Společnost ESET založenou v roce 1992 (reálně už zakladatelé vyvíjeli produkt od roku 1987) asi není potřeba obsáhle představovat. Sídlí na Slovensku a stojí za vývojem bezpečnostního softwaru NOD32 nebo Smart Security. Na celosvětovém trhu přitom soupeří se „sousedy“ z Avastu či AVG. Zašli jsme se podívat do jejich centrály.
Návštěva Avastu aneb křemíkové údolí přímo v Praze
Momentálně má ESET už téměř 1 200 zaměstnanců, třetina z nich přitom tvoří inženýry. Software pro koncové uživatele i firmy je distribuován po celém světě a s tím souvisí i šíře podpory a získaná data.
NOD: Nemocnice na Okraji Disku
Na začátek jedna vtipná maličkost: Firma se v minulosti nejvíce proslavila svým antivirovým programem NOD a možná jste někdy přemýšleli, co tato zkratka znamená. Vychází z tehdy populárního seriálu Nemocnice na kraji města, ovšem v počítačovém světě se stal antivir Nemocnicí na Okraji Disku, odtud NOD.
Cen a diplomů jako u nějaké sportovní celebrity
ESET se může pochlubit spoustou ocenění v mnoha testech antivirů a bezpečnostního softwaru po celém světě, i když je konkurence v této oblasti poměrně velká. Podle IDC je ESET pětkou v celosvětovém srovnání, ale třeba v Japonsku je ESET nejoblíbenějším řešením. Software používá přibližně 100 milionů uživatelů, ale pokud jde o rozdělení mezi koncovými řešeními a firemními, je to přibližně 50 na 50.
Počet zaměstnanců ESETu se v rámci celého světa dostane brzy na k 1 200, třetina tvoří R&D
Pokud jde o vývoj, ESET má týmy u nás v Praze a Jablonci nad Nisou, několik dalších pak i v ostatních zemích. Ve všech zemích kde je ESET k dispozici jde ale hlavě o distributory. Zástupci se vyjádřili i k problému dostupnosti mladých „mozků“, které je stále těžké získat. Obory zaměřené na kyberbezpečnost teprve začínají a po letech ve školách je situace na trhu stejně zcela jiná. Realitou je tak většinou jediné řešení - je nutné si nadané studenty „vychovat“.
Houston aneb hlavní kontrolní centrum
Vývoj antiviru se dělí na dvě části – JAK detekovat (jádro) a CO (viruslab). Detekce se točí kolem velkého množství vzorků virů pro zlepšení přesnosti rozpoznání i s možností univerzálního použití (už nejde o hashe jako v historii). Cílem je, aby bylo možné signaturou pokrýt desítky tisíc virů ze stejné třídy, ale zároveň aby nedocházelo k falešné detekci.
Houston - centrální místnost
Denně na servery ESET chodí 300 tisíc unikátních souborů, které ještě nikdy předtím nebyly rozpoznané a dále se automaticky zpracovávají. Tvůrci škodlivých programů totiž často používají právě polymorfismus, který automaticky generuje obrovská kvanta verzí souborů (virů) které se liší a nějaký jednoduchý systém rozpoznání pomocí hashů tak už není možný. Jádro malwaru zůstává většinou zachované nebo se v rámci verzí mění velmi málo, ale co se mění hodně, jsou různé „ochranné vrstvy“ binárních souborů.
Hlavní obrazovky v „Houstonu“ ukazují detekce malwaru na jednotlivých místech planety, kde uživatelé zároveň používají ESET. Čím červenější, tím větší počet
V rámci viruslabů mezi sebou různé antivirové společnosti spolupracují, konkurence je hlavně v technologii a marketingu.
Po automatickém zpracovávání se do zajímavých souborů a zkoumání pouští i lidští analytici, kteří mají k dispozici dva počítače – jeden pro běžnou práci napojený na firemní síť a druhý počítač, který je na oddělené síti a může se na něm infikovaný soubor pouštět pro sledování jeho chování v reálném čase. Zkoumání může probíhat klidně i hodiny či dny, pokud jde o podrobnější vyšetřování většího nebezpečí či útoku, tak i měsíce.
Masivní nástup vyděračů
Ransomware je druh malwaru, který různým způsobem blokuje přístup k zařízení nebo k vašim datům a pro odemknutí vyžaduje různě vysoké výkupné, které musíte zaplatit. Moderní ransomware používá i techniky pro urychlení zaplacení, například časový odpočet, po kterém odmaže tisíc souborů a podobně. Některé už jsou vychytané na takové úrovni, že po infekci uživatel nějakou dobu nic nepozná, potichu vyčkávají a objeví se například až po týdnu a podobně.
Často se využívá sociálního hackingu a cílem je přesvědčit uživatele, aby souboru důvěřoval
Nejhorším problémem je, že propracovaný malware dokáže simulovat na Windows i na Androidu například přihlašovací obrazovky, díky čemuž dokáže donutit uživatele zadat administrátorské heslo do falešného pole a tak ho získat.
Vzhledem k tomu, že ransomware soubory zašifruje nebo přístup do systému zahesluje, takřka neexistuje systém „vyčištění“. I když některé starší lze už dnes odšifrovat, moderní už používají silné šifry, takže zašifrované soubory nelze obnovit.
Ukázky ransomwaru a požadavků na výkupné pro dešifrování dat
Uživateli tak nezbývá než zaplatit nebo přijít o data. Tvůrci ransomwaru díky tomu získávají obrovské množství peněz, což jim umožňuje ještě dále vylepšovat tento typ malwaru a celého systému. Už se dokonce objevuje ransomware nejen s návodem, ale i online podporou, která vám poradí, jak pomocí bitcoinu zaplatit a získat dešifrovací klíč. Vše je pochopitelně řešené přes TOR a darknet.
Tvůrcům ransomwaru nechybí ani kreativita a klidně si zahrají hru, kdy vám smažou tisíc souborů za 24 hodin nebo po každém restartu počítače
Podle statistik už jedna z pěti organizací zažila útok pomocí ransomware, problém ale je, že se většinou vše tají, protože by to znamenalo ztrátu reputace, takže často raději zaplatí. Útočníci tak z tohoto přístupu začínají mít skvělý byznys, protože některý ransomware má schopnost šifrovat i data na vzdálených discích, zálohách a dalších zařízení na síti a v takovém případě firmě nezbývá nic jiného, než zaplatit. Výsledek je přitom nejistý, ani poté totiž nemají jistotu, že dešifrovací klíč dostanou a útočník může klidně požadovat ještě větší výkupné.
Jak se vyvarovat infekci?
Mezi hlavní kanály, jak se malware dostane na počítač, patří stažení aplikací z internetových stránek, stažení infikovaných aplikacích z „oficiálních“ webů známých aplikací, infikovaná příloha v emailu a trojan, který dodatečně stáhne škodlivý soubor. Samostatnou kapitolou je pak ruční vzdálená instalace přes vzdálenou plochu na daný počítač.
Základ tak je nestahovat nejen aplikace „třetích“ stran do operačních systémů, ale také si dát pozor i na ty, které se tváří jako oficiální. Jeden z případů ukázal, že útočníci vytvořili duplicitní web na stažení běžně používaného zdarma dostupného softwaru, přičemž po kliknutí na odkaz se většinou začal stahovat oficiální soubor. Pro počítače s vybranou IP adresou však došlo ke stažení upravené infikované verze, která se však tvářila zcela normálně a uživatel nic nepoznal ani po instalaci.
KeRanger se dostal do OS X přes infikovanou aplikaci Transmission přímo na oficiálních stránkách, protože měl i legitimní vývojářský certifikát. Došlo tak ke třem úspěšným podvodům v jednom až k finální instalaci na počítač uživatele
V případě desktopu to platí pro Windows i pro OS X. Na Androidu se rovněž vyvarujte stahování a instalací aplikací třetích stran, vždy používejte pouze oficiální obchody - App Store, Play Store, Windows Store a kontrolujte recenze, zda nejsou podezřele negativní.
Hlavně mít aktualizováno a zálohováno
Dalším problémem, který se rozmáhá, je, že záškodníci dokáží do počítače nejdříve dostat neškodný program s kódem, který žádný antivirus nedetekuje, protože nic škodlivého nedělá. Avšak i taková aplikace může například prohledat systém a zjistit slabinu například v neaktualizované verzi Acrobat Readeru a podobně. Dodatečně získá zvýšená práva a zajistí funkční malware skrze tuto díru.
Proti tomuto se nelze ochránit žádnou databází a detekcí, proto moderní antiviry prohledávají počítač na programy, které jsou staré a neaktualizované a jsou tak potenciálním nebezpečím.
Pro zvýšení bezpečnosti je zkrátka vhodné udržovat veškerý software v počítači aktualizovaný. Další důležitou věcí je zálohování, které je ideální provádět co nejčastěji, a to do offline zálohy, která pak nemůže být zašifrovaná prostřednictvím ransomwaru.
ESET pak nemůže ze své pozice jinak, než doporučit používání antivirového programu či komplexnější softwarové ochrany.
