Kaip pradėjo gimti skaitmeniniai sargai
Pirmieji kompiuteriniai virusai atsirado dar aštuntajame dešimtmetyje, kai kompiuteriai buvo dideli kaip šaldytuvai ir programuoti reikėjo perfokortelėmis. Tačiau tikroji virusų epidemija prasidėjo devintajame dešimtmetyje, kai asmeniniai kompiuteriai tapo prieinami paprastiems žmonėms. Vienas žymiausių ankstyvųjų virusų buvo “Brain”, sukurtas 1986 metais Pakistane. Jis platino save per diskelius ir tiesiog keisdavo jų pavadinimus.
Antivirusinės programos gimė kaip atsakas į šią grėsmę. Pirmosios buvo labai paprastos – jos tiesiog ieškojo žinomų virusų kodo fragmentų failo viduje. Tai buvo tarsi detektyvinis darbas: jei programa rasdavo tam tikrą baito seką, kuri atitiko žinomą virusą, ji keldavo aliarmą. Tokia technologija vadinosi “parašų” (signature) paieška ir ji vis dar naudojama šiandien, nors dabar tai tik viena iš daugelio apsaugos sluoksnių.
Parašų bazės – antivirusinės programos atmintis
Įsivaizduokite milžinišką katalogą, kuriame surašyti visi žinomi nusikaltėliai su jų nuotraukomis ir pirštų atspaudais. Panašiai veikia antivirusinių programų parašų bazės. Kiekvienas virusas turi unikalų kodo fragmentą – tarsi genetinį kodą. Antivirusinė programa nuskaito failus jūsų kompiuteryje ir lygina juos su šiuo katalogu.
Problema ta, kad kasdiena pasaulyje sukuriama tūkstančiai naujų kenkėjiškų programų. Kai kurios antivirusinės kompanijos per dieną gauna ir analizuoja daugiau nei 400,000 naujų įtartinų failų. Todėl parašų bazės turi būti nuolat atnaujinamos. Kai kurie antivirusai atnaujina savo bazes kas kelias valandas, o kai kurie – beveik realiuoju laiku.
Štai kodėl taip svarbu leisti antivirusinei programai reguliariai atsisiųsti naujinimus. Antivirusas be atnaujinimų yra kaip policininkas su dešimties metų senumo nusikaltėlių nuotraukų albumu – jis gali atpažinti senus pažįstamus, bet praleisti visus naujus grėsmės šaltinius.
Elgesio analizė – kai virusas dar neturi vardo
Modernios antivirusinės programos nebepasitiki vien parašų paieška. Jos tapo daug protingesnės ir stebi, kaip programos elgiasi jūsų kompiuteryje. Tai vadinama euristine analize arba elgesio stebėjimu.
Pavyzdžiui, jei kokia nors programa staiga pradeda kopijuoti save į visus aplankus, bandyti modifikuoti sisteminius failus arba siųsti duomenis į nežinomą serverį internete – tai įtartina. Net jei antivirusas nežino tiksliai, kas tai per programa, jis gali ją sustabdyti remdamasis įtartinu elgesiu.
Tai veikia panašiai kaip oro uosto saugumo tarnybos. Jie neturi sąrašo visų pasaulio teroristų, bet jei kažkas elgiasi įtartinai – nervingai žvalgosi, prakaituoja, keistai atsako į klausimus – jį sustabdys papildomai patikrai. Antivirusinės programos daro tą patį su programomis.
Kai kurios pažangios antivirusinės sistemos naudoja smėlio dėžės (sandbox) technologiją. Jos paleidžia įtartiną programą izoliuotoje virtualioje aplinkoje ir stebi, ką ji daro. Jei programa pradeda naikinti failus ar šifruoti duomenis – ji blokuojama prieš padarant žalą tikrajame kompiuteryje.
Dirbtinis intelektas antivirusinėje apsaugoje
Pastaraisiais metais antivirusinės technologijos įgijo naują ginklą – mašininį mokymąsi ir dirbtinį intelektą. Vietoj to, kad programuotojai rankiniu būdu aprašytų, kaip atpažinti kenkėjišką programą, dabar antivirusinės sistemos gali mokytis pačios.
Į tokias sistemas įkeliamos milijonai pavyzdžių – tiek kenkėjiškų, tiek saugių programų. Dirbtinio intelekto algoritmai analizuoja šiuos pavyzdžius ir išmoksta atpažinti šablonus, kurie būdingi virusams. Tai panašu į tai, kaip vaikai išmoksta atpažinti šunis – jiems nereikia išmokti tikslios šuns apibrėžties, jie tiesiog pamato daug šunų ir išmoksta atpažinti bendrus bruožus.
Tokia technologija leidžia aptikti net visiškai naujus virusus, kurių niekas anksčiau nėra matęs. Sistema gali pastebėti, kad naujas failas turi panašumų su žinomais virusais, nors ir nėra tiksliai toks pat. Tai ypač svarbu kovojant su polimorfiniais virusais – tokiais, kurie nuolat keičia savo kodą, kad išvengtų aptikimo.
Debesų technologijos ir kolektyvinis intelektas
Šiuolaikinės antivirusinės programos nebedirba izoliuotai jūsų kompiuteryje. Jos nuolat bendrauja su debesų serveriais, kur vyksta pagrindinė analizė. Tai suteikia keletą svarbių pranašumų.
Pirma, jūsų kompiuteryje nebereikia laikyti gigantiškos parašų bazės – ji gali būti saugoma debesyje. Tai reiškia, kad antivirusinė programa užima mažiau vietos ir veikia greičiau. Antra, kai antivirusas aptinka įtartiną failą, jis gali akimirksniu jį išsiųsti į debesį išsamesnei analizei, naudojant daug galingesnius serverius nei jūsų kompiuteris.
Bet svarbiausia – tai kolektyvinio intelekto efektas. Jei antivirusas aptinka naują grėsmę vieno vartotojo kompiuteryje Lietuvoje, informacija apie ją per kelias minutes pasiekia visus to antiviruso vartotojus visame pasaulyje. Tai tarsi globalus ankstyvojo įspėjimo tinklas.
Kai kurios antivirusinės kompanijos turi tinklus iš šimtų milijonų vartotojų. Kiekvienas jų kompiuteris veikia kaip jutiklis, kuris padeda aptikti naujas grėsmes. Žinoma, visa tai daroma anonimiškai ir atsižvelgiant į privatumo reikalavimus.
Ką antivirusas iš tikrųjų daro jūsų kompiuteryje
Kai įjungiate kompiuterį, antivirusinė programa yra viena pirmųjų, kuri pradeda veikti. Ji įsiterpia į operacinės sistemos branduolį ir pradeda stebėti viską, kas vyksta. Kiekvienas failas, kurį atidarote, kiekviena programa, kurią paleidžiate, kiekvienas dokumentas, kurį atsisiunčiate – visa tai pereina per antivirusinį filtrą.
Antivirusas veikia keliuose režimuose. Yra realaus laiko apsauga, kuri nuolat stebi aktyvumą. Yra suplanuoti skenavimai, kai programa metodiškai patikrina visus failus kietajame diske. Yra elektroninio pašto skenavimas, interneto naršymo apsauga, USB įrenginių tikrinimas.
Kai antivirusas randa kažką įtartino, jis turi kelias opcijas. Gali pabandyti išvalyti failą – pašalinti kenkėjišką kodą, palikdamas normalią failo dalį. Gali perkelti failą į karantiną – izoliuotą vietą, kur jis negali padaryti žalos. Arba gali tiesiog ištrinti failą, jei jis yra nepataisomai užkrėstas.
Moderniose antivirusinėse programose yra ir papildomų funkcijų. Ugniasienė kontroliuoja tinklo srautą. Šlamšto filtras apsaugo nuo sukčiavimo laiškų. Tėvų kontrolė leidžia riboti, ką vaikai gali matyti internete. Slaptažodžių tvarkyklė saugo jūsų prisijungimo duomenis.
Kodėl antivirusai kartais klysta
Nė viena antivirusinė programa nėra tobula. Kartais jos sukelia klaidingus aliarmą – įtaria, kad normalus failas yra virusas. Tai vadinama false positive. Priešingai, kartais antivirusas praleidžia tikrą grėsmę – tai false negative.
Klaidingi aliarmai dažniausiai atsiranda dėl pernelyg jautrios euristinės analizės. Programa mato, kad kažkas elgiasi panašiai kaip virusas, nors iš tikrųjų tai normali programa. Pavyzdžiui, kai kurios teisėtos programos modifikuoja sisteminius failus arba stebi klaviatūros paspaudimus (kaip slaptažodžių tvarkyklės), ir antivirusas gali tai klaidingai interpretuoti.
Praleidžiamos grėsmės paprastai atsiranda, kai virusas yra visiškai naujas ir labai sudėtingas. Ypač pavojingi yra vadinamieji “zero-day” išnaudojimai – atakos, kurios naudoja programinės įrangos spragas, apie kurias dar niekas nežino. Kol antivirusinė kompanija sužino apie tokią grėsmę ir sukuria apsaugą, gali praeiti kelios valandos ar net dienos.
Dar viena problema – našumas. Antivirusinė programa nuolat nuskaito failus ir stebi procesus, o tai sunaudoja kompiuterio resursus. Kai kurie antivirusai gali gerokai sulėtinti kompiuterį, ypač senesnius. Todėl antivirusinių programų kūrėjai nuolat ieško balanso tarp apsaugos lygio ir našumo.
Praktiniai patarimai ir ką turėtumėte žinoti
Pirmiausia – nemanykit, kad antivirusas yra magiškas skydas, kuris apsaugo nuo visų grėsmių. Jis yra svarbi apsaugos dalis, bet ne vienintelė. Pats svarbiausias saugumo elementas sėdi prieš ekraną – tai jūs. Jokia antivirusinė programa neapsaugos, jei patys atsisiųsite ir paleisit kenkėjišką programą, ignoruodami visus įspėjimus.
Rinkitės žinomų kompanijų antivirusinius sprendimus. Yra daug nemokamų variantų, kurie veikia visai neblogai – Windows Defender, kuris įeina į Windows 10 ir 11, yra visai pakankamai geras daugumai vartotojų. Jei norite daugiau funkcijų, galite rinktis mokamus sprendimus nuo Kaspersky, Norton, Bitdefender, ESET ir kitų pripažintų gamintojų.
Visada leiskite antivirusui atsinaujinti. Kai kurie žmonės išjungia automatinius atnaujinimus, nes nenori, kad programa naudotų internetą ar lėtintų kompiuterį. Tai yra didžiulė klaida – застаревший antivirusas beveik nenaudingas.
Neįdiekite kelių antivirusinių programų vienu metu. Jos gali konfliktuoti tarpusavyje, lėtinti kompiuterį ir net blokuoti viena kitą. Pakanka vienos geros antivirusinės programos su realaus laiko apsauga. Galite turėti papildomą nešiojamą skanerį (portable scanner) periodiniam tikrinimui, bet ne dvi nuolat veikiančias programas.
Reguliariai darykite pilną sistemos skenavimą, ne tik pasitikėkite realaus laiko apsauga. Kartą per savaitę ar bent per mėnesį paleiskite išsamų tikrinimą. Taip pat nuskenuokite visus išorinius įrenginius – USB atmintukus, išorinius diskus – prieš naudodami.
Ateities perspektyvos ir kaip išlikti saugiems
Antivirusinės technologijos nuolat tobulėja, bet tobulėja ir grėsmės. Kibernetiniai nusikaltėliai tampa vis rafinuotesni. Jie naudoja dirbtinį intelektą kurdami virusus, kurie gali prisitaikyti ir išvengti aptikimo. Sukuria programas, kurios išlieka neaktyvios mėnesius, kol sulaukia tinkamo momento pulti.
Ateityje antivirusinės programos greičiausiai taps dar labiau integruotos su operacinėmis sistemomis. Microsoft jau eina šia kryptimi su Windows Defender. Debesų technologijos taps dar svarbesnės – dauguma analizės vyks ne jūsų kompiuteryje, o galingose serverių fermose.
Dirbtinis intelektas ir mašininis mokymasis taps standartu, ne išimtimi. Antivirusinės programos mokysis ne tik iš žinomų grėsmių, bet ir iš to, kaip vartotojai naudoja kompiuterius, kad geriau atpažintų anomalijas.
Bet svarbiausia – ateityje saugumas taps holistiškesnis. Antivirusinės programos jau dabar virsta pilnomis saugumo platformomis, kurios apsaugo ne tik nuo virusų, bet ir nuo duomenų vagysčių, privatumo pažeidimų, tapatybės vagysčių. Jos integruosis su kitais saugumo įrankiais – VPN, slaptažodžių tvarkyklėmis, šifravimo programomis.
Galiausiai, nepamirškite, kad technologija – tik įrankis. Jūsų sąmoningumas ir atsargumas internete yra neatsiejama saugumo dalis. Nespustelėkite įtartinų nuorodų, neatsidarykite priedų iš nežinomų siuntėjų, naudokite stiprius slaptažodžius, reguliariai darykite atsargines kopijas. Antivirusas yra kaip saugos diržas automobilyje – jis gali išgelbėti gyvybę, bet tai nereiškia, kad reikia važiuoti neatsargiai.