Antivirem chráněný e-mail lze „prostřelit“ teoreticky ve dvou okamžicích. Prvním z nich je, když se na síti objeví nový škodlivý kód nebo zcela nová varianta stávajícího. Ochranný systém pak není schopen reagovat až do okamžiku, kdy je aktualizován. Rychlost této aktualizace pak závisí výhradně na tom, jak je firma vyrábějící antivirový systém schopna reagovat, v současnosti jde většinou o velmi krátký časový úsek. Druhým případem by teoreticky mohlo být, když je server přetížen – přichází mu příliš velké množství zpráv, z nichž mnoho je infikovaných, a čas od času se stane, že nějaká prostě proklouzne.
Rozhodli jsme se právě toto vyzkoušet a využili k tomu e-mailové schránky použité dříve pro test antispamových filtrů. Konkrétně se jednalo o freemaily na serverech
- Seznam – NOD32
- Atlas – NOD32
- Centrum – NOD32
A přibyly nové:
- RazDva – VirusBlaster
- Hotmail – Trend Micro
- Gmail – pasivní ochrana (?)
Čekat na virus je překvapivě složitější než čekat na nevyžádanou poštu. Spamy totiž začneme dostávat v okamžiku, kdy se naše adresa ocitne na seznamu jeho rozesílatelů. Virus nám ale přijde tehdy, když se počítač obsahující naši adresu nakazí nebo když si nás virus najde. A to je na rozdíl od předchozího spíše věcí náhody. Na druhou stranu si ale červy můžeme mnohem efektivněji než spam sami poslat.
Proto jsme připravili starší počítač s nainstalovaným operačním systémem (Windows 2000) bez antiviru, s připojením k Internetu a s vytvořenými podmínkami k tomu, abychom z něj mohli, pochopitelně jen v rámci testu a na námi specifikované e-mailové adresy, nějaký e-mail s virem odeslat. Nezbytnou proprietou této snahy pak pochopitelně byly vzorky virů, respektive červů. Díky použitému postupu jsme mohli využít jen červy ne nejaktuálnější, nicméně pro základní prověření účinnosti filtrování na serverech se domníváme, že by mohly stačit. Našimi červíky se tak staly tyto varianty:
- Win32/Bagle.AB
- Win32/Bagle.AS
- Win32/Netsky.B
- Win32/Netsky.C
Všechny škodlivé kódy se nám podařilo ulovit díky poštovnímu serveru, který nám je při příchodu separoval, ale nevymazal, a tak jsme mohli se zachováním veškeré opatrnosti přistoupit k jejich přeposlání. Většinou také patřily do žebříčku nejrozšířenějších virů na počátku roku 2005.
Aby bylo možné s červy manipulovat, ale současně vyloučit možnost, že by se nám „utrhly z řetězu“, mohlo dojít k nepatrným změnám v jejich struktuře, které by neměly mít přímý vliv na identifikaci kódů. Každý červík byl odeslán přes nechráněný a v rámci našeho připojení volně dostupný SMTP server pod hlavičkou dvou jiných e-mailových adres na každou z nich. To znamená, že celkem jsme odeslali čtyři zprávy po dvou kopiích na šest adres, což je 48 různých začervených e-mailů. Následovala dvouhodinová technická přestávka, po které jsme prostřednictvím webmailového rozhraní jednotlivých freemailů zjistili, jak pokus o přenos červů dopadl. Abychom minimalizovali možnost selhání přenosu „po trase“, krátce po odeslání červů jsme z jiného počítače a jiné IP adresy, avšak prostřednictvím stejného SMTP serveru, odeslali na každou ze schránek dva e-maily. Tyto by měly být považovány za důvěryhodné. Sloužily nám jako kontrola (v případě, že dorazí v pořádku, předpokládáme, že cesta k poštovním systémům je volně průchozí. Není přímý důvod domnívat se, že by jí neměl projít některý z nastražených červíků.)
Výsledek
Z hlediska zájmu o otázku antivirové kontroly vykázal nejzajímavější výsledky freemail od Google. Přestože je oficiálně uváděna pouze ochrana před odesíláním a přijímáním spustitelných souborů, a červi by tedy měly končit bez příloh ve spamovém koši, naše pokusy o odeslání jejich spustitelných kódů končily vytrvale nedoručením. Zdá se, že tato metoda je tedy velmi účinná, avšak stále se ještě nedomníváme, že stoprocentně.
České freemaily, které jsou chráněny (slovenským i jiným) antivirem, si se všemi pokusy o proniknutí červíka poradily naprosto brilantně. Pravdou je, že jsme mohli vybrat jiné červy nebo více modifikovat jejich části, a to i při plném zachování funkčnosti. Nicméně do uživatelských schránek se ani v jediném případě nedostalo nic nebezpečného, co by po spuštění mohlo způsobit poškození počítače. Také Hotmail ochrání vaše e-maily v současnosti již velmi dobře, a není proto důvodu si na něj stěžovat.
Dlouhodobý test
Ve druhé fázi našeho testu jsme se rozhodli dlouhodobě vyzkoušet propustnost jednotlivých freemailů na nové červy, a to poněkud netradiční formou. Základem se stala e-mailová adresa, která, ač dnes již není plně využívána, byla několik let určena pro velmi čilou korespondenci s několika desítkami osob i firem jak v ČR, tak na Slovensku a v USA. Adresa se nachází na soukromém poštovním serveru, takže bylo možné zařídit jednak její jednotlivé vyřazení z monitoringu antivirového programu a filtru nevyžádané pošty, jednak přeposlání veškerého obsahu na naše freemaily. Po dobu jednoho měsíce od poloviny ledna do poloviny února jsme průběžně sledovali příchozí viry v očekávání, jak na ně freemaily zareagují. Vzhledem k tomu, že zmíněná vstupní schránka byla dostatečně „profláknutá“, narazili jsme doslova na několik perel (jednou z nich byl červ Klez.E) i na aktuálně se šířící verze červů z rodiny Bagle. Žádná ze zpráv ale nezůstala nepovšimnuta, což je jistě velice pozitivní věc jednak vzhledem k freemailům, které jsme testovali, jednak vzhledem k uživatelům, kteří se na ně tak mohou spolehnout.
Spolehnout se na freemaily?
Jaký je tedy závěr našich pokusů? Na antivirové filtry u freemailů, alespoň u těch českých a největších zahraničních, se lze spolehnout, pokud je ovšem dané služby mají. V případě, že poštu stahujete pomocí tlustých klientů, měli byste určitě jako doplněk zvyšující bezpečnost používat další antivirový program, který dodatečně zkontroluje všechny příchozí zprávy i poté, co již jednou na serveru kontrolou prošly. Ideální by navíc bylo, kdyby tento program byl jiné značky než serverový. Freemail Google svým stylem ochrany zpráv, tedy alespoň tím, který uvádí, přichází s vtipným řešením, ovšem toto řešení mu na mnoho nebude u červů šířících se v netypických souborech. A vsadit na e-mailový server bez antivirové ochrany, případně s vypnutou ochranou, za jejíž aktivaci je třeba si připlatit, by mohl snad vážně jen hazardér. To se pochopitelně netýká uživatelů, kteří již v takovýchto serverech adresu mají a z různých důvodů ji nemohou nebo nechtějí změnit. Spolehnout se tedy lze. Ale také je dobré neusnout.
ČLÁNKY DO MAILU