dodany: 31.01.2013 | tagi: , , , ,

Autor:

Instalować – nie instalować? Czy faktycznie nie potrzebujemy antywirusów?

3

Zarzut, że instalowanie oprogramowania antywirusowego to zbędny wysiłek powraca pod różnymi postaciami niczym bumerang. Od testów poszczególnych produktów, przez rządowy malware, po samozwańczych „ekspertów”, którzy upodobali sobie wygłaszanie opinii na wszelkich forach internetowych. Zwłaszcza ci ostatni posługują się zwykle takimi samymi argumentami w kwestii krytyki poszczególnych produktów, próbując powoływać się na swoje doświadczenie. Z powyższych powodów pragnę odnieść się do części argumentów-mitów – tych spotykanych w prawie każdej dyskusji , a zwykle błędnie obieranych jako prawdę.

 

Argument pierwszy: wynik skanowania VirusTotal

VirusTotal to bardzo użyteczne narzędzie do zdobycia wstępnych informacji o danej próbce, ale nie jest on żadnym wyznacznikiem wydajności produktów antywirusowych. Co najważniejsze, jest to opinia samych autorów, którzy nie lubią nadużywania ich usługi w bezsensownym celu. Od lat na ich stronie można znaleźć informacje na ów temat:

 

VirusTotal: druga opinia, nie zamiennik

VirusTotal nie jest zamiennikiem oprogramowania antywirusowego zainstalowanego na komputerze, jedynie skanuje poszczególne pliki/linki na życzenie. Nie zapewnia również stałej opieki systemowej. O naszej usłudze myślimy jako o drugiej opinii dotyczącej szkodliwości plików/linków.

Chociaż współczynnik wykrywania osiągany dzięki użyciu wielu silników antywirusowych jest znacznie wyższy od tego oferowanego przez jeden produkt, otrzymane wyniki NIE GWARANTUJĄ nieszkodliwości pliku/URL-a. Ponadto, wyniki fałszywie pozytywne otrzymane w ten sposób są liczniejsze od pojedynczego skanera. (…)

ZŁY POMYSŁ: VirusTotal jako test antywirusów

Jesteśmy już zmęczeni powtarzaniem, że nasza usługa nie jest zaprojektowana jako narzędzie do przeprowadzania testów i analizy antywirusów, lecz do sprawdzania podejrzanych próbek i wspomagania laboratoriów antywirusowych poprzez informowanie ich o malware, którego ich produkty nie wykrywają. Te osoby, które używają VirusTotal do testowania antywirusów, powinny wiedzieć o wielu błędach w takiej metodologii:

VirusTotal korzysta z konsolowych wersji silników antywirusowych, zatem w zależności od produktu, nie będą one zachowywać się tak samo, jak ich graficzne odpowiedniki. (…)

 

To nie wszystkie błędy w takiej metodologii testów. Oczywistym jest, że silniki używane przez VirusTotal nie są skonfigurowane w identyczny sposób, jak ich odpowiedniki dostępne na rynku. Jeżeli dana próbka nie została wykryta przez VirusTotal, autorzy antywirusa przejmują się tym znacznie mniej niż gdyby prawdziwy, płatny produkt zawiódł.

Po drugie, żadna firma nie dostarcza swoich najbardziej zaawansowanych rozwiązań do systemu, w którym atakujący mogą przetestować swoje nowe dzieło i poprawić je tak, aby było niewykrywalne przez wystarczającą liczbę skanerów.

Po trzecie, VirusTotal nie ma uruchomionych antywirusów w tle, tylko przeprowadza skanowanie na konkretnej próbce. Tym samym nie jest testowana ochrona proaktywna, śledzenie zachowań, skanowanie pamięci i heurystyka. Dlatego wyniki VirusTotal mogą odbiegać od wyników prawdziwych antywirusów.

 

Argument drugi: skanowanie wirusów dostępnych w różnych kolekcjach i narzekanie, że antywirus nie wykrył wszystkiego

Nawet podczas skanowania takiego zbioru za pomocą pełnoprawnego antywirusa, nie używa się go tak, jak zakładają autorzy. Przemysł antywirusowy już dawno zdał sobie sprawę z tego, że nie da się zagwarantować wystarczającej ochrony skanując wyłącznie pliki. W myśl „lepiej zapobiegać niż leczyć”, programiści skupili się na zapobieganiu zainfekowaniu maszyny poprzez uniemożliwianie kontaktu, zamiast wykrywaniu już istniejącej infekcji.

Typowy produkt antywirusowy, a raczej pakiet, zawiera wiele poziomów zabezpieczeń, a skanowanie plików jest ich niewielką częścią. Oferowane funkcje różnią się od produktu, ale najczęściej spotyka się:

  1. Filtrowanie linków i przeglądanych stron, używane, aby zapobiec natknięciu się na podejrzane strony.
  2. Skanowanie HTTP i innych protokołów, aby wyłapać szkodliwą treść zanim trafi do przeglądarki internetowej/odpowiedniego programu.
  3. Wykrywanie exploitów, aby zablokować je zanim będą mogły przejąć kontrolę nad systemem. Nawet jeżeli nie zostanie wykryta konkretna luka, antywirusy często podejmują podstawowe kroki bezpieczeństwa w celu ochrony.
  4. Sieciowe skanowanie na podstawie „reputacji” pliku dostępnej w bazie na serwerze producenta. Wielu użytkowników twierdziło, że taki rodzaj ochrony powinien zastąpić klasyczne antywirusy. Tak naprawdę, współczesne produkty wykorzystują go jako jedną z broni w swym arsenale.
  5. Uruchamianie w wirtualnym środowisku (tzw. piaskownica, z ang. sandbox) i heurystyka, aby wyłapać podejrzane pliki przed ich wykonaniem.
  6. Tradycyjne skanowanie plików – to, co większość osób rozumie przez pojęcie programu antywirusowego. Dostarcza jedynie 15-20% ochrony przed zagrożeniami.
  7. Oddzielne skanowanie pamięci wykrywające malware, które nie trafia na dysk albo nie udało się go sprawdzić w wirtualnym środowisku.
  8. Proaktywna heurystyka i skanowanie pamięci jest ostatnią linią obrony, która znajduje pliki zachowujące się szkodliwie lub podejrzanie.

Nie zagłębiałem się w szczegóły z prostej przyczyny: żeby wytłumaczyć dlaczego każda z powyższych funkcji jest potrzebna oraz w jaki sposób ona działa, zajęłoby zbyt wiele czasu i miejsca. Chodzi mi o to, że nawet jeśli antywirus nie wykrył szkodnika podczas skanowania, nie znaczy to, że zagrożenie nie zostałoby zablokowane w przypadku prawdziwego ataku.

Skuteczna ochrona opiera się na wielu zabezpieczeniach. Co najzabawniejsze, wielu forumowych ekspertów poleca któreś z wyżej opisanych funkcji jako nowość. Cóż – większość pakietów antywirusów i tak oferuje owe „nowości”, bo są niezwykle niezbędne.

 

Argument trzeci: czarne listy to głupstwo – ludzie powinni korzystać z białych list

Gdyby białe listy były rozsądnym rozwiązaniem, to czy nie byłyby praktykowane? Tak naprawdę są one wykorzystywane w innych celach, takich jak poprawa wydajności i unikanie fałszywych alarmów.

Białe listy rozwiązują tylko problem plików wykonywalnych, zatem nie chronią systemu przed zagrożeniami wynikającymi z wirusów rezydujących w pamięci, exploitów lub szkodliwych stron.

 

Argument czwarty: antywirus powinien być po stronie serwera, nie komputerów biurkowych

Przerzucenie ciężaru ochrony antywirusowej na serwery biurowe oraz zapomnienie o obciążeniu wynikającym z ochrony proaktywnej byłoby bardzo miłe. Niestety nie jest to wykonalne, ponieważ w dzisiejszych czasach używamy coraz więcej komputerów mobilnych.

Ze stacjonarnym komputerem podłączonym wyłącznie do lokalnej sieci w biurze, administrator teoretycznie mógłby zajmować się bezpieczeństwem na poziomie sieci. W rzeczywistości większość komputerów to laptopy, które podłączają się z jednej sieci do drugiej i jedyne, co pozostaje stałe, to oprogramowanie na nim dostępne. Ponadto takie rozwiązanie nie chroniłoby przed wirusami na nośnikach wymiennych.

Antywirus w chmurze mógłby odciążyć pojedyncze maszyny, ale chroniłby gorzej z powodu zrezygnowania z niektórych zabezpieczeń, w efekcie byłby mniej przydatny.

 

Argument piąty: „aktualizujemy firmowego antywirusa, ale duża część malware i tak się przedostaje”

Wyjaśnienie tego jest dwojakie.

Po pierwsze, żaden produkt nie oferuje 100% ochrony; może co najwyżej powstrzymać większość ataków. Na stronie AV-Comparatives można sprawdzić jak skuteczny jest dany produkt (pisaliśmy już kiedyś o tym,  jak działa ośrodek: W jaki sposób AV-Comparatives testuje oprogramowanie antywirusowe?). Zawsze znajdzie się atak, który przedostanie się przez zabezpieczenia.

Po drugie, wiele korporacji okalecza swojego antywirusa przez blokowanie połączeń z serwerem danego producenta. W efekcie antywirus opiera się wyłącznie na lokalnej bazie (nie może jej zaktualizować) i skanerze, co znaczy, że pozbawia się większości rodzajów ochrony i zabezpiecza się mniej, niż gdyby wszystkie techniki zostały użyte.

 

Argument szósty: “antywirus nie wykrywa 98-100% malware, które widzę”

Jeden z najbardziej niedorzecznych argumentów. To logiczne, że użytkownik widzi tylko te wirusy, które przedostały się przez zabezpieczenia.

Ponadto twórcy antywirusów byliby niezwykle wdzięczni, gdyby każdy skontaktował się z nimi i podzielił wszelkimi informacjami o ataku. Sam szkodliwy plik rzadko dostarcza wystarczającej ilości informacji, aby zapobiec kolejnym atakom.

 

Lepiej pomyśleć samemu

Nie ufaj ludziom, którzy sugerują Ci rezygnację z antywirusa tylko dlatego, że nie jest on doskonały. Wbrew temu co propagują forumowi „eksperci”, oprogramowanie antywirusowe tworzone jest przez prawdziwych ekspertów, którzy dokładają wszelkich starań, aby Twój komputer pozostał bezpieczny.

avatar
WebSecurity.pl to największy w Polsce portal o bezpieczeństwie sieciowym.
WebSecurity.pl to codziennie aktualizowane źródło najnowszych informacji i interesujących artykułów z zakresu bezpieczeństwa IT. Na WebSecurity.pl dzielimy się z Wami wiedzą (know-how) i umiejętnościami (how-to), publikując pomocne wskazówki, porady, kursy i tutoriale. Na portalu znajdziecie także prezentacje sprzętu oraz recenzje oprogramowania. WebSecurity.pl to również baza najciekawszych i najważniejszych wydarzeń branżowych w Polsce i na świecie.

3 odpowiedzi na “Instalować – nie instalować? Czy faktycznie nie potrzebujemy antywirusów?”

  1. avatar ichito pisze:

    No i myślałem, że to kolejny artykuł jakich wiele o AV, że konieczne…że najlepsze to „takie to a takie” i inne podobne „bla-bla”…a tu miłe zaskoczenie, bo wychodzi na to, że ze wszystkim, co autor napisał powinienem się zgodzić :)

    Plusy za:

    – celne uwagi na temat multiskanerów typu VT, Jotti czy METASCAN…z całym szcunkiem dla tych przedsięwzięć :)

    – za przypomnienie, że skan na żądanie nie jest jedynym wyznacznikiem jakości AV i że raczej ma sie nijak do rzeczywistej, codziennej pracy modułów AV

    – za przypomnienie, że nic nie daje 100% pewności bez względu na nazwę producenta, wyrafinowaną technologie (a czasem tylko jej nazwę), ilość tych modułów w AV czy pakietach

    – cenne uwagi na temat rozwiązań korporacyjnych – często panuje przeświadczenie, że uzytkownik docelowy jest mało rozgarnięty i nie ogarnie czegoś takiego, jak samodzielne i konfigurowalne AV…a to błąd, który w większości przypadków wynika z dziwnej polityki bezpieczeństwa firmy…tej realnej, nie tej oficjalnej w dokumentach…bo ludzie czasem coś jednak wiedzą i umieją, a ponadto ci mobilni zwłaszcza nie bazują jedynie na chronionej sieci. I tu bywa sprzecznośc interesów…nie masz sensownych zabezpieczeń, ale nie możesz ich zmodyfikować na przykład dokładając jakiś skaner na żądanie czy choćby monitor procesów albo zmian w systemie.

    Minusy za:

    – jednak pozostaje niedosyt jakiś, bo poruszone problemy zostały tylko „pogmerane”…za każdym niemal akapitem artykułu kryć się może dziesiątki innych problemów, więc spodziewam się, że coś więcej się u Was ukaże :)

    – białe listy i czarne listy…za mało nieco o tym niestety :)

    Na koniec…

    Białe listy to nie tylko podstawa anti-exe, ale i wszelkich monitorów typu HIPS/bloker i jest to technologia sosowana od samego początku tych rozwiązań. Mają sens tylko wtedy, gdy wiemy co na takiej białej liście ma być, a co ma być zabronione w danym momencie lub na stałe i wymagają pewnego rozeznania, co w systemie się dzieje. Niestety takie rozwiązania nie są popularne, bo wymagają koncentracji uzytkownika i współpracy z programem czyli reagowania na komunikaty…nie jest to ulubiona czynność zwłaszcza teraz, kiedy znakomita większośc liczy na komfortowe czyli z maksymalnie ograniczoną interakcją użytkowanie zabezpieczeń.

    A tak w ogóle to dzięki…fajnie się czytało :)

  2. avatar nikita pisze:

    "Po drugie, wiele korporacji okalecza swojego antywirusa przez blokowanie połączeń z serwerem danego producenta. W efekcie antywirus opiera się wyłącznie na lokalnej bazie (nie może jej zaktualizować) i skanerze, co znaczy, że pozbawia się większości rodzajów ochrony i zabezpiecza się mniej, niż gdyby wszystkie techniki zostały użyte."

    Co dokładniej miałeś na myśli pisząc o blokowaniu połączeń programu AV z serwerami producenta?

  3. avatar Król_Kier pisze:

    Będąc po stronie zwykłego pracownika pracując w firemce bez antywirusów, co chwile trzeba było się zgłaszać do nadwornego informatyka bo zawsze było coś. Teraz w innej firmie, co prawda większej, mamy zainstalowanego F-secure i już nie ma takich problemów. Więc moje zdanie, zwykłego użytkownika, jest takie, że antywirusy w firmie jednak się sprawdzają.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *