Детектировать вирусы будут сами пользователи

В следующем году от «зловредов» уже не спасут старые-добрые сигнатуры и хваленая эвристика, искусственный интеллект пасует перед полиморфизмом. Выручать антивирусы, как считают в Symantec, будут сами пользователи, с помощью рейтингования кода, - сообщает InfoWorld. Пользователи будут собирать статистику по хорошим программам, остальное ПО можно будет считать подозрительным.

Засомневаться в возможностях сигнатурного и эвристического методов Symantec заставила неутешительная статистика. В рамках исследовательского проекта за одну лишь неделю ноября из Интернета было загружено около 65 тысяч различных программ. «Зловредов» среди них оказалось не меньше 60%. И дело не только в стремительном количественном росте вредоносного ПО, о котором уже рассказывал TelNews. Хуже то, что большинство свежих троянов проходят антивирусные фильтры незамеченными, и это при том, что антивирусные компании тратят значительные средства на регулярное обновление сигнатур.

«Действительность такова, что большинство «зловредов» не детектируется коммерческими продуктами, и не только производства Symantec, нужно признать, что практически все антивирусы пропускают значительное количество такого кода», - констатирует Кэри Наченберг (Carey Nachenberg) из Symantec. По его словам, компания ежедневно добавляет в базу сигнатур сотни образцов, однако многие из них никогда не используются для детектирования. Вирусописатели перешли от массированных атак с помощью одной и той же программы к точечным ударам с использованием полиморфного кода.

«Сегодня сочетание использования эвристического и сигнатурного методов обнаружения вредоносного ПО оправдано и дает неплохие результаты, - прокомментировал Григорий Васильев, технический директор компании ESET. -Дело в том, что сигнатурный метод у всех разработчиков работает примерно одинаково, однако эвристика достаточно сильно отличается». Он привел результаты ноябрьского тестирования антивирусов с устаревшими сигнатурными базами лабораторией Андреаса Клименти AV-Comparatives. Тогда ESET NOD 32 выявил 71% вредоносных программ.

В «Лаборатории Касперского» напомнили основное правило информационной безопасности: 100% не бывает и быть не может. Антивирусы являются универсальными средствами защиты, и именно эта универсальность не позволяет им гарантированно останавливать 100% новых угроз без ложных срабатываний, либо значительных затрат компьютерных мощностей, - считает Александр Гостев, вирусный аналитик «Лаборатории Касперского».

По его мнению, сигнатур и эвристики, которые используются в современных антивирусах, вполне достаточно для детектирования 98-99% всех угроз (цифры относятся к «Антивирусу Касперского»). «Эффективная защита должна включать в себя и средства «профилактики» - такие как поведенческие анализаторы, виртуальные машины, межсетевые экраны, система контроля уязвимостей и обновлений и так далее», - добавил Александр Гостев.

Союзника в извечном машинном противостоянии брони и меча Symantec ищет в стане пользователей. Спасением от «пропусков» должен стать глобальный «белый список» ПО, который поможет антивирусу принять правильное решение. Опираться он будет не на «отпечатки пальцев» или подозрительные действия приложения, а на отзывы пользователей – подобные тем, что они оставляют в интернет-магазинах или на сайтах онлайновых аукционов.

Так, если ту или иную программу считают полезной лишь несколько человек из многомиллионной армии пользователей, значит, есть основания для подозрений. Предполагается, что такое «комментирование» используемого софта станет доступно уже в ближайших релизах Norton AntiVirus и Internet Security 2008. Разумеется, такая обратная связь будет полностью добровольной, и пользователи всегда смогут отключить эту опцию.

«Если «хорошего ПО» для анализа становится меньше, имеет смысл тратить время на поиск «хороших программ» и информирование пользователей о них, чтобы они избегали всего остального», - резюмирует Кэри Наченберг.

В ESET сообщили, что практиковать «белые списки» в своих продуктах не планируют. «Причины очевидны: пользователь фактически не сможет контролировать работу программ из списка доверия, а вредоносное ПО, попавшее в «белый список», не будет обнаружено антивирусом», - сообщил Григорий Васильев.

«Эта идея была предложена совсем не Symantec. Подобные разработки, в том или ином виде, сейчас есть у ряда антивирусных компаний. В частности, «Лаборатория Касперского» реализовывала схожие технологии для ряда своих технологических партнеров. Недавно мы заключили соглашение о стратегическом партнерстве с одним из мировых лидеров в разработке white-listing компанией Bit9, и эта технология в полной мере будет использоваться в новой версии нашего антивируса, в том числе и для персональных пользователей», - сообщил Александр Гостев.

Понятно, что идея – «черных», «серых», «белых» списков – совсем не нова, она давно используется в антиспам-фильтрах. Тем не менее, сам подход кажется интересным. Зачем отлавливать пытающихся проскочить «зловредов», если можно навесить ярлычки на полезные программы? С другой стороны, в этом случае мы снова возвращаемся к антивирусу, который будет казнить и миловать.