Computerworld.pl
 
  1. Strona główna
  2. Wiadomości
  3. Dlaczego antywirus nie działa

Dlaczego antywirus nie działa

Dlaczego antywirus nie działa

Oprogramowanie antywirusowe posiada wiele słabych punktów, bezlitośnie wykorzystywanych przez cyberprzestępców. Przedstawiamy najważniejsze z nich:

- Problemem jest także człowiek – wiele ataków wykorzystuje phishing, a ochrona przed niefrasobliwością użytkowników i socjotechniką jest trudna. Występuje tu swoisty konflikt celu działania, gdyż użytkownik chce odwiedzić daną stronę lub uruchomić pobrany plik, nawet jeśli wiąże się z tym bliżej nieokreślone ryzyko dla firmy. Narzędzie antywirusowe jest wtedy traktowane przez niedoszkolonych użytkowników jako przeszkoda.

- Poleganie na sygnaturach – oprogramowanie antywirusowe nadal korzysta z sygnatur jako jednej z metod wykrywania malware'u. Sygnatury są jednak bezradne wobec nieznanych zagrożeń.

Zobacz również:

  • Czy smartfony potrzebują oprogramowania antywirusowego
  • Złośliwe oprogramowanie Qbot - czy jest groźne i jak się chronić?

- Możliwość sprawdzenia, czy dany antywirus rozpoznaje plik jeszcze przed atakiem – napastnicy mogą sprawdzić detekcję przygotowywanego właśnie złośliwego oprogramowania, dzięki czemu wiedzą na pewno, że żaden z badanych programów antywirusowych w obecnym stanie nie wykryje zagrożenia.

- Skomplikowana obsługa – aby osiągnąć ponadstandardowy poziom ochrony, systemy antywirusowe monitorują wiele aspektów aktywności. Przy normalnej eksploatacji często generują komunikaty, które są trudne do zrozumienia przez końcowego użytkownika. Redukcja liczby komunikatów zmniejsza liczbę fałszywych alarmów, ale jednocześnie spada skuteczność ochrony.

- Obejście systemów reputacji stron – systemy antywirusowe korzystają z oceny reputacji stron WWW, by blokować serwery, które są znane z rozsiewania złośliwego oprogramowania. Metoda ta działa dobrze do czasu przejęcia przez napastników legalnej strony WWW o dobrej reputacji. W istocie w ten sposób włamywacze obchodzą zabezpieczenia.

- Nieodporność na kod umieszczony na poziomie jądra Windows – obrona przed złośliwym oprogramowaniem jest bardzo trudna, gdy kod wirusa ominie zabezpieczenia systemu i będzie pracować na poziomie uprawnień jądra. Pomimo wprowadzenia zabezpieczeń w nowych systemach Windows podobne ataki nadal się zdarzają. Niekiedy przy atakach wykorzystuje się podatności samych programów antywirusowych (tak działał Uroburos).

- Brak korelacji zdarzeń – infekcja nigdy nie występuje samodzielnie, jako jedyne zdarzenie. Towarzyszy jej pobranie pliku z internetu, nawiązanie połączenia, zapis pliku na dysku, przełamanie lokalnych zabezpieczeń – a to pozostawia ślady w logach. Oprogramowanie antywirusowe nie potrafi samodzielnie takich informacji połączyć, by podnieść alarm.

- Oprogramowanie antywirusowe zawiera błędy – jak każdy skomplikowany program, antywirus nie jest wolny od błędów. Część podatności da się wykorzystać do przejęcia kontroli nad komputerem. W ten sposób działał dropper kilku wirusów, m.in. Uroburos, związany z atakami za pomocą koni trojańskich z rodziny Turla.

Specjaliści, którzy nie używają antywirusów

Część specjalistów zajmujących się bezpieczeństwem w ogóle nie korzysta z oprogramowania antywirusowego. Przykładem jest Jeremiah Grossman, CTO firmy White Hat Security, znany także z paranoidalnego podejścia do zagrożeń komputerowych. W wywiadzie dla Wired podczas konferencji RSA wyjaśnił, że jeśli napastnicy mieliby atakować komputer kogoś takiego jak on, użyliby nowej techniki, której narzędzia ochronne nie znają. Według Grossmana znacząca część specjalistów do spraw bezpieczeństwa również nie używa narzędzi antywirusowych. Podobnie uważa Dan Guido, CEO firmy Trail of Bits, specjalizującej się w bezpieczeństwie IT, i dodaje, że niektórzy specjaliści używają narzędzi antywirusowych tylko dlatego, że pracują z klientami, którzy tego wymagają.

W przypadku profesjonalistów podstawowym narzędziem ochronnym jest ich wiedza i doświadczenie, które sprawiają, że nie dają się nabrać na powszechnie stosowane sztuczki i podatności. Gdyby napastnikom udało się oszukać tych specjalistów lub wykorzystać nieznaną dotąd podatność, prawdopodobieństwo reakcji antywirusa byłoby i tak niskie. Nie można jednak tego do końca powiedzieć o zwykłym użytkowniku.

TOP 200

Computerworld

Computerworld dostarcza najświeższe informacje, opinie, prognozy i analizy z branży IT w Polsce i na świecie.

Tematy

Serwisy IDG

Znajdź nas:   

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

Zamów reklamę

(+48) 662 287 830
Napisz do nas