Reportáž: V "Pentagonu" u firmy Sophos
V druhém díle reportáže webu ZDNet.co.uk, která se zaměřuje na IT a bezpečnostní centra známých firem, se podíváme na "základnu" firmy Sophos, která je kvůli svým bezpečnostním opatřením přezdívána Pentagon.
Centrum pro vývoj antivirových řešení firmy Sophos nedaleko Oxfordu ve Velké Británii vás zaujme na první pohled. Budova je údajně vyrobena z neprůstřelného materiálu a ohrazena vodním příkopem. U vchodu jsou pak umístěny betonové sloupky, které by měly zamezit případným teroristickým útokům.
Tato robustní opatření ihned dávají tušit, že se jedná o velkou bezpečnostní firmu, která obstarává hodně byznysových zákazníků a měsíčně objeví 1500-1600 nových nebezpečných programů (viry, trojské koně atd.).
"Pokud řešíme problém s naším byznysovým zákazníkem (jenž má třeba 10 000 zaměstnanců), vždy jednáme pouze s IT expertem dané firmy - je to lepší a rychlejší, než problém řešit s lidmi na více pozicích. To znamená, že je naše odezva mnohem rychlejší než u konkurence " říká Carole Thierault z firmy Sophos.
"Můžeme také pro určitou firmu ušít antivirový software na míru. Máme produkty pro celou řadu platforem jako OS2, Open VMS a další, starší operační systémy, na kterých některé firmy kvůli úsporám pořád pracují," dodává Graham Cluley ze Sophosu.
V porovnání s jinými bezpečnostními firmami by se tým Sophosu mohl zdát malý, podle firmy je však malý personál velmi flexibilní.
"Máme zde 30 analytiků a dalších 20 je rozmístěných jinde po světě," říká šéf jednoho z týmů Vanja Svajcer.
Po celém světě
Kromě svých vlastních center má Sophos ve 150 zemích světa partnerské organizace.
Viry se však zkoumají v jedné ze sekcí "Pentagonu" - nikdo sem nesmí přinést žádné vybavení, které by mohlo infikovat počítače, jež se zde nacházejí (to se týká také notebooků s Wi-Fi a mobilů s Bluetoothem).
Sophos, stejně jako třeba Symantec, vlastní globální sít tzv. "honeypot" počítačů, což jsou nechráněné stroje připojené z internetu - perfektní cíl pro viry a červy.
"Vir se sice dostane do sítě honeypot, avšak již nemůže ven kvůli několika hardwarovým firewallům, jež blokují komunikaci," říká Svajcer.
Honeypot
Typické počítače v této síti mají operační systém Windows bez SP2 a antiviru. U těchto strojů je 50 procentní šance, že budou infikovány do 12 minut a 90 procentní, že se tak stane do 40 minut. K rozlišení, zda se jedná o vir či nikoli Sophos používá různé automatizované techniky.
Všechna data jsou nejprve filtrována automatickým systémem, dále pak technici Sophosu použijí jiné nástroje pomocí kterých zjistí, jak malware pracuje a jak je nebezpečný. Pokud je program identifikován jako vir, proběhne další kolo analýz a nakonec jsou vydány aktualizace na produkty Sophosu, které ten který vir rozpoznají.
Rootkity
Firma se nyní zaměřuje na tzv. rootkity, což je software, který skrývá procesy či soubory v systému, takže se rootkit či malware (vir, trojan) nezobrazuje ve seznamu procesů.
Že se rootkit usídlil v systému poznáte nejspíš podle toho, že se zmenší místo na pevném disku a zpomalí se chod systému. Rootkit se většinou dá odhalit sledováním, který port je používán k přenosu datových paketů.
Informace
Většina předních bezpečnostních firem nyní mezi sebou sdílí informace o (virových) nebezpečích pomocí speciálních kanálů. Sophos své poznatky sdílí například s firmami F-Secure, McAfee a Symantec. Nové viry jsou nejčastěji zakódovány pomocí PGP a odeslány partnerům na CD.
Dalším nebezpečím je spam - v "Pentagonu" se mu věnuje 11 analytiků a na jeho zachytávání se používají podobné sítě honeypot jako u virů.
"Jakýkoli spam s velkou přílohou je navíc skenován, aby se zjistilo, zda neobsahuje virus," říká Paul Baccas ze spammového oddělení. Podle Baccase spamové filtry Sophosu zachytí asi 95 procent nevyžádaných mailů...
Zdroj: ZDNet.co.uk
