů je vhodné zmínit skutečnost, že do podvědomí lidí se nejvíce zapsal pojem virus, kteří jím mnohdy označují veškeré typy malwaru. Ono i samotné rozdělení škodlivých programů je složité, neboť třídy se často překrývají a není je proto možné přesně zařadit. V různých publikacích zabývajících se malwarem se tak můžeme setkat s několika variantami rozdělení. Protože existuje široké spektrum typů počítačové infiltrace, které lze třídit podle několika různých kritérií, a cílem této práce není jeho podrobná charakteristika, budu se popisem jednotlivých druhů malwaru zabývat pouze okrajově Vývoj škodlivých kódů Za úplně první počítačový virus je označován program pro platformu Apple-II s názvem Elk Cloner, který v roce 1982 naprogramoval tehdy patnáctiletý student Rich Skrenta z Pittsburghu. Tento škodlivý program v této době ještě nebyl používán termín počítačový virus se šířil kopírováním na 5,25 diskety a uživatele obtěžoval tím, že se při každém 50. spuštění počítače zavěsil na tlačítko reset, po jehož stisknutí se na obrazovce objevila krátká básnička. [3, str. 37] O další škodlivý program, který by podle dnešní terminologie mohl být označován coby počítačový červ, se v roce 1983 postaral Dr. Frederick Cohen, když v rámci semináře o počítačové bezpečnosti vytvořil kód, jež byl po spuštění schopný samovolného šíření. O rok později Frederick Cohen rovněž zavedl termín počítačový virus na doporučení svého poradce Leonarda Adlemana, který ho převzal z novel science fiction, a zároveň poskytl formální matematický model pro počítačové viry. [3, str. 38], [11]

18 Dalším důležitým milníkem je rok 1986, kdy dva pákistánští bratři zhotovili vůbec první virus pro platformu IBM PC. Pojmenovali ho Brain a jednalo se o tzv. boot virus, který se do počítače dostal z 5,25 diskety a napadal spouštěcí sektor operačního systému MS-DOS. Motivem vytvořené tohoto viru bylo zjištění rozsahu počítačového pirátství v jejich zemi, neboť autoři se pohybovali v oblasti prodeje softwaru. [3, str. 120], [11] Díky popularitě operačního systému od Microsoftu se v roce 1987 začínají objevovat souborové viry, které napadají soubory s příponou COM a EXE. Do historie se zapsal virus Vienna známý také pod označením Charlie. Ten s určitou pravděpodobností po spuštění napadeného souboru restartoval počítač. [14] Velkou pozornost na sebe přitáhl v roce 1988 virus Jerusalem, který byl naprogramován tak, aby se aktivoval vždy v pátek třináctého. Virus Jerusalem byl poprvé zaznamenán na Hebrew University of Jerusalem (odsud jeho název) a rozšířil se mimo jiné i do Evropy a USA. [14] Významnější byl ovšem téhož roku internetový červ Morris pojmenovaný po svém autorovi. Student Cornellovy univerzity chtěl tehdy na několika počítačích vyzkoušet šíření škodlivého kódu, což se mu ovšem vymklo z rukou a během několika hodin bylo napadeno zhruba 6 tisíc počítačů, které v té době představovaly asi 8 % světové počítačové sítě. Protože byly nakaženy a následně vyřazeny mnohé síťové zdroje, tento jeho pokus nepřímo ovlivnil milion lidí a celková škoda byla vyčíslena na 100 milionů amerických dolarů. [11] V roce 1988 začíná také éra antivirových programů, kdy se na trhu objevil dnes již legendární software VirusScan od společnosti McAfee. V témže roce byl rovněž vydán antivirový software Dr. Solomon AVTK. O masovější rozšíření antivirových programů se roku 1989 zasloužila společnost IBM, když se svůj interně používaný antivirový software rozhodla uvolnit svým zákazníkům. [11] Počátkem 90. let se začínají objevovat škodlivé kódy schopné poškozovat počítač postupně, nikoli jednorázově jako doposud, dále pak první polyfonní či tzv. stealth viry, které se dovedou maskovat v systému. V roce 1992 vzniká první generátor virů, díky němuž zvládne škodlivý kód zhotovit i běžný uživatel. [9, str. 19]

19 Za zmínku stojí určitě boot virus On_half, který v roce 1994 zasáhl také Českou republiku. Tento virus šifroval data na disku a sám sloužil jako klíč, takže pokud byl poté odstraněn, uživatel nemohl svá data otevřít a tím pádem o ně přišel. [2, str. 12] S příchodem Windows 95 vznikají první makroviry ukrývající se v textových a tabulkových dokumentech Microsoft Office. S mohutným rozvojem internetu koncem 90. let začínají převládat škodlivé kódy šířící se elektronickou poštou. [9, str. 20] Rozšiřují se také možnosti napadení počítače, kdy už primárním cílem není poškodit soubory, ale krádež uživatelských dat či ovládnutí hostitelského počítače a jeho využití k vlastním účelům. Tento fenomén prakticky přetrvává do současnosti a společně se spamem a adwarem jde o nejrozsáhlejší hrozby. [8] 3.2. Viry Podle Dr. Frederica Cohena, který poprvé tento termín použil, zní definice viru takto: Virus je program, který je schopen infekce dalších programů a je schopen jejich modifikací zajistit, aby obsahovaly potencionálně se vyvíjející kopii jeho samotného. [3, str. 38] Z dnešního pohledu může být tato definice v určitých případech zavádějící, neboť některé viry neupravují data jiného programu. Přesnější definice je proto následující: Počítačový virus je program, který rekurzivně a explicitně kopíruje potenciálně se vyvíjející verzi sebe sama. [3, str. 38] Odtud vyplývá, že abychom mohli program označit jako virus, musí se chovat automatizovaně a šířit se proti vůli uživatele. Virem tedy nemůže být program vyžadující ke svému šíření cizí pomoc. Virus ke své existenci potřebuje hostitelské prostředí, kterým bývá nejčastěji operační systém či jiné spustitelné prostředí. Zde potom infikuje soubory, systémové části nebo jiné objekty, a dále se replikuje. Viry jsou zdaleka nejpočetnější skupinou malwaru, zřejmě proto se z ní stalo univerzální označení pro veškerý škodlivý kód, bez ohledu na to, zdali se jedná skutečně o virus, trojského koně nebo červa. Viry lze rozdělit do několika desítek skupin, jejichž popis by vydal na celou knihu. V krátkosti se zaměřím proto jen na ty, s nimiž se lze nejčastěji setkat. Dělení podle metod infekce paměti Nerezidentní viry Rezidentní viry

20 Nerezidentní viry neboli viry přímé akce nevyužívají paměť pro své šíření, ale jsou aktivovány společně se svým hostitelským programem. Jakmile k tomu dojde, převezmou nad ním kontrolu a napadnou určité množství nových souborů (někdy i všechny dostupné soubory) a poté následně předají řízení zpět hostiteli. Tyto viry se obvykle příliš nešíří, neboť při své replikaci na externí disky je lze snadno odhalit. Mohou však být úspěšné v síťovém prostředí. [3, str. 120] Naproti tomu rezidentní viry (paměťové) naopak přetrvávají v paměti, takže si při své aktivaci vyhradí její část, kam přemístí svůj kód. V této vyhrazené části pak dojde k jejich aktivaci, přičemž jsou napadány nové soubory či systémové oblasti. V paměti zůstávají tak dlouho, dokud není počítač vypnut. [3, str. 120] Dělení podle napadených oblastí Boot viry Souborové viry Makroviry Polymorfní viry Metamorfní viry Boot viry patří mezi nejstarší typy počítačové infiltrace jejich původ sahá až do roku 1986 (virus Brain, viz podkap. 3.1). Tyto viry infikují určitou systémovou oblast disku či boot sektor (např. u FDD, HDD, MBR atd.), které přepíší svým vlastním kódem, a ten původní uchovají na jiném místě. Stávají se tak aktivní okamžitě po spuštění systému. Jejich šíření probíhá prostřednictvím disket, které přijdou do styku s takto nakaženým počítačem. V současnosti se s těmito viry už téměř nesetkáme, neboť diskety a operační systémy, které se nejprve pokoušely bootovat z disketové mechaniky, se už běžně nevyskytují. [3, str ] Souborové viry tvoří jednu velkou skupinu virů. Tyto viry se nejčastěji připojují ke spustitelným souborům (EXE, COM atd.), po jejichž spuštění dojde k aktivaci škodlivého kódu. Podle techniky infekce souborů je můžeme rozdělit na přepisující viry, které se replikují přepsáním napadených souborů vlastním kódem, připojující viry, jejichž kód bývá připojen na konec hostitele, klasické parazitické viry přepisují začátek hostitele vlastním kódem, který pak uloží na jeho úplný konec,

21 přičemž funkčnost souboru bývá zachována. Doprovodné viry spadají do období operačního systému MS-DOS a na rozdíl od předchozích souborových virů nijak nemění stávající soubory, nýbrž vytvářejí nové kopie EXE souborů se stejným jménem, ovšem s příponou COM, v nichž je obsaženo tělo viru. Po volání programu přes příkazovou řádku pak dojde podle priorit MS-DOS ke spuštění tohoto nově vytvořeného (škodlivého) souboru. [3, str ], [11] Makroviry mají rovněž v oblasti počítačové infiltrace široké zastoupení díky jejich snadnému vytvoření a přenášení. Nejčastějším hostitelem jsou kancelářské dokumenty balíku Microsoft Office. Makro je de facto program, který může být součástí dokumentů, a pokud se jedná o virus, dojde k jeho aktivaci otevřením dokumentu a následnému šíření do jiných souborů, nejčastěji opět do dokumentů. Variant, jak škodit, se nabízí opravdu mnoho. [3, str ] Polymorfní viry jsou oproti klasickým virům charakteristické tím, že umějí měnit svůj descryptor do vysokého počtu odlišných instancí, což znamená, že při každé kopii vytvoří zcela nový kód, který se od toho původního liší. Zpočátku byly tyto viry velice odolné proti detekci antivirových programů, dnes už je však možné díky vylepšeným technikám antivirové kontroly identifikovat. [3, str ] Metamorfní viry na rozdíl od polymorfních virů neobsahují descryptor ani konstantní část svého těla. Umožňují však vytvářet nové generace kódu, které vypadají odlišně. [3, str ] 3.3. Červi Pro počítačové červi je charakteristické jejich šíření skrze sítě, někdy proto bývají označováni jako síťové viry. Oproti virům ovšem nepotřebují hostitele a na infikovaném počítači se obvykle aktivují bez jakéhokoli zásahu uživatele. Dalším typickým znakem je šíření ve formě síťových paketů a nikoli nakažených souborů, někteří červi však infikují soubory jako vedlejší efekt své replikace. Červi také umějí využívat bezpečnostních děr operačního systému či nainstalovaných aplikací, skrze které pak mohou proniknout a infikovat systém. Červi se zaměřují na nejrůznější komunikační kanály, podle kterých je lze dělit na ové, internetové, IM a IRC červi. Nebezpečí červů spočívá v zahlcení sítě, paměti, omezení funkce počítače nebo jeho částí a ztrátě uložených dat. [3, str. 45], [9, str. 12]

22 3.4. Trojští koně Trojští koně jsou považováni za nejjednodušší druh škodlivého kódu, neboť nejsou schopni sebereplikace a infekce souborů. Toho však mohou dosáhnout ve spojení s jiným druhem malwaru. Trojský kůň se na první pohled tváří coby užitečný program, aby jej uživatel spustil na svém počítači. Ve skutečnosti jde ale o program škodlivý, který může například uživateli smazat veškerá data z pevného disku (Destruktivní trojani). Existuje několik typů trojských koní. PWS trojani zaznamenávají stisky jednotlivých kláves a ty pak odesílají na určené cíle. Díky tomu mohou jejich tvůrci snadno zjistit důležitá hesla. Naproti tomu Backdoor trojani vytváření zadní vrátka, kdy otevřou síťový port, pomocí něhož se může útočník dostat do vzdáleného počítače. Posledními podtřídami trojských koní jsou Dropper a Downloader. Zatímco Dropper v sobě nese další druhy škodlivého kódu, jímž pak po spuštění infikuje počítač, Downloader se snaží do počítače stáhnout malware z internetu podle předem stanovených adres. [3, str. 47], [9, str. 10], [11] 3.5. Rootkity Jako rootkit je možné označit kterýkoli prostředek, který má za úkol skrýt činnost prováděnou na operačním systému. V podstatě se jedná o běžně užívané systémové programy, jež jsou ovšem upravené tak, aby nebyly vidět a útočník mohl neomezeně přistupovat do systému. Název rootkit pochází z UNIXového prostředí, kde se jím označuje účet administrátora systému. Asi nejznámějším použití rootkitu má na svědomí vydavatelství Sony BMG Music Entertainment, které na hudební nosiče implementovala ochranu proti kopírování zvanou XCP. Jakmile byl disk vložen do počítače se systémem Windows, tento program se bez vědomí uživatele sám nainstaloval, aby znemožnil kopírování disku a vytvoření MP3. Protože ho nebylo možnými prostředky vidět a ani ho nešlo odinstalovat, firma Sony čelila ze strany uživatelů mnoha žalobám a nakonec byla nucena svým zákazníkům nosiče s programem XCP, pro něhož se vžil název Sony rootkit, vyměnit za nové bez této ochrany. [1, str ] 3.6. Spyware Termín vznikl spojení anglický slov spy a software, což lze volně přeložit jako špionážní program. Jedná se o relativně nový druh aplikací, jejichž cílem je sbírat informace o uživateli (např. o nainstalovaném softwaru) a o jeho chování na internetu (např. navštívené stránky), aby na základě těchto informací mohla být cílena reklama. Spyware se do počítače nejčastěji dostává společně s instalací ne zcela legálních programů, které slouží například pro sdílení

23 médií. Důležitou vlastností spywaru je, že není napsán s úmyslem škodit, a proto je tedy zcela legální. Otázkou však zůstává, zdali jím získané informace nemohou být zneužity, nemluvě o narušení soukromí uživatele. Dalším problém spočívá v tom, že spywarové programy nemusí být dobře naprogramovány a v případě jejich většího množství v počítači mohou dramaticky snižovat jeho výkon. V horších případech pak může dojít i k poklesu úrovně bezpečnosti internetového prohlížeče či jiných částí systému. [2, str ], [3, str ] 3.7. Adware S reklamou se setkáváme na každém kroku a výjimkou není ani počítač. Je-li řeč o adwaru, nejčastěji se jedná o reklamu ve formě vyskakovacích pop-up oken, bannerů, nevyžádaných webových stránek, zobrazených ikon v oznamovací oblasti, přidání lišt na panel internetového prohlížeč a dalších prvků, které otravují uživatele. Do počítače se adware často dostává instalací bezplatných produktů, nebo může být jejich součástí. V tomto případě se ovšem nemusí jednat vždy o adware, nýbrž o způsob placení za využívání služby. Na adware se vztahuje licenční ujednání EULA, takže s jeho instalací uživatel může nebo nemusí souhlasit. Někdy ovšem nemá na výběr, chce-li produkt s bezplatnou licencí používat. [2, str ], [3, str ] 3.8. Phishing Podstatou phishingu je vytvoření podvodné zprávy šířené em, pomocí které se snaží útočník vylákat citlivé údaje od koncového uživatele. Phishing využívá metod sociálního inženýrství, při nichž zneužívá důvěru osob uvnitř konkrétního systému. Pro tento účel se nejčastěji používají falešné y, které se tváří, že pocházejí od významné finanční instituce, a žádají příjemce, aby kliknul na uvedený odkaz a vyplnit údaje v připraveném formuláři, jinak mu může být zablokován účet. Odkazované stránky přitom vypadají, jako by se jednalo o stránky dané instituce, napodobována bývá rovněž URL adresa. Ve skutečnosti ale jde o podvrh s cílem dostat od uživatele důvěrné informace číslo bankovního účtu, PIN, atd. Tyto získané údaje pak mohou podvodníci snadno zneužít nebo s nimi obchodovat. Existuje několik výkladů, jak vznikl termín phishing. Jedna teorie tvrdí, že ve slově fishing (rybaření) bylo počáteční písmeno f zaměněno za dvojici písmen ph. Další teorie říká, že jde o zkratku ze slov password harvesting fishing sběr hesel rybařením, a podle třetí teorie se jedná o kombinaci slov phreaking a fishing. Ať už je pravda jakákoli, v Česku se pro tento způsob protiprávního jednání vžil termín rhybaření (skutečně s rh ). [1, str. 112], [9, str. 16]

24 3.9. Spam Spam se stal velkým fenomén v oblasti internetové komunikace. Tento název se původně používal pouze pro nevyžádané reklamní y, dnes se s ním ale můžeme setkat i v ostatních typech internetové komunikace (diskusní fóra, komentáře, IM, sociální sítě apod.). Ačkoli se jeho vznik datuje ještě před zrodem internetu, jaký známe dnes v květnu 1978 odeslal obchodník Gary Thuerk příjemcům pošty v síti ARPANET zprávu s pozvánkou na promo akci nového počítače svůj vrchol zažívá až v posledním desetiletí, kdy jeho objem jednoznačně převyšuje množství pošty žádoucí. Situace ohledně šíření nevyžádané pošty dospěla tak daleko, že nebýt účinných filtrů, ové schránky by byly prakticky nepoužitelné. Spam tvoří nejčastěji reklama zaměřená na léčiva, kasino, nelegální software, finanční služby atd. Problematiku spamu v České republice od roku 2004 spravuje Zákon o některých službách informační společnosti (č. 480/2004 Sb.). [1, str ], [15] Hoax Termínem hoax se označují poplašné zprávy a různé řetězové zprávy, které vždy žádají, aby je uživatel přeposlal dál. Někteří to skutečně udělají, takže se tyto nesmysly šíří dál a zbytečně tak obtěžují další příjemce, nemluvě o zatížení ových schránek. Není proto divu, že v některých větších firmách vytvořili proti nim interní směrnice. [11] Co se týče poplašných zpráv, ty obvykle varují před hrozící počítačovou infekcí, která je smyšlená. Často se také objevují nejrůznější prosby o pomoc, ať už fiktivní, či neaktuální, fámy o mobilních telefonech, snadné zisky atd. Jeden příklad za všechny: Ahoj vsichni. Prosim Vas neberte to na lehkou vahu. Bill Gates se rozhodl podelit se o sve bohatstvi Myslel jsem si, ze je to blbost, ale po dvou tydnech, co jsem tento mail obdrzel a preposlal dale, me Microsoft kontaktoval kvuli adrese a během par dnu mi prisel sek na $ Prosim preposlete to co nejvice lidem. Dostanete minimalne US$ [10]

25 4. Obrana před škodlivým i k ó d y 4.1. Dělení antimalwarových programů Jednoúčelové antiviry Tyto programy jsou určeny pro detekci a zpravidla i k odstranění jednoho či více druhů malwaru. Obvykle se jedná o jednoduché utility, které někteří výrobci uvolňují v případě rychle se šířící nákazy. Nelze je tedy brát coby plnohodnotnou antivirovou ochranu. Jako příklad lze uvést program ESET Conficker Removal Tool nebo BitDefender Removal Tool, což jsou nástroje k odstranění červa Conficker, dále pak McAfee Rootkit Detective, který naopak vyhledává a odstraňuje nebezpečné kódy typu rootkit. Podobných programů existuje celá řada a zpravidla jsou k dispozici zdarma Online skenery Pro uživatele, kteří chtějí ověřit, zdali se v jejich počítači nenachází nějaký malware a přitom nechtějí instalovat žádný program, jsou určeny tzv. online skenery. Ty lze charakterizovat coby jednoduché a bezplatné webové služby, které poskytuje drtivá většina velkých antivirových firem (ESET Online scanner, BitDefender Online scanner, Symantec Security Check apod.). Online skenery nejsou ovšem zaměřeny pouze na detekci škodlivých programů, některé také umějí otestovat zabezpečení komunikačních portů počítače nebo firewallu. Většina z těchto služeb, k jejichž činnosti stačí pouze podporovaný webový prohlížeč, také nabízí možnost odstranění škodlivého softwaru. V tomto případě opět nejde o plnohodnotnou ochranu Antivirové programy Antivirové programy představují nejčastěji používanou formu antimalwarových řešení. Obvykle v sobě zahrnují ochranu před všemi typy počítačové infiltrace tím, že kontrolují nejpodstatnější vstupní a výstupní místa, kudy mohou škodlivé kódy do počítače proniknout, například webové stránky, nebo přenosná média (CD, DVD, USB disk, atd.). Součástí těchto programů jsou samozřejmě také nástroje k odstranění malwaru a nechybí ani možnost aktualizace virové databáze Komplexní bezpečnostní balíky Komplexní bezpečnostní software je v podstatě antivirový program rozšířený o několik dalších komponent, které chrání počítač a uživatele před internetovými útoky, jakými jsou například

26 krádeže identity, spam nebo phishing. Z tohoto důvodu používají často ve svém názvu označení internet security. Mezi hlavní součást komplexních balíků patří na rozdíl od běžných antivirových programů téměř vždy personální firewall a obvyklá bývá také kontrola síťového připojení. V mnoha produktech lze dále narazit na rodičovský zámek, bezpečnostní hodnocení webových stránek a správu přihlašovacích údajů. Některý software obsahuje ještě další nadstavby, jako například zálohu a případnou obnovu dat, skartaci souborů, elektronický podpis, optimalizaci výkonu počítače atd. (viz podkap. 5.3) 4.2. Techniky antimalwarové kontroly Dnešní antimalwarové systémy používají pro ochranu před škodlivými kódy soubor několika technik, díky nimž většinou správně detekují malware a dokážou také opravit infikované soubory. Nutno ovšem poznamenat, že i přes neustálé vylepšování těchto technik není nikdy ochrana stoprocentní, o čemž se lze přesvědčit v praktické části bakalářské práce Antivirový skener Nejstarší metodou pro vyhledávání virů je proces skenování. Ten probíhá tak, že program vyhledává počítačové viry a další typy malwaru na základě dostupné virové databáze. Virová databáze je nedílnou součástí každého antimalwarového produktu a společně s názvem viru obsahuje i informace, podle nichž je možné ho detekovat (např. signatury sekvence vyskytující se v těle jednotlivých virů). Zatímco dříve trvalo virům klidně i několik let, než se rozšířily po celém světě, dnes je díky internetu tato doba razantně kratší, a proto mezi důležité vlastnosti antimalwarových produktů patří také aktualizace virové databáze, při níž program stahuje informace o nově objevených virech, které pak bere v potaz při skenování. Aktualizace virové databáze bývá nejčastěji nastavena automaticky, neboť zpravidla probíhá několikrát za den. Protože doba mezi objevením nové infekce a vydáním patřičné aktualizace antivirovou společností se liší v řádech minut až hodin ve prospěch infekce a program tím pádem nemůže případnou hrozbu okamžitě objevit, používá se několik dalších metod detekce pro dosud neznámé infiltrace. Rozlišujeme dva druhy skenerů: on-demand a on-access. Jak už název napovídá, on-demand skener se spouští na požádání uživatele, tedy manuálně, přičemž kontrolovat lze buď kompletně celý systém, nebo jeho předem definované části (adresář, disková jednotka apod.). K dispozici také zpravidla bývá pokročilé nastavení, kde si lze zvolit, jaké druhy souborů se mají

27 kontrolovat, případně i techniky kontroly. Samozřejmostí pak bývá plánování kontroly po určité době, nebo v přednastavený čas. Protože může být obsluha on-demand skeneru pro běžného uživatele komplikovaná, současné jsou antimalwarové programy vybaveny i on-access skenerem. Ten naopak pracuje zcela automaticky a vyhledává škodlivé programy v datech, s nimiž uživatel pracuje. Jeho práce spočívá v tom, že se zavěsí na přístup k diskům a souborům nebo je implementován jako ovladač zařízení, který se připojuje na souborový systém (FAT, NTFS, atd.). Tomuto druhu ochrany se také říká rezidentní a zabraňuje, aby se v systému spustil známý virus. [3, str. 375], [9, str ] Skenování sekvencí Nejjednodušším a zároveň nejstarším způsobem, jak detekovat počítačové viry, spočívá ve skenování řetězce neboli sekvencí, které jsou pro daný virus typické, a tudíž nejsou obsaženy v čistých programech. Tyto sekvence jsou uloženy ve virových databázích a skener je vyhledává v předdefinovaných složkách a systémových oblastech. Pokud se sekvence shodují, antivir označí daný soubor jako infikovaný. Tímto způsobem je možné detekovat nejen jeden konkrétní virus, ale také příbuzné viry. Na druhou stranu však může dojít k chybné identifikaci, proto se později začaly používat kontrolní záložky, aby bylo jisté, že se opravdu jedná o virus. Pro zrychlení detekce virů se později začala používat metoda skenování začátku a konce, tedy míst, na které se první počítačové viry připojovaly. Ještě rychlejší se pak antivirové skenery staly při používání metody skenování vstupních a fixních bodů neboli míst, jež jsou častým cílem počítačových virů. [3, str ], [9, str. 74] Generická detekce Technika generická detekce rovněž spadá do období skenerů první generace a je obecnější metodou hledání známých virů. Tato metoda používá pro skenování prostý řetězec a uplatňuje se zejména u variant malwaru, které vznikají z původní verze, od níž se liší jen minimálně. Je-li nalezeno více variant škodlivého kódu, vybere se z nich vyhledávací řetězec, který je v nich obsažený, a podle něho lze pak snadno detekovat celou rodinu virů. Tato technika dnes nachází uplatnění především u pokusů o zneužití bezpečnostních děr internetových prohlížečů, které si bývají podobné, a tak v nich lze najít řetězec a podle něj pak odchytit škodlivý program nebo činnost. [3, str. 379], [9, str ]

28 Heuristická analýza Heuristická analýza je jednou z nejvíce používaných metod, díky níž mohou dnešní antivirové programy detekovat i dosud neznámý malware. Heuristika funguje tak, že analyzuje kód souboru a hledá v něm postupy, které jsou pro viry typické nebo nějakým způsobem podezřelé. V současné době se můžeme setkat s pokročilou heuristikou používající ke své činnosti virtuální stroj (VM), který je schopný simulovat některé funkce operačního systému. Kdykoli pak dojde k požadavku na otevření souboru, předá se volajícímu programu virtuální soubor. Škodlivý kód se tak spustí na virtuálním souborovém systému, který je součástí VM. Moderní emulátory dokážou kromě operačního systému simulovat také síťové zásobníky, internetové a poštovní protokoly. Spolehlivost heuristické metody určuje úroveň emulace operačního systému uvnitř skeneru, která je vzhledem k jeho složitosti velkou výzvou. Protože emulace není dokonalá, v praxi se mohou vyskytovat tzv. falešné poplachy, kdy je zcela neškodný soubor označen jako infikovaný. Díky stále se zdokonalujícím metodám jde ale spíše o výjimku než pravidlo. Pomineme-li falešné poplachy, chybí heuristické analýze k dokonalosti ještě několik věcí. Jedním z problémů je emulace DLL knihoven třetích stran, které nejsou součástí VM, a tak se při volání kódu viru emulace pravděpodobně zastaví. Potom také již existuje řada virů disponující ochranu proti emulaci nebo ty, které se nedají detekovat z žádného emulovaného prostředí. Dalším problémem může být rychlost skeneru, která by v případě dokonalé emulace byla pomalá, tudíž je třeba dělat kompromis kvůli rychlosti. [3, str ], [9, str ] Kontrola integrity Princip kontroly integrity spočívá v tom, že jsou porovnávány aktuální stavy objektů s informacemi, které si kontrolor uchoval při posledním průzkumu, případně při své instalaci. Těmito informacemi jsou databáze kontrolních součtů, která bývá zpravidla vytvořena na chráněném místě operačního systému, nebo je dostupná online. Databáze se pak používá při každém spuštění kontroloru, aby bylo možné zachytit nové objekty v systému a změny v těch stávajících. Tímto způsobem lze velice efektivně detekovat virové infekce a jiné škodlivé zásahy do systému, v praxi ovšem bývá její použití problematické. Kontrola integrity totiž počítá s tím, že při prvním skenování není počítač infikován, což lze zaručit pouze po čerstvé instalaci operačního systému. V opačném případě by přítomný

29 malware považovala za neškodné soubory a kontrola by se minula účinkem. Dalším problémem je větší počet falešných poplachů, neboť se vyskytuje spousta programů, jež mění svůj vlastní kód, aniž by šlo o nebezpečnou činnost. Jedná se zejména automatické aktualizace systému, komprimace souborů, kdy dochází ke změně jejich velikosti i integritě. Navíc kontroly integrity fungují pouze na změněných objektech v systému, takže nedokážou rozpoznat nebezpečí ve formě vložení kódu do paměti (např. rychle se šířící červi). Z tohoto důvodu nelze kontrolu integrity také aplikovat na připojená paměťová zařízení, protože není znám jejich výchozí stav. Použití kontroly integrity má samo o sobě řadu nevýhod, ve spolupráci s jinými typy antivirové kontroly přináší ale velký přínos. Například v kombinaci s on-demand skenerem může značně urychlit proces prověřování počítače, kdy jeho kontrola (např. za použití metody skenování, heuristické analýzy apod.) může být díky sledování integrity prováděna pouze u nových a změněných souborů. [3, str ], [9, str ] Monitory podezřelého chování Monitory podezřelého chování (monitorovací programy) fungují obdobně jako kontroly integrity, ovšem s tím rozdílem, že místo souborů sledují chování aplikací, na jejichž základě se snaží blokovat infekce virů. Tyto programy chrání v reálném čase, a pokud se například nějaká aplikace pokusí o nějakou změnu, která má charakteristiku chování viru, zobrazí se na obrazovce varování společně s požadavkem pro povolení této akce. V praxi má toto řešení ovšem několik vad na kráse, jako například to, že dojde ke spuštění varování při provádění legitimních operací a tím pádem i zbytečnému obtěžování uživatele. A jak už to tak bývá u všech antivirových kontrol, samozřejmě existují viry, které ji dokážou obejít nebo dokonce vypnout celý monitorovací systém. [3, str ], [9, str ] Emulace kódu Emulace kódu je jednou z nejvýkonnějších technik pro detekci malwaru. Její princip spočívá v tom, že se škodlivý kód spouští ve virtuální prostředí skeneru, který simuluje CPU a systémy paměti, takže nehrozí nebezpečí spuštění virové nákazy. První program se softwarovou emulací byl F-PROT, jehož pozdější verze už byly schopny tímto způsobem emulovat složité polymorfní viry. Smyslem této metody je, aby program běžící v emulovaném prostředí získal falešnou verzi operačního systému. [3, str ]

30 Sand-Boxing Jednou z moderních metod pro vypořádání se s nebezpečným kódem představuje tzv. sandboxing. Toto řešení, které bývá součástí vícevrstvého bezpečnostního modelu, představuje jakýsi virtuální podsystém klasického operačního systému, v němž se ukládají soubory a spouštějí programy z nedůvěryhodných zdrojů. Pokud by se tedy stalo, že se zde objeví škodlivý program, který se pokusí učinit nějakou změnu nebo třeba poškodit ostatní soubory, bude se tak dít pouze v rámci tohoto pískoviště, přičemž samotný operační systém a data vně tohoto boxu nebudou ohroženy. Sand-boxing má ovšem i svá úskalí. Může například nastat problém s kompatibilitou, kdy nemusí určitý program ve virtuální prostředí správně pracovat. Další překážkou může být nedostatečné zabezpečení virtuálního nástroje nebo skutečnost, že i program z důvěryhodné zóny může být infikovaný. [3, str ] 4.3. Identifikace a pojmenování malwaru Aby bylo zřejmé, o jaký druh nákazy se přesně jedná, byl pro použití v antimalwarových programech vytvořen soubor pravidel, podle nichž jsou jednotlivé infiltrace pojmenovány. Za tímto účelem vznikla roku 1991 organizace CARO, kterou založili pánové Dr. Alan Solomon, Fridrik Skulason a Dr. Vesselina Bontchev. Základní model vypadá takto: <typ_škodlivého_programu>://<platforma>/<jméno_rodiny>.<jméno_skupiny>. <infekční_délka>.<varianta><převod><modifikátory> Většinou však škodlivé programy nevyžadují použití všech kolonek a prakticky vše kromě políčka <jméno_rodiny> je volitelné. Dále bývají používány různé modifikátory, které například vyjadřují způsob šíření dané nákazy. Nejznámějším modifikátorem je který označuje druh virů šířící se em. V praxi bývá pojmenování velkým problémem, neboť kvůli rychlému vzniku nové nákazy se představitelé antivirových společností nestačí na jméně dohodnout a pro jednu konkrétní nákazu tak vznikne více názvů. [3, str ] 4.4. Dezinfekce Antivirové programy obsahují kromě technik pro detekci malwaru také metody, jimiž lze infikované soubory vyléčit. Pokud je některý ze souborů označen jako infikovaný, antivir ho přesune do karantény, aby zabránil jeho dalšímu šíření, respektive nákaze ostatních dat.

31 O tomto procesu bývá uživatel zpravidla informován, přičemž je mu nabídnuto pokud není zapnuto automatické zpracování co se má s dotyčným souborem udělat. V některých případech je k dispozici pouze krajní varianta - smazání, čímž může dojít ke ztrátě důležitých dat, případně součástí systému. U některých druhů malwaru, jimiž jsou například soubory trojských koní a doprovodných virů, je jejich smazání jedinou schůdnou cestou, neboť kromě škodlivého kódu neobsahují žádná další data. U jiných nakažených souborů ale platí, že většina uživatelů dá raději přednost dezinfekci. Je však třeba počítat s tím, že s rostoucím objemem malwaru je stále větší množství pouze detekováno, neboť není v silách antivirových firem, aby pro každý virus napsali léčebnou proceduru. Existuje sice možnost dezinfikovat neznámé viry, to je ale velice obtížné a nelze ji označit za opravdu spolehlivou. [3, str ] Standardní dezinfekce Tuto metodu, která se rovněž nazývá algoritmické léčení, lze aplikovat, jsou-li známé informace o infikovaném souboru. Především je potřeba vědět, jak virus v souboru vypátrat (ve většině případů lze použít vyhledávácí řetězec vybraný z viru), kde ve viru najít původní začátek souboru a jeho velikost v bajtech. Jsou-li známy všechny tyto informace, je možné virus z těla souboru odstranit přečte se původní začátek z kódu viru a vloží se na jeho původní místo, přičemž soubor bude zkrácen na původní délku, která se vypočítá z délky viru. Tento postup je poměrně zdlouhavý, proto byly vyvinuty systémy, které dovedou automaticky replikovat virové vzorky. Nelze ho ovšem všude uplatnit odolné jsou zejména zakódované, mutující a polymorfní viry, nebo ty, které používají nové metody infekce. Co se týče makrovirů, vzhledem ke všeobecně známému formátu dokumentů Microsoft Office dokáže antivirový program snadno určit, kde jsou obsažená makra a tedy i případný virus. Pokud by nedokázal odlišit, která makra jsou škodlivá a která ne, může je v krajním případě odstranit všechna, čímž samotný text dokumentu zůstane nepoškozen. [3, str ] Generická dezinfekce Generická dezinfekce představuje technologicky poměrně jednoduchý způsob, jak léčit infikované soubory, zejména jedná-li se o jednodušší viry. K jejich identifikaci mohou být použity jak techniky heuristických skenerů, tak i standardní metody detekce. Poté přichází na řadu dezinfektor, který načte tyto soubory a začne je emulovat do té doby, než virus obnoví soubor do původní podoby. Virus má totiž uložený začátek původního souboru a jediné, co je

32 potřeba udělat, je zkopírovat čistý program zpět do souboru. Tato technika ovšem není stoprocentní, neboť mohou nastat dva případy nesprávného léčení, a to buď takový, při němž dojde k odstranění velké části souboru, který pak bude nefunkční, nebo naopak bude vymazána příliš malá část a tím pádem v souboru zůstane zbytek kódu viru. Potom se klidně může stát, že ačkoli je tento soubor už prakticky neškodný, některé antivirové skenery ho přesto označí coby infikovaný a způsobí tak falešný poplach. [3, str ] Heuristické léčení Mnoho antivirových programů používá pro léčení nakažených souborů technologii AHD neboli pokročilý heuristický dezinfektor. V podstatě se jedná o metodu generické dezinfekce zkombinovanou s heuristickým skenerem. [3, str ] Léčení prostřednictvím kontroly integrity Malware lze také odstraňovat na základě kontroly integrity, kdy si antivirový program ukládá dostatek informací o původním souboru. Pokud je tento soubor následně infikován, na základě uložených informací může být vrácen do původní podoby a zároveň může být podle kontrolního součtu ověřeno, zda se vyléčená forma souboru shoduje s tou původní. [3, str ], [9, str ] Očkování Metoda očkování se používala v dobách, kdy existoval pouze malý počet počítačových virů. V podstatě nejde ani tak o způsob léčení, ale spíše o prevenci. Tato myšlenka je podobná vakcinaci a její princip spočívá v tom, že software přidává do čistých objektů značku, kterou používají viry kvůli zabránění několikanásobné infekce. V praxi ovšem technika očkování naráží na řadu překážek, jako například to, že každý virus používá jinou značku (pokud tedy nějakou vůbec používá), nebo že očkování může způsobit problémy při detekci a případně dezinfekci. Nemluvě o tom, že není možné očkovat soubory proti neznámým virům. Proto se již tato metoda dnes nepoužívá. [3, str ]

33 4.5. Možnosti prevence Bezpečnostní software není jediným prostředkem, jak chránit data a operační systém před malwarem. Ještě důležitějším způsobem ochrany je samotná prevence, která kdyby byla ze strany uživatelů pečlivě dodržována, mohlo by se předejít drtivé většině případů souvisejících s počítačovou infiltrací Informovanost Mezi nejvýznamnější formy prevence před počítačovou infiltrací patří bez pochyby informovanost, která není bohužel u většiny populace příliš vysoká. Základním pravidlem je zejména neotvírání příloh ů od neznámých odesílatelů, a vůbec kterýchkoli příloh s koncovkami EXE, COM a SCR, není-li si příjemce 100% jist jejich původem. Vůbec nejúčinnějším řešením je tyto a jiné nebezpečné přípony příloh v poštovním klientu filtrovat. Podobně by se měl uživatel chovat také při surfování na internetu a v případě procházení pochybných stránek (pornografie, nelegální software apod.) odolat pokušení a nestahovat odtud soubory do počítače. Vhodným pomocníkem pro kontrolu nezávadnosti stránek jsou bezpečnostní doplňky typu link scanner (kontrola odkazů na právě prohlížené stránce), jež bývají součástí bezpečnostní produktů, samostatně ke stažení nebo případně jako doplňky k některým internetovým prohlížečům. Ty dovedou informovat uživatele o možném nebezpečí ještě předtím, než dané stránky navštíví. Samostatnou kapitolou je warez neboli nelegální software, který je mezi uživateli velice rozšířený. Právě s instalací warezu je spjato riziko virové nákazy a ztráty osobních dat či zneužití důvěrných informací, protože tento software může být upraven s cílem uživatele poškodit [1, str ]. Z analýzy BSA vyplývá, že mnozí lidé vůbec netuší, že pirátský software z internetu může být nakažený viry nebo obsahovat škodlivý program, který o uživateli zasílá podvodníkům jejich soukromé údaje včetně hesel. Ještě větší riziko je pak placení za nelegální software platební kartou, kdy podvodný prodejce obdrží její číslo včetně bezpečnostního kódu.[7] Zlatým pravidlem, jak nepřijít o citlivé osobní informace, je nezadávat přihlašovací údaje na nezabezpečených stránkách. Zabezpečené stránky se poznají tak, že pro výměnu dat používají šifrovanou podobu protokolu HTTP HTTPS.

34 Při instalaci programů by si měl uživatel přečíst licenční podmínky s koncovým uživatelem (EULA). Především u volně dostupných programů jsou totiž často připojovány špionážní a/nebo reklamní programy, díky nimž vývojáři získávají peníze (viz podkap. 3.6 a 3.7) Aktualizace systému Snad každý počítačový operační systém obsahuje chyby bezpečnostní díry, které mohou být využity pro napadení počítače. Tato skutečnost se ale netýká pouze operačního systému, ale i dalšího softwaru, typicky internetového prohlížeče. Případnému útoku lze tedy významně zabránit pravidelnou aktualizací stažením záplat. Budeme-li brát v potaz nejrozšířenější operační systém Windows a nejčastěji používaný webový prohlížeč Internet Explorer, existuje od výrobce firmy Microsoft aktualizační služba Windows Update, která je dostupná na adrese windowsupdate.microsoft.com, kde bývají tyto záplaty zveřejňovány. Služba Windows Update je rovněž integrovaná do operačního systému, a pokud to uživatel povolí, mohou být bezpečnostní aktualizace stahovány a instalovány automaticky, což je jednak pohodlnější, ale především bezpečnější, neboť záplaty jsou k dispozici okamžitě po jejich zveřejnění. Opomenout nelze ani balík kumulovaných záplat, tzv. service pack, který zahrnuje všechny doposud vydané aktualizace pro daný operační systém zároveň s novými funkcemi a vylepšeními. [13] Windows Defender Windows Defender je dalším bezpečnostním prvkem operačních systémů Windows. Ve verzích Vista a 7 je integrovaný, pro starší XP si ho lze zdarma stáhnout. Windows Defender chrání počítač před automatickým otvíráním oken, spywarem a dalším nežádoucím softwarem. Pokud uživatel nedisponuje vlastním bezpečnostním programem třetí strany, měl by Windows Defender pro zajištění větší bezpečnosti ponechat zapnutý. [13] Řízení uživatelských účtů Řízení uživatelských účtů je rovněž vestavěný nástroj Windows Vista a 7, který pomáhá zabránit neoprávněným změnám v počítači. Jakmile má být provedena akce, jež může být potenciální hrozbou (například instalace nového programu), tento nástroj požádá uživatele o povolení. Cílem je, aby se zabránilo samovolné instalaci malwaru či spywaru. Pro větší bezpečnost se tedy rovněž doporučuje mít tento nástroj zapnutý. [13]

35 Firewall Základním bezpečnostním prvkem každého počítače připojeného k internetu by měla být aktivní brána firewall. Ta slouží ke kontrole veškeré komunikace mezi počítačem a vnějším světem, přičemž jeho hlavním úkolem je filtrovat nevyžádané činnosti a obsah. Firewall bývá nejčastěji obousměrný, což znamená, že kontroluje informace přicházející z internetu a rovněž zabraňuje úniku informací z počítače uživatele. Firewall existuje v hardwarové i softwarové podobě, v domácích podmínkách se nejčastěji setkáme s druhou variantou. Co se týče operačních systémů Windows, brána firewall je jejich standardní součástí od dob verze XP Service Pack 2. Krom toho existuje celá řada komerčních i volně dostupných řešení. Firewall bývá také zpravidla obsažen v komplexních bezpečnostních programech. [2, str ] Záloha dat Žádná ochrana není 100% a i přes dodržení veškerých preventivních bezpečnostních opatření se může stát, že vlivem malwaru či jiné škodlivé činnosti přijde uživatel o svá data. Tomu lze však předejít pravidelnou a co nejčastější zálohou, nejlépe na externí disk. Program pro zálohování dat či celého operačního systému bývá rovněž obvykle jeho součástí, podobná řešení nabízejí i někteří výrobci počítačů (např. Rescue & recovery od společnosti Lenovo). Dostupné jsou také zálohovací aplikace třetích stran Bezpečnostní programy Poslední krok prevence spočívá v instalaci antivirového nebo bezpečnostního programu, díky němuž se podstatně sníží riziko virové nákazy a předejde se i spoustě jiným hrozbám. Programů existuje dnes na trhu celá řada, a to ve formě komerčních a bezplatných verzí. Mezi nejspolehlivější volbu z hlediska bezpečnosti patří pořízení komplexního bezpečnostního balíku, který v sobě obsahuje několik komponent pro ochranu počítačových dat. Čeští uživatelé mají ke konci roku 2009 na výběr z 8 bezpečnostních balíků, které jsou lokalizovány do jejich rodného jazyka (viz praktická část bakalářské práce).

36 II. Praktická část

37 5. K o m p l e x n í bezpečnostní software 5.1. Metodologie testování Použitý hardware Zařízení: Lenovo ThinkPad R61 (notebook) Procesor: Intel Core 2 Duo 2,00 GHz Paměť RAM: 3,00 GB Pevný disk: 160 GB (5400 ot/min) Grafický adaptér: nvidia Quadro NVS 140M Použitý operační systém Operační systém: Windows Vista Business SP2 Typ systému: 32bitový operační systém Programy Kritérium výběru programů pro srovnávací analýzu: Komplexní bezpečnostní řešení dostupná k v české lokalizaci pro platformu Windows. Od každého výrobce softwaru, který toto kritérium splňuje, bude vždy testován pouze jeden produkt. Vybrán bude ten, jenž je přímo určen pro ochranu počítačových dat před internetovými hrozbami (internet security). Zvolena bude vždy nejnovější verze programu. Použity budou trial verze programů, které výrobci poskytují na svých domovských webových stránkách k volnému stažení a použití zpravidla na dobu dní. Tyto zkušební verze se svou funkcionalitou nijak neliší od klasických komerčních produktů. Avast! 4 Professional AVG Internet Security 9.0 ESET Smart Security 4 F-Secure Internet Security 2010 Kaspersky Internet Security 2010 McAfee Internet Security 2010 Norton Internet Security 2010 TrustPort PC Security

38 Postup při testování Základem testu budou níže uvedená pravidla, podle nichž bude test realizován. Vzhledem ke skutečnosti, že primárním účelem bezpečnostních balíků je správná detekce škodlivého kódu, bude mít toto kritérium největší váhu při výsledném hodnocení. Dalších důležitou vlastností, která bude hodnocena, je výkon jednotlivých bezpečnostních řešení, což znamená rychlost úplného prověření operačního systému a množství zabrané operační paměti, kterou program potřebuje ke své činnosti. Celkově budou pro každý bezpečnostní produkt zvlášť provedeny tři testy, při nichž budou prověřeny všechny uvedené vlastnosti Základní pravidla Aby byly zajištěny stejné výchozí podmínky pro všechny bezpečnostní balíky a výsledky byly objektivní, bude nejprve vytvořen obraz nově nainstalovaného operačního systému, který bude uložen na externí disk a pro každý dílčí test vždy nahrán znovu do počítače. Během všech dosud uvedených procedur nebude počítač připojen k internetu a ani k němu nebudou připojována žádná další externí paměťová zařízení, aby nemohlo dojít k nevyžádané infiltraci malwarem. Při jednotlivých testech bude použito tzv. on-demand skenování, tedy ručně vyvolaná antimalwarová kontrola celého pevného disku nebo konkrétních adresářů Test č. 1 Schopnost rozpoznání škodlivého kódu bude realizována na sbírce malwaru, jež čítá infikovaných souborů o celkové velikosti 6,5 GB. Tato kolekce škodlivého kódu bude nahrána na pevný disk počítače ještě před instalací bezpečnostního balíku, aby nemohl ovlivňovat průběh jeho kopírování na disk. Následně dojde k instalaci jednoho bezpečnostního programu a připojení počítače k internetu po dobu nezbytně nutnou pro stažení aktuální virové databáze. Poté bude spuštěn 1. test prověření vytvořené složky C://Malware, jehož cílem bude zjistit množství rozpoznaného malwaru. Tento test bude prováděn pro každý program zvlášť a před jeho počátkem bude vždy do počítače nahrána onen dříve vytvořený obraz operačního systému z externího disku Test č. 2 Tento test má za úkol zjistit, jak si na tom jednotlivé bezpečnostní řešení stojí z hlediska falešných poplachů. Coby falešný poplach je brána situace, při níž dojde k chybnému označení

39 souboru jako infikovaný. Pro toto zjištění bude do počítače nahráno přibližně 1,5 milionu různých souborů, které nejsou infikované Test č. 3 V pořadí třetí test se bude zabývat sledováním výkonnostních parametrů bezpečnostních balíků doby úplného prověření systému a velikost využité operační paměti. Tento test bude vždy spuštěn po obnovení operačního systému, který v sobě zahrnuje pouze minimální počet uživatelských dat a integrovaný software Kritéria hodnocení Výrobce Produkt Verze programu DETEKCE (60 %) Rozpoznání malware (30 %) Falešné poplachy (30 %) VÝKON (40 %) Doba úplného prověření systému (20 %) Nárok na paměť RAM (20 %) CELKOVÉ HODNOCENÍ Rozpoznání malwaru Kvalitní detekce malware je alfou a omegou každého bezpečnostního balíku. K testování této vlastnosti bude použita rozsáhlá sbírka nejrůznějšího druhu malwaru a podle toho, jak velký objem bude rozpoznán, získá program hodnocení vyjádřené v procentech. Na celkovém hodnocení bude mít rozpoznání malwaru vliv 30 % Falešné poplachy Kromě kvalitní detekce by měl bezpečnostní software vyvolat co nejmenší počet falešných poplachů a vyvarovat se tak zbytečným omylům, kdy je za škodlivý kód označen čistý soubor. Toto kritérium bude mít stejnou váhu jako schopnost rozpoznání malwaru Výkon Bezpečnostní balík by neměl uživatele příliš omezovat a zpomalovat počítač, proto je důležitým kritériem kromě detekčních schopností také výkon. Tím se v tomto případě rozumí rychlost, jakou program dokáže pracovat prověřit operační systém, a jeho náročnost na operační paměť.

40 Doba úplného prověření systému V tomto případě platí čím kratší, tím lepší. Program, který prověří operační systém nejrychleji, získá u této položky hodnocení 100 %. Od toho času pak bude v příslušném poměru odvozeno hodnocení pro ostatní programy. Protože měření rychlosti kompletního prověření systému bude u každého programu realizováno ve výchozím nastavení, při němž nelze zaručit, že bude ve všech případech kontrolováno stejné množství souborů, bude srovnávací jednotkou počet zkontrolovaných souborů za sekundu. Doba úplného prověření systému se na celkovém hodnocení bude promítat 20 % Nárok na paměť RAM Opět zde platí, že čím méně, tím lépe. Obdobně jako v předchozím případě bude mít zde 100 % hodnocení ten program, jehož náročnost na operační paměť počítače bude nejnižší. Od tohoto čísla se pak stejným systémem odvodí zbylá hodnocení pro ostatní programy. Využití operační paměti jednotlivých programů bude měřeno při úplném prověřování systému freeware programem Sledování paměti (v ). Jako výsledná hodnota bude bráno maximum využité paměti. Poznámky k testování všechny produkty budou testovány v základním (továrním) nastavení operační systém na počítači bude obsahovat nejnovější opravný balíček, tzv. service pack počítač během testování nebude připojen k internetu během testování nebudou prováděny žádné další činnosti, aby nebyl narušen jeho průběh

41 5.3. Testované bezpečnostní balíky Avast! 4 Professional Avast! 4 Professional pochází od české společnosti Alwil Software a představuje soubor technologií pro ochranu počítačových dat. Program existuje také v odlehčené verzi Home pro domácí uživatele, jimž je poskytován zcela zdarma. Uživatelské rozhraní Avast! 4 Professional obsahuje dvě uživatelská rozhraní, mezi nimiž lze přepínat. Jednoduché rozhraní se svým vzhledem podobá multimediálnímu přehrávači a slouží výhradně ke spouštění testů, práci s výsledky a ke změně základního nastavení. Jedná se o hlavní rozhraní programu, z něhož se jde dostat k jeho ostatním součástem. Kromě toho také podporuje skiny, díky nimž si lze jeho vzhled přizpůsobit vlastnímu vkusu. U rozšířeného rozhraní, na rozdíl od toho jednoduchého, probíhá kontrola systému či jeho součástí prostřednictvím Úloh. Uživatel si nejprve nastaví vlastnosti dané úlohy společně s mnoha parametry prohledávání. Každou takto vytvořenou úlohu lze provádět jednou či opakovaně. Po dokončení se automaticky vytváří výsledky testu, s nimiž je možné dále pracovat. Nechybí zde ani plánovač pro nastavení konkrétní doby spuštění úlohy a frekvence jejího opakování. Z hlavní obrazovky rozšířeného rozhraní lze kromě úloh také upravovat parametry rezidentní ochrany, aktualizovat virovou databázi nebo se přímo dostat do virové truhly (karanténa) obsahující infikované soubory. Obr. 5.1 Hlavní obrazovka Avast! 4 Professional Funkce Základní funkcí aplikace je rezidentní ochrana, která se na rozdíl od samotného programu spouští automaticky se startem systému. Rezidentní ochrana chrání počítač v reálném čase. V případě Avastu je tato ochrana založena tzv. rezidentních poskytovatelích neboli modulech sloužících k ochraně jednotlivých částí počítače. Mezi těmito moduly se nachází webový štít monitorující a filtrující veškerý provoz pocházející z webových stránek, síťový štít chránící proti

42 známým útokům internetových červů a analyzující veškerý síťový provoz, dále pak štíty na ochranu programů pro online komunikaci a P2P sítě. Nechybí štít pro ochranu elektrické pošty, který se skládá z dalších dvou částí. První z nich je obecný skener pracující na úrovni ových protokolů, druhý je pak speciální doplněk do poštovní aplikace Microsoft Outlook. Za zmínku stojí rovněž Script Blocker, jehož posláním je sledování veškerých skriptů spuštěných systémem a skriptů aktivovaných na internetových stránkách v podporovaných webových prohlížečích. Poslední úloha základní štít chrání systém souborů. V případě potřeby mohou být jednotlivé rezidentní úlohy buď pozastaveny, nebo v několika stupních změněna citlivost jejich citlivost. Netypickou funkcí programu Avast jsou tzv. push aktualizace virové databáze. Ty se vyznačují tím, že jsou iniciovány ze strany serveru, což znamená, že počítač reaguje okamžitě na rozdíl od klasických aktualizací, při nichž program kontroluje dostupnost nových updatů v přesně stanoveném intervalu. Avast umožňuje také zobrazit o každém viru, který má ve své virové databázi, základní údaje. U velmi rozšířených virů lze rovnou zobrazit poměrně rozsáhlé informace prostřednictvím propojení Avastu s webovou virovou databází. Obr. 5.2 Nastavení rezidentní ochrany Protože se modul pro skenování systému nezapíná automaticky, obsahuje program možnost prověření systému po jeho startu. Tu lze využít v případě podezření na aktivní virus v počítači. Test je vlastně prováděn ještě před samotným naběhnutím systému, tedy v době, kdy virus nemůže být aktivován a ovlivnit tak chování systému. K izolaci potencionálně nebezpečných objektů je určena virová truhla. Truhlu si lze představit jako složku na disku, která odděluje soubory v ní uložené před zbytkem operačního systému. Se soubory v truhle lze dále pracovat, ovšem s jistými bezpečnostními omezeními.

43 Test Programu Avast! 4 Professional se podařilo detekovat infikovaných souborů z celkového počtu možných hrozeb, což představuje přibližně 97,9 % úspěšnosti. Ve druhém testu, který měřil úroveň falešných poplachů na vzorku 1,5 miliónu souborů, označil chybně 2 čisté soubory. Doba úplného prověření systému, do níž bylo zahrnuto celkem nejrůznějších položek, trvala celkem 29 minut a 18 sekund. Rychlost prověřování tedy v tomto případě činila 203 souborů za sekundu. K této činnosti aplikace využila kb operační paměti. Obr. 5.3 Zobrazení přehledu výsledků po dokončeném testu Výrobce Alwil Software Produkt Avast! 4 Professional Verze programu DETEKCE Rozpoznání malware ( variant) 97,9% počet rozpoznaných souborů Falešné poplachy (1,5 mil souborů) 2 VÝKON Doba úplného prověření systému ( souborů) 0:29:18 rychlost prověřování (souborů za sekundu) 203 Nárok na paměť RAM (kb) Tab. 5.1 Výsledky testů

44 AVG Internet Security 9.0 AVG Internet Security je produktem české společnosti AVG Technologies (dříve Grisoft), která již na poli počítačové bezpečnosti působí od roku Na celosvětový trh však vstoupila až v roce 2009, kdy představila novou produktovou řadu 9. Uživatelské rozhraní Při prvním spuštěním programu uvítá uživatele hlavní obrazovka obsahující přehled veškerých nainstalovaných modulů a umožňující přístup ke všem funkcím programu. Celkem je zde k dispozici 12 komponent, u kterých se zobrazuje jejich stav, tedy zdali jsou momentálně aktivní a fungují správně. Na hlavní obrazovce se dále nachází základní statistika, v níž je uvedena doba posledního testu, aktualizace a číslo virové databáze, verze programu atd. Pod ní se vyskytuje vysouvací okénko zobrazující případné upozornění. Kromě přehledu komponent a statistiky lze na hlavní obrazovce narazit na záložku aktualizace, po jejímž kliknutí se v případě nového vydání aktualizuje jak virová databáze, tak i samotná aplikace. Instalace nových aktualizací se rovněž mohou uskutečňovat automaticky. Přímo z hlavní obrazovky je možné spustit test celého počítače, vybraných součástí nebo samostatný antirootkit test. Jednotlivé testovací úlohy si lze naplánovat na libovolný čas. Obr. 5.4 Hlavní obrazovka AVG Internet Security 9.0 Funkce Jak už jsem uvedl výše, AVG Internet Security 9.0 se skládá z 12 různých komponent, z nichž 10 je určenou k ochraně počítače. Jedná se o Anti-Virus, Anti-Spyware, Anti-Spam, Firewall, LinkScanner, Anti-Rootkit, Kontrola pošty, Identity Protection, Webový štít a Rezidentní štít. Zbývajícími dvěma moduly jsou Správa aktuálního licenčního čísla a Systémové nástroje, což je v podstatně pokročilé nastavení. V této části se znázorňují informace o procesech, síťových připojeních, automaticky spuštěných aplikacích atd.

45 Komponentu Anti-Virus lze charakterizovat coby virovou databázi AVG, jež slouží k identifikaci známých virů. To má na starost testovací jádro antivirového programu, které skenuje všechny soubory. Pokud je detekován virus, program okamžitě zabrání jeho aktivaci a následně jej odstraní nebo přesune do virové karantény. K detekci virů je použito skenování, heuristická analýza nebo generická detekce. V případě potřeby se uvedené techniky mohou v rámci jednoho testu kombinovat. Obdobně jako Anti-Virus funguje modul Anti-Spyware s tím rozdílem, že slouží výhradně k identifikaci známého spywaru a umožňuje otestovat počítač na jeho přítomnost. Program pracuje nepřetržitě a na pozadí prověřuje všechny spuštěné aplikace. Provoz na všech síťových portech počítače řídí Firewall. Ten pravidelně vyhodnocuje jednak běžící aplikace, ale také programy, které se snaží navázat komunikaci zvenčí. Kromě toho také průběžně kontroluje výměnu dat mezi Obr. 5.5 Sledování systémových procesů uživatelským počítačem a ostatními počítači v rámci lokální sítě. Cílem LinkScanneru je chránit počítač před nebezpečnými webovými stránkami a odkazy. Jejich ověřování probíhá v reálném čase, při němž se zkoumá, zda jsou prohlížené internetové stránky bezpečné. Současně se také vyhodnocuje a graficky označuje bezpečnost odkazů na nejčastěji používaných vyhledávačích (Google, Yahoo, atd.). Komponentu Kontrola pošty existuje ve formě plug-inu pro vybrané poštovní klienty (např. Outlook Express, Mozilla Thunderbird), který automaticky prověřuje ové zprávy, jestli v nich není obsažen virus či jiný nebezpečný kód. Kontrolu příchozí elektronickou pošty se stará dále modul phishingu. Anti-Spam, který nevyžádané zprávy označuje a zároveň také chrání proti Posláním modulu AVG Identity Protection je ochrana proti krádeži osobních dat (přístupová hesla, bankovní úcty, čísla kreditních karet) prostřednictvím škodlivého softwaru. Kromě toho

46 ověřuje, zdali všechny spuštěné programy pracují správně. V opačném případě škodlivý program zablokuje. Test Programu AVG Internet Security 9.0 se podařilo detekovat infikovaných souborů z celkového počtu možných hrozeb, což představuje přibližně 92,3 % úspěšnosti. Ve druhém testu, který měřil úroveň falešných poplachů na vzorku 1,5 miliónu souborů, označil chybně 2 čisté soubory. Doba úplného prověření systému, do níž bylo zahrnuto celkem nejrůznějších položek, trvala celkem 1 hodinu, 4 minuty a 26 sekund. Rychlost prověřování tedy v tomto případě činila 97 souborů za sekundu. K této činnosti aplikace využila kb operační paměti. Obr. 5.6 Zobrazení přehledu výsledků po dokončeném testu Výrobce AVG Technologies Produkt AVG Internet Security 9.0 Verze programu DETEKCE Rozpoznání malware ( variant) 92,3% počet rozpoznaných souborů Falešné poplachy (1,5 mil souborů) 2 VÝKON Doba úplného prověření systému ( souborů) 1:04:26 rychlost prověřování (souborů za sekundu) 97 Nárok na paměť RAM (kb) Tab. 5.2 Výsledky testů

47 ESET Smart Security 4 ESET Smart Security 4 je bezpečnostní balík spojující uznávanou aktivní ochranu NOD32 Antivirus s firewallem a anti-spamovou technologií. Uživatelské rozhraní ESET Smart Security 4 obsahuje stejně jako konkurenční produkt Avast! 4 Professional dva režimy jednoduchý a rozšířený. Nejedná se však o úplně totožné pojetí, neboť v programu od společnosti ESET je uživatelské rozhraní pro oba režimy stejné a liší se pouze v zobrazených možnostech nastavení. V jednoduchém módu jsou uživateli znázorněny primárně informace o stavu aktuální ochrany, poslední kontroly počítače a virové databáze, základní nastavení umožňující vypnutí a zapnutí jednotlivých součástí programu a přístup k nápovědě či technické podpoře. Všechna nastavení a podrobné statistiky jsou pak k dispozici v rozšířeném režimu. Zde lze například sledovat aktivitu souborového systému či síťového provozu a nechybí ani přehledné statistiky dostupných způsobů ochrany. Obr. 5.7 Hlavní obrazovka ESET Smart Security 4 Funkce ESET Smart Security 4 je komplexním balíkem zajišťující ochranu v síti, ať už se jedná o připojení počítače k internetu či propojení na lokální bázi. Produkt se skládá ze čtyř základních modulů antiviru, antispywaru, personálního firewallu a antispamu. První dva moduly jsou založeny na technologii ThreatSense, kterou společnost označuje veškeré použité metody detekce škodlivého kódu. Kromě kontroly podle virové databáze jsou přítomny i metody proaktivní detekce schopné objevit doposud neznámý malware. Sem patří například pokročilá heuristická analýza, generická detekce a další techniky. Za zmínku stojí rovněž služba TheatSense.net, což je systém včasného varování. Pokud uživatel tento způsob při instalaci programu povolí, může

48 program odesílat podezřelé objekty do laboratoře společnosti ESET a v případě potřeby poskytnout příslušné aktualizace. Co se týče personálního firewallu, ten je vybaven systémem IDS, který umí odhalit různé druhy síťových útoků. Nový režim učení automaticky vytváří pravidla pro firewall tím, že sleduje, jakým způsobem je počítač používán a nabízí i rozšířené režimy nastavení firewallu pro uživatele s pokročilejšími znalostmi a konkrétními požadavky na nastavení. Komunikační kanály jsou navíc kontrolovány i se šifrováním SSL. Mezi ně patří zejména protokoly HTTPS a POP3S. K dalším klíčovým vlastnostem nejnovější verze Smart Security 4 se řadí ochrana proti spamu díky vylepšenému anti-spamovému filtru. Proti škodlivým kódům je příchozí pošta chráněna na úrovni protokolu POP3. Při kontrole přijímaných zpráv jsou použity všechny pokročilé metody kontroly obsažené ve skenovacím jádře ThreatSense. Tím je zabezpečena detekce nebezpečných programů ještě před aktualizací virových databází. Veškerá mailová komunikace je zajištěna pouze u klienta Microsoft Outlook, pro něhož byl vyvinut plug-in. Obr. 5.8 Statistika antivirové a antispywarové ochrany Program ESET se chlubí širokými možnostmi nastavení pro kontrolu počítače. Uživatel si může vybrat z několika přednastavených profilů, u nichž lze konfigurovat jednotlivé vlastnosti, například jaké typy objektů se mají kontrolovat, cíle kontroly, které metody při kontrole použít atd. Mezi doplňkové funkce se pak řadí plánovač úloh, karanténa pro bezpečné uchování infikovaných souborů či protokoly zaznamenávající veškeré podstatné události v aplikaci. Součástí SmartSecurity 4 je také program SysInspector, jež má za úkol důkladně prozkoumat počítač a zobrazit informace, jako jsou nainstalované ovladače a programy, síťové připojení či údaje z databáze registru. Ty pak mohou pomoci zjistit příčiny podezřelého chování systému, ať už vlivem nekompatibility, nebo infekcí škodlivým kódem.

49 Za zmínku stojí dále ESET SysRescue, což je utilita, která umožňuje vytvořit bootovatelné médium (CD/DVD, USB) obsahující ESET Smart Security. Hlavní výhodou tohoto nástroje je, že běží nezávisle na aktuálně nainstalovaného operačního systému, přičemž má přímý přístup k disku a celému souborovému systému. Test Programu ESET Smart Security 4 se podařilo detekovat infikovaných souborů z celkového počtu možných hrozeb, což představuje přibližně 95,6 % úspěšnosti. Ve druhém testu, který měřil úroveň falešných poplachů na vzorku 1,5 miliónu souborů, označil chybně 2 čisté soubory. Doba úplného prověření systému, do níž bylo zahrnuto celkem nejrůznějších položek, trvala celkem 26 minut a 28 sekund. Rychlost prověřování tedy v tomto případě činila 212 souborů za sekundu. K této činnosti aplikace využila kb operační paměti. Obr. 5.9 Zobrazení přehledu výsledků po dokončeném testu Výrobce ESET Produkt ESET Smart Security 4 Verze programu DETEKCE Rozpoznání malware ( variant) 95,6% počet rozpoznaných souborů Falešné poplachy (1,5 mil souborů) 2 VÝKON Doba úplného prověření systému ( souborů) 0:26:38 rychlost prověřování (souborů za sekundu) 212 Nárok na paměť RAM (kb) Tab. 5.3 Výsledky testů

50 F-Secure Internet Security 2010 Bezpečnostní programy F-Secure jsou na českém trhu poměrně rozšířené, za což vděčí především skutečnosti, že Telefónica O2 nabízí zdarma plnou verzi F-Secure Anti-virus všem svým zákazníkům využívající internet. Uživatelské rozhraní Program F-Secure se pyšní jednoduchým, přehledným a graficky velmi vydařeným uživatelským rozhraním. Úvodní obrazovku tvoří rozcestník, který umožňuje rychlý přístup k zobrazení stavu aktuální ochrany, úlohám a statistikám. Z hlavní obrazovky se lze rovněž dostat ke kontrole počítače a detailnímu nastavení jednotlivých funkcí. V záložce Statistika jsou uvedeny veškeré akce, které program od doby své instalace provedl. Sem patří například poslední úspěšná kontrola aktualizací, počet zkontrolovaných a infikovaných souborů, počet povolených a zablokovaných programů atd. Významnější je ovšem záložka Stav, v níž lze sledovat nainstalované funkce a zabezpečení. Funkce jsou rozděleny do tří sekcí počítač, připojení k síti a internet, kde u každé je uvedeno, zdali je zapnuta či nikoli. Obr Hlavní obrazovka F-Secure Internet Security 2010 Funkce Základními stavebními kameny F-Secure Internet Security 2010 jsou ochrana počítače proti malwaru, kontrola mailového a webové přenosu, firewall a rodičovský zámek. Rodičovská kontrola se konfiguruje hned při instalaci programu a pomocí režimů lze nastavit, na jaké stránky mohou jednotliví uživatelé na internetu přistupovat a kdy. Vše je zabezpečeno pomocí nastaveného hesla, které je pak vždy nutné zadat při vstupu do nastavení programu. Kontrola virů a spywaru ve výchozím nastavení automaticky prohledává místní jednotky, vyměnitelná média a stažený obsah. Možnosti kontroly nejsou příliš široké uživatel si může zvolit, zdali kontrolovat pouze známé typy souborů, čímž se urychlí vyhledávání, nebo zdali

51 provádět kontrolu v komprimovaných souborech. Poslední možností je pak použití pokročilé heuristiky. Kontrola může být prováděna v reálném čase, nebo si ji lze naplánovat. Součástí F-Secure Internet Security je aplikace DeepGuard, která analyzuje obsah souborů a chování programů a blokuje nové neobjevené viry, červi a další nebezpečné programy, které se pokoušejí provádět v počítači změny, jež mohou být škodlivé. Jedná se například o změny nastavení systému, pokusy o vypnutí důležitých programů systému nebo jejich úprava. Blokovat programy lze pomocí funkce DeepGuard rovněž manuálně. Mezi další stěžejní prvky bezpečnostního softwaru F- Secure patří také síť ochrany v reálném čase, což je online služba, která poskytuje rychlé reakce na internetové hrozby díky informacím z nainstalovaných společnosti. programů Obr Nastavení kontroly virů a spywaru Vestavěná brána firewall pracuje s profily definující úroveň ochrany počítače. Každý profil brány má přednastavená neměnná pravidla, do nichž lze však přidávat pravidla nová či vytvořit zcela nový profil. Profily firewallu existují v rozsahu od velmi přísné po velmi mírné. Další funkcí je Ochrana procházení internetu zabraňující neúmyslnému přístupu k nebezpečným webům. V podstatě se jedná se o plug-in v prohlížeči, který zobrazuje hodnocení zabezpečení webů uvedených ve výsledcích vyhledávačů a v obsahu webové pošty. Tato ochrana využívá nástroje Exploit Shield, což jsou opravy vyvinuté společností F-Secure, které chrání před zjištěnými chybami zabezpečení v nainstalovaných programech. Nástroje Exploit Shield identifikují nebezpečné weby a znemožňují jim zneužití chyb zabezpečení například k vynucení neoprávněného stažení souborů obsahujících malware. Podporovány jsou všechny známé vyhledávače jako Google, Yahoo apod. Co se týče ové komunikace, filtrování nevyžádané pošty a ochrana proti phishingu pracuje pouze s protokolem POP3.

52 Test Programu F-Secure Internet Security 2010 se podařilo detekovat infikovaných souborů z celkového počtu možných hrozeb, což představuje přibližně 96,2 % úspěšnosti. Ve druhém testu, který měřil úroveň falešných poplachů na vzorku 1,5 miliónu souborů, označil chybně 1 čistý soubor. Doba úplného prověření systému, do níž bylo zahrnuto celkem nejrůznějších položek, trvala celkem rovných 56 minut. Rychlost prověřování tedy v tomto případě činila 65 souborů za sekundu. K této činnosti aplikace využila kb operační paměti. Obr Zobrazení přehledu výsledků po dokončeném testu Výrobce F-Secure Produkt F-Secure Internet Security 2010 Verze programu build 246 DETEKCE Rozpoznání malware ( variant) 96,2% počet rozpoznaných souborů Falešné poplachy (1,5 mil souborů) 1 VÝKON Doba úplného prověření systému ( souborů) 0:56:00 rychlost prověřování (souborů za sekundu) 65 Nárok na paměť RAM (kb) Tab. 5.4 Výsledky testů

53 Kaspersky Internet Security 2010 Kasperky Internet Security 2010 patří mezi nejvybavenější produkty tohoto druhu na trhu. Aplikace poskytuje nejen antivirovou ochranu, ale také ochranu před nevyžádanou poštou, síťovými útoky a phishingem. Uživatelské rozhraní Program disponuje velice uživatelsky přívětivým a přehledným rozhraním. Hlavní okno se skládá ze tří částí informačního panelu, nabídky a aktuálního výběru. Horní část okna ukazuje stav ochrany počítače, která může nabývat tří hodnot barevně odlišených podobně jako světla na semaforech. Levá strana okna poskytuje rychlý přístup k hlavním funkcím aplikace, včetně úloh jednotlivých kontrol, zabezpečení, aktualizací atd. V pravé části nalezneme informace o funkci modulu vybraného v levé části. Slouží ke konfiguraci nastavení této funkce a nabízí nástroje k provedení úloh antivirové kontroly, stažení aktualizací atd. Na hlavní domovské obrazovce se také nachází odkaz do podrobného nastavení, karantény a zprávě, která v grafickém znázornění pomocí grafů informuje o počtu kontrolovaných souborů a zachycených škodlivých objektech za zvolené období. Obr Hlavní obrazovka Kaspersky Internet Security 2010 Funkce Veškeré komponenty programu Kaspersky Internet Security jsou sdruženy v záložce Moje ochrana, kde jsou rozděleny do třech různých větví: osobní data, objekty operačního systému včetně aplikací instalovaných v počítači a síťová aktivita. Odtud se lze rychle dostat k požadované službě a jejímu nastavení.

54 Každý uživatel produktů výrobce může při instalaci programu povolit službu Kaspersky Security Network, která shromažďuje údaje o vybraných bezpečnostních a aplikačních operacích a zasílá je k další analýze ve společnosti Kaspersky Lab pro identifikaci nových hrozeb a jejich zdrojů. Kaspersky Internet Security poskytuje ochranu prostřednictvím 13 vestavěných komponent. K hlavním modulům patří File Anti-Virus, který sleduje systém souborů, provádí kontrolu všech souborů a v připojených diskových jednotkách, které lze otvírat, spouštět nebo ukládat, přičemž jednotlivé soubory jsou kontrolovány na známé viry. Celkem existují 3 druhy antivirové kontroly, a to kontrola zvolených objektů, úplná kontrola skenující celý systém či rychlá kontrola spouštěcích objektů operačního systému. O neznámé hrozby se stará proaktivní obrana, která umožňuje detekovat nový škodlivý program dříve, než provede svoji škodlivou činnost. Tato součást je založena na sledování a analýze chování všech aplikací, které jsou nainstalovány v počítači. Obr Jednotlivé komponenty programu Mail Anti-Virus vyhledává viry ve všech příchozích a odchozích ech, jejichž analýzou v nich zjišťuje přítomnost škodlivých programů. Podporovány jsou protokoly POP3, SMTP, IMAP, MAPI a NNTP, přičemž nechybí ani ochrana proti phishingu. Oproti tomu modul Anti-Spam se integruje do poštovního klienta nainstalovaného v počítači a vyhledává ve veškeré příchozí poště nevyžádaný obsah. Tyto zprávy jsou pak označeny speciálním záhlavím. Program si poradí také s reklamními informacemi, které jsou umístěné na reklamních lištách nebo zabudované do rozhraní různých aplikací. Za tímto účelem byla vytvořena komponenta Anti-Banner. Co se týče součásti Web Anti-Virus, ta naopak sleduje veškerý datový provoz HTTP a rovněž analyzuje webové stránky a detekuje phishing. Prostřednictvím modulu IM Anti-Virus program zajišťuje bezpečnou činnost různých aplikací určených pro rychlé zasílání zpráv. Brána firewall zajišťuje bezpečnost síťové práce v místních sítích i internetu. Tato součást filtruje všechny síťové činnosti pomocí pravidel dvou typů: pravidel pro aplikace a pravidel pro

55 pakety. Při komunikaci se světem najde uplatnění také Blokátor síťových útoků, který se spouští společně se startem operačního systému a sleduje v příchozím datovém toku výskyt charakteristických aktivit síťových útoků. Chráněna je také identita uživatele, o kterou se stará Kontrola aplikací spravující práva programů provádět činnosti s daty uživatele. Zahrnuty jsou složky a klíče registru, uživatelské soubory cookies apod. Test Programu Kaspersky Internet Security 2010 se podařilo detekovat infikovaných souborů z celkového počtu možných hrozeb, což představuje přibližně 94,4 % úspěšnosti. Ve druhém testu, který měřil úroveň falešných poplachů na vzorku 1,5 miliónu souborů, označil chybně 2 čisté soubory. Doba úplného prověření systému, do níž bylo zahrnuto celkem nejrůznějších položek, trvala celkem 20 minut a 12 sekund. Rychlost prověřování tedy v tomto případě činila 188 souborů za sekundu. K této činnosti aplikace využila kb operační paměti. Obr Zobrazení přehledu výsledků po dokončeném testu Výrobce Kaspersky Lab Produkt Kaspersky Internet Security 2010 Verze programu DETEKCE Rozpoznání malware ( variant) 94,4% počet rozpoznaných souborů Falešné poplachy (1,5 mil souborů) 2 VÝKON Doba úplného prověření systému ( souborů) 0:20:12 rychlost prověřování (souborů za sekundu) 188 Nárok na paměť RAM (kb) Tab. 5.5 Výsledky testů

56 McAfee Internet Security 2010 McAfee Internet Security je sada zabezpečení, která chrání počítač před viry, spywarem, podvodnými y a rychlými zprávami, hackery a síťovými škůdci a provádí automatické zálohování důležitých souborů. Uživatelské rozhraní Výchozí komponenta pro ovládání veškerých funkcí programu nese název SecurityCenter a je dostupná okamžitě po startu operačního systému. SecurityCenter obsahuje dvě nabídky základní a rozšířenou. V rozšířené verzi se nacházejí veškeré navigační nástroje a ovládací prvky, které jsou potřeba pro správu všech oblastí ochrany počítače. Základní nabídku pak tvoří pouze běžné úlohy, jako například zobrazení posledních událostí, podpora, správa sítě, údržba počítače apod. V obou případech pak SecurityCenter slouží ke sledování stavu zabezpečení počítače a pokud se vyskytne nějaký problém, je možné ho zde opravit. Stará se také o stahování a instalaci aktualizací, které probíhají automaticky. Obr Hlavní obrazovka McAfee IS2010 (SecurityCenter) Funkce Kromě modulu SecurityCenter je v bezpečnostním balíku McAfee Internet Security 2010 obsaženo ještě dalších 7 programů: VirusScan, Personal Firewall, SiteAdvisor, Anti-Spam, Parental Controls, EasyNetwork a Backup and Restore. Stěžejním bodem aplikace je komponenta VirusScan, která chrání proti nejnovějším bezpečnostním hrozbám. Ochrana se přitom netýká pouze souborů a složek počítače, ale zaměřuje se také na hrozby z různých vstupních bodů, včetně ů, rychlých zpráv a internetu. Prohledávání probíhá standardně v reálném čase, využít lze ale také ruční prohledávání z Průzkumníku Windows. Z komponenty SecurityCenter se pak dá spustit úplné, rychlé nebo vlastní prohledávání včetně možnosti

57 plánování. Obsaženo je i rychlé skenování QuickScan, které zjišťuje přítomnost hrozeb v částech počítače, které jsou nejčastějšími cíli útoků. Firewall je stejně jako u většiny konkurenčních produktů obousměrný, neboť je sledován příchozí i odchozí internetový provoz. Dále se pyšní pokročilou monitorovací funkcí - umožňuje prohlížet grafické mapy celého světa, na nichž je zobrazen zdroj nepřátelských útoků a provozu. Nalézt lze dokonce i podrobné informace o vlastníkovi zdrojové adresy IP a související zeměpisné údaje, nebo sledovat činnost jednotlivých programů. Obr Konfigurace programu Počítač a soubory Program Anti-Spam zabraňuje přijetí nevyžádaných zpráv do složky Doručená pošta kontrolou příchozích ů a jejich následným označením jako spam, chrání ale také zároveň proti phishingu. Aplikace pracuje s účty POP3 a několika ovými klienty, jimiž jsou například Microsoft Outlook, Mozilla Thunderbird apod. Rodičovská kontrola slouží primárně k filtraci nevhodných stránek, jejími dalšími funkcemi jsou dále ochrana před krádežemi identity online a blokování přenosu osobních údajů. Kromě toho umožňuje také sledovat, kontrolovat a zaznamenávat některé zvyky při procházení neověřených webů a poskytuje bezpečné úložiště osobních hesel. Na nebezpečné webové stránky upozorňuje SiteAdvisor pomocí barevně označených hodnocení. Program EasyNetwork umožňuje bezpečné sdílení souborů, tiskáren mezi počítači připojenými do domácí sítě a zjednodušuje přenos souborů. Tyto funkce jsou následně přístupné na všech počítačích zapojených v síti, kde je tento program nainstalován. Data Backup automaticky ukládá kopie nejdůležitějších souborů na disky CD nebo DVD, do zařízení USB nebo na externí či síťovou jednotku. Za zmínku také stojí program Shredder, který skartuje položky z pevného disku počítače. Ty už pak na rozdíl od běžného vymazání nelze žádným způsobem obnovit.

58 Test Programu McAfee Internet Security 2010 se podařilo detekovat infikovaných souborů z celkového počtu možných hrozeb, což představuje přibližně 98,2 % úspěšnosti. Ve druhém testu, který měřil úroveň falešných poplachů na vzorku 1,5 miliónu souborů, označil chybně 2 čisté soubory. Doba úplného prověření systému, do níž bylo zahrnuto celkem nejrůznějších položek, trvala celkem 2 hodiny, 26 minut a 35 sekund. Rychlost prověřování tedy v tomto případě činila 31 souborů za sekundu. K této činnosti aplikace využila kb operační paměti. Obr Zobrazení přehledu výsledků po dokončeném testu Výrobce McAfee Výrobce Produkt McAfee Internet Security 2010 Verze programu DETEKCE Rozpoznání malware (66173 variant) 98,2% počet rozpoznaných souborů Falešné poplachy (1,5 mil souborů) 2 VÝKON Doba úplného prověření systému ( souborů) 2:26:35 rychlost prověřování (souborů za sekundu) 31 Nárok na paměť RAM (kb) Tab. 5.6 Výsledky testů

59 Norton Internet Security 2010 Norton Internet Security 2010 je nejnovější komplexní bezpečnostní balík od společnosti Symantec. Program využívá model zabezpečení s označením Quorum, který zajišťuje unikátní zjišťování nových škodlivých kódů. Uživatelské rozhraní Úvodní obrazovka programu se skládá ze tří hlavních sekcí počítač, síť a web, kdy u každé lze jedním kliknutím zapínat/vypínat základní funkce programu. U každého okénka je rovněž umístěn odkaz pro přechod do pokročilého nastavení pro danou oblast. Dále je zde uvedena uplynutá doba od poslední aktualizace virové databáze, vstup do historie zabezpečení a karantény. V sekci počítač může uživatel spustit úplné, rychlé nebo vlastní prověřování. Co se týče rychlého prověřování, v tomto případě jsou kontrolovány nejčastěji infikovatelné oblasti, u vlastního prověřování lze skenovat jednotlivé disky, složky nebo soubory. V sekci síť si uživatel může nechat zobrazit počet zranitelných míst programů a částí systému, které jsou aplikací chráněny. Dále se zde setkáme s mapou zabezpečení sítě, pomocí níž lze zjistit, zdali je počítač připojený do sítě zabezpečený či nikoli. Na hlavní stránce je možné také pozorovat využití procesoru, a to jednak celkové, ale také samostatné pro úlohy Norton. K dispozici jsou i grafy sledující vytížení procesoru a paměti, nebo graf znázorňující záznamy o instalaci programů, stažených souborech a kontrole systému včetně možností zobrazení podrobností k daným záznamům. Obr Hlavní obrazovka Norton Internet Security 2010 Funkce Zatímco tradiční technologie zjišťování jsou založené na definicích a analýze chování, funkce Quorum coby klíčový prvek aktuálních bezpečnostních produktů společnosti Symantec funguje

60 tak, že sleduje soubory a jejich atributy (např. stáří, zdroj, rozšířenost apod.), podle nichž je pomocí mnoha algoritmů stanovena jejich pověst. Ta je pak na základě změny těchto atributů aktualizována, přičemž dalším hlediskem vytváření pověsti je distribuce souboru v internetu. Snahou nové technologie má být co nejrychlejší schopnost detekce hrozeb, neboť záměrem počítačových pirátů je vytvořit nové a unikátní fragmenty škodlivého kódu, které ještě nebyly identifikovány. V modelu zabezpečení Quorum ovšem právě naprostá jedinečnost souboru a jeho atributů signalizuje, že půjde s největší pravděpodobností o škodlivý kód. Mezi další hlavní technologie programu patří skupina funkcí Norton Insign. Funkce Download Insign má za úkol analyzovat bezpečnost nových souborů a aplikací ještě před tím, než budou naistalovány a spuštěny. Systém Insign naopak poskytuje informace o systému za účelem jeho optimalizace, kterou lze uskutečnit prostřednictvím automatické či vyžádané optimalizace programů. Tato funkce také zobrazuje poslední události v počítači a poskytuje informace potřebné ke zkoumání a analyzování problémů s počítačem. Threat Insign zjišťuje podrobnosti o hrozbách v počítači, určuje jejich původ a první kontakt s nimi. Obr Nastavení počítače Funkce Insign Network založená na technologii Quorum stanovuje úroveň důvěryhodnosti souboru pomocí statistické analýzy atributů souboru vycházející z prověření několika miliónů počítačů. Díky tomu je program schopen určit důvěryhodné a nedůvěryhodné soubory. Podobně funguje služba Norton Safe Web, která k výsledkům hledání vyhledávačů Google, Yahoo! a Live.com přidává hodnocení bezpečnosti webových serverů. V záložce web je si je možné importovat přihlašovací údaje z internetového prohlížeč pro různé webové stránky. Ty jsou následně šifrovány a chráněny v datovém úložišti, aby nedošlo k jejich

61 odcizení. Funkce Identity Safe zároveň také blokuje falešné webové stránky před podvodným vylákáním osobních údajů a automaticky uživatele přihlašuje na webové stránce. Test Programu Norton Internet Security 2010 se podařilo detekovat infikovaných souborů z celkového počtu možných hrozeb, což představuje přibližně 98,5 % úspěšnosti. Ve druhém testu, který měřil úroveň falešných poplachů na vzorku 1,5 miliónu souborů, neoznačil chybně žádný čistý soubor. Doba úplného prověření systému, do níž bylo zahrnuto celkem nejrůznějších položek, trvala celkem 50 minut a 43 sekund. Rychlost prověřování tedy v tomto případě činila 86 souborů za sekundu. K této činnosti aplikace využila kb operační paměti. Obr Zobrazení přehledu výsledků po dokončeném testu Výrobce Symantec Produkt Norton Internet Security 2010 Verze programu DETEKCE Rozpoznání malware ( variant) 98,5% počet rozpoznaných souborů Falešné poplachy (1,5 mil souborů) 0 VÝKON Doba úplného prověření systému ( souborů) 0:50:43 rychlost prověřování (souborů za sekundu) 86 Nárok na paměť RAM (kb) Tab. 5.7 Výsledky testů

62 TrustPort PC Security TrustPort PC Security je komplexní bezpečnostní balík, který kromě běžných funkcí zahrnuje i několik neobvyklých komponent. Unikátní funkcí je rovněž použití několika skenovacích motorů. Uživatelské rozhraní TrustPort PC Security se skládá celkem z 6 modulů, které lze obsluhovat v uživatelském rozhraní pojmenovaném TrustPort Control. Toto uživatelské rozhraní obsahuje dva režimy zjednodušený a rozšířený mezi nimiž lze snadno přepínat. Zatímco v jednoduché nabídce je výpis jednotlivých komponent, které lze zpravidla pouze aktivovat, případně spouštět jejich nejčastěji používané funkce, v rozšířeném režimu jsou tyto komponenty zobrazeny ve stromové struktuře, pomocí níž se uživatel dostane ke všem funkcím TrustPort PC Security. Bezpečnostní balík dále podporuje změnu vzhledu svých aplikací prostřednictvím skinů, které lze zdarma stáhnout na Obr Hlavní obrazovka TrustPort Funkce TrustPort PC Security se od konkurenčních řešení liší především tím, že obsahuje hned několik skenovacích motorů, díky nimž dosahuje výborných výsledků při detekci malwaru. Stinnou stránkou je však delší doba prověřování, neboť program jednotlivé soubory kontroluje hned několikrát. Skenovací motory jsou ve verzi PC Security aktuálně celkem dva AVG a BitDefender. U každého motoru jsou zobrazeny dvě zaškrtávací políčka, která slouží k určení, pro jaký skener se má daný motor použít. Tuto funkci lze využít při kontrole na vyžádání, rezidentní ochrany a internetové ochrany, což znamená, že je možné vybrat třeba jen jeden motor pro rezidentní ochranu a pro kontrolu na vyžádání mít všechny dostupné motory. Mezi stěžejní prvky TrustPort Security patří modul Antivirus, který v sobě mimo jiné zahrnuje také rezidentní ochranu, ový a webový skener. Samozřejmě nechybí ani kontrola na

63 vyžádání, která je určena k vyhledávání malwaru ve vybraném adresáři, na pevných discích a výměnných médiích. Kontrolu lze spustit ze systémového menu, kontextového menu nebo přes rychlé spuštění. Co se týče u, program kontroluje všechnu komunikaci na protokolu POP3, nebo může být využit jako doplněk pro poštovní klienty Outlook, Windows Mail a Mozilla ThunderBird. Součástí e- mailového skeneru je také ochrana proti spamu. Webový skener sleduje veškerou komunikaci přes HTTP protokol. V případě pokusu prohlížet nebo stáhnout zavirovaný soubor zobrazí v prohlížeči chybovou stránku se základními informacemi o tomto souboru. Obr Nastavení skenovacích motorů TrustPort PC Security obsahuje konfigurovatelný firewall se čtyřmi přednastavenými pravidly filtrace spojení. Uživatelé znalí problematiky pak jistě ocení vytváření dalších filtrů na základě protokolu událostí. Ve složce firewall lze dále narazit na statistiku síťového provozu a přehled komunikace podle síťových portů. Modul Data Shredder je skartovací program, který se postará o likvidaci citlivých dat tak, aby je už nebylo možné obnovit, což pro klasické mazání neplatí. Tato funkce dále umožňuje skartovat určité části systému, jež mohou obsahovat citlivá data v nešifrované podobě, jako například cookies, dočasné soubory, odpadkový koš atd. Modul Disk Protection umožňuje online šifrování dat pouhým přesunutím souboru na virtuální disk, jejichž počet může být libovolný. S šifrováním dat souvisí také komponenta Archive Protection. Jak už název napovídá, tento program je určen k vytváření šifrovaných archivů, které jsou komprimovány a tudíž vhodné pro datové přenosy. Poslední modul s názvem esign má na starost zabezpečení elektronické komunikace prostřednictvím asymetrického šifrování a elektronického podpisu. Její součástí je nástroj pro správu soukromých klíčů a uživatelských

64 certifikátů, takže s ní lze snadno opatřit dokumentu elektronickým podpisem a časovým razítkem. Test Programu TrustPort PC Security 2010 se podařilo detekovat infikovaných souborů z celkového počtu možných hrozeb, což představuje přibližně 99,1 % úspěšnosti. Ve druhém testu, který měřil úroveň falešných poplachů na vzorku 1,5 miliónu souborů, označil chybně 3 čisté soubory. Doba úplného prověření systému, do níž bylo zahrnuto celkem nejrůznějších položek, trvala celkem 1 hodinu, 19 minut a 24 sekund. Rychlost prověřování tedy v tomto případě činila 50 souborů za sekundu. K této činnosti aplikace využila kb operační paměti. Obr Zobrazení přehledu výsledků po dokončeném testu Výrobce TrustPort Produkt TrustPort PC Security Verze programu DETEKCE Rozpoznání malware (66173 variant) 99,1% počet rozpoznaných souborů Falešné poplachy (1,5 mil souborů) 3 VÝKON Doba úplného prověření systému ( souborů) 1:19:24 rychlost prověřování (souborů za sekundu) 50 Nárok na paměť RAM (kb) Tab. 5.8 Výsledky testů

65 Tab. 5.9 Přehled funkcí bezpečnostních programů Produkt Avast! 4 Professional AVG IS 9.0 ESET Smart Sec. 4 F-Secure IS 2010 Kaspersky IS 2010 McAfee IS 2010 Norton IS 2010 TrustPort PC Security Domovská stránka Cena* Kč Kč Kč Kč Kč Kč Kč Kč Licence 1 počítač 1 počítač 1 počítač 3 počítače 1 počítač 3 počítače 1 počítač 1 počítač Platformy (Windows) 9x, 2000, XP, Vista, , XP, Vista, , XP, Vista, 7 XP, Vista, 7 XP, Vista, , XP, Vista, 7 XP, Vista, 7 98,2000, XP, Vista, 7 Základní funkce Rezidentní ochrana Ano Ano Ano Ano Ano Ano Ano Ano Autom. aktualizace VD Ano Ano Ano Ano Ano Ano Ano Ano Ochrana před viry Ano Ano Ano Ano Ano Ano Ano Ano spyware Ano Ano Ano Ano Ano Ano Ano Ano trojské koně Ano Ano Ano Ano Ano Ano Ano Ano červi Ano Ano Ano Ano Ano Ano Ano Ano rootkity Ano Ano Ano Ano Ano Ano Ano Ano spam Ne Ano Ano Ano Ano Ano Ano Ano phishing Ne Ano Ne Ano Ano Ano Ano Ano Síťová ochrana Firewall Ne Ano Ano Ano Ano Ano Ano Ano Zabezpečení sítě Ano Ano Ano Ano Ano Ano Ano Ano Kontrola stah. souborů Ano Ano Ano Ano Ano Ano Ano Ano Statistika síťového provozu Ne Ne Ano Ano Ano Ne Ano Ano Ochrana dat a komunikace Záloha dat Ano Ne Ne Ne Ne Ano Ano Ne Vytvoření záchranného disku Ne Ne Ano Ne Ano Ano Ano Ano Ochrana osobních údajů Ne Ano Ne Ano Ano Ano Ano Ano Kontrola online komunikace Ano Ano Ano Ano Ano Ano Ano Ano Skenování pošty Ano Ano Ano Ano Ano Ano Ano Ano Webový štít Ano Ano Ano Ano Ano Ano Ano Ano Další funkce Aut. skenování ext.disků Ne Ano Ano Ano Ano Ne Ano Ano Kontrola chování aplikací Ne Ano Ano Ano Ano Ano Ano Ano Rodičovský zámek Ne Ne Ne Ano Ano Ano Ano Ano Integrace do systému Ano Ano Ano Ano Ano Ano Ano Ano *Ceny jsou uvedeny včetně DPH a pocházejí z e-shopů výrobců k

66 5.4. Shrnutí Detekce Nejvíce infikovaných souborů detekoval program TrustPort PC Security, který dokázal rozeznat 99,1 % malwaru. Toto přední umístění se dalo očekávat, neboť TrustPort na rozdíl od ostatních testovaných řešení obsahuje dva na sobě nezávislé skenovací motory, díky nimž se kontrola stává důkladnější. Jak se ovšem ukázalo, použití dvou skenovacích motorů má i svou zápornou stránku, kterou je vyšší počet falešných poplachů. Těch totiž provedl TrustPort ze všech testovaných bezpečnostních balíků nejvíce, což mu v tomto dílčí testu ubralo několik procent, kvůli nimž se program nakonec umístil na 2-3 pozici společně se softwarem od společnosti McAfee. První příčku obsadil Norton Internet Security 2010, jehož schopnost rozpoznání malwaru sice nebyla nejvyšší, oproti ostatním programům však nevyvolal žádné falešné poplachy TrustPort Norton McAfee Avast F-Secure ESET Kaspersky AVG Obr Nalezených infikovaných souborů (rozpoznání malware)

67 Norton F-Secure Avast AVG ESET Kaspersky McAfee TrustPort Obr Počet falešných poplachů 99,3% 98,1% 98,1% 98,0% 97,6% 96,8% 96,2% 95,1% Norton McAfee TrustPort Avast F-Secure ESET Kaspersky AVG Obr Hodnocení detekce (rozpoznání malware + falešné poplachy)

68 Z uvedených výsledků si lze povšimnout, že všechny programy jsou z hlediska detekčních schopností velmi vyrovnané a dokážou rozeznat drtivou většinu infikovaných souborů v počítači. Zároveň také disponují vyspělými technikami detekce malwaru, díky nimž se lze s falešnými poplachy setkat pouze ve výjimečných případech Výkon Ve výkonnostních měřeních nejlépe obstál ESET Smart Security 4, který dokázal prověřit systém nejvyšší průměrnou rychlostí 212 souborů za sekundu. K tomu maximálně potřeboval pouze kb operační paměti, což je druhý nejnižší výsledek v testu. Na druhé pozici se umístil produkt Kaspersky Internet Security 2010, a to i přesto, že ani v jednom výkonnostním testu nedosáhl na první, ba dokonce ani na druhý nejlepší výsledek. V obou případech měl však velmi vyrovnané výsledky, které mu zajistily toto umístění. To se ovšem nedá říci o programu Avast! 4 Professional, který sice prověřil systém druhou nejvyšší rychlostí 203 souborů za sekundu, při tom si ale vyžádal relativně vysoké množství operační paměti. McAfee TrustPort F-Secure Norton AVG Kaspersky Avast ESET Obr Počet prověřených souborů za sekundu

69 A V G McAfee Norton TrustPort A v a s t kb F-Secure ESETKaspersky Obr Maximum využité operační paměti při prověřování systému 99,2% 91,2% 76,3% 65,2% 64,3% 44,3% 43,2% 41,9% ESET Kaspersky Avast F-Secure Norton McAfee AVG TrustPort Obr Hodnocení výkonu (počet prověřených souborů za sekundu + maximum využité operační paměti)