Блог директора

26 января бывший инженер Firefox Robert O’Callahan опубликовал запись в свое блоге (*1), основная мысль которой была о том, что антивируса на компьютере быть не должно. Исключение он сделал только для продуктов экосистемы Microsoft.

В основе его рассуждения лежит якобы вредность подходов исповедуемых антивирусными компаниями. По мнению Роберта О'Каллахана, антивирусные компании сами не следуют стандартам безопасности при создании своих продуктов.

Давайте проверим, это не сложно.
Наиболее авторитетная база уязвимостей расположена на сайте американского центра исследований и разработки MITRE. Вот и обратимся к ней (*2) за количественными показателями по узявимостям в антивирусах.
Возьмем для анализа 2016 и 2017 года и посмотрим, сколько раз в ней упоминается тот или иной антивирус.

Помимо этого есть еще проект компании Google под названием Project Zero (*3), кстати именно на него и ссылается Роберт в своем блоге, давайте посмотрим, что творится там.

Какой базе доверять?
Обоим. Первая собирает все ставшие публично известными уязвимости, для наполнения второй целенаправленно занимаются анализом сотрудники проекта. Радует, что на DrWeb и на Kaspersky практически ничего не найдено. Однако следует учесть тот факт, что уровень популярности антивируса Касперского ниже в западном мире, чем например Symantec.

Для нашего списка распределение популярности на 2016 год, согласно авторитетному ресурсу "AV Comparatives" (*4), следующее, здесь я сведу 4 колонки популярности по регионам в одну (чем меньше число, тем более популярен):

Теперь давайте вернемся к утверждению Роберта о том, что антивирусы не следуют стандартам безопасности.
Глядя на уровень популярности антивируса Касперского и количество найденных в нём уязвимостей, я никак не могу согласиться с Робертом, хотя если опираться в рассуждениях на Symantec или McAfee, то придется соглситься с его тезисом об уязвимости. Но ведь он то рассуждает об антивирусах в целом.

В конце своей статьи он высказывается относительно токсичности антивирусов для среды в целом. Приводя в качестве примера, отключаемый некоторыми антивирусами механизм ASLR, реализованный в Firefox, который усложняет задачу взлома браузера через вредоностный код с сайта. И этому есть логичное объяснение.
Антивирусная компания, как и всякая компания взявшаяся за обеспечение безопасности, несет репутационные риски в случае прорыва периметра. И конечно это все выливается на просторы интернета. Мы все не раз слышали отголоски битв какой антивирус лучше. Так создается отношение к продукту, которое потом переломить практически невозможно. И разумеется, любая антивирусная компания - это высокотехнологичный интеллектуальный бизнес, который собирает вокруг себя лучшие умы, лучших аналитиков и которые стоят весьма приличных денег. Ни одна компания не отпустит ситуацию на самотек, если она имеет технологические возможности для защиты направления.

Firefox разрабатывает сообщество и хотя технология принятия обновлений отточена, применяются автоматические анализаторы кода, тем не менее проект, ведущийся сообществом, нельзя отнести к доверенным процессам, а значит какие бы технологии не были введены в продукт, он также требует тех же технологических усилий по защите, как и остальные. Иначе, получается самотёк, что ни одна антивирусная компания не может допустить.

Теперь поговорим о рисках.
Антивирусные базы обновляются со скоростью несколько раз в час.

У нас был случай прорыва периметра, когда вирус успел проскочить на 2 часа раньше, чем подоспело обновление антивируса. Когда мы его выловили, проанализировали, описали и выслали в Лабораторию Касперского, то выяснилось, что к тому времени он уже им обнаруживался.

Скорость.
С какой частотой обновляется тот же самый Firefox или другой программный продукт?
Дни - это был бы фантастически отличный результат. Но, был бы, потому что этого нет.
Недели и месяцы - это наиболее реалистичные сроки, при этом, если в антивирусную компанию достаточно прислать найденный образец, то для устранения уязвимости необходимо описать процедуру от начала и до конца, что надо сделать, чтобы команда разработчиков могла у себя воспроизвести и закрыть обнаруженную Вами брешь. Чувствуете разницу в объемах подготовительной работы и скорости реагирования?
Рекомендация Роберта, даже учитывая выведение за скобки экосистемы на основе Windows, выглядит как безрассудство или безотвественность.

Стоит отметить тот факт, что в лоб его сообщение перепечатали практически все ведущие СМИ, некоторые даже забыли, что его утверждение не распространяется на экосистему Windows.
Тем не менее подобные заявления от высокопрофессионального инженера выглядят совсем не удивительно. Да.
Высококлассные IT'шники, профи, отличающиеся дисциплиной и глубоким пониманием процессов под "капотом компьютера", могут и зачастую избегают установки антивируса, так как для них, подчеркиваю, для них, он действительно лишь ресурс снижающий производительность системы. Они профи.

Но для бизнеса, подобная практика опасна и чревата множественными проблемами. Это большие риски финансовых потерь. Начиная от утечки ключевой информации с кредитных карт и счетов, за которыми идет безостановочная охота днем и ночью и заканчивая прямыми атаками на конкретную версию программного обеспечения, на основе технологии отпечатков операционной системы и применяемого программного обеспечения на ней. Технологии автоматического анализа ушли далеко вперед, достаточно зайти на зараженный сайт в тут же в режиме реального времени, специально для вашей версии ПО будет сгенерирован вредоностный код.

Поэтому будьте осторожны!
Не следуйте совету Роберта О'Каллахана. Не рискуйте.
Всегда устанавливайте антивирус, а вот его настройку лучше доверить профессионалам, которые смогут грамотно взвесить риски и подстроить антивирус конкретно под Вашу специфику.
Кстати, Вы можете  обратиться к нам. :-)

---
Ссылки:
*1 -Disable Your Antivirus Software (Except Microsoft's)
*2 -MITRE.ORG: Common Vulnerabilities and Exposures
*3 -Google. Project Zero: Список уязвимостей
*4 -AV Comparatives: "IT Security Survey 2016"