Odwiedzamy laboratorium antywirusowe ESET

Jakiś czas temu producent oprogramowania antywirusowego ESET we współpracy z jego polskim dystrybutorem, firmą DAGMA, zaprosił nas i kilku innych polskich dziennikarzy do odwiedzenia ich laboratorium. Dziś z okazji polskiej premiery ich najnowszych rozwiązań zapraszamy na relację z tego wydarzenia. Wspomniana główna siedziba mieści się w Bratysławie na Słowacji, jednakże ESET posiada także wiele placówek rozsianych po całym świecie. W USA przykładowo główną bazą jest San Diego, a jedno z laboratoriów znajduje się również w Polsce, a dokładnie w Krakowie.

Historia firmy sięga aż 1987 roku kiedy to Peter Pasko i Miroslav Trnka odkryli jednego z pierwszych komputerowych wirusów i opracowali szczepionkę na niego. Tak powstał antywirus NOD32, który ma bardzo ciekawą historię dotyczącą nazwy. Twórcy zainspirowali się serialem Nemocnica na okraji mesta w Polsce znanym pod nazwą Szpital na peryferiach (miasta). Tytuł ten przekształcił się w Nemocnica na okraji disku, czyli Szpital na peryferiach dysku, a skrót od tego zdania wraz z numerkiem pochodzącym od 32-bitowej wersji aplikacji przyczynił się do takiej, a nie innej nazwy, czyli NOD32.

Formalnie firma założona została w 1992 roku i od tego czasu przeżyła ogromny rozwój. Obecnie ma ona dystrybutorów w ponad 180 krajach i zatrudnia około 900 pracowników. Doświadczenie potwierdzają liczne certyfikaty i nagrody. Oprogramowanie ESET było wielokrotnie wyróżniane w wielu testach antywirusowych, w tym w polskich mediach. Firma oferuje kompleksowe zabezpieczenia dla komputerów osobistych korzystających z różnych systemów operacyjnych, a od niedawna również dla smartfonów. Swoje produkty prezentuje na wielu pokazach na całym świecie.

Po powitaniu i krótkiej odprawie przeprowadzonej przez Brano Ondrasika przeszliśmy do zwiedzania najważniejszego pomieszczenia w bratysławskiej siedzibie, czyli laboratorium antywirusowego. W tym czasie naszym przewodnikiem był dyrektor ds. badań Juraj Malcho. Pomieszczenie już samym wyglądem robi duże wrażenie. Sami pracownicy z uwagi na specyficzne ułożenie stanowisk i wiszące na ścianach ekrany nazywają je żartobliwie "centrum Houston".

Tutaj trafiają wszystkie próbki wirusów, a ich liczba może sięgać nawet 200 tysięcy dziennie. Pracownicy podkreślają, że większość nadsyłana jest przez użytkowników. Oczywiście wcześniej muszą one przejść odpowiednią selekcję celem pozbycia się śmieci i fałszywych alarmów. Kupowanie próbek raczej nie występuje, a ESET po prostu wymienia się nimi z innymi producentami antywirusów. Następnie rozpoczyna się proces analizy wirusa. Podstawowym zabiegiem jest deasemblacja kodu. Każdy z pracowników ma dwa komputery: jeden służy do normalnej pracy, a drugi do uruchamiania wirusów, gdzie jego system może być błyskawicznie odtworzony z przygotowanego wcześniej obrazu. Wynikiem tego procesu jest nie tylko przygotowanie szczepionki na konkretną odmianę wirusa, ale również analiza jego wpływu na system, co pozwala na opracowanie heurestycznych metod wykrywania jego mutacji. Co ciekawe ESET jako pierwszy zastosował taki system w swoich aplikacjach.

Opisując laboratorium w Bratysławie nie sposób nie wspomnieć o umieszczonych tam ekranach, które od razu rzucają się w oczy. Na mapie zaznaczone jest rozprzestrzenianie się wirusów oraz aktualizowanie wersji programu. Wielkość kropki odpowiada ilości konkretnych akcji. W nieco uproszczonej wersji obejrzeć można to na stronie virusradar.com. Na koniec mieliśmy możliwość zadawania pytań. Juraj Malcho ostudził fantazje o tajnych, rządowych wirusach - te nie są raczej zbyt powszechne, a także trudno je jako takie sklasyfikować. Chłodno wypowiedział się również o malware uszkadzających sprzęt - efektowny wybuch komputera to raczej tylko filmowa fikcja. Z kolei ciekawa okazała się informacja o zagrożeniach mobilnych - kiedyś było to kilka sztuk znanych z nazwy, dziś ich liczba dochodzi nawet do kilkuset dziennie.

Na koniec prowadzący pochwalił oddział firmy znajdujący się w Krakowie mówiąc, że obecnie prawie połowa wszystkich szczepionek przeciw wirusom pochodzi właśnie z naszego kraju. To bardzo dobry wynik poprzedzony szybkim wzrostem obrazującym rozwój polskiej placówki. Ochrona przed wirusami to jednak niekończąca się walka, w której udział bierze bez przerwy około 50 osób w samej Bratysławie.

Następnym punktem wizyty była prezentacja, którą prowadził Robert Lipovsky. Opowiedział on o najnowszych trendach w zagrożeniach. Przedstawiono nam najpopularniejsze metody ataku oraz zaprezentowano ciekawe przykłady. Wspomniano również o największych i najgroźniejszych infekcjach. Część z nich była do przewidzenia, ale część mocno nas zaskoczyła. Dowiedzieliśmy się również jak nazywane są wirusy. Unikalną nazwę najczęściej nadaje osoba, która przyczyniła się do jego wykrycia, natomiast jeśli jest to jakaś mutacja wcześniejszego zagrożenia, to przyjmuje się nazwę nawiązującą do poprzedniej wersji.

Omawianie zagrożeń rozpoczęto od wirusów infekujących strony internetowe. Kod wirusa lub skrypt przekierowujący do witryny, na której ten się znajduje jest bardzo krótki i często trudny do zauważenia. Może być on zamieszczony na specjalnie przygotowanych stronach, albo być doklejony do zwykłych stron z wykorzystaniem luk w oprogramowaniu lub zainstalowanych skryptach. Najczęściej wyświetla on dodatkowe, niemożliwe do ominięcia okienko sprytnie nakłaniające do uruchomienia wirusa.

Innym ciekawym zagrożeniem jest malware rozpowszechniane za pośrednictwem serwisów społecznościowych, takich jak Facebook. Specjalnie przygotowany bot kontaktuje się z nami podsyłając link do śmiesznego filmu z naszym udziałem umieszczonym na fałszywej, przypominającej serwis YouTube stronie. Jest on na tyle sprytny, że nie odpisuje błyskawicznie, dzięki czemu stwarza pozory rozmowy z prawdziwą osobą. Zaufanie buduje również nasze imie w tytule filmu i komentarze niektórych naszych znajomych pod nim, jednak nie dajmy się zwieść. By go obejrzeć musimy oczywiście zainstalować dodatkową wtyczkę, w której czeka już paczka innych wirusów.

Pokazano nam również ciekawy przypadek ataku skierowanego. Wirus o nazwie ACAD/Medre infekował zainstalowany na komputerze program AutoCAD. Nie było by w tym nic dziwnego, gdyby nie to, że 96% jego aktywności zarejestrowano w Peru. Wykradał on wszystkie napotkane projekty i przesyłał je na zarejestrowane w chińskiej domenie skrzynki pocztowe. Licznik jednej z nich pokazywał ponad 100 tysięcy wiadomości, a każda z zawierającym projekt załącznikiem. Był to świetny przykład ataku mającego na celu pozyskanie konkretnych danych. Po jego wykryciu nawiązano współpracę z organami ścigania.

Sporą część prezentacji poświęcono również infekcjom dotyczącym systemom MacOS. To, że system jest mniej popularny nie oznacza, że jest całkowicie bezpieczny. To samo tyczy się względnie niezagrożonych Linuksów. Jednak wracając do Maców, sprytnym przykładem był wirus umieszczony w jednej paczce obok zdjęć roznegliżowanych kobiet. Nierozważny użytkownik łapał się i otwierał plik z rozszerzeniem *.app z mylącą miniaturką, i infekcja była gotowa.

Użytkownicy banków zawsze są na celowniku cyberprzestępców. Obecnie jednak, by wykraść pieniądze z kont internetowych oprócz hasła dostępu potrzebujemy również kodu umożliwiającego dokonanie transakcji, który użytkownicy coraz częściej otrzymują w postaci SMSa na telefon komórkowy. Dlatego też przestępcy przygotowują fałszywe strony banków, które nakłaniają użytkowników do zainstalowania dodatkowego oprogramowania na smartfonie. Potem mogą oni bez problemu uzyskać wszystko, co potrzebne do opróżnienia konta z pieniędzy.

Dalej jednak, wbrew pozorom, najskuteczniejszą metodą zarobku dla cyberprzestępców jest nakłonienie użytkownika do dobrowolnego przelewu pieniędzy. Można tego dokonać przez dobrze znane wirusy typu ransomware. Po zainstalowaniu na komputerze blokują go i wyświetlają informację o rzekomym wykryciu nielegalnych działań użytkownika strasząc wizytą policji, jeśli nie zostanie uiszczona odpowiednia opłata. W ten sposób osoby niezorientowane mogą łatwo wpaść w zastawioną na nich pułapkę. Nie trzeba chyba mówić, że ekrany te są w 100% fałszywe, chociaż w niektórych mutacjach wirusa dość trudne do usunięcia. Niekiedy nawet oprócz blokady komputera szyfrują one pliki użytkownika. W tym przypadku ich odzyskanie może być nieco trudniejsze.

Najważniejszym punktem konferencji w Bratysławie była prezentacja nowej wersji antywirusa ESET Smart Security 7 i Mobile Security 2, które w tej chwili są już dostępne dla wszystkich. Zacznijmy od tego pierwszego. W ofercie producenta znajdują się jego dwie wersje. Jedna z nich to sam program antywirusowy NOD32 zapewniający podstawową ochronę i wykrywanie zagrożeń, drugi to pakiet Smart Security wyposażony w dodatkowe funkcje zapewniające kompleksową ochronę komputera. Co prawda wygląd aplikacji nie zmienił się diametralnie, jednak wewnątrz lista zmian i poprawek jest już pokaźna.

Pakiet ESET Smart Security to narzędzie udostępniające program antywirusowy i antyspyware, zabezpieczenie przed phishingiem, zaporę firewall oraz filtr antyspamowy. W nowej wersji dodano kilka nowych, ciekawych rozwiązań. Jednym z nich jest Exploit Blocker. Monitoruje on zainstalowane na komputerze aplikacje pod kątem możliwości infekcji przez ukryte w nich luki. Dodaje to dodatkową warstwę zabezpieczeń i niweluje niebezpieczeństwo tak zwanych ataków zero-day, czyli dokonanych w okresie od wykrycia luki do momentu wypuszczenia przez producenta łatki lub aktualizacji. Exploit Blocker świetnie współpracuje z nowym Zaawansowanym skanerem pamięci. Monitoruje on pamięć i blokuje możliwość wniknięcia malware poprzez zaszyfrowane lub silnie skompresowane pliki oraz inne miejsca, gdzie praca programów antywirusowych jest utrudniona. Wykrywa on również inne podejrzane zachowania rozwijając mechanizm heurestyki.

Nową, ulepszoną funkcją jest ESET Social Media Scanner. Pozwala ona na monitorowanie aktywności w serwisach społecznościowych, takich jak Facebook i Twitter. Zabezpiecza to użytkownika przed coraz sprytniejszymi wirusami rozsyłanymi za pośrednictwem tychże portali. Ma ona możliwość skanowania treści zamieszczanych na tablicy przez nas i naszych znajomych, przesyłanych nam w wiadomościach lub publikowanych w newsach od polubionych fanpage'ów. W przypadku wykrycia zagrożenia ESET może opublikować w naszym imieniu informację pod niebezpiecznym wpisem, dzięki czemu uchronimy przed infekcją naszych znajomych.

ESET Smart Security to również zbiór innych przydatnych narzędzi. Jednym z nich jest Kontroler urządzeń wymiennych. Dzięki niemu możemy ustalić szereg reguł blokujących niechciany ruch przechodzący przez porty USB lub czytniki CD/DVD. Teraz nawet odchodząc na chwilę od komputera nie musimy się martwić, że ktoś nieautoryzowany podłączy się i skopiuje na nasze urządzenie jakieś niebezpieczne dane. ESET to również tryb gracza poprawiający wydajność przy uruchomionej aplikacji pełnoekranowej, ochrona rodzicielska, moduł oszczędzający energię na komputerach przenośnych oraz nowy skaner sieci. Co ciekawe aplikacja funkcjonuje w ramach tak zwanej Unilicencji, co oznacza, że w obrębie jednego komputera możemy instalować go na dowolnej liczbie systemów operacyjnych, jeśli z takowych korzystamy.

Na konferencji pokazano nam również nową wersję antywirusa ESET w wersji mobilnej na telefony komórkowe. Co ważne, jego podstawowa wersja jest dostępna całkowicie za darmo. Umożliwia ona skanowanie w czasie rzeczywistym, przenoszenie plików do kwarantanny i wykrywanie innego szkodliwego oprogramowania. W wersji Premium otrzymujemy dodatkowo system antyphishingowy, możliwość przeprowadzania zaplanowanego skanowania (na przykład w nocy, gdy telefon jest nieużywany) oraz podglądanie spisu uprawnień jaki wymagają zainstalowane na telefonie aplikacje.

Szczególnie zainteresowała nas usługa Anti-Theft. Łączy ona szereg funkcji umożliwiających odzyskanie naszego urządzenia w przypadku kradzieży lub uprzykrzenie życia złodziejowi. Komputerowa wersja aplikacji pozwala na otrzymywanie powiadomień z informacjami o stanie i pozycji skradzionego urządzenia, ukrywanie i blokowanie danych, podmianę tapety i wyświetlenie komunikatu na pulpicie, lokalizację na postawie adresu IP, nazw pobliskich sieci bezprzewodowych lub danych z sieci komórkowych, a także na przesyłanie obrazu z kamerki internetowej. Wersja dla smartfonów pozwala również na lokalizację telefonu, w tym przypadku również z wykorzystaniem danych z GPSa, uruchomienie niewyciszalnej syreny z głośników urządzenia, blokadę telefonu wiadomością SMS, a w wersji Premium również zdalne czyszczenie danych i przesyłanie informacji w przypadku podmiany karty SIM na drugi, zapasowy numer telefonu.

Oprogramowanie ESET pozwala na kompleksowe zabezpieczenie nie tylko komputera, ale w obliczu narastającej liczby zagrożeń, również smartfonów. Oprócz standardowego skanowania bardzo przydatne są też różne dodatki i narzędzia. Szczególnie interesujący wydaje się system antykradzieżowy, który docenimy w przypadku utraty naszego urządzenia, a może nawet umożliwimy jego odzyskanie.

Na koniec naszej wizyty w laboratorium ESET połączyliśmy się z znajdującym się w San Diego oddziałem firmy. Dzięki temu mieliśmy możliwość porozmawiania z Aryehem Goretsky i Stephenem Cobbem o udziale ich placówki w budowaniu oprogramowania ESET, a także o ogólnych trendach i wydarzeniach w świecie zabezpieczeń. Dowiedzieliśmy się między innymi, że północno-amerykańska filia jest największą zaraz po centrum w Bratysławie.

Motywem przewodnim dyskusji był temat edukacji internautów i użytkowników komputerów o podstawowych zasadach zabezpieczeń. Wiele osób nie korzysta z żadnej ochrony antywirusowej, nawet darmowej. Naraża to ich nie tylko na infekcje, ale również na ataki phishingowe i inne, przed którymi można byłoby się łatwo ustrzec. Oprócz tego ważna jest świadomość tego, że cyberprzestępstwa stają się teraz po prostu zwykłymi przestępstwami. Komputery znajdują się obecnie wszędzie i bardzo łatwo jest nakłonić niedoświadczone osoby do ujawnienia prywatnych danych lub przekazania dostępu na przykład do kont bankowych.

Niektórzy czasem świadomie lekceważą swoją prywatność uważając, że kogo interesowały by jego dane. Jednak baza kilku tysięcy takich rekordów to potężne narzędzie. Inna sprawa to rosnąca liczba zagrożeń na telefonach komórkowych. Tutaj odsetek smartfonów z zainstalowanym oprogramowaniem antywirusowym jest jeszcze niższy, a jest to miejsce, gdzie coraz częściej trzymamy najwięcej prywatnych danych, narzędzie wykorzystywane do autoryzacji różnych transakcji bankowych oraz oczywiście sprzęt z podpiętym własnym kontem operatora komórkowego, które łatwo można wyczyścić.

Na zakończenie wizyty w Bratysławie ESET wraz z polskim partnerem, firmą Dagma przygotowali nam wycieczkę ze zwiedzaniem miasta oraz pożegnalną kolację z ich przedstawicielami. Podczas pobytu dowiedzieliśmy się jak funkcjonuje laboratorium antywirusowe, w jaki sposób przetwarzane są próbki, jak od wewnątrz wygląda praca producenta oprogramowania oraz czego możemy spodziewać się po najnowszych wersjach Smart Security i Mobile Security. Wszystkie te programy można pobrać w wersjach darmowych lub testowych, dlatego zapraszamy Was do samodzielnego ich sprawdzenia.