Инженер Google сравнил антивирусы с мёртвой канарейкой

[5cek]

До сих пор многие пользователи наивно думают, что антивирус — это обязательный атрибут любого персонального компьютера. Благодаря этому заблуждению в мире продаётся антивирусных программ на миллиарды долларов.

Есть специалисты, которые не согласны. Среди них ведущий разработчик Google по информационной безопасности Даррен Билби (Darren Bilby). О бесполезности антивирусного ПО он рассказал во вступлении к своему докладу на конференции, где все присутствующие знают о бесполезности антивирусов — на хакерской конференции Kiwicon X. То есть Даррен просто начал доклад с общеизвестного (в узких кругах) факта, который не принято афишировать для широкой публики.


В компании Google Билби руководит сиднейским коллективом специалистов по безопасности Platform Integrity, который входит в группу Enterprise Infrastructure Protection Group. За последние десять лет он выполнял разную работу в Google, в том числе был техническим руководителем группы Global Incident Response по реагированию на взломы корпоративной сети, менеджером европейского отдела по обнаружению вторжений, до этого — разработчиком программного обеспечения и тестером ПО. До работы в Google специализировался на консалтинге в области информационной безопасности. Этот человек знает, о чём говорит.

Большой доклад Даррена Билби называется «Защита Гибсона в эпоху Просвещения» и был посвящён не только фейлу антивирусного ПО, но и другим бесполезным методам информационной безопасности. Особенно очевидно это стало в 2016 году, когда взломанные почтовые ящики стали ключевой темой предвыборных президентских дебатов, трояны-вымогатели шифруют файлы на корпоративных компьютерах, а «тостеры контролируют большие участки интернета» (возможно, под «тостерами» Даррен имеет в виду видеокамеры наблюдения, которыми недавно заддосили одного из крупнейших DNS-провайдеров в интернете).

Появляются новые векторы эффективных атак, о чём рассказывают на конференциях. Даже на Youtube можно найти видеоинструкции, как поставить трояна на компьютер под Windows, если у жертвы не установлены последние обновления безопасности. Не говоря уже о разных методах социальной инженерии.

И что противопоставляет этим методам кибератак жирная индустрия компьютерной безопасностью стоимостью $81 млрд? Ничего нового, всё те же убогие и неэффективные старые инструменты, констатирует Билби. По его мнению, продавцы таких решений просто «впаривают магию», вешая лапшу на уши наивных покупателей. В числе обманутых — и корпоративные клиенты, и обычные пользователи. Проблема даже хуже. Специалисты по безопасности в компаниях часто вынуждены устанавливать неэффективные системы безопасности, чтобы соблюсти требования регулирующих органов.

Вполне возможно, что упоминая «магию», Билби ссылался на статью Джеймса Микенса из Microsoft. Тот сравнивал ситуацию в компьютерной безопасности с бинарной системой такого типа:

Защита от девушки, которая лезет в ваш аккаунт?
Сильный пароль

Защита от организованной преступной группы, которая пытается получить доступ к вашей информации?
Сильный пароль и здравый смысл (то есть не щёлкать по фишинговым ссылкам, не устанавливать чужие флэшки, обновлять софт и т.д.)

Защита от Моссада?
Магические амулеты?
Симулировать смерть, скрыться на подводной лодке?
НО МОССАД ВСЁ РАВНО ТЕБЯ НАЙДЁТ

То есть налицо бинарная логика: или нам достаточно просто сильного пароля и здравого смысла, или мы используем магические амулеты.

«Пожалуйста, не нужно больше магии, — призывает специалист по безопасности из Google. — Нам нужно прекратить тратить силы на эту ерунду, которая очевидно не работает».

В числе неэффективной «магии» Билби называет и системы обнаружения вторжений, и антивирусные программы. Вместо этого он предлагает сфокусироваться на файрволах по белым спискам, аппаратных ключах и системах динамического контроля правами, как во внутреннем проекте BeyondCorp компании Google.

В принципе, точка зрения Баррена Билби не нова. Специалисты по безопасности давно говорят о неэффективности антивирусов. Нормальному пользователю антивирус не нужен, потому что у него хватает ума, чтобы не ходить на сомнительные сайты и не открывать файлы из непровeренных источников, так что типичные пути заражения у них не работают, а именно эти пути находятся в фокусе внимания антивирусов.

Антивирусы зачастую бесполезны и для корпоративных пользoвателей. Причина в том, что если кто-то действительно поставит цель атаковать компанию, то он зaранее проверит свой метод на большинстве антивирусных продуктов и убедится, что они не обнaружат угрозы. Есть удобный сайт VirusTotal, кoторый позволяет проверить свой вредоносный файл всеми популярными антивирусами.

«Да, антивирус делает что-то полезное, но в реальности он похож на канарейку в угольной шахте. Даже хуже. Это как будто мы собрались вокруг мёртвой канарейки и говорим с облегчением: „Слава богу, что она вдохнула весь ядовитый газ”».

Comments

[oldpapuas.livejournal.com]

Значит, этот самый знаменитый Касперский - наглый вымогатель бабла и конченый фармазон? Я всегда об этом догадывался! :)))))))))

[5cek.livejournal.com]

не вполне вымогатель, но, разумеется, наживается на безграмотных пользователях, коих, к сожалению, большинство. еще остается вопрос, не делает ли он в системе чего-нибудь, что от него не ждут - не сливает ли в какие-нибудь органы какие-нибудь данные... именно поэтому у меня в конторе никаких антивирусов made in russia не было и не будет, а у большинства вообще linux.

[oldpapuas.livejournal.com]

Ходят упорные слухи, что "Каспер" ещё тот "вирусозатейник". По типу, "сама садик я садила, сама буду поливать...".

[5cek.livejournal.com]

такие слухи ходят про всех, но это вряд ли. у них и без того работы хватает, с тех пор как интернет и компьютеры перестали быть инструментом профессионалов и стали бытовой техникой.

[oldpapuas.livejournal.com]

В светлые времена Винды-девяностых было несколько случаев, что определенные типы вирусняка "ловил" только "Каспер". И эта шарага хорошо с этого кормилась, и докормилась до "антюка" по умолчанию в компах госструктур и руководящих органов всех уровней. Был даже такой момент, как на совещании в мэрии Волгограда по компьютерной безопасности представитель "Каспера" выдал такой пассаж - "антивирус NOD32 это вообще не антивирусник". Типа, "а вот мы такие и этакие, а все остальные - слабая подделка". Там его "сисадмин-саны" на раз высмеяли и, как теперь модно вворачивать это слово, "случился" большой скандал. :)))

[ya-vasha-sovest.livejournal.com]

В свое время, месяца 2-3 назад «Медуза» запустила инфу, что ЛК пописывают вирусню. Может как раз с их легкой руки и пошли эти истории. Хотя сама антивирусная компания предпочла не заметить этот «черный шум», который вокруг них поднялся.

[oldpapuas.livejournal.com]

Да этот шум идёт с момента появления этой "шарашки". Говорят, ещё давным давно "отцу-основателю" на каком-то форуме задали вопрос по этой теме в лоб, что называется. "Отец" резко заюлил, и вообще покинул сборище.

[(Anonymous)]

Касперский- это троян КГБ на твоем компьютере

[oldpapuas.livejournal.com]

Ну, что-то в этом есть. :)))

[betmenrus.livejournal.com]

Причина в том, что если кто-то действительно поставит цель атаковать компанию, то он зaранее проверит свой метод на большинстве антивирусных продуктов и убедится, что они не обнaружат угрозы.
Эта, я чота непонил, если они не работают, то чего проверять то? )
Так думаю всё дело в этом - Вместо этого он предлагает сфокусироваться на проекте BeyondCorp компании Google., и всего лишь. ))

[kit-ua1982.livejournal.com]

Я уже года 2 антивирус не ставлю. только ресурсы жрет, а толку ноль, главное не скачивать ничего на стремных сайтах.

[fabiy-maksim.livejournal.com]

Антивирус это только один из компонентов защиты, полной безопасности он безусловно не обеспечивает. Но вроде никто ее и не обещает?
Вдобавок современное антивирусное ПО это далеко не только проверка файлов.

Некоторые люди даже прививки своим детям не делают, мол не хочу кормить компании которые делают вакцины....

[sassa-nf.livejournal.com]

На самом деле ситуация по сравнению с 90-ми сильно поменялась. Автоапдейты, фаерволы, улучшенные модели безопасности - даже виндовзовские десктопы с депривилегированными пользователями. Более того, модели продаж софта (соответственно, распространения исполняемого кода) совершенно другие - и все это сказывается на вирулентности.

Малварь остается, но она все больше завязана на взаимодействие с пользователем.

[fabiy-maksim.livejournal.com]

И при этом вирусов все больше и больше...
До тех пор пока будут люди которые плевать хотели на безопасность, главное чтобы "Касперский" на них копеечку не заработал, вирусописание останется сверх доходным бизнесом. Ну а пока есть доходы, есть и желающие. Все просто.

[sassa-nf.livejournal.com]

Прозвучало слово "бизнес". Ого.

Я не понял, какой именно из моих тезисов вы только что оспорили. Что самоходы (собственно, вирусы) на уровне эпидемий, скорее всего, дело прошлых дней (в связи с кардинально улучшенными моделями безопасности наиболее распространенных десктопных осей)? Что способ распространения исполняемого кода сильно отличается от 90-х (даже сидюки потихоньку отходят в прошлое - сейчас через сеть прямо с сайта производителя)? Что малварь требует в наши дни гораздо более явного взаимодействия с пользователем (на сцене остаются не собственно вирусы, а трояны, адварь и макросы, существенно отличающиеся по доступности механизмов изоляции)? Потому что преодолеть барьеры изоляции исполнительных контекстов без человеческого вмешательства становится нетривиальной задачей?

[fabiy-maksim.livejournal.com]

Ого, Ага, Угу-гу... Что Вас удивляет в использовании этого слова?

Я не оспаривал "тезисы". Вы упираете на то, что так сказать "чистым" вирусам стало сложнее распространяться, пусть так. Но зато другие "зловреды" чувствуют себя достаточно вольготно. И что из этого, если антивирусное ПО так или иначе борется со всеми видами угроз? Понятно что с какими-то лучше, а с какими-то хуже, но ведь борется.
Использовать подобное По или нет личное дело каждого. Но как показывает практика домашние компьютеры довольно регулярно ловят всякую дрянь и не суть важно к какому классу она относится. Многие все это чохом называют вирусами, не различая детали.
Ну пусть будет термин "зловред", чтобы не пускаться во все тяжкие. Так лучше?

[sassa-nf.livejournal.com]

Бизнес означает монетизацию деятельности.

Разница между вирусом и прочим "зловредом" существенная - именно потому, что есть штатные или более дешевые средства борьбы: adblock, фильтрование контента по рейтингу сайтов - вот эти все bluecoat, proofpoint, mcaffee забыл-как-звать корпоративный продукт, периодически закрывающий сайты при доступе через прокси компании this URL has been identified as suspicious by your company policy и т.п.

Я не уговариваю не ставить антивирус. Я сообщаю, что эффективность антивирусов существенно упала: за последние 10 лет антивирус на моем лаптопе не нашел ничего. Именно из-за того, что изоляция выполнена более качественно и на многих уровнях.

[fabiy-maksim.livejournal.com]

А то что Ваш ноутбук может быть не показательным Вы учли?
Мне тоже хватает штатного антивируса в десятке, но делать из этого выводы не стоит. Корпоративный антивирус не часто, но ловит принесенные из дома сотрудниками "зловреды". Приходится проводить беседу с пользователем, мол лечи своего "спидоносика".
Вообще для продукта дома и для компании совершенно разные требования. В конторе мне важна надежность, а за это стоит платить.

[sassa-nf.livejournal.com]

Ну да, а теперь еще учтите, что последние несколько лет основной компьютер у домашних пользователей - это планшет или телефон.

[fabiy-maksim.livejournal.com]

Тоже верно, многим полноценный компьютер оказался просто не нужен.

[almarrus.livejournal.com]

лично я оставил себе только простейший антивирус, встроенный в windows. Ну а Касперского - сразу в мусорную корзину.

[ya-vasha-sovest.livejournal.com]

Неужели умные люди так однобоко смотрят на вещи? Ясен красен, что я не буду тыкать на все какие попало ссылки. А вот моя мама-пенсионерка будет. И сестра какая-нибудь 15-летняя, тоже будет! Так что антивирусы нужны, причем с мощным фаерволом, причем с родительским контролем. Как у Есет Нод32, вот он реально надежный и легкий, имхо.

[5cek.livejournal.com]

сколько мне компов с этим нод32 приносили, загаженных вирусней по самые помидоры - и не сосчитаешь.
маме кроме одноклассников и не надо ничего - вот и ставь ей ubuntu, пусть радуется.

[ya-vasha-sovest.livejournal.com]

Кстати, не спорю, при установке с галками «по умолчанию» можно наловить. Сам поначалу вирусню цеплял. А с настройками Смарт Секьюрити хорошо защищает. Убунту на каждый комп не воткнешь, к сожалению. Так что антивири все же для определенного количества людей все же нужны, а в статье гугловед всех под одно причесал.

[5cek.livejournal.com]

ubuntu сложно воткнуть туда, где нужен очень специфический win-only софт, но дома такое попадается редко, а среди мам и бабушек - так вообще никогда.