Na redakční otázky odpovídal Karel Obluk, technický ředitel společnosti AVG Technologies

V současnosti existuje několik různých technologií pro filtrování obsahu. Zastaralejší, leč stále ještě hojně používané, jsou založeny na databázi stránek. Takovéto systémy musí nejprve prohledat Internet, klasifikovat jednotlivé stránky a potom se pokusí pro každou adresu, kterou chce uživatel navštívit, vyhledat odpovídající záznam v databázi. Toto řešení je sice spolehlivé pokud jde o dlouho existující stránky a klasifikace typu obsahu (porno, hazardní hry a pod.), je však naprosto nedostačující pro ochranu před moderními hrozbami z Internetu. Pro tento účel je mnohem účinnější – a podle mého názoru jediné spolehlivé – řešení založené na analýze obsahu skutečného obsahu stránky, která je načítána do počítače uživatele. Jen tak je možné detekovat hrozby ze stránek, které byly čerstvě infikovány, případně ze stránek, které existují jen několik málo hodin nebo dní. To je naprosto klíčové vzhledem k tomu, že více než 55% stránek se škodlivým obsahem existuje méně než 1 den – systémy založené na databázi známých stránek tak prakticky nemají šanci takovéto hrozby zachytit.

2) Které škodlivé kódy (umístění, typ, účely…) dnes představují největší nebezpečí?

Největší nebezpečí představuje především fakt, že uživatelé podceňují webové hrozby. Řada lidí se domnívá, že pokud nenavštěvují „diskutabilní“ webové stránky nebo pokud neplatí kreditními kartami na Internetu, nejsou nijak ohroženi. To je ale velký omyl. Jakýkoliv počítač je pro útočníky zajímavý, jakýkoliv uživatel je potenciální oběť. Proto se v dnešní době velmi často setkáváme s celou řadou hrozeb. Asi nejrozšířenější v posledních měsících jsou tzv. rogue antivirus programy – webové stránky, které se tváří, jako by nabízely nějaký „zaručeně dobrý a spolehlivý“ antivirový program, který nalezl na počítači nějaké viry. Ve skutečnosti je takovýto falešný antivirus sám škodlivý a útočník se jeho prostřednictvím buď pokusí vylákat podvodně na uživateli peníze nebo takto vzdáleně ovládne počítač, který pak využívá k další nelegální činnosti – šíření spamu, útoky na jiné systémy a podobně. Dalším velmi rozšířeným útokem je zneužití důvěry uživatelů sítí jako je Facebook. Falešné aplikace případně zprávy, které předstírají, že pocházejí od Vašich přátel – to jsou hlavní hrozby dneška v prostředí sociálních sítí.

3) Jak se před škodlivými kódy a nebezpečím z webu co nejúčinněji chránit?

Doporučil bych dvě hlavní zásady – používat nějaký moderní antivirový produkt a opatrnost. Bhužel ani experti dnes nejsou schopni bez patřičných nástrojů jednoduše poznat, že nějaká webová stránka je infikovaná; proto je nutný antivirový produkt. A opatrnost je na místě především kvůli útokům pomocí „sociálního inženýrství“, tedy metody zneužívající lidskou důvěřivost a nezkušenost. Nedůvěra k jakékoliv netypické zprávě, e-mailu od banky nebo správce sítě, to vše by měly být základní atributy bezpečného chování na Internetu

4) Nakolik se na URL filtering dá spolehnout a nakolik jej kombinovat s jinými (jakými?) technologiemi?

Jak jsem již zmínil v úvodu, domnívám se, že URL filtering jako technologie naprosto nedostačuje pro spolehlivou ochranu počítače před webovými hrozbami. Je nutné kombinovat více vrstev ochrany; navíc se domnívám, že je vhodné používat technologie založené na dynamickém vyhodnocování obsahu stránek, které jsou skutečně staženy na počítač.

5) Jak vytvořit co nejlepší proaktivní zeď novým (= neznámým) škodlivým kódům?

Podle mého názoru není možné se spolehnout na jednu jedinou technologii, jedinou vrstvu ochrany. V AVG razíme teorie více vrstev ochrany; žádná z nich není a nemůže být stoprocentně spolehlivá, nicméně pokud se spojí technologie detekce škodlivého kódu ve webových stránkách, jako je například LinkScanner, adaptivní firewall, „tradiční“ technologie antivirových modulů na bázi signatur a navíc případně nějaká proaktivní detekce na bázi sledování chování, jsem přesvědčen, že většina škodlivého kódu nemá proti takové ochraně šanci