it-swarm.dev

Ho davvero bisogno di un software antivirus se faccio attenzione a dove navigo?

Un amico mi ha detto quanto segue:

Non utilizzo affatto il software antivirus, sto solo attento a dove vado e su cosa faccio clic.

Ho anche sentito questo da altre persone mentre riparavo i loro PC e ripulivo il malware/virus che avevano ricevuto navigando su siti "sbagliati". Alla fine ho trovato questo post sul blog che afferma:

Per essere sinceri: mi sono rifiutato di installare qualsiasi tipo di software antivirus o firewall personale sulla maggior parte dei miei computer (ma vedi Aggiornamento 1/1/2012, di seguito). Questo includeva un sistema Windows XP Home che è stato utilizzato dai miei figli come sistema di navigazione web/e-mail/gioco. Durante questo periodo non ho subito infezioni.

La mia domanda è: ci sono studi documentati che provano o confutano queste affermazioni di essere in grado di navigare in Internet con attenzione e avere lo stesso rischio di infezione di quello di navigare in Internet con software antivirus?

Nota: pensavo di essermi ricordato di aver visto un episodio di Screen Savers una volta in cui avevano un PC collegato a Internet senza anti-malware o anti-virus e alla fine dello spettacolo il computer era diventato inutile ma non potevo sembra non trovarlo.

30
James Mertz

Come menzionato in alcuni dei commenti, non ci sono siti che possono essere garantiti sicuri. Anche i siti affidabili hanno sofferto di banner pubblicitari, errori di codifica, attacchi deliberati ecc., Quindi il primo problema è che non puoi fidarti di alcun sito web. È possibile determinare un livello di probabilità di sicurezza osservando il codice da una sandbox e seguendo i collegamenti, ma molti utenti malintenzionati scrivono codice che si nasconde dagli strumenti di debug o dagli ambienti di test e spesso il codice cambia il vettore di attacco nel tempo.

Quindi, alla prossima parte: hai bisogno di un antivirus? Assolutamente - un numero enorme di macchine connesse a Internet sono infette e in esecuzione come parte di botnet. Se non proteggi la tua macchina, potrebbe finire per attaccare la mia. Se non riesci a rilevare malware sul tuo computer, darei la colpa alle tue tecniche di rilevamento, non penso che il tuo computer fosse pulito.

Da SANS, Il tempo di infezione previsto per una macchina non protetta su Internet è inferiore a 5 minuti! (il tempo di sopravvivenza è calcolato come il tempo medio tra i rapporti per un IP target medio indirizzo ... noto anche come qualcuno che esegue il ping del computer conterrebbe come "infezione")

Certo, AV è solo un livello di sicurezza (o potenzialmente 2 se si utilizza AV su gateway e desktop) ma tutti i livelli hanno valore. Tutto ciò che ti manca aumenta la probabilità di un compromesso riuscito.

24
Rory Alsop

Ci sono molti angoli di questa domanda e non sarò in grado di coprire tutto.

Di fronte a una divulgazione parziale, sto lavorando nel settore AV, ma non fornirò ulteriori dettagli. Un'altra rivelazione, non ho usato alcun meccanismo AV "in tempo reale" sulle mie macchine private negli ultimi dieci anni circa. Tuttavia, di tanto in tanto ho eseguito scansioni offline sui miei computer.

Diversi angoli per esaminare il problema

Drive-by-infezioni e trojan sono solo due dei potenziali vettori di attacco, quindi una navigazione attenta sarà no completamente sollevata dall'uso del buonsenso o dai compiti in altre aree (mantenendo il software aggiornato e come). Ce ne sono molti altri, inclusi attacchi mirati (di solito noti come "pesca subacquea", "ingegneria sociale").

Potenziale sottostimato per gli attacchi

Ad esempio, i ricercatori hanno dimostrato che posizionare una chiave USB che assomiglia a un'unità flash ma si comporta come memoria + mouse + tastiera può essere utilizzato per accedere ad aree altrimenti altamente sicure. Nessuno pensa prima a un attacco quando trova un'unità flash USB, giusto? Ma potrebbe essere.

Ad ogni modo, ci sono molti più vettori di attacco su una scala più ampia. Gli esempi più comuni includono:

  • vulnerabilità nel software utilizzato
    • Adobe Flash e Adobe Reader: PDF (incorporando JavaScript o Flash ... o combinazioni nidificate) - su Windows, suggerisco di usare SumatraPDF , poiché semplicemente non supporta script o Flash all'interno dei PDF.
    • I vari motori del browser
    • Il rendering semplice delle stringhe può sfruttare le vulnerabilità (rilevate in passato nel rendering dei caratteri )
    • Java quando viene utilizzato come plug-in del browser (anche se al giorno d'oggi non è più necessario a meno che non visiti molti siti Web degli anni '90;))
    • utilizzo di numerosi formati di file complessi e/o proprietari (immagini, documenti ...) in cui il software che decodifica il formato del file è più soggetto a errori.
    • gli stessi componenti del sistema operativo: pensa al worm Blaster e al worm/ransomware WannaCry.
  • spegnere il tuo cervello nel momento sbagliato
    • ricevere un'e-mail da una persona cara con un allegato? Uh oh, i mittenti di email possono essere simulati come cartoline. Puoi usare la posta crittografata per proteggerti da questo. Meglio ancora, puoi usare PGP/ GPG per proteggerti da chiunque altro tranne te e la persona amata lettura il contenuto di anche crittografandolo; la controparte elettronica di una busta, non altrettanto facile da "aprire".
    • effettivamente andare su un sito "erotico" e solo per vedere quell'immagine o video che esegue quel "downloader" o "visualizzatore"
  • Il firmware può essere "trojanizzato" in modo che il tuo sistema operativo non abbia la minima possibilità di rilevare eventuali illeciti su una parte del computer.
    • Bluepill di Joanna Rutkowska era un approccio simile in quanto utilizza le istruzioni di virtualizzazione per spostare il sistema in esecuzione nella posizione ospite mentre il rootkit stesso mantiene la posizione come hypervisor.

Per citarne solo alcuni. L'emet DI MICROSOFT di Microsoft si è dimostrato utile molte volte nel prevenire determinati tipi di exploit. Ma non sarà un proiettile d'argento. Se utilizzi un'edizione Windows che lo consente, puoi anche impostare Politiche di restrizione software e Politiche di controllo delle applicazioni . Sfortunatamente Microsoft non sembra più dare loro tanto amore e poiché l'applicazione delle firme con hash SHA-2, gli ACP non funzionano più in modo affidabile sulla base delle firme. Tuttavia, puoi comunque usarli con le regole di hash dei file.

A proposito: anche il contrario è vero. Si potrebbe anche progettare un mouse o una tastiera che include memoria e innesca l'esecuzione di qualcosa al di fuori di tale memoria. Ecco un progetto che lo rende accessibile a un pubblico più ampio.

Conclusioni sbagliate

Ma diamo un'occhiata alla citazione che hai dato.

Per essere sinceri: mi sono rifiutato di installare qualsiasi tipo di software antivirus o firewall personale sulla maggior parte dei miei computer (ma vedi Aggiornamento 1/1/2012, di seguito). Questo includeva un sistema Windows XP Home che è stato utilizzato dai miei figli come sistema di navigazione web/e-mail/gioco. Durante questo periodo non ho subito infezioni.

Ciò dimostra chiaramente che la persona citata non è molto ben informata sull'argomento. Nessuno, inclusi i venditori AV, può dirti con la certezza del 100% che tu non sei infetto. È sciocco Richiesta. Solo perché non c'è alcun segno di infezione non significa che non ci sia infezione. Un malware può rimanere inattivo per molto tempo, ad esempio, solo per entrare in qualche punto particolare (pensa al virus Michelangelo ) Ci sono pochissimi metodi, di solito che coinvolgono CD/DVD live (esempio - Qubes ) che proteggerà dalla maggior parte dei vettori di attacco, ma di solito si può escogitare uno scenario in cui falliscono. I più pratici sono sandbox che separano i programmi l'uno dall'altro e questo è l'approccio utilizzato da Qubes.

Quello che sto dicendo è che la persona usa giustificazioni sbagliate e fa conclusioni errate - non che ci sia qualcosa di sbagliato nel non usare i programmi AV.

Gli AV non ti proteggeranno necessariamente, specialmente gli AV puri

La mia domanda è: ci sono studi documentati che provano o confutano queste affermazioni di essere in grado di navigare in Internet con attenzione e avere lo stesso rischio di infezione di quello di navigare in Internet con un software antivirus?

Ancora una volta, la navigazione non è l'unico vettore di attacco attraverso il quale il malware può entrare nel tuo sistema (il meccanismo di esecuzione automatica in Windows insieme a una vulnerabilità nel gestore di icone per i file di collegamento ha permesso a Stuxnet di diffondersi). È stato facile come collegare un'unità flash al computer. La prossima cosa è che una soluzione AV pura non filtrerà i siti Web a cui accedi e si attiverà solo ogni volta che qualcosa colpisce il disco (può anche essere la cache del browser). Quindi questo chiarisce che una soluzione AV pura non fornisce in primo luogo un'ottima protezione contro le infezioni correlate alla navigazione.

Tuttavia, possiamo supporre che la maggior parte del malware debba persistere sui computer degli utenti per essere utile al suo autore - a differenza del passato in cui gli autori di malware hanno dimostrato la loro conoscenza attraverso la creazione di virus e simili, oggigiorno la scrittura di malware è quasi un quasi -impresa commerciale - come scremare i dati bancari o usare la GPU per il mining o il riscatto di Bitcoin e cosa no.

Quindi quando colpisce il disco, l'AV può prenderlo. A condizione che l'AV lo sappia. E non commettere errori, la maggior parte dei fornitori di AV ha da tempo abbandonato il rilevamento basato sulla firma superato o li utilizza solo come metodo di rilevamento supplementare. Questo è in contrasto con la credenza popolare che ho visto ripetutamente espresso. Sono a conoscenza di un solo fornitore che si attiene sostanzialmente ai vecchi metodi di rilevamento basato sulla firma. La maggior parte dei fornitori utilizza un rilevamento che cattura in genere centinaia o migliaia di campioni di malware correlati contemporaneamente. Tuttavia, la società AV deve aver scoperto il malware per rilevarlo. E più campioni trova per una famiglia, meglio può perfezionare la sua euristica per evitare falsi positivi.

È una corsa e alla fine anche una corsa agli armamenti. Gli autori di malware utilizzano VirusTotal e altri siti simili (nonché versioni darknet di tali servizi) per scoprire se le loro creazioni vengono rilevate. Dal momento che c'è denaro da guadagnare, direttamente o noleggiando la macchina infetta come bot, ci sono incentivi sufficienti per mantenere un profilo basso.

Scacciare un mito ...

Solo per quei credenti negli AV i risultati che vedi in molte, se non nella maggior parte, delle certificazioni sono fortemente distorti. Ciò ha a che fare con due cose:

  1. alcuni di loro vogliono il pagamento e questo ovviamente crea e ostacola la contrarietà dei venditori (paganti) AV
  2. la maggior parte dei test consente di individuare le lacune che vengono abusate senza pietà a favore dei risultati dei test nei rispettivi rapporti di marketing dei fornitori

A mio avviso, uno dei test migliori è il test RAP (reattivo e proattivo) che misura quanto i buoni AV stanno facendo con firme virali "obsolete". Ma ci sono sicuramente più cose che dovrebbero essere migliorato per rendere questi test più obiettivi.

Da quando ho originariamente scritto questa risposta, è in atto uno sforzo, chiamato AMTSO , per rendere i test più significativi per i clienti delle soluzioni anti-malware. In questo momento non sono sicuro che porterà i miglioramenti promessi, ma il futuro lo dirà. Per lo meno è diventato chiaro che, poiché i venditori sono più numerosi dei tester, sembra esserci un pregiudizio inerente alle decisioni e alle linee guida. Ma esiste almeno la consapevolezza di questo problema.

Conclusione: non puoi acquistare sicurezza

AVs will fornisce un ulteriore livello di sicurezza al profano e persino all'esperto. Periodo. Ma - e questo è un grande ma - questa sicurezza aggiuntiva non può mai compensare la mancanza di istruzione nell'uso del computer consapevole della sicurezza. Al contrario, lo ritengo, sì, se sei abbastanza paranoico e diligente hai non è necessario un AV come in un must . Il livello tecnologico di protezione non compenserà la protezione ottenuta da due diligence, paranoia e soprattutto consapevolezza.

La sicurezza fornita da un AV può essere paragonata molto alla sicurezza dell'aeroporto. C'è un sacco di spettacolo sulla sicurezza, ma c'è anche qualche attuale maggiore sicurezza coinvolta. Ma non credere che l'AV proteggerà te o altri, del 100% dall'infezione. Che può anche essere letto come una spina spudorata per qualsiasi soluzione di backup (assicurati di mantenere i backup offline, quindi non vengono cancellati dal ransomware, ad esempio).

A mio avviso, la migliore protezione è di gran lunga la consapevolezza e la diligenza. Ma purtroppo non c'è niente come una patente di guida richiesta per l'uso del computer o di Internet. In mancanza di ciò, la prossima migliore protezione sarebbe sandbox, approcci di whitelisting e anche AV e altre soluzioni anti-malware oltre ai normali backup archiviati offline. Non saranno mai in grado di darti una protezione al 100% (beh, whitelisting might), ma possono proteggerti da una vasta gamma di minacce prolifiche. Quindi, in caso di dubbio, certo scegli quella soluzione AV (o in generale anti-malware). Ma è qui che diventa difficile. Differiscono per qualità e anche i test - come ho sottolineato sopra - sono spesso fortemente distorti. L'aggiunta di un altro motore AV nel mix può aiutare, ma non c'è garanzia. Se all'interno di un singolo prodotto, l'integrazione di più motori sarà probabilmente buona e non aggiungerà troppe spese generali. Tuttavia, se si installano più prodotti AV in parallelo, si stanno verificando problemi. In effetti, le moderne versioni di Windows consentono di visualizzare le statistiche di una singola soluzione di sicurezza per categoria nel Centro operativo/sicurezza di Windows.

Per quanto riguarda la whitelisting, le recenti versioni di Windows sono piuttosto interessanti. Puoi implementarlo efficacemente da solo (esegui gpedit.msc) in Politiche di restrizione del software e Politiche di controllo delle applicazioni (o il tuo amministratore può farlo se sei in esecuzione in un ambiente gestito). I think è stato introdotto almeno da Windows 7, ma è possibile che queste strutture esistessero anche su Windows Vista. Sfortunatamente questa funzione potrebbe dipendere dall'edizione della tua versione di Windows, il che è un peccato. C'è anche un problema nel fatto che se si basano le regole sulle firme di codice, questo potrebbe non riuscire con gli eseguibili che sono firmati solo SHA-2.

anche:

tenere a mente: a rigor di termini possiamo mai dire se un sistema è pulito, mentre possiamo affermare che we non trovato nulla. Ogni affermazione contraria è o marketingese o sta andando a obsoleto rapidamente l'intero settore AV.

(fonte: la mia risposta su SuperUser qui )

Una rete di sicurezza ancora migliore sono i backup e i frequenti rollback a uno stato noto, ma questo è solo secondo me.

Il malware commercializzato non necessita di accesso privilegiato, nemmeno su Linux, FreeBSD o macOS

Su SuperUser ho scritto questo :

Un'altra cosa. Molti utenti Linux (anche MacOSX) cadono in preda al presupposto che il malware che non ha accesso privilegiato non può farti del male (il che viene spesso citato come motivo per cui non esiste "malware" per i sistemi unixoid, che non è è del tutto vero). Questo non potrebbe essere più lontano dalla verità. Sebbene ciò gli impedisca di costituire una roccaforte a livello di sistema, non impedirà al malware di scremare i dati dai tuoi file personali ecc. Un'estensione del browser non autorizzata installata nel tuo profilo sarà comunque pericolosa per il tuo account come quello che può farlo a tutti gli account. Se fai il tuo internet banking con l'estensione canaglia installata, non fa differenza se sei root o joe.

21
0xC0000022L

Ho intenzione di fare un'analogia: ho bisogno di un preservativo quando sono davvero attento quando faccio sesso? Sì, perché anche quando sei al sicuro non sai che l'altra parte è coinvolta, anche se lui o lei dice che lo sono, quindi devi usare un preservativo/antivirus? Certo che lo fai, meglio prevenire che curare, dato che sbarazzarsi di un virus è molto difficile.

Nota che anche quando usi un antivirus le cose possono andare storte anche quando sei al sicuro! Se si sospetta che le cose siano andate male, è meglio ripristinare dal backup o eseguire un'installazione pulita.

5
Lucas Kauffman