Základní bezpečnostní klišé praví, že útočník je až několik tahů před obranou, která na něj může pouze reagovat, protože dopředu netuší, jak, kdy a kde přesně zaútočí. Platí to samozřejmě i o softwarovém malwaru a zneužívání skulin v počítačové síti.
Antivirové společnosti tak musí neustále zlepšovat své produkty, přičemž únorové představení platformy Smart Life od Avastu ukázalo, jakým směrem se možná v příštích letech vydají všichni velcí hráči. Namísto klasického antiviru, jehož obrana se soustředí prakticky výhradně na daný počítač, se dočkáme antivirů určených pro ochranu celé domácí počítačové sítě.
Antiviry se mění, chránit jen počítač už totiž nestačí
Nepoběží na vašem laptopu nebo desktopu, ale buď přímo na Wi-Fi routeru, nebo na dedikované krabičce, kterou připojíte do sítě. Její procesor pak bude domácí nebo podnikový LAN v podstatě neustále odposlouchávat a hledat podezřelé vzory komunikace.
Chytrá domácnost zítřka bude plná chytrých obvodů s Linuxem. Chránit jen domácí laptop, tedy už nebude stačit (Raspberry Pi Zero s rozšiřujícím hatem s USB porty)
Takový bezpečnostní prvek by mohl zachytit hrozbu dříve, než doputuje na váš počítač a hlavně odhalí, že se náhle změnilo chování vašeho chytrého televizoru, protože čile komunikuje s podivnými IP adresami. Možná na něj právě někdo nainstaloval software pro těžbu kryptoměn.
Toto je však pouze jedna z cest, která zesílí ochranu před malwarem. Do hry totiž zároveň vstupuje ten zdaleka nejpovolanější – Intel. Moderní procesor a vlastně celý čipset s dalšími komponentami včetně integrované GPU už totiž dávno neplní roli jen základního čítače a přesouvače bitů z jedné strany na druhou, ale obsahuje stále více speciálních a vysokoúrovňových instrukcí, díky kterým dokáže provádět některé operace ďábelsky rychle.
Po akceleraci videa přichází i antivirová akcelerace
Do tohoto ranku patří celý zástup všemožných akcelerací počínaje přehráváním a kódováním videa a konče svižnou virtualizací. Bylo tedy jen otázkou času, kdy se na scéně objeví akcelerační technologie určená pro antivirové programy – zabezpečení přímo v samotném procesoru.
Firmeare procesorů od Intelu bude optimalizovaný i pro některé operace antivirové obrany
Tedy, takové systémy existují už roky a Intel je nabízí na některých podnikových variantách svých čipsetů, nicméně po aférách z přelomu roku, kdy vyšlo najevo, že celá léta vyráběl procesory se zranitelným designem, bylo třeba udělat něco velkého, aby uklidnil nejen investory, ale hlavně uživatele.
A Intel udělal.
Říká tomu Security Essentials a jedná se dílem o balík již existujících a v podstatě jen přejmenovaných technologií, dílem však i o nové iniciativy, v rámci kterých chce antivirovou kontrolu přenést až na samotnou dřeň křemíkových obvodů.
Viry bude hledat grafický čip
Patří sem třeba TDT – Threat Detection Technology, o které v posledních hodinách píše s troškou nadsázky půlka internetu. Její součástí je totiž Advanced Memory Scanning – specialita, která do antivirového boje zapojí grafický čip GPU.
AMS reaguje na některé vychytralé viry, které se snaží před bezpečnostním softwarem skrýt tak, že nic nezapisují do souborového systému – celou dobu přežívají jen v operační paměti RAM. Kvůli tomu sice nejsou persistentní, protože nepřežijí restart systému, ten však dnes není zase až tak častý, protože kvůli rychlejšímu startu počítače, zejména laptopy, pouze usínáme.
Jelikož podobný virus nic nezapisuje a nenahrává z pevného disku a SSD, může jej přehlédnout první úroveň antivirové kontroly na pozadí běhu počítače, která kontroluje vše, co se načítá do RAM právě ze souborového systému.
Výrobci bezpečnostního softwaru si jsou podobných praktik samozřejmě vědomi, a tak jejich skenery mohou kontrolovat i operace uvnitř RAM. Není to však zadarmo, režie takové kontroly se totiž podle Intelu může vyšplhat až na 20 procent procesorového času! Jinými slovy, 1/5 výkonu spálí procesor jen tím, že antivirus audituje všechny operace v RAM.
Nejlepší antivir je ten, o kterém vůbec nevíme
Režie antivirového programu je přitom klíčový ukazatel celkové ergonomie, a pokud citelným způsobem zpomalí počítač, není se čemu divit, že jej nejeden uživatel odinstaluje. Nejlepší antivirový program je totiž ten, který chrání, ale zároveň o něm pokud možno vůbec nevíme.
Realita je však spíše taková, že drtivá většina antivirových programů na trhu nějakým způsobem obtěžuje. Buď zpomalují běh důkladnou kontrolou na pozadí, anebo otravnými dialogy, notifikacemi po připojení USB médií a tak podobně.
Pokud má počítač dva procesory, přičemž ten druhý není příliš vytížený, proč jej nezapojit do hry?
Ale zpět k technologii Advanced Memory Scanning. V Intelu si uvědomili, že každý dnešní čipset nemá pouze jeden procesor, ale má jich více. Ten druhý je přitom na běžném kancelářském počítači po většinu času relativně nevyužitý. Ano, správně, mám na mysli pochopitelně GPU, který po většinu času a relativně slabě vytěžuje jen akcelerovaný grafický systém každého dnešního operačního systému.
GPU čip není na běžném kancelářském počítači tak využívaný jako CPU, a proto by mohl převzít část jeho práce.
Technologie AMS tedy přesune kontrolu RAM na čip GPU, díky čemž režie vlastního CPU klesne na minimum. První antivirový program, který bude AMS podporovat, je Microsoft Windows Defender a jeho štít Advanced Threat Protection. Novinky by se měl dočkat na sklonku měsíce. V každém případě, technologie bude otevřená všem zájemcům, takže ji časem jistě budou podporovat i další bezpečnostní programy.
Antivirová telemetrie v nitru procesoru
Tím však výčet novinek nekončí, pokročilá heuristika antivirových programů se totiž snaží hledat malware i podle jeho chování. Když tedy systém otevírá třeba podezřelé soubory, program usoudí, že tato aktivita odpovídá ilegální činnosti z jeho obří databáze vzorků a takový proces může ukončit, nebo před ním alespoň varovat majitele počítače.
Nyní s touto technologií přispěchal také Intel, ale protože je to výrobce procesorů a nikoliv operačních systémů, jeho Advanced Platform Telemetry neanalyzuje podezřelé vzorky chování na úrovni operačního systému, ale ještě o několik pater níže na úrovni samotného procesoru.
Když tedy bude procesor zpracovávat některé neobvyklé instrukce, na té nejnižší úrovni to zachytí telemetrické čítače APT a předají zprávu o patro výše do operačního systému, že se děje něco nepatřičného.
Tato technologie by měla například spolehlivě detekovat pokusy nějakého hypotetického malwaru zneužít zranitelnosti Spectre, ale i klasické viry, protože jakákoliv vysokoúrovňová operace v operačním systémy není opět nic jiného než hromada procesorových instrukcí v křemíku.
Suma sumárum, možná se v příštích letech na scéně objeví nové formy počítačových a vysoce sofistikovaných virů, ale bezpečnostní komunita na ně reaguje a platí to i o Intelu. Softwarová bezpečnost bude integrální součástí jeho procesorů stejně jako schopnost rychle přehrávat třeba video v MP4.