Antywirus powinien być ostatnią linią obrony, a nie czymś, na czym polegasz, aby cię uratować. Aby zachować bezpieczeństwo w Internecie, należy postępować tak, jakby w ogóle nie było żadnego oprogramowania antywirusowego na komputerze.
Antywirus nie jest lekarstwem - wszystko, co często jest brane pod uwagę. Istnieje powód, dla którego firmy takie jak Netflix wyrzucają tradycyjny program antywirusowy i nawet twórcy programu Norton uznali program antywirusowy za "martwy". Nie mają fałszywego poczucia bezpieczeństwa, ponieważ oprogramowanie antywirusowe działa na komputerze.
Istnieją dwa główne sposoby, aby złośliwe oprogramowanie mogło dostać się do twojego systemu. Jednym z nich są exploity - często przeglądarki i plug-iny, które atakują podatne na ataki oprogramowanie, takie jak Flash i Java. Drugi polega na pobieraniu czegoś złego i uruchomieniu go. Program antywirusowy nie chroni przed najnowszymi atakami.
Oprogramowanie antywirusowe opiera się na czarnej liście i heurystyce - i naprawdę heurystyka to kolejny rodzaj czarnej listy. Firmy antywirusowe znajdują złośliwe oprogramowanie na wolności, analizują je i dodają "definicje", że oprogramowanie antymalware jest ciągle pobierane. Po uruchomieniu aplikacji oprogramowanie antymalware sprawdza, czy pasuje do definicji i blokuje ją, jeśli tak się dzieje.
Oprogramowanie antywirusowe obejmuje również detekcję opartą na heurystyce. Heurystyka sprawdza, czy oprogramowanie działa podobnie do znanego szkodliwego oprogramowania. Może blokować nowe fragmenty złośliwego oprogramowania, zanim definicje będą dla nich dostępne, ale heurystyki nie są w pobliżu idealne.
Problem z metodą czarnej listy zakłada, że domyślnie wszystko jest bezpieczne, a następnie próbuje wykryć znane złe rzeczy. Bezpieczniej byłoby odwrócić to do góry nogami - zakładając, że wszystko jest niebezpieczne i nie powinno działać, chyba że udowodniono, że jest ono bezpieczne. Niestety, Microsoft oferuje najpotężniejsze funkcje białej listy w wersjach Enterprise systemu Windows.
Zaawansowani atakujący mogą konstruować złośliwe oprogramowanie, aby ominąć programy antymalware.
Być może słyszałeś o VirusTotal, stronie internetowej - teraz należącej do Google - która pozwala przesłać plik. Skanuje ten plik za pomocą wielu różnych silników antywirusowych i zgłasza, co o nim mówią.
Utworzenie własnej wersji VirusTotal, która nie współdzieli plików przesłanych z tymi firmami antymalware, nie byłoby zbyt trudne. W rzeczywistości, osoby atakujące mają własne narzędzia podobne do VirusTotal, dzięki czemu mogą skanować plik z wieloma różnymi silnikami antywirusowymi, aby sprawdzić, czy zostały wykryte. Jeśli oprogramowanie antywirusowe je wykryje, może dokonać modyfikacji, aby uniknąć wykrycia przez oprogramowanie antymalware.
Badania wykazały, że tak właśnie się dzieje. Na przykład badanie przeprowadzone przez Damballa wykazało, że oprogramowanie antywirusowe nie wykrywa 70 procent nowych złośliwych programów w ciągu pierwszej godziny. Przestępcy specjalnie dostosowują nowe złośliwe oprogramowanie, aby uniknąć wykrycia przez oprogramowanie antywirusowe działające na komputerach ich docelowych.
Kiedy jakiś złośliwy program zostanie zakotwiczony w twoim systemie, to koniec. Zostałeś naruszony. Szkodliwe oprogramowanie może dodawać wyjątki do oprogramowania antywirusowego lub po prostu uniemożliwić jego uruchomienie i wykrywanie szkodliwego oprogramowania w przyszłości. Biorąc pod uwagę wszystkie niezałatane systemy Windows z lukami, które można wykorzystać w celu uzyskania dodatkowych uprawnień po uruchomieniu oprogramowania na komputerze, nie wymagałoby to nawet dużej zgody na monit UAC - chociaż zgodził się na monit UAC z pewnością również przypieczętuje twój los.
Po prostu kliknięcie ostrzeżenia o oprogramowaniu antymalware i powiedzenie, że chcesz uruchomić złośliwe oprogramowanie mimo ostrzeżenia, byłoby również katastrofalne. Po uruchomieniu złośliwego oprogramowania nie można wykluczyć, że wykorzeniłeś go w całości, nie wykonując pełnej ponownej instalacji systemu Windows.
Rozwiązaniem jest nie tylko oprogramowanie, ale zawsze kuszące jest szukanie rozwiązania technicznego, gdy prawdziwe rozwiązanie ma charakter socjalny.
Wszyscy powinniśmy zachowywać się tak, jakbyśmy nie mieli oprogramowania antymalware. To nie znaczy, że nie powinieneś uruchamiać czegoś - przynajmniej oprogramowanie Windows Defender wbudowane w najnowszą wersję systemu Windows, na przykład. Ale to tylko ostatnia linia obrony, nie jedyna.
Oznacza to, że unikanie pirackiego oprogramowania - pobieranie i uruchamianie programów z podejrzanych stron internetowych jest niebezpieczne. Oznacza to, że trzeba uważać i pobierać tylko wiarygodne oprogramowanie, unikając rzeczy, które wyglądają nieco szkicowo. Oznacza to również zrozumienie, które typy plików są potencjalnie niebezpieczne - plik .png jest po prostu obrazem, więc powinno być dobrze, ale plik .scr to program wygaszacza ekranu, który może uruchomić potencjalnie złośliwy kod. Omówiliśmy dobre praktyki bezpieczeństwa, które powinieneś przestrzegać.
Przyszłość oprogramowania zabezpieczającego to nie tylko czarna lista. Zamiast tego często będzie to coś w rodzaju białej listy - zmiana z "wszystko jest dozwolone, z wyjątkiem znanych, złych rzeczy" na "wszystko jest zabronione, z wyjątkiem znanych - dobrych rzeczy".
Właśnie do tego przechodzi Netflix - oprogramowanie, które monitoruje oprogramowanie działające na swoich serwerach w poszukiwaniu nieprawidłowości, zamiast skanować je pod kątem znanego szkodliwego oprogramowania.
Bardziej zaawansowane narzędzia powinny również wzmocnić używane przez nas oprogramowanie, blokując techniki wykorzystywane przez atakujących zamiast walczyć z przegraną bitwą o ciągłe dodawanie nowych definicji.
Malwarebytes Anti-Exploit to świetny tego przykład, dlatego tak gorąco go polecamy. To bezpłatne narzędzie blokuje typowe techniki exploitów wykorzystywane w przeglądarkach internetowych i ich wtyczkach. Jest to coś, co powinno zostać wbudowane w Windows i nowoczesne przeglądarki internetowe.Microsoft ma nawet własną technologię podobną do EMET, chociaż w dużej mierze jest skierowany do przedsiębiorstwa.
Nie, prawdopodobnie nie chcesz zrzucić oprogramowania antywirusowego takiego jak Netflix. Oprogramowanie antywirusowe działa dość dobrze przeciwko losowo starszemu złośliwemu oprogramowaniu, które można napotkać online. Jednak w porównaniu z nowszymi i bardziej inteligentnymi atakami oprogramowanie antywirusowe często spada płasko na twarz. Nie pokładajcie w nim wszelkiej ufności, aby was chronić.
