Aggasztóan sok károkozó jelent meg
Andreas Marx, az AV-Test.org vírusszakértője aggasztó számokat tett közzé az (MD5 lenyomat alapján) egyedi vírusminták növekedéséről:
A pontos adatok pedig:
1985: 564 új károkozó
1986: 910 új károkozó
1987: 389 új károkozó
1988: 1.738 új károkozó
1989: 2.604 új károkozó
1990: 9.044 új károkozó
1991: 18.384 új károkozó
1992: 36.822 új károkozó
1993: 12.287 új károkozó
1994: 28.613 új károkozó
1995: 15.988 új károkozó
1996: 36.816 új károkozó
1997: 137.716 új károkozó
1998: 177.615 új károkozó
1999: 98.428 új károkozó
2000: 176.329 új károkozó
2001: 155.528 új károkozó
2002: 199.049 új károkozó
2003: 178.825 új károkozó
2004: 142.321 új károkozó
2005: 333.425 új károkozó
2006: 972.606 új károkozó
2007: 5.490.960 új károkozó
Ezek az adatok nem azt jelentik, hogy 2007-ben minden programozó vírusokat állt neki írni, mert ebben az óriási számban ugyanazon károkozó rengeteg variánsa megtalálható. Az viszont jól látható, hogy lassan eljutunk oda, hogy alig találunk két egyforma vírust: gyakran óránként jelennek meg új variánsok ugyanabból a károkozóból, hogy ismét átcsúszhassanak az előző variánst már ismerő vírusvédelmen. (Észrevehetjük a párhuzamot a spamek és spamszűrők fejlődésével, igaz ott nem a számítógép, hanem a felhasználó marad a célpont)
Korábban több antivírus gyártó azzal válaszolt, hogy minél gyakoribb adatbázis frissítéseket tett közzé (néhány termék most is gyakorlatilag óránként frissül), de valóban eljut az összes új variáns ezekhez a gyártókhoz? Itt napi több gigabájt adat automatizált feldolgozásáról van szó, napi 15.000 új mintáról – ha ebből csak néhány ezer kimarad, már óriási rés keletkezik a vírusvédelmen. A kis antivírus gyártó cégek minden bizonnyal nem bírják ezt az iramot, ami pedig még rosszabb, a felhasználóikat hamis biztonságérzetben tartják.
A problémára valódi megoldást az elemző, “okos” antivírusok kínálhatnak, akik nem elsősorban a folyamatosan frissülő adatbázisra alapozzák tudásukat. Az adatbázis alapú felismerés fokozatos ellehetetlenedésével pedig sok új, ismeretlen terület fog megnyílni az antivírus gyártók előtt – felhasználóként viszont jobban tesszük, ha addig is lassan búcsút intünk a kis vállalkozások vírusvédelmi termékeinek.
A gondolatébresztésért köszönet a SunbeltBLOG-nak!
2008. január 29. 19:58
Azért az az 5 millió kártevő kicsit rémisztően hangzik. Ahhoz képest, hogy a mai antivírusok ilyen 300ezer-1millió+ méretű adatbázisssal rendelkeznek. Persze ez az 5 millió kártevő nem csak vírusokból, férgekből és trójaiakból áll, így nem csak az antivírus fejlesztőkre hárul a hatalmas feladat, hogy megpóbálják ezt elérni(ami persze amúgy is lehetetlen lenne most még), hanem a kémprogramirtó cégek is rásegítenek. (Csak megjegyzés képpen) a legnagyobb adatbázissal rendelkező AV és AS szoftver adatbázisát összeadva sem jönne ki az 5 millió (mintha 3 milla körül jönne ki így. Nem tudom, hogy melyiknek hogy, de mintha egyik 2millás, másik 1 milla fölötti adatbázissal rendelkezne. Hogy melyik az AV és melyik az AS, azt nem tudom, majd kiderítem).
Szerintem a közeljövőre gyökeresen megváltozhat a védelmi programok politikája, míg ezelőtt a szignatúra alapú keresés volt az elsődleges védelmi vonal, úgy a jövőben a különféle viselkedéselemzők veszik át az első helyet. Persze szignatúra alapú felismerés ezután is lesz, de a kártevők megnövekedett száma miatt nem fog tudni olyan dinamikusan növekedni, mint maguk a kártevők megjelenése. A víruselemző laborok bővítése elég költséges dolog lehet, azt sem lehet a végtelenségig fejleszteni. Úgyhogy én a viselkedéselemzésben látom a jövőt.
Üdv
Zvara
2008. január 30. 18:59
Akkor ebben egyetértünk
2008. február 25. 15:11
Azért a 20 cent kicsit kevés egy éves domain reghez
Nem inkább dollár lesz az?
2008. június 25. 14:00