Još prije pojave Interneta, 1971. godine napisan eksperimentalni program Creeper koji je imao sposobnost samokopiranja i smatra se prvim virusom. Program nije bio zlonamjeran i samo je ispisivao poruku: “I’M A CREEPER : CATCH ME IF YOU CAN”. Vremenom, eksperimentisanjem i kroz šalu sa drugim korisnicima dolazi do ideje i pojave zlonamjernog softvera i potrebe za antivirusnim softverom. Po definiciji, antivirusni softver je aplikacija ili skup aplikacija koje su dizajnirane da spriječe, traže, otkriju i uklone zlonamjerni softver. Zlonamjerni softver je dizajniran da bude nevidljiv za korisnika, što ga čini zastrašujuće efektivnim uz njegovu mogućnost brzog širenja. To ima za posljedicu da korisnik nema nikakvo saznanje o funkcionisanju zlonamjernog softvera u pozadini njegovog uređaja koji izvršava krađu podataka ili sabotažu uređaja.
Kako bi uspješno odgovorili na izazove koje tvorci zlonamjernog softvera pred njih postavljaju, proizvođači antivirusnog softvera koriste određene metode za zaštitu i otkrivanje:
- Baza definicija: Osnovni način prepoznavanja zlonamjernog softvera je njegovo definisanje na takav način da ga antivirusni softver može prepoznati i odvojiti od ostatka korisničkog okruženja. Proizvođači antivirusnog softvera stalno rade na analizi novih sigurnosni prijetnji i redovno ažuriraju bazu sa njihovim jedinstvenim popisima koju kasnije redovno preuzima antivirusni softver i koristi u detekciji zlonamjernog softvera.
- Analiza potpisa: Na osnovu definicija u bazi antivirusnog softvera, antivirusni softver vrši analizu skeniranjem korisničkog okruženja odgovarajućim modulima. Ovdje antivirusni softver upoređuje potpise skeniranih objekata sa potpisima u bazi definicija i na osnovu tog poređenja dalje postupa.
- Heuristička analiza: Većina tvoraca zlonamjernog softvera je shvatila kako funkcioniše detekcija analizom potpisa, pa su počeli maskirati zlonamjerni softver. Kao odgovor na ovo, proizvođači antivirusnog softvera su počeli primjenjivati heurističku analizu, koja se često opisuje kao napredna metoda pokušaja i greške. Ova metoda pokušava da pronađe sumnjive osobine u naizgled bezopasnim objektima, koje se mogu pripisati djelovanju zlonamjernog softvera.
- Detekcija u izolovanom okruženju: Neke vrste zlonamjernog softvera su tako dobro maskirane ili enkriptovane da izbjegavaju analizu potpisa i heurističku analizu. Ako ovakav objekta izazove sumnju, neki antivirusni softveri će taj objekat pokrenuti u izolovanom okruženju (eng. sandbox). Ovo okruženje je izolovani dio u sklopu antivirusnog softvera gdje se može izvršiti pokretanje sumnjivih objekata bez ugrožavanja korisničkog okruženja.
- Mašinsko učenje i Vještačka inteligencija: Vremenom hakeri se prilagođavaju i razvijaju nove i naprednije zlonamjerne softvere. Prateći ovu praksu proizvođači su počeli da primjenjuju tehnike mašinskog učenja i vještačke inteligencije kako bi razotkrili nove hakerske tehnike. Svaka nova otkrivena informacija se dodaje u bazu podataka. Što više informacija ima u bazi, softver njihovom kombinacijom postaje sve bolji i bolji u otkrivanju do sada nepoznatog zlonamjeranog softvera.
- Kontrola ponašanja: Antivirusni softver ovdje prati obrasce kao što su odredište, frekvencija i periodičnost rizičnih operacija i količinu promjene kako bi se utvrdilo ima li odstupanja od utvrđenog normalnog ponašanja. Vrši se analiza svake linije izvršenog kôda, svakog zahtjeva za pristupom određenim fajlovima, procesima i servisima. Ovo se odnosi na svaku instrukciju koja je izvršena na nivou operativnog sistemima ili nekog drugog programa koji su uključeni u operaciju koja se izvršava. Operacije kao što su traženje informacija o izolovanom okruženju, gašenje mehanizama zaštite, instalacija softvera i dodavanje na listu za automatsko pokretanje bez učešća korisnika svakako pokazuju zlonamjerno djelovanje i aktivira detekciju od strane antivirusnog softvera.
- Skeniranje u oblaku: Ovdje se vrši provjera sistema u potrazi za nepravilnostima, novim aplikacijama i neuobičajenim radnjama. Svi ti podaci se upoređuju sa ogromnim bazama podatka o aplikacijama i ponašanjima u oblaku kako bi se otkrilo zlonamjerno djelovanje.
- Automatski oporavak: Sposobnost da se identifikuje problem i riješi bez učešća krajnjeg korisnika poništavajući štetu koju je napravio zlonamjerni softver.
- Forenzika: Prikupljanje i prezentovanje ogromne količine podataka koja može biti iskorištena da se odredi šta se desilo prije i poslije incidenta.
Ovdje dolazi do prve podjele antivirusnog softvera na:
- Tradicionalni antivirusni softver,
- Antivirusni softver sljedeće generacije.
TRADICIONALNI ANTIVIRUSNI SOFTVER. U većini slučajeva se pod tradicionalnim antivirusnim softverom misli na softver koji se oslanja na analizu potpisa i heurističku analizu. Jedno vrijeme kombinacija ove dvije tehnike je omogućavala razumno dobro otkrivanje zlonamjeranog softvera. Međutim, razvoj zlonamjernog softvera ne prestaje tako da vremenom metode koje koriste tradicionalna antivirusna rješenja nisu više tako uspješne.
ANTIVIRUSNI SOFTVER SLJEDEĆE GENERACIJE. Ne postoji tačna definicija antivirusnog softvera sljedeće generacije (eng. nextgen AV ili NGAV). Kada govorim o ovoj vrsti antivirusnog softvera, generalno prihvaćeno shvatanje je proaktivan i sistemski orijentisan pristup detekciji zlonamjernog softvera sa ciljem naprednija zaštite od šireg spektra zlonamjernih prijetnji. Uz korištenje tradicionalnih tehnologija analize potpisa i heurističke analize, koriste se još mašinsko učenje i vještačka inteligencija, kontrola ponašanja, skeniranje u oblaku, automatski oporavak, forenzika i bolje orijentisano korisničko okruženje.
Nekoliko godina unazad postojala je jasnija funkcionalna razlika između tradicionalnog antivirusnog softvera i antivirusnog softvera sljedeće generacije. Danas je ta razlika veoma mala i konstantno se smanjuje, jer skoro svi proizvođači antivirusnog softvera implementiraju iste tehnologije koje se koriste u takozvanoj novoj generaciji, tako da ova razlika postaje samo marketinški trik.
OKRUŽENJE. Kako bi korisničko okruženje bilo adekvatno zaštićeno, potrebno je obratiti pažnju na izbor antivirusnog softvera za određeno korisničko okruženje. Ovdje dolazimo do nove podjele antivirusnog softvera:
- Korisnički antivirusni softver,
- Poslovni antivirusni softver.
Korisnički Antivirusni Softver. Antivirusni softveri u ovoj kategoriji se koriste u privatnom ili manjem poslovnom okruženju. Korisnički su orijentisani, što znači da ih lako koristiti i imaju veoma malo mogućnosti prilagođavanja.
Poslovni Antivirusni Softver. Antivirusni softveri u ovoj kategoriji su dizajnirani da zaštite velike organizacije sa većim sigurnosnim potrebama. U ovoj kategoriji su implementirani razni sigurnosni alati, dodatne mogućnost kojih nema u korisničkim antivirusnim rješenjima uz podršku iskusnih profesionalaca.
Da bi se, u datim okolnostima, mogla prepoznati ograničenost korisničkog i potreba za poslovnim antivirusnim softverom, potrebno je detaljnije upoznati zahtjeve, dizajn i mogućnosti obije opcije.
Reaktivno i Proaktivno. Osnovna razlika između ova dva koncepta je način identifikacije i reakcije na prijetnju. Korisnički antivirusni softver koristi reaktivni pristup i radi dobar posao u zaštiti korisničkih uređaja od zlonamjernog softvera. Način odbrane korisničkog okruženja je postavljen tako da se okruženje brani od prijetnji koje su trenutno aktivne. Antivirusni softver će zaštiti okruženje od određenog broja prijetnji, ali će možda propustiti neke. Kako bi ovo bolje shvatili uzeti ćemo primjer opsade tvrđave. U našem slučaju napadači su se već popeli na zid tvrđave i pokušavaju da uđu, pa je veoma vjerovatno i da će uspjeti. Poslovni antivirusni softver koristi proaktivni pristup. To znači da i on pruža zaštitu korisničkih uređaja od prijetnji koje su trenutno aktivne kao i korisnički antivirusni softver, ali pored toga još vrši kontrolu čitavog okruženja ispitujući prijetnje i umanjuje mogućnosti za potencijalne prijetnje i prije nego što se pojave. Koristeći analogiju opsade tvrđave, branioci u ovom slučaju su korištenjem raznih načina odbrane i dalje pod opsadom, ali su onemogućili napadačima da priđu zidinama tvrđave držeći ih uspješno na odstojanju. Koncept ovog pristupa je korištenje više različitih načina da se ukloni sigurnosna prijetnja i prije nego što postane aktivna.
Održavanje i korištenje. Dva različita pristupa, zahtijevaju i različite načine održavanja i znanja za upravljanje. Korisnička antivirusna rješenja ne dolaze sa podrškom profesionalaca koji aktivno prate trenutne i potencijalne prijetnje. Njihovom upotrebom sav teret brige o novim sigurnosnim prijetnjama i ažuriranju hardvera i softvera je na korisniku. S druge strane, poslovna antivirusna rješenja dolaze sa obrazovanim profesionalcima koji konstantno prate i procjenjuju djelovanje sigurnosnog softvera u datom okruženju. Njihov posao je da stalno prate, unapređuju, testiraju, prilagođavaju i implementiraju zaštitu za korisnike. Razlika je vidljiva i u načinu dobijanja povratnih informacija gdje korisnički orijentisana rješenja omogućavaju samo obične izvještaje. Poslovna antivirusna rješenja imaju detaljnije izvještaje sa mnogo više informacija koje profesionalcima mogu pomoći za otkrivanje zlonamjernih aktivnosti.
Mogućnosti. Različiti koncepti sigurnosnih rješenja donose i različite mogućnosti. Poslovna sigurnosna rješenja imaju dodatne mogućnosti i sposobnosti koje omogućuju višeslojnu zaštitu. Dok su korisnička sigurnosna rješenja osiromašene verzije poslovnih, prilagođene osobama koje nemaju tehničku sposobnost za napredno upravljanje. Većina korisnički orijentisanih sigurnosnih rješenja su jednostavnog dizajna i imaju mnogo manje implementiranih sigurnosnih rješenja. Korisničko sigurnosno rješenje će možda podržavati dvostepenu autentifikaciju, ali neće imati sistem detekcije neovlaštenog ulaska. Drugi primjer je firewall. Kod korisničkih antivirusnih rješenja nema neke realne potrebe za upravljanjem sa ovim modulom, pa je moguće podešavati samo osnovne stvari. Kod poslovnog antivirusnog rješenja, podešavanja firewall-a su naprednija, pružaju više mogućnosti i na kraju više i prednosti. Treba obratiti pažnju i na licenciranje, jer poslovna antivirusna rješenja imaju mogućnost instalacije na serverske sisteme, dok to nije moguće sa korisničkim antivirusnim rješenjem.
BESPLATNO ILI KUPOVINA. Svi vole besplatne stvari. Međutim kada je u pitanju sigurnost korisničkog okruženja tu treba biti oprezan. Većina besplatnih antivirusnih rješenja se nalazi u kategoriji korisničkog antivirusnog softvera i ona obično nude osnovnu zaštitu za korisničko okruženje. To znači da će korisničko okruženje biti zaštićeno od uobičajenih virusa, opasnih dokumenata i aplikacija, kao i da će upozoriti na opasnosti sa Interneta. Tehnologije koje su implementirane u besplatna rješenja po kvalitetu variraju od proizvođača do proizvođača. Neka besplatna antivirusna rješenja imaju dosta mogućnosti, ali nisu jednostavna za upotrebu, dok druga imaju jednostavno i razumljivo korisničko okruženje, ali ne nude mnogo zaštite. Kako bi mogli finansirati dalji razvoj, u besplatnim antivirusnim rješenjima, proizvođač će prikazivati reklamni sadržaj koji ponekad zna biti iritantan. Na kraju, po karakteristikama besplatna rješenja su bliža tradicionalnim antivirusnom softveru, što znači da im je teže odgovoriti na savremene izazove. S druge strane danas je potrebno više od običnog alata da bi se zaštitilo korisničko okruženje.
Kupljena antivirusna rješenja imaju mnogo veći izbor alata i tu se obično govori o antivirusnom softveru sljedeće generacije. Pored toga što su bolji u otkrivanju i prevenciji od besplatnih antivirusnih rješenja, kupljeni antivirusni softver dolazi sa podrškom od strane proizvođača, što besplatnim rješenjima nedostaje. Tehnička podrška od strane proizvođača ima najveći uticaj na poslovne antivirusne softvere, gdje je važno brzo reagovati i otkloniti mogući problem ili implementirati neko novo rješenje. Treba napomenuti da postoji nekoliko antivirusnih rješenja u kategoriji poslovnog antivirusnog softvera koja su besplatna, ali je jasno primjetan nedostatak jednostavnosti upotrebe, vizuelnog izgleda, količine alata, mogućnosti i što je opet najvažnije nedostatak adekvatne tehničke podrške. Tehnička podrška, ako postoji kod besplatnih antivirusnih rješenja, je obično na nekom forumu, odnosno kao baza znanja ili u najboljem slučaju preko elektronske pošte.
Kod proizvođača antivirusnog softvera koji u ponudi imaju i besplatan i softver koji se može kupiti, cilj će biti da uvijek kupljena verzija bude vidljivo kvalitetnija od besplatne u smislu alata i mogućnosti, što će konačno uticati i na bolju zaštitu. Kada se govori isključivo o besplatnoj verzija antivirusnog softvera, obično se govori o softveru otvorenog kôda i zajednici okupljenoj oko njega. Tu se pored podrške, pojavljuje i problem finansiranja. Ta rješenja nisu uopšte loša, smo nedostatak resursa i ulaganja sprečavaju da drže korak sa vremenom, pa obično tehnološki zaostaju. Treba napomenuti da nije jednostavno reći da su besplatna antivirusna rješenja loša, posebno kada se govori o običnim korisnicima, odnosno korisničkom antivirusnom softveru. Na kraju se sve svodi na to da korisnik mora procijeniti vrijednost branjenog sredstva ili okruženja i adekvatno tome treba izabrati odgovarajuće antivirusno rješenje, bilo besplatno ili ne.
OPERATIVNI SISTEM. Prije svega treba razjasniti da zlonamjerni softver može izvršavati na bilo kom operativnom sistemu. Ni jedan operativni sistem nije 100% siguran, razlika je jedino u tome što su neki sistemi manje ili više ugroženi i imaju potrebu za korištenjem antivirusnog softvera.
Windows. U posljednje vrijeme, kompanija Microsoft je pojačala sigurnost na Windows operativnim sistemima, redovnim sistemskim ažuriranjima i unapređenjem Windows Defender antivirusnog softvera koji dolazi zajedno sa Windows operativnim sistemom. Sam Windows Defender je bolji od velikog broja besplatnih antivirusnih rješenja i kao takav može zadovoljiti osnovne potrebe sigurnosti korisničkog okruženja. Ipak, Windows korisnici u poslovnom okruženju se okreću kupovini antivirusnog softvera, kako bi bolje zaštitili svoje poslovanje, posebno serverske sisteme.
Mac i iOS. Kompanija Apple ima reputaciju kompanije sa izuzetno bezbjednim uređajima. Ali, njihov macOS nije siguran operativni sistem kada je u pitanju djelovanje zlonamjernog softvera. Neka istraživanja pokazuju da sa obzirom na broj korisnika, uređaji sa macOS-om su više zaraženi zlonamjernim softverom od Windows uređaja. Korisnici se u ovom okruženju takođe okreću kupovini antivirusnih rješenja. Na osnovu svega naučenog kroz macOS, kompanija je napravila iOS operativni sistem koji je jedan od najsigurnijih. Toliko siguran, da za njega nije moguće napraviti antivirusni softver. U iOS-u je implementirana izolacija aplikacija pri njihovom pokretanju, čime je onemogućeno djelovanje zlonamjernog softvera. Ipak, iOS je moguće ugroziti preko ranjivosti nultog dana i ukoliko napadač dobije fizički pristup uređaju.
Linux. U Linux operativni sistem, implementirana su redovna sigurnosna ažuriranja koja ga čine bezbjednim i mnogo otpornijim od drugih operativnih sistema na djelovanje zlonamjeranog softvera. Ali generalno, odgovor se ne krije u sigurnosti operativnog sistemima, već u broju zlonamjernog softvera za ovaj operativni sistem. Za ovo je zaslužan mali broj korisnika u odnosu na Windows i macOS sa jedne strane, a sa druge strane Linux je izvorno orijentisan ka naprednijim korisnicima koji su oprezniji od običnih korisnika kada je riječ o sajber bezbjednosti. Korisnički orijentisane verzije Linux operativnog sistema su veoma bezbjedne, međutim ako govorimo o Linux serverima, tu bi ipak trebalo koristi antivirusno rješenje kao dodatni sloj zaštite.
Android. Kompanija Google je u Android operativni sistem ugradila Google Play Protect kao antivirusnu alatku. Njena najveća mana je što, u većini slučajeva, uklanja bilo koji pronađeni zlonamjerni softver u Google prodavnici. To znači da neće spriječiti da se zlonamjerni softver pojavi, preuzme i instalira prije nego što ga ona ukloni. Nezavisna testiranja antivirusnih softvera pokazuju da Play Protect još uvijek nema dobre rezultate u zaštiti korisničkih uređaja na Android operativnom sistemu, pa je potrebno potražiti dodatno antivirusno rješenje.
ZA I PROTIV. Dugo vremena traje rasprava između programera i proizvođača antivirusnog softvera. Programeri zastupaju mišljenje da je antivirusna industrija koristi loše tehnike odbrane koje su omogućile više prostora za napadače, kao i postojanje lošeg programskog kôda u samom antivirusnom softveru koji omogućava napadačima da ga zaobiđu. Sa druge strane, proizvođači antivirusnog softvera zastupaju mišljenje da je korisničko okruženje više ugroženo ako se ne koristi antivirusna zaštita. Ko je upravu? Obije strane imaju čvrsto stajalište. Međutim, bitka između velikana tehnološke industrije samo nas zatrpava podacima, bez jasnog odgovora.
Protiv. Postoje dva osnovna argumenta protiv antivirusnog softvera: postojanje lošeg programskog kôda u samom antivirusnom softveru i dizajn antivirusnog softvera onemogućava postizanje maksimuma ostalom softveru u korisničkom okruženju. Ako krenemo sa temom lošeg programskog kôda u samom antivirusnom softveru, potrebno je samo pogledati u podatke nekih od najpoznatijih timova, koji se bave lovom na greške u programskom kôdu (eng. bugs). Njihov zaključak je da proizvođači antivirusnog softvera ne vode računa o sigurnosti svog proizvoda. Postavlja se pitanje, ako je moguće iskoristi ranjivost u Internet pretraživaču, zašto ne i u antivirusnom softveru? To je problem, jer naravno ne traže ranjivosti samo sigurnosni istraživači, već i hakeri. Veličina problema može postati jasnija, ako se uzme u obzir da antivirusni softver ima velike korisničke privilegije unutar samog operativnog sistema zbog svoje namjene i načina funkcionisanja. To znači, da napadač koji zna koja vrsta antivirusnog softvera se koristi u korisničkom okruženju, može iskoristiti ranjivost antivirusnog softvera bez bilo kakvog učešća korisnika. Dokumenti koji je objavio WikiLeaks opisuju iskustva američkih APT grupa sa antivirusnim softverom. Pa jedna verzija antivirusnog softvera je skoro bila nemoguća za zaobići, dok je njena prethodna verzija, kako kažu bila “rupa bez dna”, odnosno imala gomilu sigurnosnih propusta.
Drugi dio problema se odnosi na dizajn antivirusnog softvera i funkcionisanje ostalih aplikacija. Jedan od primjera su Internet pretraživači, gdje antivirusni softveri ubacuju svoje tehnike zaštite, blokirajući iste tehnike u samom Internet pretraživaču. U ovom slučaju antivirusni softver “ruši” postojeći sistem zaštite u samom Internet pretraživaču i korištenjem tehnika “hakovanja” primjenjuje svoje sigurnosno rješenje. Na ovaj način se vrši “hakovanje” samih korisnika i “daju ideje” potencijalnim napadačima.
Za. Proizvođači antivirusnog softvera brane svoje napore govoreći da je antivirusni softver jedino rješenje koje je efikasno u borbi protiv stotina miliona sigurnosnih prijetnji. Ako se antivirusna zaštita ne upotrebljava, korisnici su nepotrebno izloženi riziku. Nezavisni sigurnosni stručnjaci daju mnogo realnije viđenje. Oni ne poriču postojanje sigurnosnih ranjivosti u samom antivirusnom softveru, ali skreću pažnju da ih svi veći antivirusni proizvođači odmah po saznanju ispravljaju. Takođe se slažu da je nivo privilegija koje ima antivirusni softver u samom operativnom sistemu opasan, jer se privilegije mogu zloupotrebiti, ali su zaključci koji se zbog toga izvode pogrešni. Programski kôd može sadržavati greške, a te greške nekad mogu biti sigurnosni propusti. I programeri su ljudi, nakon svega, pa se greške moguće pronaći u bilo kom softveru. Postavlja se pitanje šta će prije biti iskorišteno: Rijedak i težak za hakovanje propust u antivirusnom softveru ili mnoge osnovne ranjivosti u drugim softverima koji se koriste? Prema sigurnosnim istraživačima, šanse za iskorištavanje ranjivosti u antivirusnom softveru su male i jedino dovoljno znanja i resursa da ih iskoriste imaju APT grupe, čiji napadi nisu tako česti. Zlonamjerni softver ima veću šansu da nanese štetu korisničkom okruženju od rijetkih APT napada, pa razlog protiv korišćenja antivirusnog softvera zbog njegove ranjivosti nije praktično održiv. Sigurnosni istraživači se slažu da dizajn antivirusnog softvera koji koriste proizvođači nije često najbolji sa tačke gledišta sigurnosti. Ali sa druge strane uz neke opravdane prigovore izvode se skroz pogrešni zaključci. Primjera radi, antivirusni softver “razbija” enkripcija u Internet komunikaciji kako bi provjerio da li zlonamjerni softver komunicira sa napadačem preko enkriptovane veze, što znači da se ubacuje u enkriptovanu komunikaciju između Internet pretraživača i odredišta iz opravdanih razloga.
Da li korisnik treba biti zabrinut zbog moguće ranjivosti antivirusnog softvera zavisi od okruženja. Ako postoje naznake da je korisnik ili organizacija moguća meta APT napada ili nekog drugog ozbiljnog napada, ranjivosti u antivirusnom softveru mogu biti ozbiljan rizik, ali ako je u pitanju običan korisnik, rizik je izuzetno mali. Sa druge strane, korisnici i organizacije koji brane veoma vrijedna sredstva, trebalo bi da koriste zaštitu u više slojeva, a ne samo da se oslanjaju na antivirusna rješenja. Primjetno je da i proizvođači antivirusnog softvera idu u pozitivnom pravcu, pa pokreću razne programe nagrađivanja za otkrivanje ranjivosti u njihovom softveru, ali da zapostavljaju dizajn antivirusnog softvera, što znači da i dalje ostaje upotreba sigurnosnih tehnika antivirusnog softvera ispred sigurnosnih tehnika same aplikacije. Korisnici na kraju imaju samo jedan izbor: “Uzmi ili ostavi”.
Za kraj je važno da korisnik ili organizacija moraju procijeniti vrijednost onog što žele zaštiti i na osnovu toga odlučiti da li im treba ili ne treba antivirusno rješenje. Da li odgovara besplatna verzija ili je ipak potrebno platiti licencu, možda uzeti i poslovni antivirusni softver. Ipak, najvažnije je ovu odluku donijeti na vrijeme i adekvatno procijeniti situaciju.
