Стоит ли использовать антивирусы?

#hackandsecurity

Также читайте меня тут: Telegram и Вконтакте

С момента появления антивирусов не утихают споры о том, а нужны ли они вообще. Дело в том, что это все та же игра в “кошки-мышки” между white hat и black hat. Первые постоянно придумывают новые методы детектирования угроз, вторые — способы обхода.

В данной статье поговорим о нескольких важных вопросах:

  • Как устроены антивирусы и есть ли в них смысл?
  • Насколько безопасно пользоваться таким ПО если вы обычный человек или если ваша работа связана с чувствительной информацией.

PS: все написанное является сугубо моим личным мнением.

Как работают антивирусы

Антивирус устанавливается на устройство, после чего он должен обнаруживать вмешательство вредоносных программ в файловую систему, а так же блокировать их, удалять, “помещать в карантин” и прочее. Эффективность зависит от того, на сколько качественной базой данных располагает тот или иной продукт. Что это означает? Для того, чтобы защищаться от чего либо, нужно это что-то для начала изучить, понять сигнатуру.

Самый частый способ “пополнения знаний” любого антивируса — это онлайн песочницы, куда пользователи загружают различные файлы с целью проверки их на предмет вредоносного ПО. Самая известная из них— это Virus Total. Исследователи собирают все файлы, обрабатывают их, и, периодически им попадаются разные гадости, которые можно изучить и, тем самым, пополнить базу данных своего антивируса. То-есть, происходит своего рода обучение программы.

Второй популярный способ пополнения “базы знаний” — это “honeypot”. Исследователи специально делают ловушки, для злоумышленников. Например, какой-нибудь “дырявый” сервер с открытыми портами. Хакеру цель кажется привлекательной и он, к примеру, заливает туда какой-нибудь вредоносной код. Безопасники убивают двух зайцев одновременно: получают пример новой сигнатуры для своей вирусной лаборатории, а так же, ловят злоумышленника. Данный способ чаще работает с не самыми опытными хакерами.

Про базы данных разобрались, теперь поговорим про методы обнаружение “вредоносов”.

Современные антивирусы используют метод “сигнатурного детектирования угроз”. Есть и другие способы, но это главный. Сигнатура — это, грубо говоря, “отпечаток пальца” любого файла. С помощью данного метода можно точно идентифицировать любой файл. Антивирус при анализе файла просто сравнивает его сигнатуру со своей базой данных. Если находится совпадение, то, логично, что программа будет считать такой файл зараженным и предупредит об этом пользователя.

Помимо сигнатурного детектирования, антивирусы используют эвристический анализ, проактивную защиту (HIPS) (система предотвращения вторжений) и прочие методы.

Каким образом злоумышленники обходят антивирусы?

Самый простой способ — слегка изменить исполняемый файл. Как мы уже с вами выяснили ранее, антивирус сравнивает сигнатуру из своей базы данных с исследуемым файлом. Если в базе данных антивируса нет сигнатуры, то он не распознает в файле “вредоноса”. Поэтому, многие вирусописатели просто слегка изменяют сигнатуру приложения. В итоге, получается вечная гонка одних со вторыми, а обычные пользователи все равно страдают.

Нужен ли антивирус?

Теперь постараемся ответить на ключевой вопрос: а на сколько вообще актуальны антивирусы и нужно ли их использовать?

На мой взгляд, чтобы ответить на данный вопрос, стоит разделить пользователей на две категории:

  • Обычный user, у которого нет сильно чувствительной информации на устройстве и он не имеет дело на работе с такой информацией.
  • Люди, которые работают в сфере безопасности, с чувствительной информацией и подобные им.

На мой субъективный взгляд, обычным людям антивирус однозначно нужен. Да, он не защищает от всех возможных угроз и довольно легко обходится многими современными “вредоносами”, но, если вы простой пользователь, шанс ими заразиться у вас крайне низкий. Соответственно, лучше иметь хоть какую-то защиту, чем полное ее отсутствие. Главное, надо помнить, что антивирус — это не решение всех ваших проблем.

Если же у нас идет речь о людях, кто так или иначе работает в сфере безопасности или имеет с ней дело, то я бы не рекомендовал использовать антивирус. Почему так категорично? Причина, по сути, одна: почти любой антивирус имеет доступ к вашей файловой системе для того, чтобы иметь возможность проверять подозрительные файлы. По факту, это означает, что антивирус в любой момент может отправить к себе на сервер любой файл с вашего компьютера под предлогом проверки. Вы, порой, даже можете об этом не узнать. Попахивает паранойей? Возможно, но это реальность в которой мы живем, и некоторым людям точно не хотелось бы давать полный доступ к своему устройству какому-либо приложению, пусть даже и с благой целью. Лично я, в силу своей работы, точно отношусь к данной категории и знаю, как минимум, 2 печальных случая на этот счет. Для проверки любого файла, всегда можно использовать какую-либо песочницу или “виртуалку”.

Повторюсь, все написанное является полностью моим личным мнением и я не претендую на правильность.

Всем мира!

Также читайте меня тут: Telegram и Вконтакте

Private investigator, profiler, OSINT — specialist https://artemov.su/

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store