Медиите обичат често да преекспонират нещата. Причините са много и едва ли ни е работа да ги изреждаме всичките тук. Най-малкото, мнозинството от хората обичат
бомбастичните заглавия и медиите им ги доставят. Понякога обаче те просто не им вършат добра услуга.Преди дни
Тавис Орманди, небезизвестният хакер от
Project Zero на Google
разкри поредна уязвимост в продукт за компютърна сигурност. Става дума всъщност за линия от продукти на Norton, в това число и корпоративните версии, предлагани от компанията. За разлика от друг път, Орманди не публикува експлойт за уязвимостите преди засегнатата страна да е адресирала проблема. Това е само един от многото продукти за защита, които имат проблеми, открити от Орманди. В миналото той публикува доказателство за проблеми в продуктите на
Comodo, Kaspersky, ESET, AVG, Fireeye и др. Много от тях - като тези в Comodo и
GeekBuddy и в мениджъра за пароли на Trend Micro - сериозни, други - трудни за експлоатиране и с това, може би не толкова проблематични.Почти след всяка публикация на Орманди, някои медии в Интернет решават да „раздухат” случая, излизайки с повече или по-малко бомбастични заглавия. Като например материалът на Джеймс Сандърс в
Techspot, озаглавен „Защо антивирусните програми се превърнаха в проблем, а не в решение”. Дейвид Гланс от
The Conversation пък направо пита не е ли време да премахнем антивирусната програма от компютъра си.Няма безгрешни хора и тъй като софтуерът се пише от хора,
няма софтуер без грешки. Или поне в големи програми, съдържащи хиляди, а понякога милиони реда код. Така, както няма безгрешен човек и такъв без слабости, така няма и сложен код без грешки и уязвимости. Мнозина специалисти споделят,
че е далеч по-лесно да компрометираш една система, отколкото да я защитиш. Компании като Microsoft, Google, Apple и други знаят това и имат специални отдели, които се занимават с преглед на написания за техните програми код, а освен това се радват (поне по-голямата част от тях), когато външни разработчици като Орманди открият грешки в техния софтуер и им докладват. Че антивирусните програми са сложен софтуер и грешките са неизбежни го признава и самият Гланс, но дава предположение, което може да бъде подложено на критика.„Контра-интуитивният резултат (от това, че антивирусният софтуер се нуждае от привилегии на най-ниско ниво-б.а.) от това е, че антивирусната програма предоставя на създателите на зловреден код още по-големи възможности за атака към компютъра, отколкото, ако не е инсталиран. На специализиран жаргон, това означава „вектор за атака”, пише Гланс. Хм, тоест, на въпросния вирусописач ще му е по-лесно да се занимава с писане на код за експлоатиране на слабост в антивирусната програма на компютъра (и да припомним, че имаме поне 50-ина различни известни марки антивирусни програми, всяка от тях, различаваща се от другите в дизайна си), след което би писал код, който да му позволи да извърши зловредните си действия - кражба на данни, разрушаване/промяна на информация или нещо друго. А какво би се случило, ако няма антивирусна програма. Ами той може да използва готова зловредна програма, която да речем е на 10 години (и в този смисъл може да му излезе безплатно цялото усилие), която всяка една от тези 50-ина програми отдавна засича и да я достави към системата. Кое ли би избрал? „Вектор за атака” може да е всичко. На първо място това е управляващия системата. Следвайки логиката на Гланс, може да кажем, че махайки го ще си решим проблемите. И това е безспорно, но... „Вектор за атака” е самата операционна система и всеки един компонент от нея. Такъв е и всяка една инсталирана програма, имаща достъп до Интернет. Проблемът тук по-скоро е този, че отрязването на болния пръст няма да направи болката в него да изчезне. Именно за това, работата на хора, като Орманди в повечето случаи е безценна, но е нужно да приемаме нещата малко по-спокойно. Освен това, при експлоатирането на конкретна уязвимост в конкретна програма за защита, говорим за целенасочена, таргетирана атака. Без да претендирам за точност, смело мога да заявя, че 99.5% от атаките в Интернет не са такива. А и Windows потребителите не използват една и съща програма за защита на системите си. В най-лошия случай, в експлойт комплектите, киберпрестъпниците вграждат възможности за експлоатиране на уязвимости в софтуер, който е масово разпространен - Adobe Flash, Java, MS Office или за самата операционна система Windows. Просто те следват парите и целта им е да ударят, колкото се може повече жертви с по-малко усилия. Сандърс подкрепя мнението на Гланс, че потребителят е по-малко защитен с инсталиран антивирусен софтуер на системата си. Той посочва като основни причини за това логистични и политически проблеми в самата антивирусна индустрия. Каквото и да означава това. Други заглавия в Интернет не им отстъпват. SiliconBeat определя дупката в сигурността на линията от продукти на Symantec „кошмарна” и „потенциално опустошителна”, ArsTechnica не изостават, предавайки, че „милиони са застрашените” (материалът е публикуван, след като Symantec са адресирали проблемите). Разбира се, че подобен род проблеми не трябва да бъдат омаловажавани, но е нужно да се проявява повече критично мислене и прагматизъм, когато се сблъскаме с подобни публикации и да не забравяме това за болния пръст, разбира се. И когато четем за подобни проблеми е добре, защото това означава, че те вече са адресирани (има и изключения, разбира се.
Миналата година именно Орманди разкри уязвимост в Windows и начин за експлоатирането ? преди Microsoft да са я запушили, въпреки, че е бил помолен от компанията да изчака). Това, което е нужно е да изчакате доставката на обновлението, адресиращо проблема. Но определено някои медии и недотам коректни компании и разработчици обичат да пораздуват нещата. Като например серията от уязвимости, получили свои логотипи със запазени марки и крещящи имена, представящи ги като някакви звезди - кървящото сърце на Heartbleed. Image Tragick, Shelshock, GHOST, POODLE, DROWN (разбира се горният регистър е за предпочитане, особено, ако имате проблем със зрението) са само част от тези „звезди”, които трябва да стряскат света на всеки, който чете за тях.Антивирусната индустрия си има своите малки и по-големи проблеми. Грешките в кода на някои от програмите не са сред тези по-големи проблеми. Или поне не върху тях е нужно да се поставя акцент, говорейки за грижите на индустрията. Един от най-големите, ако не и най-големият проблем, например е все по-задълбочаващата се нужда от кадри и специалисти и въобще хора, желаещи да станат част от тази същата индустрия. Според Майкъл Браун, бивш шеф на Symantec до 2019г.
ще се отвори „дупка” от 1.5 млн. липсващи специалисти по информационна сигурност. И това, въпреки доброто заплащане тук и все по-зачестяващите инциденти, свързани с кражбата на данни, пробивите в мрежи и системи и под. Според изследване на Станфордския университет, само през миналата година, повече от 209 000 работни позиции в областта на информационната сигурност са останали незаети, а в същото време, търсенето на специалисти в тази област ще се увеличи с цели 53% до 2018г. Все още ли се чудите защо Орманди открива пропуски в продуктите на антивирусната индустрия? И когато Браян Дай от същата тази компания Symantec
обяви антивирусa за мъртъв, мнозина са били тези, които са потривали ръце, вместо да се притеснят.Другият голям проблем тук, който без съмнение е следствие от гореспоменатия, определено е това, че една немалка част от антивирусните продукти разчитат на остарели методи за борба със заплахите. Пример за това е разчитането единствено на дефиниции. За разлика от тях киберпрестъпниците не спят и постоянно се развиват. Така например, авторите на Cerber - страховитият криптовирус, заключил системите на десетки хиляди, са вградили в кода му ужасяваща функционалност, която му помага да
променя хеш стойността на зловредната проба на всеки 15 секунди (хеш стойността представлява уникален за файла цифров ред, който го идентифицира - тази стойност бива включена във файла с дефиниции на антивирусната ви програма и благодарение на това тя го блокира). При положение че антивирусните компании публикуват дефиниции за защитния софтуер средно от 1 до 3 (или веднъж на няколко часа) пъти дневно, може да разберете защо това е проблем. Все пак е нужно да отбележим, че нещата се подобряват и все повече производители включват допълнителни модули, като поведенчески блокатори, виртуализационни схеми и емулатори, които изпълняват част от кода в облак, преди да го пуснат в системата, HIPS и др.Тa това, което е добре да извлечем като полза от случая, е да сме наясно, че „ДА”, антивирусната индустрия си има своите по-малки и по-големи проблеми, но същата тази индустрия работи по тях. Също така е добре да си припомняте, че както не може да си обезпечите абсолютна физическа сигурност, така и няма абсолютна онлайн сигурност. Това не означава, че трябва с прочитането на този материал да изключите компютъра си и никога повече да не го включвате или да започнете да хвърляте боб при всяко ваше влизане в Интернет. Просто следвайте съветите на специалистите по информационна сигурност за спазването на най-добри практики и проявявайте здрав разум и благоразумие.
