Koneillani on jyllännyt Avast! siitä lähtien kun löysin sen Enter-lehden CD rompulta. Avastin läpi on päässyt itselläni vain YKSI virus, ja se oli ns. meseviirus kun epidemia oli pahimmilaan. (ko. epidemia oli windows xp aikoina) Avira näkyy kehittyneen niin hyväksi, että taidan vaihtaa siihen, mikäli asentelen käyttiksiä uudelleen. Palomuurisofta taas vaihtui "pakko olla"-softaksi, sen jälkeen kun näin paljonko sitä haitta-/kutsumatonta liikennettä yrittää tulla sisään. (UltraJATmachinella käytössä COMONDO palomuuri)
Ja tässä teille pieni WoT:
Omasta mielestäni virustorjunnat ovat idioottimaisen tyhmiä: ne epäilevät jokikistä bittiä, tavua ja ohjelmaa joka koneesta löytyy. Aina. Joka hetki. Tässä ei ole sinällänsä mitään vikaa, mutta tällainen oletus on vainoharhaisuutta pahimmilaan. En osaa sanoa millä tekniikan tasolla ja tempuilla nyky virustorjunnat seulovat konetta, mutta tässä on omasta mielestäni hyvä rakenne:
Whitelist ja tämän negaatio Blacklist olisivat jo järkevämpiä. Kaikki ohjelmat/prosessit jotka eivät ole Whitelistillä oletetaan haitallisiksi. Blacklistiä ei oikeastaan ole, koska whitelist ajaa sen virkaa. Whitelist ei perustu suoraan "luotettu / haitallinen" periaatteeseen, vaan monitasoiseen luottamukseen.
Nollatasolla resurssin sisältöä, että toimintaa pidetään vahvasti epäilyttävänä tai vaarallisena. Jos tunnetaan entuudestaan että resurssi on haitallinen, se eristetään täydellisesti ja tuhotaan ilman kysymyksiä. Tämä on se vainovarhainen taso, jota nyky virustorjunnat harjoittavat. Tämä taso kohdistuu kaikkeen uuteen informaatioon, jota tietokoneeseen saapuu tai luodaan. Mm. erityisesti www-selaimen yhteydet.
Ykköstasolla prosessin tai tiedoston oletetaan olevan sinällänsä luotettava, mutta sen käyttöä/käytäytymistä seurataan yhä tiiviisti. Vähänkään epäilytävä käytyminen/käyttö heittää resurssin takaisin Nollatasolle. Parhaimmat virustorjunnat osaavat harjoittaa jo tätä.
Seuraavista en ole ollenkaan varma:
Kakkostasolla prosessin tai tiedoston oletetaan käyttäytyvän jo nätisti ja olevan näin luotettava. Nyt tätä ohjelmaa/tiedostoa suojataan kuitenkin niin, että sen epäilään voivan muuntua joksikin vaaraliseksi. Huomaa sana
suojataan. Tietokoneen käyttäjä voi auttaa tässä vaiheessa kevyesti ajamalla ajoittain virus tarkistuksia ja epäilemällä tiedostojansa tai ajettavia ohjelmia/prosesseja. (internet yhteyttä käyttävät ohjelmat sijoittuisivat tänne)
Kolmostaso on jo terve: Jos jokin päästetään tänne asti pitäisi olla mahdotonta, että resurssista on jotain vaaraa tietokoneelle. Tätä resurssia ei enää myöskään epäillä millään tavoin: Jos jokin muu kolmostason resurssi peukaloi toista kolmostason resurssia tämän oletetaan olevan myös normaalia toimintaa. (CBCompiler sijoittuisi tänne esimerkiksi)
Nelostaso on elintärkeä, jopa epäilyttävänä. Tälle tasolle nostettua resurssia ei voida laskea enää pois. (Esimerkiksi järjestelmä tiedostot)
No mitäs jos jotain pääsee läpi tai vaara huomataan vasta jälkikäteen? Vastaus: Kolmostaso muuttuu kakkostasoksi, kakkostaso muuttuu ykköstasoksi ja ykkös- että nollataso seulotaan läpi mahdollisimman tarkasti. Koko järjestelmän luotettavuus romahtaa yhden tason alas päin, mikäli yksikin resurssi jonka toiminta sallittiin korkeammalla tasolla todetaankin vaaralliseksi. Nelostason resurssit tarkistetaan myös, mikäli niistä löydetään muutoksia. Taustalla ajettava tarkistus prosessi on aina korvaamaton, koska se on ainoa tapa huomata lipsahdukset jälkikäteen.
