Nauka na błędach pozwala na stworzenie lepszego oprogramowania

Dokładnie dziesięć lat temu firma G DATA zaprezentowała na CeBIT pierwszą wersję zabezpieczenia do urządzeń z systemem Android. Bardzo dobre wyniki testów realizowanych przez AV-Test w minionych latach dowodzą, jak dobrze aplikacje zabezpieczające chronią smartfony i tablety. Nadszedł czas, by spojrzeć wstecz i postawić pytanie, jak udało się utrzymać wyniki na wysokim poziomie.

Niecałe dwa lata po tym, jak Google przedstawił system operacyjny Android, wraz z Android.Trojan.FakePlayer.A pojawiło się pierwsze złośliwe oprogramowanie (malware) do mobilnych urządzeń końcowych.Stało się jasne, że urządzenia mobilne wymagają takiej samej ochrony, jak prywatne komputery lub sieci firmowe. Już kilka miesięcy później firma G DATA przedstawiła na CeBIT pierwsze rozwiązanie zabezpieczające do systemów Android. Było to możliwe dzięki temu, że G DATA już się zaangażowała w projekt badawczy dotyczący bezpieczeństwa systemu Android. Eksperci Mobile wykorzystali potem tę wiedzę, aby stworzyć pierwszą wersję Mobile Security. Rozwiązanie bazowało – dokładnie tak, jak oprogramowanie zabezpieczające dla komputerów i sieci – na sygnaturach wirusów, które były regularnie aktualizowane. – W tamtym czasie znaczną część prac wykonywało się ręcznie. Początkowo klienci otrzymywali aktualizacje raz lub dwa razy dziennie – mówi Stefan Decker, programista w zespole Mobile.

Automatyzacja w walce ze złośliwym oprogramowaniem

W związku ze stale rosnącą liczbą szkodliwego oprogramowania wkrótce doszło do automatyzacji wykrywania, co pozwoliło odciążyć zespół. System obliczał wartość z różnych czynników o rozmaitym znaczeniu. Jeśli wartość leżała powyżej zdefiniowanej wartości progowej, aplikacja uchodziła za złośliwą. Jeszcze dziś w Mobile Security Android od G DATA  stosuje się tę logikę w udoskonalonej postaci. Rozpoznawalność wzrosła, a interwały między aktualizacjami sygnatur uległy skróceniu. Proces edukacyjny obejmuje również rozpoznania fałszywe. W tym zakresie informacja zwrotna od klientów i pomocy technicznej stanowiła wartościową pomoc, pozwalającą na wprowadzenie dalszych ulepszeń w rozpoznawaniu. Przykład: Play-Store-App Google’a znalazła się na liście szkodliwych aplikacji. Powodem był fakt, że analitycy cały czas wypróbowywali nowe metody rozpoznawania, a jedna z nich była ukierunkowana wyłącznie na uprawnienia aplikacji, ponieważ daleko idące zezwolenia jeszcze dziś są wskazaniem na potencjalnie niebezpieczne oprogramowanie. Istotnie, aplikacja oficjalnego Play Store może praktycznie wszystko, co doprowadziło do błędnego rozpoznania. Błąd został szybko skorygowany i miał później efekt edukacyjny przy dalszym rozwoju.

Zwiększyć tempo dzięki chmurze

Początkowo smartfony nie były jeszcze „always on“ i „always connected“, do pobierania aplikacji wykorzystywano komputer, z którym użytkownik musiał połączyć swój smartfon. Tą drogą użytkownicy otrzymywali również aktualizacje swego programu antywirusowego – z reguły raz dziennie. Dzięki stałemu dostępowi do internetu zmieniły się też wymagania dotyczące ochronnych rozwiązań dla urządzeń mobilnych. Dlatego w kwietniu 2014 r. programiści G DATA zintegrowali własne rozwiązanie Mobile-Cloud w aplikacji antywirusowej. Ogromna zaleta: Aktualizacja co minutę, a tym samym lepsza ochrona przed atakami. Wszyscy klienci mają tym samym rozpoznawanie do bezpośredniej dyspozycji. Również odkrycie instalowanego fabrycznie złośliwego oprogramowania w nowych urządzeniach z Androidem wykazało w tym czasie, jak w pierwszych latach zmieniało się zagrożenie dla mobilnych urządzeń końcowych. Zagrożenie, które istnieje również dziś. Wtedy doprowadziło to do zmiany rozumowania przy rozpoznawania szkodliwego oprogramowania, bo wcześniej instalowane fabrycznie aplikacje systemowe uchodziły za niebudzące podejrzeń.

Stefan Decker
Badacz bezpieczeństwa w zespole ds. urządzeń mobilnych w G DATA CyberDefense

Pierwszego dowodu na skuteczność nowej technologii dostarczył już AV-Test dzięki wyraźnie mniejszej liczbie nierozpoznanych zagrożeń w zakresie jednocyfrowym.

Stefan Decker
Badacz bezpieczeństwa w zespole ds. urządzeń mobilnych w G DATA CyberDefense

Z nowym napędem do większej stabilizacji

W nowej aktualizacji w kwietniu 2017 r. po raz pierwszy zastosowano nowy napęd. Dzięki nowej technologii analitycy byli w stanie dokładniej przyjrzeć się podejrzanym aplikacjom i oprócz zewnętrznej otoczki przeanalizować również poszczególne pliki. Programiści zmienili sposób sprawdzania szkodliwych plików i wprowadzili do procesów nowe sekwencje. W sumie sprawność rozpoznawania ponownie się poprawiła, a stabilność wzrosła wyraźnie. – Pierwszego dowodu na skuteczność nowej technologii dostarczył już AV-Test dzięki wyraźnie mniejszej liczbie nierozpoznanych zagrożeń w zakresie jednocyfrowym. Także w kolejnych testach, aż po najnowsze badanie niezależnego instytutu badawczego, rozwiązania G DATA przekonywały doskonałymi wynikami – mówi Stefan Decker.

W kolejnym kroku programiści dostosowali metody klasyfikacji szkodliwego oprogramowania i zmienili mechanizm i sposób. Doprowadziło to szybszej identyfikacji nowych zagrożeń i zwiększyło tempo aktualizacji dla chmury. W ten sposób klienci byli lepiej zabezpieczeni. Ostatnim krokiem jest najnowsza wersja zabezpieczenia. W tym przypadku skoncentrowano się na aktualizacji interfejsu użytkownika, by sprostać zmienionym potrzebom użytkowników. Już na stronie startowej użytkownicy otrzymują prosty i kompletny przegląd aktualnego statusu ochrony. Osobista konfiguracja poszczególnych zakresów wymaga tylko kilku kliknięć.

Programujący wprowadzili też dostosowania na płaszczyźnie technologicznej. Dzięki temu obecnie aplikacja jeszcze lepiej chroni przed oprogramowaniem szpiegującym. W ten sposób wspiera użytkowników poprzez dialog przy podejmowaniu decyzji i pytaniu, jaki ma być kolejny krok. Oprogramowanie szpiegujące daje możliwość przeniknięcia poprzez mobilne urządzenie końcowe do życia prywatnego danej osoby i jest stosowane jako narzędzie do wykorzystywania w przypadkach przemocy domowej i stalkingu. Programy te operują w ukryciu bez wiedzy i zgody ofiary. W ramach regularnego skanowania aplikacji aplikacja zabezpieczająca bada właściwości zainstalowanych aplikacji. Jeśli większość z nich spełnia wymogi oprogramowania szpiegującego, jak na przykład znaczny dostęp do wiadomości lub danych, to użytkownicy otrzymują odpowiedni sygnał ostrzegawczy.

Działanie zawsze w interesie klienta

Historia sukcesu Mobile Security wiąże się jednak jeszcze z innymi powodami, które uwidaczniają się po stronie zespołu i w sposobie współpracy. Bardzo wcześnie osoby odpowiedzialne zdecydowały się wykorzystać sprawne metody pracy. – Decyzja ta bardzo nam pomogła, ponieważ możemy lepiej reagować na aktualne wyzwania naszych klientów, aby na przykład szybciej dostosowywać identyfikacje – mówi Stefan Decker. – Dzięki retrospektywom jako stałemu elementowi sprawnych procesów pracy możemy również stale polepszać sekwencje poprzez badanie krytyczne. Google dalej rozwija system operacyjny Android, tak że konieczne są dostosowania, gdy przykładowo sygnalizowany jest interfejs. Złośliwe oprogramowanie rozwija się również, co wymaga stałych aktualizacji technologii rozpoznawania, aby móc odpierać aktualne próby atakowania.

Stefan Decker
Badacz bezpieczeństwa w zespole ds. urządzeń mobilnych w G DATA CyberDefense

Decyzja ta bardzo nam pomogła, ponieważ możemy lepiej reagować na aktualne wyzwania naszych klientów, aby na przykład szybciej dostosowywać identyfikacje.

Stefan Decker
Badacz bezpieczeństwa w zespole ds. urządzeń mobilnych w G DATA CyberDefense

Nowa kultura błędu

Regularne testy stanowią istotny element procesu rozwoju. Aplikacja antywirusowa testowana jest na rożnych urządzeniach z rożnymi wersjami Androida. Biorący w tym udział programiści na swoim prywatnym sprzęcie wykorzystują wersję BETA i dzięki temu mogą bardzo dokładnie przetestować rozwiązanie. Poza tym poważnie traktuje się informację zwrotną od użytkowników. Zespół Mobile otrzymuje też bardzo szybko informację zwrotną od pomocy technicznej, jeśli coś nie funkcjonuje tak, jak powinno. Innym aspektem jest żywotna kultura „post-mortem”. Incydenty, takie jak fałszywe identyfikacje, zespół analizuje natychmiast, tak że na ogół nie pojawiają się ponownie. – Chodzi o to, by uczyć się na błędach i wspólnie się ulepszać – mówi Stefan Decker.

Kolejnym elementem zapewnienia jakości jest inicjatywa informowania o złośliwym oprogramowaniu, w skrócie MII. Klienci poprzez tab w aplikacji deklarują gotowość przekazania określonych danych analitykom G DATA. Dzięki temu analitycy otrzymują informacje dotyczące wykorzystywanych modeli urządzeń, nazw aplikacji, hashtagu zidentyfikowanego oprogramowania szkodliwego. Osobiste dane użytkowników i ustawienia, takie jak numery telefonów, nie są transmitowane w systemie i analizowane. W ten sposób dzięki swym danym klienci pomagają przy identyfikacji, co pozwala na poprawę sprawności rozpoznawania.

Wniosek: It´s a long way to the top

Nie można jednym zdanie odpowiedzieć na pytanie, dlaczego zabezpieczające Android rozwiązanie firmy G DATA od 2017 roku zapewnia doskonałe wyniki testowe. Liczne drobne puzzle przyczyniły się w minionych latach do tego, że zespół Mobile wciąż właściwie interweniował i ulepszał możliwości zabezpieczające aplikacji, a także coraz lepiej współpracował jako grupa.

Michał Łabęcki | P.o. Kierownika marketingu

Michał Łabęcki
P.o. kierownika marketingu
E-mail: [email protected]

Przeczytaj również ...