Autor: Ivan Sobota

U novije vrijeme antivirusni softver nije više onakav kakvog smo ga poznavali u prethodnih desetak godina već je postao softver za sveobuhvatnu zaštitu računala. Uz antivirusnu komponentu zaštite nalaze se anti-spyware, anti-spam, anti-phishing komponente te druge inovativne tehnologije kao što su: Web reputacija, URL filtriranje, analize ponašanja softvera, kontrola pristupa računalu, itd. Tako današnji antivirusni softveri koriste višerazinski pristup za kompletnu zaštitu računala.

Razlog zbog kojeg je došlo do promjene arhitekture antivirusnog softvera leži u činjenici da se broj prijetnji u zadnjih nekoliko godina višestruko povećao. Datoteke virusnih uzoraka počele su rasti i dosegle desetke megabajta te je njihovo dohvaćanje s proizvođačevih stranica postalo dugotrajnije te neprihvatljivo, kako za korisnike tako i za proizvođače. Uz to, velike datoteke s virusnim uzorcima usporavale su rad antivirusnog softvera, a time i rad cijelog računala.

Razvoj Interneta kao komunikacijskog medija izazvao je masovno širenje računalnih prijetnji. Tako je Internet, tj. web postao glavni vektor zaraze računala. Računalne prijetnje proizvod su organiziranog računalnog kriminala s ciljem zarade. Do sada su znalci izrađivali zloćudne programe iz hobija dok je danas jedini cilj brza zarada. U tu se svrhu koriste vrlo sofisticirane tehnologije koje su lako dostupne na Internetu. Antivirusne kompanije suočene s novim prijetnjama morale su promijeniti način obrane, a s time i mijenjati arhitekturu antivirusnog softvera. Dobro poznavanje protivnika dovelo je do višeslojnog pristupa zaštiti (engl. multi-layered approach), tj. napada sa svih strana. Informacije koje se razmjenjuju među tim razinama, ključ su povećanja sveukupne sigurnosti.

Analiza ponašanja i karakteristike web stranica omogućile su određivanje izvora prijetnji. Kontinuirano praćenje njezina ugleda, tj. reputacije osnova je za određivanje trenutne razine prijetnje. Metoda je nazvana web reputacija (engl. Web Reputation). Ona djeluje preventivno te blokira prijetnju prije samog ulaska u računalo. Zbog svog preventivnog pristupa ima vrlo učinkovito djelovanje. Postala je nezaobilazna tehnologija u višeslojnom pristupu zaštite računala te se nalazi na prvome mjestu obrane od prijetnji.

Web reputacija je brojčana vrijednost (engl. “reputation” score) dodijeljena web stranici. Brojčana je vrijednost proizvoljno definirana i ovisi o proizvođaču. Tipične vrijednosti su od -10 (loša reputacija) do +10 (dobra reputacija) ili -127 (dobra reputacija) do +127 (loša reputacija). Ove vrijednosti vremenski su promjenjive te ovise o povijesti ponašanja i trenutnim karakteristikama web stranica. Redovito se ažuriraju i predstavljaju trenutnu razinu prijetnje pojedine web stranice. Informacije o web reputaciji pohranjene su u bazi podataka. Svaki proizvođač održava svoju bazu.

Za određivanje web reputacije pojedine web stranice potrebno je poznavati desetke parametara, a neki od njih su:

• prethodna vrijednost web reputacije,
• starost URL-a,
• povijest URL-a,
• fizičku lokaciju web stranice,
• informacije o vlasniku,
• informacije o IP adresi,
• informacije o domeni,
• informacije o postojanju virusa, spama, spywarea, phishinga,…
• itd.

Iz poznatih parametara, sofisticiranim sigurnosnim modelima, određuje se trenutna vrijednost web reputacije. Kako se ažuriranje reputacije vrši svakih nekoliko minuta, može se zaključiti da je web reputacija s matematičkog stajališta vrlo promjenjiva varijabla.

Prema informacijama tvrtke IronPort, postoji oko 75 milijuna zaraženih računala na Internetu sposobnih za širenje virusa, spywarea i ostalih prijetnji.

S korisničke strane, informacija o web reputaciji određuje ponašanje antivirusnog softvera. Ako web stranica ima reputaciju manju od definiranog praga, stranica se blokira. U suprotnom se potpuno ili djelomično propušta sadržaj koji nije zlonamjeran. Da bi se postiglo ovakvo ponašanje, sav Internet promet mora biti zaustavljen na antivirusnom programu, tj. proxy komponenti. Nakon što primi zahtjev, proxy ga analizira te traži web reputaciju u bazi podataka. Nakon dobivene web reputacije, ovisno o postavkama, proxy propušta ili blokira zahtjev. Ova se procedura ponavlja za svaku web stranicu i potpuno je transparentna za korisnika.

Na ovaj se način uporabom web reputacije prijetnja blokira prije samog ulaska u računalo. Nije potrebno skeniranje sadržaja te ne dolazi do usporavanja računala.

Efikasnost ove metode je vrlo velika, korištenjem provjere web reputacije moguće je otkloniti više od 90 % prijetnji. Može se zaključiti kako metoda praćenja web stranica, tj. web reputacija pruža veliki otpor novim prijetnjama te povećava cjelokupnu razinu računalne sigurnosti, bez potrebe za kontinuiranim nadogradnjama antivirusnih definicija (zbog složenosti prijetnji ipak nužnih, posebice za prijenosna računala koja rade van fizičkih granica, van dohvata zaštite i kontrole).