Средства антивирусной защиты, как источник дополнительной угрозы системе

В настоящее время большинство пользователей считают, что лучшая защита системы от различного рода вирусов является наличие защитного ПО (далее антивирус), являющимся обязательным атрибутом любого персонального компьютера. Антивирусы рассматриваются как доверенные приложения, полагая, что они являются единственным средством защиты конечных пользователей. Первые антивирусы таковыми и являлись.

В 80-х годах прошлого века был представлен антивирус, как ответ на первые вирусы, находившиеся в исполняемых и интерпретируемых файлах, которые работали в среде MS DOS. В данной системе было достаточно просто найти и обезвредить угрозу, так как сердцем MS DOS было примитивное (на сегодняшний день) ядро, где оно само и прикладные программы работали на одних правах доступа. И такого рода защита от вирусов приходилась как нельзя кстати.

Стоить отметить, что первые вирусы не являлись угрозой системе. Их разрабатывали для обработки некоторых математических и логических моделей. Массовое заражение систем не являлось возможным, потому что отсутствовала массовая компьютеризация. В это время мало кто задумывался разработать вирус для вреда системы. Распространить вирусы тогда было не так просто: передача их на дискетах от одного пользователя к другому происходила достаточно медленно, к тому же сигнатуры вирусов распространялись значительно быстрее по протоколам NNTP и BBS.

Эпоха появления новых операционных систем, которые начали работать на новой архитектуре ядра, на смену MS DOS заметно изменила положение антивирусов. Ядро операционной системы, программный код и информация были разделены от адресного пространства программ, не имеющие привилегированных прав доступа. Это привело к осложнению поиска и обезвреживания вируса. К тому же антивирусы начали выполнятся в привилегированном режиме с обширными правами доступа к системе. Из-за этого сами антивирусы стали являться интересной мишенью для злоумышленников.

Назначение вирусов изменилось: они стали разрабатываться ради выгоды заинтересованными лицами. Вирусы стали инструментами для кражи конфиденциальной информации, вывода из строя оборудования и т.п. К тому же коды вирусов стали гораздо сложнее. Например, возник такой параметр, как полиморфизм (способность к самоизменению кода).

Появление Интернета значительно повиляло на будущее вирусов и антивирусов. Угроза имела возможность появления не только из жесткого носителя информации, но и по протоколам, распространяющие сигнатуры вирусов. То есть у защиты и опасности оказалась одна среда распространения. К тому же антивирусы начали значительно опаздывать, не успевая спасать систему: количество вирусов увеличивалось в геометрической прогрессии, скорость их распространения также росла, а сигнатуры вирусов не успевали обновляться. Антивирусы перестали господствовать над вирусами.

Но разработчики систем защиты не стояли на месте. Они разрабатывали новые технологии поиска и обезвреживания вирусов.

Одним из первых и основных методов обнаружения угрозы в системе является сигнатурный метод. Сначала вредоносный код обнаруживается, затем анализируется и по возможности разрабатывается метод борьбы с последствиями вируса. Его заносят в базу сигнатур, которые устанавливаются конечными пользователями вместе с очередным обновлением антивируса.

Достоинства:

·     метод достаточно надежен;

·     простой алгоритм проверки, что сказывается на скорости работы.

Недостатки:

·     необходимость обнаружить вирус, перед тем, как внести в базу сигнатур;

·     для каждого вируса требуется обновленная сигнатура.

Метод, который анализирует поведение программного кода, называется эвристическим методом обнаружения. В теории достаточно эффективное средство обнаружения новых угроз для системы. На практике выявлено достаточно низкая вероятность обнаружения вируса, разработанного со сложной логикой кода. Данный метод наблюдает за порядком действий программы, и если выявлена подозрительная тенденция, то объект, который вызвал ее, помечается как подозрительный.

Достоинства:

·     отсутствует зависимость от обновленных баз сигнатур;

·     легко отслеживает вирусы с простой логикой кода.

Недостатки:

·     ложные оповещения об угрозе (под наблюдение попадает гораздо большое количество программ, например, архиваторы и на их архивы);

·     нагрузка на систему, что влияет на ее быстродействие.

Следующий метод контролирует сетевую активность, называемый брандмауэром. Организует контроль входящих и исходящих соединений по протоколам UDP, TCP и т.п. Осуществляется прием и передача пакетов данных (байтов). Принцип работы брандмауэра заключается в разрешении передачи и приема пакетов на определенный IP-адреса.

Достоинства:

·     надежность;

·     скорость работы защиты;

·     высокая вероятность определения адреса похитителя информации.

Недостатки:

·     при выявление несанкционированной передачи пакета данных, неизвестно, что это была за информация;

·     параметры брандмауэра по умолчанию имеют малую эффективность. Возникает необходимость ручной настройки;

·     через некоторое время замедляется быстродействие системы.

Это основные методы, которые использует антивирусы. На сегодняшний день возникает тенденция роста интереса к антивирусам, а именно к уязвимостям используемых методов обнаружения. На это указывает график, изображенный на рис. 1, где отображено количество найденных «дыр» в известных антивирусах за каждый год с 2002 по 2015 годы [1].

Рисунок 1. Количество найденных уязвимостей в известных антивирусах на протяжении последних 15 лет

В начале XXI века сообщения об найденных уязвимостях в средствах по защите безопасности поступали крайне редко. Но уже в последние годы, количество найденных уязвимостей увеличилось в несколько раз. Большая часть основываются на критически опасных слабостях антивирусов. Уязвимости связаны с работой системы аутентификации, а именно с ее обходом. Также они могут осуществить несанкционированное повышение прав доступа и удалено выполнять программный код.

Современные браузеры имеют собственное встроенное защитное ПО. Однако антивирусы только мешают их полноценной защите в сети, а также замедляют быстродействие браузера. Сегодняшние антивирусы только добавляют новые опасные уязвимости в систему, поскольку большинство из антивирусов устанавливают собственные корневые сертификаты по умолчанию, не предупреждая конечного пользователя, внедряясь в HTTPS-трафик.

Специалисты по безопасности уже давно сообщают [3], что эффективность антивирусов рекордно мала. Они зачастую бесполезны как для конечного пользователя, так и для организаций. Поскольку если кто-нибудь действительно поставил цель навредить или украсть данные у организации, то злоумышленник для начала проведет тест разработанного вируса на большинстве антивирусов, и при положительном, для него, результате начнет атаку.

Для полноценной защиты системы деятельность антивирусов сводится к нулю [2]. Чтобы обеспечить абсолютную защиту персональных данных, необходимо отрезать систему от сети Интернет и не допускать соединения различных жестких носителей информации. Но данные методы слишком радикальны и сводят на полную неэффективность использование компьютерных систем.

Несмотря на уязвимость антивирусов, полностью отказываться от них не стоит. В случаях осуществления анализа большого объема данных, антивирус выполнит задачу быстро и эффективно, за счет развитого статического анализа.

Наконец стоит отметить, что антивирус необходимо воспринимать как дополнительную, а не основную защиту системы.