Недавно на сайте Wikileaks состоялся "слив" секретных документов ЦРУ. Документы эти предназначены для IT специалистов, работающих на ЦРУ. Говорят документов много, да столько, что публиковать их приходится порциями и удаляя информацию, которая может поставить под угрозы рядовых пользователей Интернета. После публикации первой порции, решил скачать этот архив с документами, чисто в академических целях :)
Много интересной информации удалили по причине, которую я описал выше, но хорошо запомнилась одна презентация под названием Breaking antivirus software. Позже я выяснил, что этот документ в действительности не является секретным. Данная презентация была опубликована на конференции SYSCAN 360 еще в 2014 году. SYSCAN 360 - это такая конференция для ботанов, посвященная информационной безопасности.
Так вот, этот документ составлен экспертом по компьютерной безопасности Joxean Koret, вот он кстати:
[caption id="attachment_149584" align="aligncenter" width="975"]
Joxean Koret[/caption]
В своем документе он приводит примеры уязвимостей антивирусов, которые делают ваш компьютер более уязвимой с антивирусом, чем без нее. А все дело в том, что почти все антивирусы работают в режиме ядра. Если программы, запущенные в пользовательском режиме ограничены в своих действиях, то программы, работающие в режим ядра таких ограничений не имеют. Вот тут то и скрыта проблема антивирусов. Как демонстрирует автор в своем документе, практически все антивирусы содержат разного рода уязвимости. Кстати, эти уязвимости подробно описаны в том же самом документе.
Для того, чтобы понять, что антивирусы действительно ставят под угрозу ваш компьютер, давайте сначала разберемся в методах инфицирования компьютера обычным способом.
Как правило, вы попадаете на сайт, где вам предлагают скачать программу для ускорения интернета, улучшения качества видео или что-то подобное. Или же вы по Skype или в социальных сетях получаете ссылку от вашего "друга" с просьбой скачать крутую программу. Вы скачиваете эту программу и запускаете ее, и только тогда вирус начинает инфицировать ваш компьютер, используя точно такие же права, как учетная запись, с которой вы работаете. Все просто и понятно.
[AdSense-A]
Но что происходит когда у вас установлен антивирус, содержащий известную хакерам уязвисмость. Допустим, уязвимость содержится в компоненте сканирования. Как и в предыдущей ситуации вам приходит ссылка, вы открываете ее и... и все! Ничего другого от вас уже не требуется. Нет нужды скачивать вирус или устанавливать ее.
Все дело в том, что сканер антивируса автоматически начинает сканирование страницы сайта, как только вы ее открываете. Хакерам известно, что сканер вашего антивируса содержит уязвимость, а хакеры твари умные, поэтому они специально подстроили код сайта, чтобы автоматически получить контроль над процессом вашего антивируса. А антивирус, как уже было сказано выше, работает в режим ядра, а это в свою очередь означает, что хакеры получат полный контроль над вашим компьютером.
Если в первом случаи вирус инфицировал компьютер с ограниченными правами как учетная запись, под которой он был запущен, то во втором случаи никаких ограничений нет, и есть вероятность, что от такого вируса вы не избавитесь даже после переустановки операционной системы.
Вы наверное спросите "А как же обещания производителей антивирусов защитить компьютер", ответ прост - это просто маркетинг и бизнес, на котором компании-разработчики зарабатывают миллиарды.
Современные антивирусы настолько сложны, что порой сами разработчики не разбираются во всех его компонентах. Такое происходит всегда, когда ПО разрастается до больших размеров. Разные части такого ПО пишутся разными людми, даже разными компаниями и в разное время, и ествественно в таких ситуациях ошибки просто гарантированы. И антивирусы не исключение. Они решают одну проблему, но создают другие, более опасные.
--
О том как защитить компьютер не используя антивирусы напишу в следующий раз.
Если знаете английский, рекомендую пролистать презентацию, о которой я говорил выше, скачать ее можно по следующей ссылке:
Breaking AV Software - JoxeanKoret.pdf
