Kako antivirus proizvodi mogu ugroziti privatnost
Pre dvadeset godina veliki broj korisnika na svojim, tada popularnim desktop računarima, uopšte nije imalo instaliran antivirus program. Tada je Internet još uvek bio retkost, a i nije bilo toliko različitih vrsta virusa koji su napadali tadašnje operativne sisteme. U ovom članku ću pokušati da dam kratak istorijat antivirusa i da ukažem na problem curenja osetljivih podataka.
Pre dvadeset godina veliki broj korisnika na svojim, tada popularnim desktop računarima, uopšte nije imalo instaliran antivirus program. Tada je Internet još uvek bio retkost, a i nije bilo toliko različitih vrsta virusa koji su napadali tadašnje operativne sisteme. U ovom članku ću pokušati da dam kratak istorijat antivirusa i da ukažem na problem curenja osetljivih podataka.
Kako je sve počelo?
Nastanak prvog računarskog virusa bilo je još početkom osamdesetih godina. Naime, zabeleženo je da je prvi virus koji je ikada napisan nastao 1981. godine. Zanimljivo je da je ovaj virus napisan za Apple II računar i poznat je pod imenom Elk Cloner. Njegov autor je bio Richard Skrenta. Međutim, ovaj virus nikada nije bio na slobodi. Pod ovim pojmom se podrazumeva da je on bio isključivo testiran u laboratorijskim uslovima i nikada nije pušten van tog okruženja. Prvi virus koji je bio na slobodi, odnosno koji se nije testirao samo u kontrolisanom okruženju jeste napisan 1986. godine. Ovaj virus je poznat pod nazivom Brain, a poznat je još i pod imenom Brain boot sector. Napisan je za IBM (eng. International Business Machines Corporation) kompatibilne računare, a napisala su ga dva brata iz Islamske Republike Pakistan sa prezimenom Alvi. Sve što danas imamo nastalo je iz ovako skromnih početaka, a kako je reagovala antivirus zajednica videćemo u nastavku.
Kada je nastao prvi antivirus?
Posle pojave prvih virusa pojavio se i prvi program 1987. godine za uklanjanje pod nazivom Bernd Fix. Takođe, ove iste godine pojavio se i G Data CyberDefense AG antivirus za Atari ST računare. Prvi antivirusi imali su isključivo mogućnost da rade detekciju i uklanjnje poznatih virusa. To znači da on zapravo ima bazu sa potpisima (eng. signature) poznatih virusa i ukoliko se određeni fajl poklapa sa potpisom softvera, pretpostavlja se da je fajl inficiran i o tome obaveštava korisnika. Međutim, dešavalo se da određenim tehnikama pisci virusa mogu da prevare ovakav mehanizam pa je sam antivirus softver evoluirao u nešto što se bazira na heuristic tehnici. To znači da iako se ne poklapa fajl sa postojećim poznatim virusima u bazi softvera, može na osnovu nekih ponašanja samog fajla koji odstupa od normalnog da proglasi virusom i detekciju prikaže korisniku. Prvi ovakvi antivirusi nastali su već 1987. godine, a to su Flushot Plus koji je napisao Ross Greenberg i Anti4us koji je napisao Erwin Lanting. Odmah nakon toga 1988. godine startovala je e-mail LISTSERV lista gde se diskutovalo o virusima i načinima uklanjanja. Neki od istaknutih članova iz ove liste uskoro su lansirali svoja komercijalna rešenja, a prvi su bili John McAfee i Eugene Kaspersky. Tek nekoliko godina posle navedenih događaja, 1990. godine Symantec je na tržište plasirao svoj prvi antivirus pod nazivom Norton Antivirus koji je stekao veliku popularnost među korisnicima.
Kako su se dalje razvijali antivirusi?
Pojavom Interneta sve se promenilo, od načina širenja virusa pa do načina rada antivirus softvera. Pojavili su se online skeneri koji su omogućili da se bez instalacije antivirus softvera izvrši provera fajla ili foldera. Takođe, još jedna stvar koja je nešto novijeg datuma jesu cloud-based antivirus rešenja koja koriste napredne tehnike koje zapravo i jesu najveći problem za privatnost podataka korisnika. O tome ću detaljnije u nastavku članka.
Gde se zapravo krije problem?
Problem se javio upravo korišćenjem cloud-based antivirus rešenja. Jedan od veoma poznatih sajtova VirusTotal, gde možete da proverite bilo koji fajl je predstavnik multiskener rešenja. Ovaj projekat je pokrenut 2004. godine od strane security kompanije Hispasec Sistemas u Kraljevini Španiji. Zapravo kada odete na ovaj sajt prvo što morate uraditi je upload fajla koji želite da proverite. Taj fajl se testira kroz nekoliko različitih antivirusnih skenera. Upravo tu se krije najveći problem jer se postavlja pitanje šta se dalje dešava sa tim fajlom. VirusTotal kaže da se ovaj fajl deli isključivo sa njihovim partnerskim security kompanijama i to u cilju povećanja opšteg stanja bezbednosti.
Slučaj Carbon Black-a
Početkom godine security istraživači kompanije DirectDefense napisali su članak o detaljima vezanim za curenje podataka kroz rešenje Cb Response kompanije Carbon Black. Naime, radi se o tome da ovaj alat koji se instalira na računar automatski deli informacije sa sajtom VirusTotal kako bi unapredio zaštitu. Međutim, istraživači su uspeli da pronađu veliki broj cloud ključeva, App store ključeva, internih korisničkih imena i lozinki, korisničkih podataka i interno razvijenih aplikacija uključujući razvijene algoritme i poslovne tajne nekoliko kompanija sa Fortune 1000 liste. Za većinu nađenih stvari po njihovim tvrdnjama jeste kriv mehanizam koji sumnjive fajlove šalje u sandbox rešenje, odnosno razmenjuje sa sajtom VirusTotal. Ono o čemu ovde izuzetno treba voditi računa u poslovnom okruženju jeste koji su to podaci koji se šalju i o kojoj količini podataka je zapravo reč.
Preporuka za zaštitu poverljivih podataka
Ukoliko koristite CB Response ili neki drugi, bilo bi dobro pokušati utvrditi koji se tačno podaci prikupljaju i šta se sa njima dalje radi, pogotovo ako za to nije potrebna dozvola korisnika. Druga stvar koja je bitna jeste isključiti opciju cloud upload-a, ako je to moguće u samom softveru. Nadam se da sam ovim člankom uspeo da bar malo skrenem pažnju poslovnih korisnika na opasnost koja nije dovoljno poznata širem krugu i da će ovo biti bar od neke koristi.