А нужен ли антивирус, можно ли сейчас работать в Windows без него?
Доброго времени суток!
Признаться честно, не хотел затрагивать эту «тему», но сейчас на многих ресурсах (пример) прямо «мода» какая-то писать о «ненужности антивируса» — разумеется, немало людей это видят (читают), появл. вопросы, сомнения и т.д. (в т.ч. присылают мне ссылки с вопросами, что я думаю по этому поводу ?).
Сегодня, кстати, 26 апреля — годовщина аварии в Чернобыле. А компьютерный Мир ведь тоже был потрясен в эту дату одноименным вирусом.
*
Собственно, чтобы не расписывать в очередной раз в ЛС — решил ответить про это в блоге. Заранее предупреждаю : всё, что написано ниже, лишь исключительно моя точка зрения, и я не хочу спорить с различными модными журналами (и их авторами), ссылки на которые мне приводили. Хотя, может на это меня и подталкивают — столкнуть лбами. ?
Теперь по существу.
? Важно!
Используете вы антивирус или нет — не забывайте делать бэкапы важных файлов и документов. Это одна из лучших защит от большинства угроз!
Основные методы борьбы с вирусами
Наверняка вы встречались с сообщениями антивируса, например, Антивируса Касперского, о том, что антивирусные базы устарели и их необходимо обновить. О каких базах идет речь?
Антивирусная лаборатория – разработчик антивируса – выявляет вирус, анализирует его, и выявляет так называемую сигнатуру. Сигнатура вируса (сигнатура атаки) – особый цифровой признак вредоносной программы, по которому её можно «узнать» и однозначно определить. Эти сигнатуры вносятся в базу данных, чье обновление регулярно скачивает пользователь вручную или по расписанию. Сообщение от антивируса об устаревании базы вирусов сигнализирует об ослаблении защиты и повышении вероятности подхватить какой-нибудь «свежак».
Достоинства этого метода:
- Отработанная надежность. Метод применяется давно и с успехом, можно сказать что это основной метод обнаружения вируса.
- Высокое быстродействие.
Недостатки:
- Проблема лавинообразного увеличения сигнатур. Виноваты и рост количества новых вирусов и способность видоизменяться у «старых». В итоге базы сигнатур вырастают до неприличных размеров, так что теряется второе достоинство метода. Ситуацию разрешают путем особых оптимизаций, когда одна сигнатура описывает сразу множество вирусов, однако при этом возникает проблема ложных срабатываний, что уменьшает первое достоинство.
- Проблема выявления новых вирусов. Считается, что сами пользователи вносят слишком маленький вклад в увеличение базы данных вирусов. То есть обнаружение новых вирусов – это как будто бы проблема разработчиков антивируса, что с одной стороны кажется справедливым, с другой является нарушением принципа «безопасность – дело каждого». Во многих антивирусах встроена функция «отправить на проверку», которой следует невозбранно пользоваться. Основные методы решения проблемы – это взаимный обмен информацией с другими антивирусными конторами, эвристический, (то есть интеллектуальный, использующих особый алгоритм) поиск вирусов в Интернете, быстрая реакция во время эпидемий и сознательность системных инженеров, анализирующих подозрительную активность в сети.
Основные функции антивирусов
- Защита от вредоносных программ;
- Предотвращение хакерских атак;
- Проверка файлов на ПК и флэшнакопителях;
- Проверка сайтов на безопасность;
- Восстановление заражённых объектов;
- Блокировка нежелательного контента.
С помощью антивируса пользователь может легко и быстро проверить работу системы, обнаружить и вылечить файлы, повреждённые вредоносными программами.
Во время работы в интернете антивирусная программа предупредит об опасности перехода на заражённые сайты и защитит от навязчивых всплывающих окон.
Антивирус предотвращает хакерские атаки и попытки злоумышленников похитить конфиденциальную информацию, номера и пароли банковских карт. Это только основные функции антивирусов. При необходимости пользователь может воспользоваться расширенными версиями защитных программ.
Дополнительные функции антивирусов
- Блокировка нежелательной электронной почты;
- Блокировка фишинг-сообщений, рассылаемых с целью хищения личных данных;
- Настройка фильтров информации, для ограничения доступа детей к некоторым сайтам;
- Родительский контроль или ограничение времени пребывания детей в интернете.
Сколько антивирусов нужно устанавливать на компьютер?
Для безопасности компьютера достаточно установить на него один антивирус. Несколько подобных программ могут мешать друг другу и вызывать сбои в работе операционной системы.
Многие производители предлагают пробные бесплатные версии антивирусных программ с действием на определённый период от 30 до 90 дней. С их помощью пользователи смогут оценить работу защитной программы.
Существуют бесплатные версии антивирусов, которые в отличии от полных аналогов действуют не постоянно, а сканируют систему только после запуска пользователем.
Какие устройства поддерживают Антивирусы?
Антивирусные программы предусмотрены не только для персональных компьютеров, но и для планшетов и смартфонов, поскольку эти устройства также подвержены действию вирусов и нуждаются в защите от них.
Дополнительные компоненты защиты
Давайте рассмотрим дополнительные компоненты защиты, обычно присутствующие в решениях класса Internet Security.
Фаервол
Фаервол — это программный продукт для контроля использования интернета. Иногда в него входит и проактивная защита, которую мы уже частично рассмотрели и сделаем это далее.
Слово фаервол образовано от английского firewall — огненная стена, поэтому иногда также встречаются написания файервол, фаерволл, файерволл. Другое слово, обозначающее то же самое — брандмауер.
Работу фаервола можно условно разделить на 2 направления: контроль выхода в интернет всех программ на компьютере и защита от интернет-атак, например, DDoS — множественных запросов на компьютер, направленных на его отключение из сети в связи с невозможностью обработки такого потока запросов. Однако, такой тип атак на домашний компьютер очень маловероятен. Фаервол также защищает и от других приемов хакеров. Защита от вторжений (IPS — intrusion prevention system, иногда IDS — intrusion detection system), то есть от проникновения вредоносного ПО в систему с использованием уязвимостей браузера или другой легитимной программы, обычно тоже ложится на плечи фаервола, но может относиться и к другому компоненту комплексного продукта класса Internet Security.
Контроль выхода различных программ в Сеть может осуществляться тремя способами:
1. Автоматически: все решения относительно того, легитимная ли программа просится в интернет, фаервол принимает самостоятельно. Обычно ему в этом помогает белый список — база известных «хороших» программ. Она может находиться как локально, так и в облаке. В последнем случае не стоит проблема ее ресурсоемкости (сколько места на жестком диске и в памяти она занимает). В зависимости от настройки, неизвестным, то есть не внесенным в белый список, приложениям может либо закрываться доступ в сеть, либо наоборот разрешатся (в последнем случае проще отключить работу фаервола на этом направлении).
2. Полуавтоматически: принятие решений на основе правил. Правило — это установка фаерволу, как нужно поступать, когда указанная программа пытается выйти в сеть; обычно можно не просто разрешать/запрещать ее действия, но и конкретизировать правила, указывая используемые порты, целевые адреса, приложения, которые запускают эту программу и т.д.
3. Вручную: каждый раз, при попытке любого ПО выйти в сеть, выдается запрос.
Обычно используется первый и второй варианты.
Веб-защита
Веб-защита тоже работает по нескольким направлениям:
1. Проверка всего интернет трафика. Грубо говоря, тот же файловый монитор, но только для всего того, что передается и получается через интернет.
2. Защита от посещения вредоносных сайтов. Раньше ссылки на известные источники вирусов заносились в локальные базы, теперь же в большинстве случаев эта защита облачная. Работает она так: сервер облака может сам заходить на различные сайты, выполнять их доскональную проверку, запоминая, какие ресурсы оказались вредоносными. Если первый тип интернет защиты обнаруживает угрозу, то ее адрес отправляется в облако для предотвращения посещения этого ресурса другими пользователями. Смысл в том, что, если сайт взломан и на него установлены вирусы, то злоумышленники их (вирусы) могут менять без ведома антивирусной компании, в результате чего первый тип веб-защиты может пропустить новейшие, еще неизвестные вредоносные программы. Здесь стоит отметить, что в современных антивирусах защита строится на всесторонней обороне по принципу «заражение легче предотвратить, чем его потом лечить».
3. Защита от фишинга. Фишинг — это поддельные сайты, по внешнему виду почти неотличимые от оригинала, которые просят ввести пароли или данные кредитной карты. Примеры можно посмотреть на PhishTank. Осторожно, такие сайты могут быть дополнительно заражены вирусами.
Подробнее о принципе работы веб-защиты на примере Lavasoft читайте здесь.
Антиспам
Антиспам и почтовый монитор проверяют на предмет наличия спама или вирусов электронную почту, получаемую локально — обычно через установленные почтовые клиенты (The Bat, Thunderbird, Windows Mail и др.). Почта, которую вы читаете через браузер, не проверяется, однако на всех современных почтовых службах используются и так хорошие антивирусные и антиспам технологии.
Мы уже выше рассмотрели стандартные технологии проактивной защиты, к которым относится и IPS, которую мы посчитали частью фаервола. Что же еще предлагают многие разработчики?
Безопасный банкинг
Это изолированная среда, изолированный от внешнего компьютерного мира браузер, предназначенный для безопасного совершения банковских операций. Безопасность заключается в том, что браузер изолируется от всех остальных программ, в результате чего вводимая в нем информация не может быть перехвачена. Технология не гарантирует 100% защиты, каждый разработчик использует разные подходы к обеспечиванию безопасности онлайн банкинга.
Песочница, sandbox
Изолированная от остального компьютера среда, позволяющая безопасно запускать любые программы. Все изменения, ими сделанные, по окончанию работы откатываются, а чреватые повреждениями системы вредоносные действия запрещены. Бывают автоматически песочницы: малоизвестные программы автоматически запускаются в изоляции. Некоторые вирусы умеют определять, что они работают в песочнице, в случае обнаружения которой прекращают свою работу. Это нужно еще и для того, чтобы автоматические системы анализа на серверах антивирусных разработчиков не могли выявить этих вредоносов.
Откат вредоносных действия, rollback
Некоторые продукты, например Twister и Webroot, не используют автопесочниц, как Comodo, но следят за всеми изменениями в системе, совершаемыми запущенными приложениями. Если антивирус после долгого наблюдения за активностью программы вдруг решит, что она вредоносная, он удалит, откатив сделанные ее изменения в системе. Разница между Webroot и Twister в том, что первый предпочитает пару десятков минут понаблюдать за программой, прежде чем окрестить ее вредоносной, при этом имея неплохой облачный детект (обнаруживает вирусы до их запуска, часто на основании данных от других пользователей, что эта программа проявляла вредоносную активность), а вот второй в силу маленького количества пользователей и недоработанности облачных технологий такой развитой крадудсорсинговой базы не имеет, но вредоносное ПО предпочитает прибивать в самом начале его работы, даже, бывает, не успев его проверить в облаке. Оба продукта в момент озарения откатывают зафиксированные ими со стороны вируса изменения в системе.
HIPS, host-based intrusion prevention system, система предотвращения вторжений на узел
Система, следящая за всеми изменениями в системе и способная предотвращать вредоносные. Как и фаервол, имеет настраиваемые правила, режимы работы от автомата до ручного, белые списки известных безопасных программ.
реклама
Вирус на компьютере – это любая нежелательная программа, которая выполняет на компьютере вредные действия в тайне или вопреки воле пользователя, которые влияют на производительность системы и безопасность данных. Для борьбы с такими вредоносными программами были созданы антивирусы. Компьютерный вирус можно сравнить с человеческим вирусом, в данном случае «болеет» компьютер. Антивирусы нацелены не только на излечение компьютера, но также работают на предотвращение заражения и предупреждение угроз.
Компьютер без антивируса похож на дом с открытой дверью, который привлекает злоумышленников или вандалов. Топ причин, почему надо использовать антивирус:
- Защита от вирусов. Антивирус обнаруживает вредоносное ПО и работает над тем, чтобы удалить его. Это делается для того, чтобы вирус не нанес вред вашей системе.
- Блокировка рекламы и спама. В большинстве случаев вирусы проникают в систему через рекламу на различных недобросовестных сайтах.
- Защита от хакеров и похитителей данных. Хакеры устанавливают на незащищенные компьютеры свои вредоносные программы, которые либо используют ресурсы компьютера по своему усмотрению, либо воруют конфиденциальные данные.
- Защита съемных устройств. Для передачи информации повсеместно используются съемные накопители данных, через которые могут распространяться вирусы.
- Защита данных и файлов. Антивирус следит за содержимым ваших файлов, чтобы внутри них не спрятался вредоносный код.
- Ускорение компьютера. Если сравнивать зараженный компьютер без антивируса, на котором активно работают вредоносные программы и чистый компьютер под контролем антивируса, то последний будет работать однозначно быстрее.
- Ограничивает доступ к подозрительным веб-сайтам. Антивирус может анализировать ваш интернет-траффик и блокировать доступ к опасным сайтам. На таких сайтах злоумышленники могут вымогать ваши банковские пароли и распространять зараженное программное обеспечение под видом обычного ПО.
- Защита детей в интернете. Родители не всегда могут уследить, что делают их дети в интернете, и антивирус сможет оградить их от вредного для их возраста контента.
- Защита паролей. Менеджер паролей не позволит злоумышленнику завладеть вашими логинами и паролями от различных ресурсов.
Какой антивирус выбрать?
Антивирус против Safe Browsing в браузере
Ещё один серьёзный удар по разработчикам антивирусов – функция SafeBrowsing в хромиум-браузерах: Google Chrome, Opera, Яндекс-Браузер и другие. Когда вы скачиваете файл из интернета, браузер сверяется со своей базой подозрительных сайтов и ссылок, и не даёт запустить инфицированную программу или открыть архив с опасным содержимым. Это довольно надёжная функция, которая срабатывает всегда «по делу», не то что UAC.
Мало того, браузеры не пускают без вашего согласия на сайты с вирусами, показывая на весь экран сообщение соответствующего характера. Но функция «безопасного сёрфинга» далеко не идеальна и не защищает от всех угроз. Например, антивирус ESET NOD32 защищает от посещения опасных сайтов даже тогда, когда браузер спокойно пропускает:
Антивирус сканирует данные «на лету», т.е. в режиме реального времени, а не просто проверяет базу ссылок, информация в которой не полная.
Принцип работы антивируса
Так или иначе, обычно современные антивирусные приложения обладают следующим набором функциональных модулей:
- антивирусный сканер — утилита, выполняющая поиск вредоносных программ на дисках и в памяти устройства по запросу пользователя или по расписанию;
- резидентный монитор — компонент, выполняющий отслеживание состояния системы в режиме реального времени и блокирующий попытки загрузки или запуска вредоносных программ на защищаемом компьютере;
- брандмауэр (файрвол) — компонент, выполняющий мониторинг текущего соединения, включая анализ входящего и исходящего трафика, а также проверяющий исходный адрес и адрес назначения в каждом передаваемом с компьютера и поступающем на компьютер пакете информации — данные, поступающие из внешней среды на защищенный брандмауэром компьютер без предварительного запроса, отслеживаются и фильтруются. С функциональной точки зрения брандмауэр выступает в роли своеобразного фильтра, контролирующего поток передаваемой между локальным компьютером и интернетом информации, защитного барьера между компьютером и всем остальным информационным пространством;
- веб-антивирус — компонент, предотвращающий доступ пользователя к опасным ресурсам, распространяющим вредоносное ПО, фишинговым и мошенническим сайтам с использованием специальной базы данных адресов или системы рейтингов;
- почтовый антивирус — приложение, выполняющее проверку на безопасность вложений в сообщения электронной почты и (или) пересылаемых по электронной почте ссылок;
- модуль антируткит — модуль, предназначенный для борьбы с руткитами (вредоносными программами, обладающими способностью скрывать свое присутствие в инфицированной системе);
- модуль превентивной защиты — компонент, обеспечивающий целостность жизненно важных для работоспособности системы данных и предотвращающий опасные действия программ;
- модуль обновления — компонент, обеспечивающий своевременное обновление других модулей антивируса и вирусных баз;
- карантин — централизованное защищенное хранилище, в которое помещаются подозрительные (в некоторых случаях — определенно инфицированные) файлы и приложения до того, как по ним будет вынесен окончательный вердикт.
В зависимости от версии и назначения антивирусной программы, она может включать в себя и другие функциональные модули, например компоненты для централизованного администрирования, удаленного управления.
Сигнатурное детектирование
Современные антивирусные программы используют несколько методик обнаружения вредоносных программ в различных их сочетаниях. Основная из них — это сигнатурное детектирование угроз.
Данный метод детектирования малвари основывается на создании так называемых сигнатур — уникальных цифровых идентификаторов файла, представляющих собой специальный набор байтов и получаемых на основе содержимого исследуемого файла. Фактически сигнатура — это своего рода «отпечаток пальцев» файла: с помощью сигнатуры можно однозначно идентифицировать тот или иной файл или приложение. Схожим образом устроены хеши файлов, например SHA-1 или SHA-256, — при этом под хешированием в данном случае понимается преобразование содержимого файла с использованием однонаправленной математической функции (алгоритма криптографического хеширования), в результате которого получается уникальный набор шестнадцатеричных символов. Однонаправленной такая функция называется потому, что получить из файла хеш очень просто, а вот восстановить из хеша исходный файл уже невозможно. Вирусная сигнатура устроена несколько сложнее: помимо хеша, она содержит еще целый ряд уникальных признаков файла.
Сигнатуры собираются в блок данных, называемый вирусными базами. Вирусные базы антивирусных программ периодически обновляются, чтобы добавить в них сигнатуры новых угроз, исследованных за истекшее с момента последнего обновления время.
Антивирусная программа исследует хранящиеся на дисках (или загружаемые из интернета) файлы и сравнивает результаты исследования с сигнатурами, записанными в антивирусной базе. В случае совпадения такой файл считается вредоносным. Данная методика сама по себе имеет значительный недостаток: злоумышленнику достаточно изменить структуру файла на несколько байтов, и его сигнатура изменится. До тех пор пока новый образец вредоноса не попадет в вирусную лабораторию и его сигнатура не будет добавлена в базы, антивирус не сможет распознать и ликвидировать данную угрозу.
Поведенческий анализ
Помимо сигнатурного детектирования, большинство современных антивирусных программ используют те или иные механизмы поведенческого анализа. Поведенческий анализ можно отнести к разновидности вероятностного анализа — как это и следует из названия данного метода, антивирусная программа следит за поведением приложений и, если оно кажется ей подозрительным, блокирует работу потенциально опасной программы.
Один из безопасных методов исследовать поведение приложения — запустить его в так называемой песочнице (sandbox) — защищенном изолированном виртуальном контейнере, из которого приложение не может получить доступ к компонентам ОС и файловой системе. Если поведение программы вызывает у антивируса подозрения, например она выполняет инжект, модифицирует загрузочную запись или изменяет структуру исполняемого файла, она может быть признана потенциально опасной или вредоносной.
Эвристический анализ
Эвристический анализ — разновидность вероятностного анализа вредоносных программ, основанная на логических алгоритмах, позволяющих выявить и обезвредить потенциально опасное приложение. Эвристический анализ приходит пользователям на помощь в тех случаях, когда угрозу не удается обнаружить с помощью сигнатурного детектирования.
Упрощая, основной принцип эвристического анализа можно описать следующим образом. Каждой функции, которую может реализовывать программа в операционной системе, назначается некий условный «рейтинг опасности». Какие-то действия приложения могут считаться менее опасными, другие — более. Если по совокупности выполняемых приложением действий оно превышает некий условный «порог безопасности», оно признается потенциально вредоносным.
Например, если программа работает в фоновом режиме, не имеет графического интерфейса, последовательно опрашивает удаленные серверы, а потом пытается скачать с них и запустить в системе какое-то приложение, оно с высокой долей вероятности может оказаться троянцем-загрузчиком. Или утилитой обновления браузера Google Chrome. В этом, очевидно, и кроется основная ахиллесова пята эвристического метода анализа вирусных угроз — большая вероятность «фолс-позитива», ложного срабатывания.
Другой метод эвристического анализа — эмуляция исполнения программы. Антивирус загружает подозрительное приложение в собственную буферную память, выполняет разбор кода на инструкции и выполняет их по очереди, проверяя результат.
Эвристический анализ применяется с целью выявить и обезвредить угрозы, еще неизвестные антивирусу — то есть те, сигнатуры которых на текущий момент отсутствуют в вирусных базах. Отсюда логически вытекает еще один недостаток эвристических алгоритмов — даже если неизвестную ранее угрозу удается обнаружить, ее далеко не всегда получается сразу «вылечить». Во многих случаях пользователю приходится ожидать появления очередного обновления вирусных баз, содержащего алгоритмы лечения конкретно для этой вредоносной программы.
Проактивная защита (HIPS)
Проактивную антивирусную защиту (HIPS — Host-based Intrusion Prevention System, англ. «система предотвращения вторжений») также можно отнести к разновидности антивирусной защиты на основе поведенческого анализа. Антивирус следит за запущенными приложениями и информирует пользователя о тех или иных действиях программы. Решения о том, позволить или запретить программе выполнять какое-либо действие, принимает пользователь. Это классический вариант реализации HIPS. Существует еще так называемый экспертный вариант, при котором антивирус самостоятельно блокирует действия тех или иных приложений на основе набора заложенных в него правил и разрешений. Пользователь может при необходимости добавить какую-либо программу в список исключений, разрешив ей выполнение любых или только выбранных действий в защищаемой системе.