Всем привет! В ходе регулярного чтения антивирусного блога, а также корпоративных блогов антивирусных компаний, нередко натыкаешься на сообщения следующего вида, получающих бешеную поддержку: «а если не устанавливать неизвестные приложения, смотреть на права, которые требуются приложению, то зачем антивирус?», «Не использую антивирус без особых мер предосторожности, и вот уже за 7-8 лет вирусов на моей машине почти не было». Через некоторое время создается твердое ощущение, что «кто крут, тому не нужен антивирь ни в каких проявлениях, а кто нет — тому нечего делать на хабре».
Попробуем рассмотреть этот вопрос несколько с другой стороны.
Для начала быстро пробежимся по основным технологиям, которые используют современные антивирусные системы. Почему-то многие до сих пор убеждены, что основу любого продукта составляет сигнатурное детектирование, которое может противостоять разве что каким-то конкретным образцам, попавшим в лаборатории аналитикам компании, да и то с некоторой задержкой. Между тем, технологии ушли далеко вперед за последние десять лет, и в настоящее время антивирусный продукт — сложный многомодульный комплекс, реализующий технологии детектирования самыми разнообразными методами. В их число входят и эмуляция кода, призванная пройти сквозь упаковщики/крипторы, и эвристические методы детектирования, призванные хватать определенные шаблоны поведения, и проактивная защита, и sandbox, и вся мощь облачных технологий… Одним словом, проактивных способов поймать ранее неизвестную малвару создана масса, зачастую на первый план встает скорее проблема не схватить лишнего.
Теперь посмотрим, какое место занимают антивирусные системы в повседневной жизни различных представителей нашего общества?
Тот, кому часто приходится общаться с начинающими пользователями, должен представлять, сколько времени требуется, чтобы выработать у человека определенную безопасную модель поведения и здоровую подозрительность к тем или иным вещам. А между тем все это время человек продолжает пользоваться системой и серфить по Интернету. Значит, как минимум на этот промежуток ему нужны дополнительные уровни защиты на случай форс мажора. А поскольку наш мир меняется крайне быстро, и угрозы не стоят на месте, всегда стоит перестраховаться лишний раз во избежание проблем.
Как известно, главная брешь в любой системе — человек, самая сложная и, зачастую, неотъемлемая ее часть. Поэтому тренинги по технике безопасности и тому подобные мероприятия представляются крайне важными для любой компании, использующей современные системы. Однако привычка — сильная штука, и если дома вы можете постоянно влиять на своих домочадцев, то здесь человек приносит свои укоренившиеся привычки с собой, что создает дополнительную угрозу. А потери в корпоративном секторе могут достигать отнюдь не незначительных величин даже от вынужденного простоя или «угона» одного-единственного почтового ящика.
Linux, как ни крути, хорошая штука, но использовать его в повседневной жизни могут позволить себе отнюдь не все. Это связано и с определенной рабочей деятельностью, и с отсутствием времени/желания на освоение новых технологий, и… Ладно, не будем провоцировать очередные унылые холивары. Как ведет себя опытный пользователь, не желающий тратить ресурсы системы на непонятный громоздкий продукт? Отрубаем поддержку JS в браузере, выключаем автозапуск флешек на старых системах, включаем автообновление для всего софта, особо параноидальные товарищи побалуются с политиками безопасности и т.д. Работает ли все это? Безусловно! Панацея ли? Разумеется — нет. Как минимум потому, что панацею, при сохранении обычного активного образа жизни, ещё никто не придумал.
— взлом доверенных сайтов
Даже используя удобнейшие утилиты вроде аддона NoScript, все равно приходится доверять тем или иным источникам. А значит их взлом и последующая эксплуатация дает злоумышленникам возможность пробить защиту даже опытнейших пользователей. Подобный случай (к счастью, с продвинутым пользователем) уже описывался на хабре.
— заражение файловым вирусом собственных exe-шников на флеш-карте
Одно время на моей флешке постоянно болтался с десяток утилит для лечения зараженных систем. А значит, достаточно было лишь однажды вставить ее в систему, зараженную файловым вирусом и — приехали. Никаких autorun.inf, все тихо и скрытно. Теперь пользуюсь для этих целей архивом с паролем.
— доверенные люди
Что будет делать человек, получив от своего друга только что написанную им игру, которую уже не раз обсуждали IRL? Немногие предварительно будут заморачиваться и гонять файл по мультисканеру, а между тем недавняя история с новым induc'ом говорит сама за себя.
— офисные документы
Мы так или иначе привыкли опасаться подозрительных ссылок, файлов с расширениями .exe и .scr, скриптов… Но далеко не каждый помнит, что в настоящее время существует огромное количество эксплойтов для документов, в первую очередь форматов doc и pdf. Данный тренд в последнее время набирает популярность во всем мире, поскольку представляет собой идеальный вариант атаки на сотрудников компаний.
Примеров можно привести много. В любом из этих случаев выстроенная защита может быть случайно пробита одним привычным движением.
Многие из нас представляют заражение системы как что-то если не обыденное, то как минимум неопасное. Увидел троян в процессах — нашел на диске и удалил, просканировал систему бесплатными утилитами и на всякий пожарный сменил все пароли. Однако надо понимать несколько вещей.
Во-первых, такой набор действий имеет смысл лишь в самых легких случаях. Вредоносный код может представлять собой нечто гораздо мощнее прописанной в браузер BHO или висящего процесса 1sass.exe. От файловых вирусов, буткитов и проэксплойченных офисных документов нас уже не спасут ни Autoruns, ни HijackThis. GMER и RootRepeal не всегда способны безопасно удалить файл руткита.
А во-вторых, последствия от одного-единственного проникновения в систему могут быть весьма и весьма неприятными. Это и рассылка спама, в том числе близким людям. Это и использование вашей машины как прокси с целью организации дальнейших атак. А постучаться отдел «К» может именно к вам. Да и, наконец, это банальная потеря накоплений с банковской карты или шантаж, за примерами которого далеко ходить не надо.
К антивирусному ПО можно относится по-разному. Если для одних пользователей он вполне может стать одной из главных (пусть и не идеальных) стен в бастионе защиты системы от внешних атак, то для тертых товарищей он вполне подходит в роли дополнительной гарантии безопасности. А решение о том, стоит ли выделять этой задаче лишние такты процессора, каждый конкретный менеджер своей системы принимает сам.
Как минимум, предлагаю не относится к антивирусным продуктам, как к «шараге», а рассматривать их как еще один полезный и, в некоторых случаях, необходимый инструмент информационной безопасности.
Попробуем рассмотреть этот вопрос несколько с другой стороны.
Немного всем известных фактов
Для начала быстро пробежимся по основным технологиям, которые используют современные антивирусные системы. Почему-то многие до сих пор убеждены, что основу любого продукта составляет сигнатурное детектирование, которое может противостоять разве что каким-то конкретным образцам, попавшим в лаборатории аналитикам компании, да и то с некоторой задержкой. Между тем, технологии ушли далеко вперед за последние десять лет, и в настоящее время антивирусный продукт — сложный многомодульный комплекс, реализующий технологии детектирования самыми разнообразными методами. В их число входят и эмуляция кода, призванная пройти сквозь упаковщики/крипторы, и эвристические методы детектирования, призванные хватать определенные шаблоны поведения, и проактивная защита, и sandbox, и вся мощь облачных технологий… Одним словом, проактивных способов поймать ранее неизвестную малвару создана масса, зачастую на первый план встает скорее проблема не схватить лишнего.
Теперь посмотрим, какое место занимают антивирусные системы в повседневной жизни различных представителей нашего общества?
- Мамы/бабушки/подруги
Тот, кому часто приходится общаться с начинающими пользователями, должен представлять, сколько времени требуется, чтобы выработать у человека определенную безопасную модель поведения и здоровую подозрительность к тем или иным вещам. А между тем все это время человек продолжает пользоваться системой и серфить по Интернету. Значит, как минимум на этот промежуток ему нужны дополнительные уровни защиты на случай форс мажора. А поскольку наш мир меняется крайне быстро, и угрозы не стоят на месте, всегда стоит перестраховаться лишний раз во избежание проблем.
- Сотрудники компании
Как известно, главная брешь в любой системе — человек, самая сложная и, зачастую, неотъемлемая ее часть. Поэтому тренинги по технике безопасности и тому подобные мероприятия представляются крайне важными для любой компании, использующей современные системы. Однако привычка — сильная штука, и если дома вы можете постоянно влиять на своих домочадцев, то здесь человек приносит свои укоренившиеся привычки с собой, что создает дополнительную угрозу. А потери в корпоративном секторе могут достигать отнюдь не незначительных величин даже от вынужденного простоя или «угона» одного-единственного почтового ящика.
- Внезапно… хаброжитель
Linux, как ни крути, хорошая штука, но использовать его в повседневной жизни могут позволить себе отнюдь не все. Это связано и с определенной рабочей деятельностью, и с отсутствием времени/желания на освоение новых технологий, и… Ладно, не будем провоцировать очередные унылые холивары. Как ведет себя опытный пользователь, не желающий тратить ресурсы системы на непонятный громоздкий продукт? Отрубаем поддержку JS в браузере, выключаем автозапуск флешек на старых системах, включаем автообновление для всего софта, особо параноидальные товарищи побалуются с политиками безопасности и т.д. Работает ли все это? Безусловно! Панацея ли? Разумеется — нет. Как минимум потому, что панацею, при сохранении обычного активного образа жизни, ещё никто не придумал.
Примеры возможных вариантов заражения
— взлом доверенных сайтов
Даже используя удобнейшие утилиты вроде аддона NoScript, все равно приходится доверять тем или иным источникам. А значит их взлом и последующая эксплуатация дает злоумышленникам возможность пробить защиту даже опытнейших пользователей. Подобный случай (к счастью, с продвинутым пользователем) уже описывался на хабре.
— заражение файловым вирусом собственных exe-шников на флеш-карте
Одно время на моей флешке постоянно болтался с десяток утилит для лечения зараженных систем. А значит, достаточно было лишь однажды вставить ее в систему, зараженную файловым вирусом и — приехали. Никаких autorun.inf, все тихо и скрытно. Теперь пользуюсь для этих целей архивом с паролем.
— доверенные люди
Что будет делать человек, получив от своего друга только что написанную им игру, которую уже не раз обсуждали IRL? Немногие предварительно будут заморачиваться и гонять файл по мультисканеру, а между тем недавняя история с новым induc'ом говорит сама за себя.
— офисные документы
Мы так или иначе привыкли опасаться подозрительных ссылок, файлов с расширениями .exe и .scr, скриптов… Но далеко не каждый помнит, что в настоящее время существует огромное количество эксплойтов для документов, в первую очередь форматов doc и pdf. Данный тренд в последнее время набирает популярность во всем мире, поскольку представляет собой идеальный вариант атаки на сотрудников компаний.
Примеров можно привести много. В любом из этих случаев выстроенная защита может быть случайно пробита одним привычным движением.
Последствия
Многие из нас представляют заражение системы как что-то если не обыденное, то как минимум неопасное. Увидел троян в процессах — нашел на диске и удалил, просканировал систему бесплатными утилитами и на всякий пожарный сменил все пароли. Однако надо понимать несколько вещей.
Во-первых, такой набор действий имеет смысл лишь в самых легких случаях. Вредоносный код может представлять собой нечто гораздо мощнее прописанной в браузер BHO или висящего процесса 1sass.exe. От файловых вирусов, буткитов и проэксплойченных офисных документов нас уже не спасут ни Autoruns, ни HijackThis. GMER и RootRepeal не всегда способны безопасно удалить файл руткита.
А во-вторых, последствия от одного-единственного проникновения в систему могут быть весьма и весьма неприятными. Это и рассылка спама, в том числе близким людям. Это и использование вашей машины как прокси с целью организации дальнейших атак. А постучаться отдел «К» может именно к вам. Да и, наконец, это банальная потеря накоплений с банковской карты или шантаж, за примерами которого далеко ходить не надо.
Заключение
К антивирусному ПО можно относится по-разному. Если для одних пользователей он вполне может стать одной из главных (пусть и не идеальных) стен в бастионе защиты системы от внешних атак, то для тертых товарищей он вполне подходит в роли дополнительной гарантии безопасности. А решение о том, стоит ли выделять этой задаче лишние такты процессора, каждый конкретный менеджер своей системы принимает сам.
Как минимум, предлагаю не относится к антивирусным продуктам, как к «шараге», а рассматривать их как еще один полезный и, в некоторых случаях, необходимый инструмент информационной безопасности.