Второй антивирус – дыра в безопасности?
На модерации
Отложенный
Любителей перестраховаться, установив несколько антивирусов, подстерегает опасность. К такому выводу в результате двухлетних исследований пришел эксперт по безопасности Тьерри Золлер (Thierry Zoller), сообщает издание InfoWorld.
Золлер и его коллега Серджио Альварес (Sergio Alvarez) в процессе изучения этой проблемы нашли более 80 типичных ошибок в антивирусном ПО, большинство из которых в течение последних лет не были исправлены. Недостатки были найдены практически в каждом из рассмотренных экспертами антивирусных пакетов. "Люди думают, что, устанавливая более одного антивируса, они увеличивают степень защиты. Считают, что, если один не изловит «червя», то другой наверняка поймает его, - говорит Золлер. – Но вы не ограничиваете возможности хакеров таким образом - вы увеличиваете их шансы на успех, потому что в каждом из антивирусов присутствуют баги".
В качестве примера он приводит слабые места парсинга, использовавшиеся хакерами при взломе iPhone. Золлер поясняет, что «дыра» обнаружилась в способе, которым браузер Safari обрабатывал графические файлы .tiff.
"ПО для обеспечения информационной безопасности столь же уязвимо, как и любое другое программное обеспечение, - заявляет Марк Мэйфрет (Marc Maiffret), руководитель отдела цифровой безопасности eEye. - Все мы нанимаем одних и тех же разработчиков, которые учились в одних колледжах со специалистами Microsoft и делают аналогичные ошибки».
«Установка на один и тот же компьютер двух и более антивирусов, на самом деле, - исключительно вопрос совместимости отдельных продуктов, - комментирует Николай Гребенников, заместитель директора департамента инновационных технологий «Лаборатории Касперского». - Да, конечно, большинство антивирусов несовместимы на уровне драйверов, что чревато «синим экраном» или даже невозможностью загрузки ОС после установки второго продукта. Однако существуют антивирусы, которые могут работать в системе одновременно с другим аналогичным продуктом. Если нужен пример – в этом году «Лаборатория Касперского» представила Антивирус Касперского Second Opinion Solution, который специально разработан именно для установки в систему, где уже работает решение другого производителя. Однако этот продукт фактически предназначен для контроля эффективности уже установленного решения, и способен проводить проверку файловой системы компьютера только по запросу пользователя или по расписанию».
«Установка нескольких антивирусных продуктов на одной рабочей станции часто может привести к тем или иным конфликтам их между собой, - отмечает Григорий Васильев, технический директор компании ESET.
- Речь идет, в первую очередь, о резидентных сканерах. Как вариант, может произойти так называемый «конфликт мониторов». Он приводит к заблокированию той или иной операции (например, файловой), которую контролируют оба монитора. Это обычно классический deadlock. 1-й монитор перехватил операцию X и хочет выполнить проверку. При выполнении проверки он выполняет операцию Y, которую перехватывает 2-й монитор. 2-й монитор при проверке должен выполнить операцию X, которую опять же блокирует 1-й монитор. И проверки системы в обычном понимании тогда не происходит.
Кроме того, некоторые антивирусы физически невозможно инсталлировать на компьютер, где уже установлен антивирус иного вендора. Однако, если два решения установлены одновременно и лишь одно из них работает в режиме резидентного сканирования, проблем не возникает.
Фактически, второй антивирус используется время от времени как сканер по запросу, отлавливая угрозы, пропущенные первым решением. Это можно считать вполне приемлемой практикой. Установка различных антивирусных решений на различных компьютерах в рамках одной сети так же не вызывает проблем. Если же говорить в целом об использовании антивирусных продуктов в корпоративных сетях, то в настоящее время используется мультивендорный подход – т.е. использование программных продуктов на разных точках входа разных компаний».
Как пояснил Николай Гребенников, установка нескольких антивирусных продуктов не делает систему уязвимее. Она просто в большинстве случаев делает ее нестабильной или неработоспособной.
«Нельзя выделить какие-либо «основные», типичные баги антивирусов. Если бы такие существовали, они бы все равно уже давно были бы ликвидированы. Проблема как раз в том и заключается, что все «баги» не похожи друг на друга и обычно обнаруживаются в неожиданных местах» - говорит он.
По словам Григория Васильева (ESET), зафиксированы случаи, когда уязвимости были связаны с ошибкой переполнения буфера: «Кроме того, каждый антивирус имеет свои каналы для обновления и пополнения сигнатурных баз: здесь также возможны проблемы с безопасностью. Но встречаются такие ошибки редко, найти их трудно, и исправляются они очень оперативно. Таким образом, вирусописателю проще найти уязвимости в других приложениях, что они обычно и делают».
Комментарии