Популярные заблуждения в вопросах защиты от компьютерных вирусов

        Работая в технической поддержке, мне постоянно приходится сталкиваться с множеством системных администраторов и обычных пользователей, жалующихся на последствия заражений компьютерными вирусами либо наоборот, восторгающимися изумительными способностями своей любимой антивирусной программы обнаруживать и ликвидировать зловредов. Они не понимают, что сам факт обнаружения вируса в компьютере уже является провалом. На самом деле, даже самый обычный человек, выполняющий стандартные рекомендации безопасности, может работать с компьютером, никогда не испытывая угроз заражения вирусами. Вирусы вовсе не являются самопроизвольно возникающим неизбежным злом, и заражения случаются лишь из-за неисполнения администратором своих обязанностей.

        В этой статье я расскажу о десятке наиболее часто встречающихся заблуждениях, связанных с защитой от зловредных программ и дам те самые стандартные рекомендации безопасности, которые помогут вам уберечь свой компьютер от заражения на протяжение неопределённо долгого времени.

 

1. «Я проверил компьютер антивирусной программой, вирусов нет».

        Самое популярное и потому опасное заблуждение. Читайте по буквам, что именно вам пишет антивирусная программа: «вирусы не обнаружены». Кто вам сказал, что «не обнаружены» — это то же самое, что «вирусов нет»? Вирусы, использующие технологии класса rootkit, держат все происходящие в системе процессы (в том числе процесс работы антивирусной программы) под своим контролем. Как вы думаете, кто выиграет в лотерее, проходящей под контролем жуликов?

        Антивирус сообщает абсолютно правдивую информацию — вирусы он обнаружить не смог. Но это вовсе не означает, что вирусов нет — возможно, они просто не были обнаружены.

 

2. «Мой антивирус всё ловит».

        Вне зависимости от того, что вам радостно трубят рекламные проспекты, факт остаётся фактом: ни одна антивирусная программа на сегодняшний день не способна обнаружить 100% существующих вирусов. На самом деле, всё гораздо хуже — эффективность популярных антивирусных программ в обнаружении новых штаммов колеблется от 20% до 80%, что вообще не выдерживает критики (http://antimalware.ru/tests).

        Столь низкой эффективности способствуют как взрывной рост количества создаваемых ежедневно зловредных программ, так и порочность самого принципа обнаружения методом «чёрного списка»: «если в данном файле смогу найти что-то плохое, то это вирус; все остальные файлы по умолчанию здоровы». В основном, антивирусная программа ищет присутствие сигнатур уже известных вирусов, и даже эвристический анализ не сильно помогает улучшить показатели обнаружения. В то же время, настоящие системы безопасности работают только методом «белого списка»: «плохим считается всё, пока не доказано обратное».

        Если бы эффективность антивирусных программ составляла 100%, с вирусами было бы покончено уже много лет назад.

 

3. «Моя система лицензионная, заражаются только нелегальные».

        Утверждение столь же обоснованное, как и «ДТП случаются только с крадеными автомобилями».  С технической точки зрения, лицензионная и нелицензионная программы друг от друга ничем не отличаются. Они одинаковы на вкус, цвет, рост и вес. Единственное, что их отличает — на использование нелегальной копии вам разрешения не давали. Думать, будто легальность системы является гарантом её безопасности — большая ошибка.

        Легальные программы заражаются вирусами столь же легко, как и нелегальные. Защита компьютера от вирусов целиком и полностью зависит лишь от компетентности человека, который этим компьютером управляет.

 

4. «Я по левым сайтам не хожу, ничего лишнего не запускаю».

        Когда человек садится в автомобиль, у него обычно нет желания пострадать в ДТП на ближайшем перекрёстке. Но ДТП почему-то всё равно случаются, и виной этому чаще всего является человеческий фактор.

        Никто из нас не желает заразить свой компьютер вирусом. Однако, заражения всё равно происходят. Можно сколько угодно раз быть осторожным, но все мы люди, а осторожным людям тоже свойственно ошибаться. Большинство заражений происходит невольно. Более того — даже отвечая лично за себя, вы не можете поручиться головой за действия всех остальных допущенных к компьютеру людей.

 

5. «Заражение вирусом легко обнаружить».

        Собрались как-то однажды вирусописатели на сходку, сели в круг и думу думают: «а давайте напишем такой вирус, который можно будет легко обнаружить любой антивирусной программой?»

        Конечно же, в жизни всё совсем наоборот. Ни один из программистов, создающих компьютерные вирусы или шпионские программы, не заинтересован в быстром обнаружении своего «продукта». Поэтому, во-первых, практически все вирусописатели стараются создать свой вирус максимально незаметным. Во-вторых, они тестируют обнаруживаемость своего творения популярными антивирусами, прежде чем выпустить его в мир. И обладают при этом соответствующим приоритетом — пока производители антивирусных программ узнают, что появился и размножается конкретный новый штамм, затем выпустят обновления антивирусных баз, может пройти значительное время.

        Не держите авторов вирусов за дураков.

 

6. «Любое вирусное заражение можно вылечить».

        Собрались как-то вирусописатели на очередную сходку, сели в круг и думу думают: «а давайте создавать только такие вирусы, которые можно будет легко убрать из системы?»

        Удивительно, но в жизни всё совсем наоборот. То есть, действительно, существуют такие вирусы и шпионские программы, которые можно легко деактивировать и убрать вручную. Да и те, что посложнее, можно убрать специализированной антивирусной программой. Но поставьте себя на место профессионального вирусописателя — ну зачем вам создавать вирус, от которого может легко избавиться любой непрофессионал? Загнать вирус как можно глубже в тело системы, запрятать и зашифровать его — задача, на решение которой тратится немало сил.

        Существуют люди, знания которых позволяют обнаружить и ликвидировать практически любое вирусное заражение. Но, во-первых, таковых специалистов можно пересчитать на пальцах одной руки. Во-вторых, не тешьте себя надеждой, что они будут заниматься именно вашим случаем. Гарантию чистоты можно получить только радикальным методом: при обнаружении вирусного заражения операционной системы уничтожайте её и переустанавливайте с нуля.

 

7. «Систему можно вылечить, восстановив её из System Restore».

        Собрались как-то однажды вирусописатели на сходку, сели в круг и думу думают: «а давайте напишем такой вирус, который будет заражать только вот эту папку, а в другие пусть не лезет?»

        Сюрприз-сюрприз! Оказывается, в жизни всё совсем наоборот. Вирус способен делать всё, на что его запрограммировал автор. Нацелил на заражение всех доступных программ и их инсталляционных файлов — так оно и случится. Пожелал стереть документы пользователя — это тоже произойдёт. Предусмотрел заражение Master Boot Record (MBR) или той части диска, где хранится System Restore — значит, так тому и быть.

        Заражённая вирусом система является скомпрометированной целиком и полностью. Гарантированно очиститься можно только с помощью средств, которые не были доступны скомпрометированной системе в момент её работы.

 

8. «Да пусть себе вирус живёт, у меня в компьютере нет ничего ценного».

        Некоторые люди, зная о вирусном заражении своего компьютера, предпочитают отмахиваться подобным образом, чтобы не тратить время и ресурсы на лечение.

        Если хранящиеся в компьютере файлы не представляют никакой ценности, удалите их. Они не нужны, а лишь просто забивают собой место на диске. Если работоспособность компьютера, его исправность также не представляют никакой ценности, выключите его и выбросите в мусорник. Он вам не нужен, а лишь впустую потребляет электроэнергию.

        На самом деле, мы просто не задумываемся над уровнем проникновения коммуникаций в нашу жизнь. Люди обмениваются личной информацией со своими друзьями, совершают платежи через Интернет, ходят раздетыми перед компьютером с веб-камерой ☺. Подумайте ещё раз, готовы ли вы довериться скомпрометированной машине, которую контролирует кто-то извне.

 

9. «А мы подключены через маршрутизатор, на нём firewall».

        Задача firewall — ограничение потоков трафика. Типичный недорогой маршрутизатор понятия не имеет, что за данные передаются из Интернета в вашу сеть, он не умеет анализировать содержимое потока. Ему абсолютно всё равно, есть в этом потоке вирус или нет. И уж тем более, он не имеет ни малейшего контроля над тем, что вы приносите на флеш-дисках или скачиваете, а затем запускаете на своём компьютере.

        Firewall защищает от вирусов не лучше, чем целебные мази и заговоры — от стрел. Единственное, от чего он может вас закрыть, да и то не во всех ситуациях — от проникновения интернет-червей, для защиты от которых на самом деле нужно вовремя устанавливать обновления.

 

10. «Зачем ставить обновления, они не дают ничего нового».

        Сервисные пакеты и обновления безопасности призваны оперативно устранять найденные ранее в операционной системе и программах уязвимости. Не устанавливать обновления равносильно тому, чтобы держать дверь в свою квартиру нараспашку для всех мошенников и проходимцев. И нет способа эти уязвимости устранить, кроме как установить соответствующие обновления.

        Все до единого нашумевшие интернет-черви использовали для атаки компьютеры, на которых обновления безопасности не устанавливались месяцами и даже годами.

 

        Раз уж антивирусные программы не могут обеспечить достойного уровня защиту от зловредных программ, что делать? Оказывается, уже много лет существуют гораздо более надёжные средства безопасности, которые просят от вас только вникнуть в суть и не лениться их применять:

  • Всегда входите в компьютер только с привилегиями стандартного пользователя. Это гарантирует неприкосновенность операционной системы в случае непреднамеренного запуска зловредной программы. Администраторы также обязаны выполнять это правило и применять административную учётную запись только по доказанной необходимости;
  • Вовремя устанавливайте обновления безопасности как для операционной системы, так и для прочих приложений.  За обновлениями многих программ даже следить не нужно, достаточно согласиться с опцией «обновлять автоматически»;
  • Настройте политику безопасности Software Restriction Policies или Applocker в режиме «белого списка» либо примените альтернативное решение с тем же принципом действия;
  • Устанавливая новые программы или обновления, установочные файлы берите только в оригинальном источнике. Также учтите, что довольно большое количество бесплатно предлагаемых для скачивания программ может иметь в себе скрытую «троянскую» функциональность — не берите всё подряд, не все йогурты одинаково полезны!
  • Не все операционные системы и пользовательские программы по умолчанию настроены безопасно. Например, считаю для себя обязательным включить Data Execution Prevention (DEP) в Windows и отключить JavaScript в Acrobat Reader. Возможно, что-то нужно настроить и в применяемых вами программах?

         Типичное заблуждение сегодняшнего дня «мой антивирус — самый лучший, я нажму одну кнопку, и он меня защитит от всего» много раз опровергалось эпидемиями новых вирусов. К сожалению, не все смогли открыть глаза и понять, что «однокнопочной панацеи» не существует. Конечно, работать с антивирусом гораздо безопаснее, чем без него, но не следует возводить его в рамки абсолюта. Только комплексный подход к настройкам компьютера может обеспечить приемлемый уровень защиты, и начинается он именно с описанных выше методов работы.

Ещё один материал по данной теме: Заблуждения и реальность антивирусной защиты

Advertisements

6 Responses to Популярные заблуждения в вопросах защиты от компьютерных вирусов

  1. vpodans says:

    Я понимаю к чему вы клоните, но подумайте вот о чём:
    1) а SRP вообще не отличает вирус от легитимного приложения. Как политика будет настроена, так она и будет работать. Но будем откровенны, менее 1% системных администраторов способны корректно настроить SRP. 1:0 в пользу антивирусов.

    2) цифры 20% и 60% далеки от истины. Реальные цифры 80-90%. Это больше похоже на правду. Но тут вопрос риторический, потому что можно брать разные тесты и играть цифрами так, как вам хочется в конкретном контексте. Нет универсального теста, который бы показал реальные цифры. Скажем, если взять вот такую ссылку http://www.av-test.org/certifications?order=protection_desc&lang=en (честно, сильно в детали не вдавался, взял первое, что попалось под руку), то мы не увидим 20-60%, а значительно выше. Одно здесь правда — антивирусы 100% гарантии не дают (как и SRP, хе-хе).

    4) > «Я по левым сайтам не хожу, ничего лишнего не запускаю».
    но это действительно снижает риск заражения. Не совсем, но снижает!

    5) > Не держите авторов вирусов за дураков.
    значительную часть вирусописателей можно держать за дураков, потому что их поделки МАССОВО обнаруживаются антивирусами. Лишь незначительная часть из них может обмануть антивирусную защиту. Так что подобное утверждение звучит смело, но, к сожалению, не совсем соответствует действительности.

    8) очень-очень толстый троллинг. Я не думаю, что Вы можете советовать, что делать с компьютером пользователям.

    9) > Firewall защищает от вирусов не лучше, чем целебные мази и заговоры — от стрел.
    а тут о какой ЦА идёт речь? Если о домашних пользователях, тогда это утверждение справедливо. Если о корп. тогда не очень справедливо, потому что фиреволы класса энтерпрайза (isa/tmg/иже с ними) заглядывают внутрь трафика. Но это лирика.

    > ■Настройте политику безопасности Software Restriction Policies или Applocker в режиме «белого списка» либо примените альтернативное решение с тем же принципом действия;
    если говорить о домашних пользователях, я против SRP и согласен (за некоторыми оговорками) за AppLocker. Эти технологии не созданы для рядовых пользователей, которым нужно посидеть в фейсбуках, подвачевать фотки на одноглазиках и т.д., т.к. требуют глубокого понимания происходящего. Я бы лучше поискал нечто стороннее с более дружелюбным интерфейсом. Т.е. я ЗА принцип действия, но против указанных технологий в домашнем секторе.

    • В принципе, вполне достаточно было ответить пунктом номер 8. Если считаете меня недостаточно компетентным или авторитетным в данном вопросе, чтобы что-то советовать пользователям, можно об этом просто сказать, расписывать целую простыню — уже лишнее.

    • Kirill says:

      Автор первого комментария явно незнаком с деятельностью профессиональных вирусописателей.
      На МОМЕНТ выхода новой версии вируса , ВСЕ АНТИВИРУСЫ отсасывают в полный рост. На то он и НОВЫЙ штамм вируса , что бы его никто не видел и не знал о его существовании. У профи все вири тестятся сразу же на десятке самых распространённых заапдэйченых антивирях — это же ясно как белый день.
      А вот попадаются вири только после явно массового заражения — от сотен тысяч заражённых машин и более. Только когда есть возможность заполучить тело вируса в системе и проанализировать его. Но обычно это происходит далеко не так скоро и даже бывает, не происходит вовсе.
      Самая лучшая политика — SRP с белым списком по хэшу.

  2. На самом деле, у него в первом пункте применена явно неверная шкала оценки. 1:0 в пользу malware, а не антивирусов. В войне с некомпетентностью, нежеланием ударить палец о палец выигрывает только malware.

  3. Немного удивили мысли автора в 3-м пункте. В частности
    >С технической точки зрения, лицензионная и нелицензионная программы друг от друга ничем не отличаются
    А как же сборки а-ля ЗверьDVD? А как же активаторы? Не поверю, что автор считает их использование безвредным, с точки зрения безопасности :)

  4. Понятие «сборка» имеет скорее отношение к «модифицированная система», нежели «нелегальная копия». Вполне возможно установить с одного ОЕМ-диска сто рабочих станций, но легальной будет только одна из этих установок. Остальные с точки зрения нелегальны, но технически идентичны.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s