Antivirové programy: Medicína horší než nemoc? | Kapitola 2
Seznam kapitol
V minulosti se považoval antivirový program vedle udržovaného firewallu a updatovaného operačního systému za svatou trojici počítačové bezpečnosti. V poslední době se do mě vkrádá podezření, zda jsou stále kynoucí balíky bezpečnostního softwaru ve skutečnosti ještě vůbec k něčemu dobré.
Moderní malware je opatrný, snaží se proniknout do systému nenápadně a pokud možno v něm nic moc nedělat, protože čím jste nápadnější, tím rychleji vás vyhmátnou. Čím jste nenápadnější, tím déle vydržíte fungovat pod hladinou detekce.
A tady začínají problémy s falešnou jistotou, že „máte nový antivirus a proto jste v klidu“. Dost pravděpodobně nejste. A to z celé řady důvodů.
1) Antivirový software dokáže spolehlivě rozeznat jenom známé typy infekcí.
Antivirus reaguje pouze na ten malware, který je už známý a jeho šíření je omezené. Jen v některých případech je schopen reagovat sám, obvykle se snaží spíš odeslat vzorek na analýzu. V okamžiku, kdy se nové zlo lavinovitě šíří internetem, vám obvykle nepomůže. Samostatný problém představují polymorfní malwary, které neustále mění svoji podobu a jsou velmi těžko detekovatelné. Ty lze typicky zachytit spíš na základě jejich chování než nějaké jasné signatury.
Toto není vtip. Starší článek v Computerworldu uvádí studii, kde průměrná šance na detekci novějšího malwaru byla 20 % a u zcela nových vzorků nezaznamenalo žádný problém ani jedno ze 42 bezpečnostních řešení. Představa, že aktualizovaný antivirus je licence k neomezenému řádění na internetu, není jenom iluze, je to velmi nebezpečná iluze.
2) Řada malwarů operuje mimo dosah OS, tedy i mimo dosah antivirů.
Rootkity a malware, napadající například mikrokontroléry, operují pod vrstvou operačního systému a ani systém, ani antiviry je nevidí. Antivirus odhalí rizika, která se snaží napadnout systém otevřeně, ne ty opravdu nebezpečné hajzlíky, kteří využívají bezpečnostních slabin samotného hardwaru. A to je vážný problém. A nedá se jednoduše obejít.
Moderní antiviry se snaží emulovat extra vrstvu operačního systému, skrz kterou musí projít veškerá komunikace. Ne že by vás to ochránilo proti malwaru, který pracuje o vrstvu níž, to ne, ale v podstatě se antivirus prohlásí za organickou součást OS a bez jeho souhlasu toho moc neuděláte. Nedávno jsem zjistil, že po připojení na wifi si nainstalovaný antivirus aktivuje procesorově nesmírně náročnou službu, která kontrolovala veškerý provoz. Při pokusu o vypnutí této služby jsem si vypnul kompletně veškerou komunikaci přes wifi. Takže možnosti byly dvě: Žádný internet a přijatelná výdrž notebooku na baterku nebo internet a nepřijatelná výdrž na baterku. Vlastně byly tři – ještě deinstalace antiviru.