W 1988 roku student Cornell University – Robert Tappan Morris – zablokował pierwszym, napisanym przez siebie robakiem internetowym 6000 komputerów. Było to 10 proc. wszystkich maszyn podłączonych do ówczesnego internetu.
Obecnie laboratoria producentów pakietów zabezpieczających wyłapują od kilku do kilkudziesięciu tysięcy unikatowych złośliwych kodów dziennie! Przy takiej ich liczbie ochrona pojedynczego komputera wymaga sporej mocy obliczeniowej, co drastycznie zmniejsza wydajność komputera w innych zadaniach.
Na szczęście opracowano technologie, które odciążają komputer użytkownika, przenosząc prewencyjną ochronę w inny, ogólnoświatowy wymiar. Znamy co najmniej trzy takie rozwiązania: DeepGuard 2.0 firmy F-Secure, Norton Insight Symanteca oraz Collective Intelligence firmy Panda Security.
Seria analiz
Technologia DeepGuard 2.0 z pakietu F-Secure Internet Security 2009 służy do wykonywania serii analiz aplikacji, którą użytkownik chce uruchomić w systemie Windows. Zanim aplikacja wystartuje, odpowiednie narzędzie pakietu F-Secure przeprowadza skanowanie bazujące na sygnaturach złośliwych kodów. Jeżeli dana aplikacja jest nieznana bazie sygnatur, przystępuje do działania DeepGuard 2.0. Przesyła on do internetu, do sieci serwerów firmy F-Secure, unikatowy identyfikator aplikacji. Serwery pracują w czasie rzeczywistym. Jeżeli aplikacja jest im znana, komputer użytkownika w ciągu kilku sekund otrzymuje odpowiedź, czy program może być uruchomiony, czy też jest złośliwym kodem i zostanie zablokowany.
Jeśli program jest nieznany globalnej sieci – ten rzadki przypadek może wystąpić, gdy program jest uruchamiany przez użytkownika pakietu F-Secure po raz pierwszy na świecie – następuje aktywacja dwóch silników ochronnych. Najpierw silnik Gemini sprawdza, czy plik nie ma charakterystycznych cech złośliwych programów (np. kompresja). Następnie jest uaktywniany silnik Pegasus – wirtualne środowisko, w którym przebiega obserwacja uruchomionego pliku lub programu, bez szkody dla pracującego na komputerze systemu i aplikacji. W efekcie użytkownik zostanie zabezpieczony już w 60 sekund od pierwszego potwierdzenia nowego zagrożenia.
Poziomy zaufania
Technologia Norton Insight korzysta z danych dostarczanych przez użytkowników programów Symanteca oraz serwery producenta na całym świecie. Jej twórcy uznali, że skoro np. przeglądarka Firefox jest zainstalowana na milionach komputerów, a jej plik uruchomieniowy jest uznawany za zaufany, to wystarczy przeskanować jeden egzemplarz, by uznać, że pozostałe nie stanowią zagrożenia. Aplikacja, którą użytkownik próbuje uruchomić, jest weryfikowana w globalnej sieci. Tylko gdy nie zostanie zweryfikowana i uznana za zaufaną bądź złośliwą, uruchomią się na komputerze zasobożerne silniki skanujące.
Norton Insight stosuje też analizy statystyczne, na których podstawie są określane poziomy zaufania do danej aplikacji. W uproszczeniu: jeżeli dany program użytkowany na milionach komputerów nie powoduje złośliwych działań, to otrzymuje wysoki poziom zaufania. Oczywiście zawsze sprawdzane jest, czy użytkownik ma do czynienia z zaufanym programem, czy jego podróbką. Zmiana choćby jednego bitu w kodzie zaufanej aplikacji powoduje utratę zaufania. Gdy program nie ma klasyfikacji, przy każdym uruchomieniu jest skanowany.
Kolektywna inteligencja
System Collective Intelligence w produktach Panda Security przypomina technologie firm Symantec czy
F-Secure. Przede wszystkim przenosi ciężar analizy zagrożeń na serwery producenta. Opiera się na próbkach danych zbieranych automatycznie od użytkowników programów Pandy. Dane te są analizowane i przetwarzane przez producenta, a wyniki analizy w postaci „wiedzy” na temat zagrożeń są rozsyłane do wszystkich jako miniaktualizacje (odbywa się to niezauważalnie dla użytkownika, gdyż mają one małą objętość). Dzięki temu jednostkowy choćby przypadek pojawienia się złośliwego kodu jest rejestrowany, a „szczepionka” trafia do wszystkich użytkowników pakietu ochronnego firmy Panda znacznie szybciej, niż ów złośliwy kod może być rozpowszechniony.
W 1988 roku student Cornell University – Robert Tappan Morris – zablokował pierwszym, napisanym przez siebie robakiem internetowym 6000 komputerów. Było to 10 proc. wszystkich maszyn podłączonych do ówczesnego internetu.
