Эффективность антивирусного ПО: немного правды, которая заставляет задуматься.

Каждый хоть раз в жизни становился жертвой вирусов, как биологических, так и цифровых. И рано или поздно каждому становится ясно, что ни с первыми, ни со вторыми, человечество толком бороться не умело, не умеет и, видимо, никогда не научится.

Давайте разберемся, только ли правду нам говорят разработчики антивирусных систем защиты, ничего ли не скрывают? Эффективны ли вообще антивирусы и за что мы платим наши кровные?

А начнем мы с того, что поймем главное – антивирусные программы приносят своим разработчикам колоссальные доходы, а это значит, что они не очень-то заинтересованы в том, чтобы вирусы перестали существовать. Как не заинтересована в том, чтобы Вы были здоровы, система здравоохранения в общем, и фармацевтические кампании в частности. Есть даже мнение, что и разработчики антивирусного ПО, и система охраны здоровья, сами причастны к культивированию вирусов. А ведь почему бы и нет?

Неискушенные пользователи постоянно меряются своими антивирусными пакетами, пытаясь доказать друг другу превосходство именно их системы защиты. Естественно, такие специалисты в действительности понятия не имеют какой антивирус лучше, так как ничего не знают о методологии оценки, да и не имеют никаких возможностей эту оценку провести. Но им на радость вопрос эффективности антивирусной защиты оказался настолько популярным, что всевозможные синтетические тесты растут как на дрожжах.

Некоторые из них, не без финансовой и информационной поддержки, конечно, выбились в лидеры и стали обладателями почетного статуса «Ему доверяют пользователи». Почему доверяют именно ему? Потому что маркетинг, несмотря на множество истерик и попыток заживо его похоронить, все еще живее всех живых и продолжает манипулировать нашими желаниями, предпочтениями и выбором. Но это уже совсем другая история.

Так могут ли синтетические тесты объективно оценить эффективность антивирусной защиты? Объективно – нет. Как минимум по трем причинам. Первая причина заключается в том, что синтетика не в состоянии смоделировать именно Вашу конкретную ситуацию. То есть синтетика так и остается неживой подменой реальности, чтобы Вам было спокойнее, а разработчикам антивирусного ПО сытнее. Вторая причина – это отсутствие в природе объективной методологии оценки эффективности в принципе. Ну и третья причина лежит в плоскости экономических интересов. Как Вы думаете, кто помог некоторым синтетическим тестам стать рупором истины? Правильно! Разработчики антивирусных программ.

В действительности, чтобы произвести полноценную оценку эффективности пакета антивирусной защиты, надо быть очень крутым хакером, ну или как минимум иметь доступ к самой свежей и самой обширной выборке инцидентов. И даже в этом случае объективность оценки остается под очень большим вопросом. Ведь даже один и тот же антивирус может вести себя в абсолютно идентичных обстоятельствах совершенно непохожим образом.

Как устроены антивирусы

Системы антивирусной защиты долго и упорно эволюционировали. Современный борец с кибер-преступностью, как правило, оснащен всеми существующими сегодня инструментами сразу. Но у каждого разработчика свои алгоритмы, отсюда и различные успехи.

Чтобы обнаружить вредоносный код, современные антивирусы используют такие методы обнаружения:

Обнаружение по сигнатурам. Тут все просто. Вирус попадает в поле зрения разработчиков. Те его изучают, препарируют, ставят над ним эксперименты и создают противоядие. Затем данные об этом звере заносится в базу сигнатур и реестр вирусов. То есть антивирус получает доступ к еще одному образцу для сравнения. Теперь, когда антивирус встретит такого же зверя, он сразу его узнает по «фотороботу», который вложили в базу сигнатур разработчики. И сможет его мгновенно обезвредить.

Но вот беда. Пока кто-то не станет жертвой вируса, разработчики могут и не узнать о его существовании. Другими словами, пока вирус не признан таковым, антивирусу на него плевать. И если эпидемия распространяется очень быстро, то многих антивирус спасти не сумеет.

Этот метод надежен, как швейцарские часы, не очень сильно «нагружает» центральный процессор и довольно оперативен. Однако, эффективность его напрямую зависит от того, успел ли вирус попасть в базу. То есть против всех новых и сверхновых угроз безопасности он совершенно бессилен.

Эвристический анализ. Это поведенческий метод обнаружения, благодаря которому антивирус отслеживает всю деятельность программ в системе, и бьет тревогу, когда обнаруживает подозрительную активность. Как правило, современные антивирусные пакеты оснащены еще и «песочницами», потому программы, вызвавшие подозрение во время эвристического анализа, отправляются прямиком в нее. «Песочница» – это выделенная область памяти, которая не взаимодействует с системой напрямую, а потому все программы, помещенные в нее, не могут навредить.

Этот метод позволяет выявлять некоторые новые, не успевшие очутиться в базе сигнатур, вирусы.

Но число ложных срабатываний сводит на нет все прелести довольно таки эффективного метода обнаружения. Никто не любит, когда антивирус постоянно верещит диким голосом, отвлекая от работы/развлечений, потому разработчики вынуждены искать разумный компромисс между эффективностью системы защиты и числом возможных ложных реагирований.

Большинство антивирусов, работающих на этом алгоритме, обязательно не забудут перекрыть кислород всем крякам, кейгенам, системам удаленного администрирования, хранителями паролей и многим другим подозрительных программам.

Систему этот метод анализа грузит катастрофически, независимо от разработчика антивируса и мощности Вашего компьютера. Ну подумайте сами – сидит в памяти программа, которая каждый процесс анализирует без перерыва на обед.

Эмуляция. О ней я уже вкратце упомянул выше. Это те самые «песочницы», в которые помещаются подозрительные программы, дабы те не смогли нанести системе вред до выяснения их «личности». Средство скорее вспомогательное, потому и эффективность его оценить сложно.

Современные антивирусы совсем мышей не ловят

Очень красиво выглядят километровые списки возможностей антивирусных пакетов, а перечень дополнительных модулей со звучными названиями вселяет непоколебимую уверенность в их эффективности. На деле же антивирусы зачастую не в состоянии оперативно справиться с проблемой заражения системы.

Как уже говорилось выше, сигнатурный анализ не в состоянии быть эффективным, так как разработчики просто не успевает за создателями вирусов. Последние могут оперативно модифицировать, «заточить» под новые задачи существующие вирусы, а также создать вредоносный код с помощью совершенно новых инструментов. А цепочка «обнаружить – исследовать – включить в сигнатуры – обновить антивирусные базы» слишком длинная, чтобы гарантировать оперативное реагирование антивируса на только появившиеся угрозы безопасности.

Эвристический анализ вроде бы и эффективен, но если не усмирить его нрав – задолбает своими истериками даже железобетонный столб. Потому компромисс между эффективностью и комфортом сводит на нет большую часть потенциала.

А ведь существуют еще полиморфные вирусы, защиту от которых не может обеспечить ни один метод анализа. Да и против многих руткитов, набирающих все большую популярность среди создателей вирусов, у антивирусного ПО нет достойного средства обнаружения и нейтрализации.

Помимо того, что антивирусы плохо выполняют свои обязанности, они могут еще и мешать жить. Разработчики антивирусного ПО имеют возможность контролировать ситуацию на рынке с помощью своих систем защиты, с легкостью избавляясь от неугодных, заказанных партнерами или конкурирующих компаний. И это очень просто сделать, ведь вирус – это такая же программа, а на какую из них повесить ярлык «вредоносный код» в базе сигнатур, решает разработчик антивирусного ПО. Аналогичным образом легко можно закрыть доступ к сайту неугодной компании.

Вот Windows Defender, например, борется с программами типа NoCD не потому, что они опасны, а потому, что об этом попросили разработчики игр. Есть информация и о том, что тот же Windows Defender был использован в качестве инструмента борьбы с одной софтверной компанией. А Лаборатория Касперского в 2007 году посчитала программные продукты американской компании Zango вредоносными. Был даже скандал, который закончился судом.

И Zango вроде бы даже была реабилитирована и могла бы праздновать победу, если бы не одно «но»! Дело в том, что один из Федеральных законов США снимает с разработчиков ПО всякую ответственность за их мнение об опасности и вредности той или иной программы. То есть Касперский не виноват в том, что продукция Zango кажется ему вредоносной, и имеет полное право ограничить к ней доступ своих пользователей. Вот так вот.

Таким же образом разработчики антивирусов и другого ПО могут вступать в сговор, чтобы Вы предпочитали бесплатным аналогам платное программное обеспечение.

А напоследок подкреплю вышесказанное мнением старшего вице-президента Symantec Брайана Дая, которое он недавно высказал в интервью небезызвестному Wall Street Journal. Он заявил, что антивирусы практически мертвы, так как в состоянии эффективно отразить всего лишь около 45% кибер-атак. Уж кого-кого, а этого человека трудно упрекнуть в некомпетентности.

Подведем итог. Полный отказ от использования программ антивирусной защиты – шаг недальновидный. Но и уверенность в безапелляционной эффективности антивирусного ПО до добра не доведет. Все что могу Вам порекомендовать – это обзавестись знакомым системным администратором от бога, который сможет настроить Вашу систему наиболее правильным с точки зрения информационной безопасности образом. А постоянным выбором лучшего антивируса не забивайте свою голову, просто ставьте какой нравится и не думайте об этом слишком много.