Информационная безопасность компьютерных систем и защита конфиденциальных данных
SecuRRity.Ru » Статьи » Ложь, большая ложь и антивирусы. «А они первыми начали!»
Статьи

Ложь, большая ложь и антивирусы. «А они первыми начали!»

автор: Administrator | 1 сентября 2010, 13:33 | Просмотров: 6899
теги: антивирусы, вирусы



Ложь, большая ложь и антивирусы. «А они первыми начали!» Этой статьёй я начинаю серию, посвящённую некоторым аспектам так называемой «антивирусной индустрии», которые, надеюсь, будут интересны не только мне одному.

Вот уже в который раз нас пугают страшилками в стиле «очередной вирус разошёлся по миру миллионными тиражами. Мы все погибнем!». Вот только, читая очередной бодрый пресс-релиз очередного производителя очередного антивирусного средства, недоумеваешь. Как же так? Нас так надёжно защищают, столь всесторонне: тут и сигнатуры, и эвристик, и даже — писк сезона — поведенческий блокиратор. Тогда какого ... люди продолжают заражаться? Откуда эпидемии? Действительно ли современные антивирусные средства эффективны?

Первые антивирусы возникли в районе 1985 года как ответ на первые файловые вирусы, заражающие исполнимые и интерпретируемые файлы и работающие в среде MS DOS. Кто ещё помнит, это такая однозадачная операционная система, где её ядро и прикладные программы работали на одном уровне привилегий. И именно антивирусы оказались на этой платформе наиболее рациональным инструментом борьбы с вирусами, причём как излечения уже заражённых машин, так и предотвращения заражения.

Вирусы распространялись медленно, на дискетках, от пользователя к пользователю, а сигнатуры для поимки и лечения — значительно быстрее, через сети (BBS, NNTP). И так продолжалось достаточно долго, до, примерно, начала 2000-х (то есть, пятнадцать лет минимум), когда произошло три кардинальных изменения

Кардинальное изменение номер один: к нам пришёл Интернет. А значит, среда распространения вирусов стала той же, что и распространения сигнатур. Опережение антивирусов над вирусами свелось к нулю.

Кардинальное изменения номер два: вместо операционных систем на основе MS DOS (а это, также, вся линейка Win1.xx–Win3.xx, Win95/96/98/ME) на десктопы пришло ядро Windows NT в реализации Windows 2000/XP. Теперь ядро операционной системы, её код и данные, надёжно отделены от адресного пространства обычных программ.

Кардинальное изменение номер три: вирусы теперь пишут ради выгоды. Более того, именно «вирусы», фактически, исчезли с компьютеров обывателей. Их заменили всевозможные «черви», «троянские кони», «блокираторы» и прочая нечисть, ориентированная на получения денег.

Именно с кардинальным изменением номер три связан первый сильный провал антивирусной индустрии — антивирусы не могли лечить уже заражённые троянами машины. Вот файловое заражение– сколько угодно, а когда исполняемые модули внедряются в операционную систему– нет. На этом выросла целая индустрия “anti–malware”. Все тем, кто ещё помнит такие названия как Spybot Search&Destroy, Ad-Aware, SpySweeper, думаю, ничего объяснять не надо. Надо сказать, что антивирусная индустрия достаточно быстро сообразила, что деньги утекают из их рук и достаточно быстро наверстала упущенное.

Вот только из-за кардинального изменения номер один уровень предотвращений заражения упал ниже всякой критики. Антивирусы катастрофически опаздывают. И ничего не спасает — ни эвристик, ни поведенческий блокиратор. Зловредописатели обходят всё.

При этом на всех форумах периодически всплывают темы в стиле «антивирус А пропустил заражение, он плохой. Посоветуйте хороший». Человеку советуют «хороший», который остаётся в данном статусе вплоть до следующего пропуска. После чего цикл поиска «хорошего антивируса» повторяется.

При этом возникает парадокс — новые технологии предотвращения заражения, созданные благодаря «кардинальному изменения номер два» и показывающие абсолютные результаты в тестах на предотвращение заражения (так называемые «динамические тесты»), не могут пробить себе места под солнцем, ибо пришли на рынок довольно-таки поздно. Инерция сознания подавляющего количества пользователей просто не позволяет им искать ничего «защищающего», кроме антивирусов. Защита тождественно равна антивирусу. Точка. «Нужна защита. Посоветуй хороший антивирус». Знакомо?

А ведь антивирусы не лучшие в задаче предотвращение заражения! Просто они первыми начали!


автор:
Илья Рабинович

источник:
habrahabr.ru
@ zhashz
29 сентября 2010, 09:07 | |  
Аватар пользователя zhashz
карма: +65.02
комментариев: 5
новостей: 0
группа: Посетители
спасибо за статью.
но все же назрел вопрос: какие антивирусные решения из "новых" вы бы посоветовали? Хотелось бы потестить:)
@ Administrator
30 сентября 2010, 20:40 | |  
Аватар пользователя Administrator
карма: +4669.366
комментариев: 239
новостей: 1005
группа: SysOp
@zhashz,
Наверно, на данный момент, самая лучшая и на 100% надежная защита, это Virtual PC запущенный в Virtual Box, который в свою очередь под nix-систем :)
@ ivan
30 сентября 2010, 22:03 | |  
Аватар пользователя ivan
карма:
комментариев: 0
новостей: 0
группа: Гости
@ zhashz
потести, если так ужо приспичило, вот это - Online Solutions Security Suite (http://www.online-solutions.ru/products/osss-security-suite.html), хоть узнаем что это такое:)

@ fox68
1 октября 2010, 01:31 | |  
Аватар пользователя fox68
карма: +38.87
комментариев: 32
новостей: 3
группа: Посетители
Админ в целом прав,или вообще,к примеру не выходить в сеть,но это конечно нереально.По специфике своей работы приходится тестить многие антивири.По поводу osss-пока еще в стадии тестирования,как и nano от брянских разрабов.Продукт обещает быть перспективным.Можно потестить мэккэфи,он на одной планке с каспером и нортоном.Удачи. acute
@ Гуляющий_во_Тьме
2 октября 2010, 06:05 | |  
Аватар пользователя Гуляющий_во_Тьме
карма: +108.02
комментариев: 15
новостей: 0
группа: Посетители
fox68, то, что McAfee - на одной планке с каспером и нортоном - это уже перегоны, причём сильные.. - признавайся, что принимал ты перед сим постом?!?!
лично могу по своему опыту сказать, эта программа - сама по себе вирус...ибо после деинсталляции в системе оставляет после себя тонну и одну мусорину, которые запаришься вычищать, чтобы поставить что-то более-менее вменяемое... CIS к примеру, по проактивке делает каспера, про остальных - вообще умолчу. так же, вчера ещё и электронное письмо получил. т.к. подписался на рассылку... нортон, опять же, нервно курит в сторонке, судя по прочитанной информации... может и перегибаю...просто сам затести - forums.comodo.com =) лично для себя я ничего лучше не видел)))
@ fox68
2 октября 2010, 15:57 | |  
Аватар пользователя fox68
карма: +38.87
комментариев: 32
новостей: 3
группа: Посетители
У меня на нескольких машинках стоит именно MIS,но лицуха.Работает он сильно и незаметно.Как говорят сами разработчики-рассчитан только на работу с лицензированным софтом,больше на сильные машинки.Насчет деинсталла-ты прав,вычищать после него приходится немеренно,в основном ручками.Насчет комодо-ничего плохого сказать не могу,тестил его несколько раз,но слишком сильно влезает в систему.К тому же он как и каспер после месяца работы начинает немного подтормаживать,приходится чистить кэши.KIS 2011,увы-пока сырой.С переустановкой у нового каспера большие проблемы,да и в тех.поддержке это не отрицают.На нортоне сидел год,но лицуха закончилась,пока продлевать не хочу. yes
Обратная связь

Информация


Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.