Nie tylko o bajtach
Antywirus — po co się przejmować?

Oprogramowanie antywirusowe często jest uznawane za uciążliwe. Ostrzeżenia wyskakują w najbardziej nieodpowiednich momentach, przerywając skupienie i przeszkadzając w pracy. Czasami nawet zbyt nadgorliwa aplikacja antywirusowa blokuje legalne, prawidłowe oprogramowanie.
Pora zajrzeć pod maskę: co robi oprogramowanie antywirusowe? Jak działa? Czy w ogóle jeszcze warto płacić za ochronę antywirusową?
Jakie są korzyści z ochrony przed wirusami i szkodliwym oprogramowaniem
Producenci antywirusów lubią sugerować, że bez nich użytkownicy są zgubieni. Lub co najmniej ich dane są stracone. Niektórzy użytkownicy systemu Windows mają odmienne zdanie: narzędzia antywirusowe obniżają wydajność systemu, denerwują niepotrzebnymi ostrzeżeniami i blokują niegroźne aplikacje, gdy tymczasem naprawdę szkodliwe oprogramowanie wciąż może się prześlizgnąć.
Choć oprogramowanie antywirusowe bywa wyjątkowo irytujące, stanowi jednak niezbędną „siatkę asekuracyjną”. Bez niego trzeba byłoby być niezmiernie ostrożnym we wszystkich interakcjach z innymi, aby zapobiec zarażeniu szkodliwym oprogramowaniem. Krótko rzecz ujmując: bez ochrony antywirusowej nie korzystajcie z Internetu.
Powszechnie używane programy antywirusowe w podobny sposób chronią użytkowników przed szkodliwym oprogramowaniem, nazywanym też złośliwym czy „malware”. Moduły ochrony w czasie rzeczywistym sprawdzają wszystkie pliki od razu, gdy się pojawią. Moduł ochrony sieciowej próbuje uniemożliwić dostęp do szkodliwych witryn. Skaner na żądanie sprawdza wszystkie dane lokalne pod kątem możliwych infekcji.
Prawdą jest, że te wszystkie moduły i sposoby wymagają mocy obliczeniowej, tj. mogą nieznacznie zmniejszyć wydajność systemu. Jednakże jednocześnie są stosowane metody ograniczenia tego niekorzystnego wpływu na system. Jedną z nich jest wielopoziomowe podejście do rozpoznawania szkodliwego oprogramowania.

Krótki elementarz: jak działa ochrona antywirusowa
Najprostszy sposób identyfikacji zagrożenia polega na porównaniu jego kodu z „sygnaturami” znanego szkodliwego oprogramowania. Mówiąc prościej, sprowadza się to do sprawdzenia, czy analizowany plik pasuje do sum kontrolnych z „czarnej listy”.
Wadą takiego podejścia jest to, że hakerzy mogą obejść rozpoznanie sygnatury, wprowadzając drobne zmiany w kodzie. Wkracza więc analiza heurystyczna, czyli program antywirusowy rozszerza kryteria wykrywania, dopasowując do szerszego wzorca, na przykład konkretnego fragmentu kodu zamiast całego pliku.
Zaletą analizy heurystycznej jest łatwe wyłapywanie odmian zagrożenia. Jednak... w przypadku oprogramowania antywirusowego zawsze jest pewne ale... ponieważ analizy heurystyczne działają w pewnym stopniu w sferze przypuszczeń, są podatne na błędne zakwalifikowanie prawidłowych aplikacji do szkodliwych.
Kolejnym podejściem jest analiza behawioralna. W tym celu podejrzane aplikacje są najpierw uruchamiane w „środowisku testowym” oddzielonym od systemu operacyjnego. Wadą tej metody wykrywania jest spore wykorzystanie zasobów — „środowisko testowe” uruchomione na komputerze może znacząco wpłynąć na wydajność.
Aby złagodzić te niedogodności, producenci oprogramowania antywirusowego opracowali systemy oceny reputacji online. Jeśli lokalny program antywirusowy nie ma pewności co do pliku, natychmiast może się skontaktować z serwerem swojego producenta, aby sprawdzić obecność pliku na centralnej białej liście. Jeśli kod jest znany jako nieszkodliwy, będzie możliwe jego uruchomienie. Jeśli kod jest nieznany, zostanie wysłany jako próbka na serwery producenta antywirusa — do centralnej analizy. Tam próbka jest uruchamiana w wirtualnym środowisku Windows w celu sprawdzenia zachowania pod kątem nietypowych działań.
Wszystko to zwykle odbywa się tak, że użytkownik nie musi się o nic martwić. Programy antywirusowe można sobie wyobrazić jako takie małe elfy, które niezauważone troszczą się o nasze bezpieczeństwo. Oczywiście czasami nawet elfy mogą się mylić i sprawiać problemy.

Kiedy narzędzia antywirusowe „fiksują”
Pomimo zabezpieczenia w postaci białych list i sprawdzania reputacji online, oprogramowanie antywirusowe czasami nie trafia w swój cel. Nieszkodliwe oprogramowanie nie może zostać uruchomione lub zostaje zablokowany dostęp do niewinnych witryn internetowych. Takie błędy są nazywane „wynikami fałszywie dodatnimi”.
Jeden z najnowszych przykładów fałszywie dodatnich wyników dotyczy oprogramowania Comodo Internet Security Pro, które w pewnych okolicznościach uniemożliwia użytkownikom uruchomienie pakietu SoftMaker Office 2018. Przy standardowych ustawieniach zintegrowana zapora programu Comodo może blokować dostęp do serwerów aktywacji SoftMaker. W wyniku tego oprogramowanie nie może potwierdzić ważności licencji i aktywacja się nie udaje.
Dostawcy oprogramowania, którego dotyczy ten problem, muszą się skontaktować z producentem antywirusa, przekonać go o legalności ich oprogramowania i poprosić o dodanie swojego produktu do białej listy. A to może zająć trochę czasu. W międzyczasie użytkownicy muszą korzystać z obejść.
W przypadku Comodo Internet Security Pro i SoftMaker Office 2018 jedynym obecnie możliwym sposobem aktywacji pakietu jest dezaktywacja modułu filtrowania witryn internetowych w pakiecie antywirusa. W tym celu w ustawieniach Comodo Internet Security należy wybrać sekcję Website Filtering (Filtrowanie witryn internetowych). W tej sekcji trzeba wyłączyć opcję „Enable Website Filtering (Recommended)” (Włącz filtrowanie witryn internetowych [Zalecane]) i potwierdzić wybór, klikając przycisk OK.
Ogólnie rzecz biorąc, należy bardzo ostrożnie podchodzić do wyłączania elementów ochrony antywirusowej. Najlepszym rozwiązaniem jest utworzenie wyjątków dla konkretnych aplikacji, co zasadniczo powoduje utworzenie lokalnej białej listy. Jednak przed dodaniem wyjątku warto dokładnie sprawdzić, czy nie zagrozi to bezpieczeństwu komputera. Na szczęście jest kilka bezpłatnych usług online, które pomagają w takiej ocenie.

Jak sprawdzić, czy plik jest nieszkodliwy
Niektóre aplikacje antywirusowe są naprawdę drakońskie: podejrzane pliki są szybko usuwane lub wysyłane do „kwarantanny”, czyli specjalnego kontenera, w którym nie mogą niczego uszkodzić. Zwykle dzieje się tak jeszcze przed tym, zanim program antywirusowy wyświetli jakiekolwiek ostrzeżenie.
Istnieje kilka sposobów sprawdzenia, czy wynik jest fałszywie dodatni, czy też plik zasadnie został uznany przez oprogramowanie antywirusowe za szkodliwy. Często najpierw trzeba przywrócić plik z kwarantanny. Proces przebiega inaczej w każdej aplikacji, więc należy sprawdzić szczegóły w dokumentacji antywirusa. Aby zapobiec natychmiastowemu ponownemu usunięciu przywróconego pliku, czasami najpierw trzeba utworzyć tymczasowy wyjątek.
Następnie można przesłać plik do internetowej usługi skanowania pod kątem wirusów, takiej jak HerdProtect, Jotti's Malware Scan, Opswat Metadefender Cloud lub VirusTotal. Należy jednak zachować ostrożność — nie wolno kliknąć dwukrotnie pliku przed jego przesłaniem! Usługa sprawdzi przesłany plik przy użyciu wielu mechanizmów skanowania antywirusowego, co może zająć kilka minut.
Wyniki skanowania antywirusowego online mogą być trudne do zinterpretowania. Jeśli jednak co najmniej kilka mechanizmów uzna, że plik jest szkodliwy, lokalny antywirus prawdopodobnie się nie mylił. Szczególnie ostrożnie trzeba podchodzić do wyników oznaczonych jako heurystyczne (powszechnie oznaczanych jako „heur”). Jak już wspomniałem, analiza heurystyczna jest podatna na błędy.
Internetowe usługi skanowania antywirusowego nie są perfekcyjne: naprawdę może się zdarzyć, że żaden ze skanerów nie wykryje szkodliwości przesłanego pliku. Jest to szczególnie możliwe w przypadku plików otrzymanych jako załączniki poczty e-mail. Taki typ szkodliwego oprogramowania często jest specjalnie przygotowany do obchodzenia ochrony antywirusowej.
Zwykle autorzy antywirusów wykrywają podstęp w ciągu kilku godzin. Jeśli więc po pierwszej analizie wciąż nie ma pewności co do pliku, lepiej zostawić go jeszcze na kilka godzin i przesłać ponownie. Często wyniki okazują się zupełnie inne, co powinno rozwiać wątpliwości.
Do internetowych skanerów antywirusowych nie należy przesyłać swoich danych osobowych. Większość z nich przekazuje podejrzane pliki do poszczególnych dostawców rozwiązań antywirusowych na potrzeby dalszej analizy. Zwykle jest to wskazane w warunkach korzystania ze skanera online, których jednak nikt nie czyta.

Jak wybrać antywirusa
Dla prywatnych użytkowników systemu Windows całkiem przyzwoitym rozwiązaniem antywirusowym jest Windows Defender. Narzędzie zostało opracowane przez firmę Microsoft, więc bezproblemowo integruje się z systemem Windows. Windows Defender polega zarówno na sygnaturach wirusów, jak i sprawdzaniu reputacji online. Mimo że program jest bezpłatny, stara się być możliwie „niezauważalny”.
Inne bezpłatne narzędzia antywirusowe zwykle są reklamą ich wersji komercyjnych. A to oznacza, że zwracają na siebie uwagę, bo mają sprzedać produkt. Windows Defender na inny model biznesowy.
Jeśli komputer jest używany do celów biznesowych, Windows Defender nie jest najlepszym wyborem. Korzystanie z oprogramowania wymaga aktywności w dość niefortunnie nazwanej przez Microsoft usłudze sprawdzania reputacji „SpyNet”. Jeśli Windows Defender znajdzie na komputerze podejrzane pliki, bez pytania użytkownika o zgodę prześle je do firmy Microsoft. Potencjalnie może to prowadzić do ujawnienia poufnych danych innym podmiotom.
Przyczyną takiego zachowania jest to, że Microsoft sprzedaje też komercyjne rozwiązanie antywirusowe o nazwie „Endpoint Protection”, które jest przeznaczone dla firm. Windows Defender w gruncie rzeczy dostarcza rozwiązaniu Endpoint Protection próbki szkodliwego oprogramowania.
Użytkownicy profesjonalni mogą preferować komercyjne rozwiązanie antywirusowe. Większość z nich zapewnia opcję rezygnacji z przesyłania podejrzanych plików, choć to może obniżyć poziom ochrony. Ponadto takie rozwiązania często mają dodatkowe poziomy ochrony — niektóre użyteczne, inne raczej dyskusyjne.
Dostawcy komercyjnych antywirusów zwykle oferują kilka pakietów z różnymi funkcjami i cenami. Podstawowa wersja programu antywirusowego ma tylko najbardziej niezbędne funkcje. Średniej klasy pakiet zabezpieczeń internetowych zawiera dodatkowe funkcje, takie jak bezpieczne środowisko do bankowości online, blokady reklam, bezpieczny magazyn haseł i narzędzia kontroli rodzicielskiej. Wersja najbardziej luksusowa jest wyposażona w mnóstwo dodatków, choć korzyści wynikające z niektórych bywają wątpliwe.
Decydując o wyborze pakietu, najpierw należy zainstalować wersję próbną, aby samodzielnie zapoznać się z aplikacją i stwierdzić, czy zaspokaja potrzeby. Warto poświęcić czas, aby sprawdzić, czy aplikacja próbuje „blokować”, tj. wymusić korzystanie z danego produktu.
Bezpieczne magazyny haseł są na przykład ogólnie dobrym pomysłem, ale te zawarte w pakietach zabezpieczeń internetowych często nie mają opcji eksportowania danych do formatu, który może odczytać inne narzędzie do przechowywania haseł. W najgorszym przypadku można zostać z problematycznym programem antywirusowym gorszej jakości tylko dlatego, że przechowuje hasła.
Użyteczność narzędzi do „dostosowywania” lub „oczyszczania” systemu operacyjnego jest też wątpliwa, zwłaszcza że system Windows już ma funkcje „Oczyszczanie dysku” i „Czujnik pamięci” do zwalniania miejsca na dysku twardym. Narzędzia do czyszczenia rejestru natomiast mogą naprawdę uszkodzić system operacyjny, więc firma Microsoft odmawia pomocy technicznej użytkownikom, którzy z nich korzystają.