Ложь, большая ложь и антивирусы. Часть первая. «А они первыми начали!»
Этой статьёй я начинаю серию, посвящённую некоторым аспектам так называемой «антивирусной индустрии», которые, надеюсь, будут интересны не только мне одному.
Вот уже в который раз нас пугают страшилками в стиле «очередной вирус разошёлся по миру миллионными тиражами. Мы все погибнем!». Вот только, читая очередной бодрый пресс-релиз очередного производителя очередного антивирусного средства, недоумеваешь. Как же так? Нас так надёжно защищают, столь всесторонне: тут и сигнатуры, и эвристик, и даже– писк сезона– поведенческий блокиратор. Тогда какого … люди продолжают заражаться? Откуда эпидемии? Действительно ли современные антивирусные средства эффективны?
Первые антивирусы возникли в районе 1985 года как ответ на первые файловые вирусы, заражающие исполнимые и интерпретируемые файлы и работающие в среде MS DOS. Кто ещё помнит, это такая однозадачная операционная система, где её ядро и прикладные программы работали на одном уровне привилегий. И именно антивирусы оказались на этой платформе наиболее рациональным инструментом борьбы с вирусами, причём как излечения уже заражённых машин, так и предотвращения заражения. Вирусы распространялись медленно, на дискетках, от пользователя к пользователю, а сигнатуры для поимки и лечения– значительно быстрее, через сети (BBS, NNTP,…). И так продолжалось достаточно долго, до, примерно, начала 2000-х (то есть, пятнадцать лет минимум), когда произошло три кардинальных изменения
Кардинальное изменение номер один: к нам пришёл Интернет. А значит, среда распространения вирусов стала той же, что и распространения сигнатур. Опережение антивирусов над вирусами свелось к нулю.
Кардинальное изменения номер два: вместо операционных систем на основе MS DOS (а это, также, вся линейка Win1.xx–Win3.xx, Win95/96/98/ME) на десктопы пришло ядро Windows NT в реализации Windows 2000/XP. Теперь ядро операционной системы, её код и данные, надёжно отделены от адресного пространства обычных программ.
Кардинальное изменение номер три: вирусы теперь пишут ради выгоды. Более того, именно «вирусы», фактически, исчезли с компьютеров обывателей. Их заменили всевозможные «черви», «троянские кони», «блокираторы» и прочая нечисть, ориентированная на получения денег.
Именно с кардинальным изменением номер три связан первый сильный провал антивирусной индустрии– антивирусы не могли лечить уже заражённые троянами машины. Вот файловое заражение– сколько угодно, а когда исполняемые модули внедряются в операционную систему– нет. На этом выросла целая индустрия “anti–malware”. Все тем, кто ещё помнит такие названия как Spybot Search&Destroy, Ad-Aware, SpySweeper, думаю, ничего объяснять не надо. Надо сказать, что антивирусная индустрия достаточно быстро сообразила, что деньги утекают из их рук и достаточно быстро наверстала упущенное.
Вот только из-за кардинального изменения номер один уровень предотвращений заражения упал ниже всякой критики. Антивирусы катастрофически опаздывают. И ничего не спасает– ни эвристик, ни поведенческий блокиратор. Зловредописатели обходят всё.
При этом на всех форумах периодически всплывают темы в стиле «антивирус А пропустил заражение, он плохой. Посоветуйте хороший». Человеку советуют «хороший», который остаётся в данном статусе вплоть до следующего пропуска. После чего цикл поиска «хорошего антивируса» повторяется.
При этом возникает парадокс– новые технологии предотвращения заражения, созданные благодаря «кардинальному изменения номер два» и показывающие абсолютные результаты в тестах на предотвращение заражения (так называемые «динамические тесты»), не могут пробить себе места под солнцем, ибо пришли на рынок довольно-таки поздно. Инерция сознания подавляющего количества пользователей просто не позволяет им искать ничего «защищающего», кроме антивирусов. Защита тождественно равна антивирусу. Точка. «Нужна защита. Посоветуй хороший антивирус». Знакомо?
А ведь антивирусы не лучшие в задаче предотвращение заражения! Просто они первыми начали!
источник http://habrahabr.ru