Lažne alarme poznamo povsod, tudi v informatiki. V njej celo pogosteje kot kje drugje. Ponavadi jih povzročajo ravno avtomatizirani postopki za samodejno odkrivanje incidentov in obveščanje, ki temeljijo predvsem na informacijskih tehnologijah. Ker pa se tehnika prenaša tudi v napredne avtoalarme, protivlomne sisteme, spremljanje vulkanskih aktivnosti, napovedovanje potresov in podobno, se tudi na teh področjih večkrat pojavljajo lažni alarmi. Včasih imamo vtis, da bolj ko je nekaj napredno, večkrat se pokvari. Srednjeveški mestni stražar ni zaradi grila nikoli zagnal panike, samodejni detektor dima pa se lahko sproži že zaradi cigarete.
Uporabnikom računalnikov je menda najbolj znan primer, ko protivirusni program pri analizi trdega diska sproži alarm in razglasi za virus nekaj, kar to v resnici ni. Podobna, bolj prikrita napaka je pri orodjih za preprečevanje neželenih sporočil (spam), ta včasih blokirajo kako običajno sporočilo ali ga pomotoma označijo za spam. Vsemu temu se v angleščini reče »false positive«, v našem jeziku uporabimo frazo »napačna prepoznava«. Kako so mogoče take pomote?
NAPREDEK SLABIH TEHNOLOGIJ
Odkrivanje virusov, vdorov in drugih incidentov samo na podlagi iskanja z npr. vzorci virusov (malware signatures) danes ni več dovolj. Pred desetimi leti so v protivirusnih podjetjih največ časa porabili za spremljanje interneta. Odkrili in analizirali so nov virus, ugotovili, kako se ga znebiti, ter poslali vzorec virusa in podatke za odstranitev vsem uporabnikom. Take posodobitve so pripravili največkrat prvi dan po izbruhu, običajno po so si sledile v razmaku nekaj dni. Če bi varnostna orodja tako delovala še danes, bi računalniki že zdavnaj ležali na odpadu med neuporabno kramo. Vzrokov za ta položaj je več. Napačno in nekoristno, a po eni strani razumljivo, je okriviti internet. A ta ni vzrok, je pa dober katalizator porasta škodljivcev. Zaradi enormne količine škodljive kode in veliko zvrsti groženj, zaradi bliskovitega tempa, s katerim ta količina narašča, zaradi novih tehnologij širjenja in prikrivanja, ki vzamejo čas, da se jim 'dobri fantje' prilagajajo, predvsem pa zaradi zelo majhnega časa, ki je potreben od trenutka, ko se grožnja pojavi, do izvedbe samega napada, je tehnologija vzorcev in posodabljanja orodij v veliki meri neuporabna.
UGIBANJE
Že pred leti smo dojeli potrebo po dodatnih načinih odkrivanja škodljivcev. Protivirusni program mora iskati druge stvari, ne samo statične vzorce, preučevati mora recimo obnašanje programov, od kod izvirajo, razvozlati, kaj približno počnejo, ali posegajo v neobičajne dele sistema, diska in pomnilnika, izvajajo nenavadne funkcije, se spreminjajo. Na podlagi vsega tega protivirusni program nekako »sklepa« ali je nekaj virus ali ne. Uporabiti mora torej pametnejše postopke, neke vrste umetno inteligenco. Pametnejšim algoritmom se reče hevristični, takemu iskanju virusov pa hevristično iskanje. To ne velja le za viruse. Zaradi napadov ničelnega dne (zero-day attack) in vse več vrst vdorov so se iz navadnih požarnih pregrad razvile močnejše rešitve za odkrivanje ali preprečevanje vdorov (IDS/ IPS – Intrusion Detection / Prevention System). Medtem ko IDS odkrije napad, ki se ravnokar izvaja, ga mora IPS preprečiti vnaprej, tudi če določenega vzorca napada še ne pozna, zato spet uporablja naprednejše postopke za odkrivanje. Pri teh novostih gre v bistvu za neko vrsto ugibanja, stranska posledica pa je povečana možnost napačne prepoznave.
PRIMERI ZMOT
Protivirusni program poskuša uganiti namen programa na trdem disku in včasih se zmoti. Lahko se zmoti tudi zaradi vzorčnega iskanja v datotekah, ki sicer nekje v sredi ne morejo imeti virusa. Slika ali zvočna datoteka na primer lahko vsebujeta zaporedje bajtov, enako vzorcu virusa. Redko, a se zgodi. Včasih je krivda za napačno prepoznavo v okvari znotraj vzorcev virusov, ki jih pripravi ponudnik protivirusne rešitve. Leta 2005 je Symantecov program v Macih pomotoma sporočal »Hacktoo l.Underhand« znotraj izmenjalne datoteke, kar je izzvalo precejšnjo paniko, virusa pa v resnici ni bilo. Nekateri programi niso spyware, je pa v njih podpora za dostavljanje reklam tistim, ki ne želijo plačati za storitev. Nekatere različice protivirusnih programov lahko zaradi tega razglasijo GameSpy Arcade ali druge take programe za trojance, spyware ali addware.
Najzanesljivejša pot do čim manj napak in čim večje uspešnosti je večplastno zaznavanje groženj oz. združevanje več tehnik v eno orodje.
Tudi druge tehnologije niso imune. Tudi v biometriki obstaja napačna prepoznava, saj v specifikaciji bralnika prstnih odtisov lahko recimo naletite na podatek, da ima v povprečju po pomoti odobren en odtis na 100.000 branj, ali pa ponujajo več stopenj kompleksnosti algoritma, višja stopnja ima manj napak, a je bolj obremenjujoča za sistem.
FALSE NEGATIVE
Obratna vrsta napake se zgodi, kadar program ne zazna nečesa, pa bi moral - protivirusni program zgreši virus, rešitev proti spamu spusti reklamno sporočilo v poštni predal. Prejšnja vrsta napake je napačna prepoznava, to drugo poimenujmo neprepoznava. Kaj je nevarnejše? Pri virusih ali odkrivanju vdorov je morda bolje preživeti kak odvečni alarm kot biti okužen ali napaden. Je pa to odvisno tudi od ukrepanja. Pri ročnem posegu − pregled domačega računalnika s protivirusnim programom, ki nas opozori in vpraša, kaj naj naredi − je lahko vse v redu, če napako prestrežemo in jo ignoriramo, Kaj pa pri avtomatskem? Samodejno brisanje datoteke, ki ni virus, ima lahko hude posledice. Na srečo obstaja tudi možnost samodejnega premikanja sumljivih stvari v karanteno. Pri rešitvah proti spamu vsekakor ne želimo napačne prepoznave, ker bi to pomenilo blokiranje legalnih sporočil. Tudi požarna pregrada ne sme blokirati legalnega prometa. Tukaj je torej kar nekaj vprašanj brez jasnih odgovorov.
POSLEDICE
Alarm pri uporabniku vsakič povzroči paniko. Manjšo, če je v takem položaju že bil. Stres je prva in največja posledica napačne prepoznave. Če se protivirusnemu programu odobri ukrep, ki je dejansko nepotreben, ali če program ukrepa sam, pa lahko sledijo še druge. Bombardiranje z napačnimi prepoznavanji lahko vpliva še drugače − uporabniki, ki jih sprva z raziskovanjem upravičenosti nekaj časa uspešno rešujejo, postanejo čez čas apatični in prezrejo kako zaresno grožnjo. V neprijeten položaj pridejo tudi sistemski administratorji, reševanje dvomljivih primerov jim vzame dosti časa in jih postavlja pred dilemo, kako nastaviti določeno orodje. Če naj bo dovolj dobro, da samo blokira vse škodljive stvari, se veča tudi možnost napačne prepoznave, to lahko povzroči več slabega kot dobrega, sploh pri spamu in požarnih pregradah. V podjetjih lahko zaradi napačnih prepoznavanj pride do zmanjšanja produktivnosti, zaposleni za nekaj časa ne opravljajo svojega dela, saj morajo težavo razrešiti; če jo razrešijo narobe, lahko produktivnost upade še bolj in vpliva tudi na druge. V hujši obliki lahko napačna prepoznava vpliva na celo podjetje, ki recimo preventivno zaustavi kak strežnik ali pa celo mrežo, ker niso prepričani, s čem se srečujejo.
PREPREČEVANJE
Proizvajalci morajo zmanjševati verjetnost napačnih prepoznav in imeti hkrati maksimalno uspešnost pravilnih prepoznav. Idealno bi bilo 0 napačnih in 100 % pravilno ustavljenih groženj. Najzanesljivejša pot do čim manj napak in čim večje uspešnosti je večplastno zaznavanje oz. združevanje več tehnik v eno orodje (multiple detection techniques).
Sodobni protivirusni programi še vedno uporabljajo vzorce, zraven pa še hevristično iskanje, spletne (on-line) zbirke, podatke o zaupljivosti izvorov datotek itn. Nekateri proizvajalci združujejo več orodij v eno, ki analizira različne plati podatkovnih komunikacij. Za nove požarne pregrade ne moremo več povedati, kaka vrsta pregrade so − sistemski administrator lahko izbira med več načini delovanja, v nekaterih primerih lahko različni tipi analiziranja prometa delujejo celo hkrati. Namesto čistih požarnih pregrad nastajajo celovite rešitve za ravnanje z grožnjami (UTM − Unified Threat Management), ki pridružujejo vsaj še IDS/IPS, protivirusno in protismapno rešitev ter filtriranje spletnih vsebin. Pri podjetju Secure Computing se z združevanjem več tehnologij v eno pohvalijo, da dosegajo stopnjo napačnih prepoznav manj kot ena proti milijon.
NEKAJ LAHKO STORIMO SAMI
Domači uporabniki napačnih prepoznav ne moremo preprečiti, lahko pa se naučimo pravilno ukrepati. Nasvet, ki se ga je treba obvezno držati tudi v drugih primerih, je: nikoli ne pritisnite na gumb Potrdi ali Prekliči brez treznega razmisleka. Če v obvestilu ne piše izrecno, da je najden virus, samo to, da je datoteka sumljiva, ali pa če program sporoči, da je poskušal razkužiti datoteko, pa mu ni uspelo, potem raziščite zadevo, preden karkoli brišete. Protivirusni program vedno sporoči ime virusa, ki naj bi ga našel, torej poiščite v internetu podatke o tem virusu. Obiščite spletne strani proizvajalca programa, ki naj bil okužen z virusom, in proizvajalca protivirusnega programa. Če ne drugega, pojdite na Google in uporabite iskanje »okužena datoteka ali njena končnica + ime virusa«. Kadar niste prepričani v to, ali ste naleteli na virus ali ne, potem se raje odločite za karanteno namesto za brisanje.
V PODJETJIH
Ne glede na obseg težav s spamom vedite, da mora legitimna poslovna pošta vedno priti skozi poštni filter. Če bo šef prejel 3 do 4 reklamna sporočila na dan, potem bo tu in tam na hodniku potožil o tem, kako težko je njegovo življenje. Če kakega pomembnega sporočila ne bo dobil, potem boste naslednji dan morda na »borzi«. Pri nastavljanju e-poštnega filtra predvsem preprečite napačne prepoznave in se raje soočite s kakim neodobrenim sporočilom. Pogosto boste v dilemi; če je filter nastavljen preohlapno, spušča skozi mnogo motečega, škodljivega prometa, če pa je nastavljen prestrogo, se poveča možnost, da blokira legalni promet. Tudi mi vam tukaj težko svetujemo, katero pot ubrati.
Po obvestilu o grožnji nikoli ne pritisnite na gumb Potrdi ali Prekliči brez preverjanja, kaj se je v resnici zgodilo.
Enako kot za pošto velja za požarne pregrade − potrudite se, da ne bo zaustavljanja legalnega prometa. Marsikaj bi lahko pisali tudi o sistemih za odkrivanje / preprečevanje vdorov (IDS / IPS) in recimo o tem, kaj je pri IDS-u napačna prepoznava kaj pa upravičen alarm. A pri IDS-u pogosti alarmi razen neprijetnosti nimajo posebej hudih posledic, to je pač način, kako funkcionirajo − obveščajo nas o mnogih dogodkih, ne le o vdorih. Pri IPS-u je pa popolnoma drugače. Če ta oceni, da je nekaj nevarno, takoj tudi samodejno ukrepa, torej blokira sumljivi promet. To je lahko velik problem, če je legalni promet identificiran kot vdor, saj lahko povzroči izgubo podatkov, počasnost, neodzivnost, zmanjšanje zaupanja uporabnikov v celoten informacijski sistem in tudi finančno škodo.
Dotaknimo se še malo filtriranja spletnih vsebin. Omenimo nekaj, kar ni napačna prepoznava, ima pa za uporabnika podobne posledice. Delovanje spletnega filtra je odvisno od tega kaj ISP, administrator ali podjetje definira kot vsebino, ki jo je treba filtrirati. Recimo, tipična dilema v šolah ali knjižnicah, kjer je pametno blokirati erotiko in pornografijo, je ali izločiti tudi strani z vsebino, namenjeno izobraževanju o spolnosti, sorodnih področjih biologije in podobno. To uporabniki razumejo kot napako v filtru, čeprav dejansko ni, saj je spletni filter blokiral tisto, kar mu je bilo naročeno, naj blokira.
Ostanite hladni!
Robert Lubej, Real Security
