Популярные заблуждения в вопросах защиты от компьютерных вирусов

        Работая в технической поддержке, мне постоянно приходится сталкиваться с множеством системных администраторов и обычных пользователей, жалующихся на последствия заражений компьютерными вирусами либо наоборот, восторгающимися изумительными способностями своей любимой антивирусной программы обнаруживать и ликвидировать зловредов. Они не понимают, что сам факт обнаружения вируса в компьютере уже является провалом. На самом деле, даже самый обычный человек, выполняющий стандартные рекомендации безопасности, может работать с компьютером, никогда не испытывая угроз заражения вирусами. Вирусы вовсе не являются самопроизвольно возникающим неизбежным злом, и заражения случаются лишь из-за неисполнения администратором своих обязанностей.

        В этой статье я расскажу о десятке наиболее часто встречающихся заблуждениях, связанных с защитой от зловредных программ и дам те самые стандартные рекомендации безопасности, которые помогут вам уберечь свой компьютер от заражения на протяжение неопределённо долгого времени.

1. «Я проверил компьютер антивирусной программой, вирусов нет».

        Самое популярное и потому опасное заблуждение. Читайте по буквам, что именно вам пишет антивирусная программа: «вирусы не обнаружены». Кто вам сказал, что «не обнаружены» — это то же самое, что «вирусов нет»? Вирусы, использующие технологии класса rootkit, держат все происходящие в системе процессы (в том числе процесс работы антивирусной программы) под своим контролем. Как вы думаете, кто выиграет в лотерее, проходящей под контролем жуликов?

        Антивирус сообщает абсолютно правдивую информацию — вирусы он обнаружить не смог. Но это вовсе не означает, что вирусов нет — возможно, они просто не были обнаружены.

2. «Мой антивирус всё ловит».

        Вне зависимости от того, что вам радостно трубят рекламные проспекты, факт остаётся фактом: ни одна антивирусная программа на сегодняшний день не способна обнаружить 100% существующих вирусов. На самом деле, всё гораздо хуже — эффективность популярных антивирусных программ в обнаружении новых штаммов колеблется от 20% до 80%, что вообще не выдерживает критики (http://antimalware.ru/tests).

        Столь низкой эффективности способствуют как взрывной рост количества создаваемых ежедневно зловредных программ, так и порочность самого принципа обнаружения методом «чёрного списка»: «если в данном файле смогу найти что-то плохое, то это вирус; все остальные файлы по умолчанию здоровы». В основном, антивирусная программа ищет присутствие сигнатур уже известных вирусов, и даже эвристический анализ не сильно помогает улучшить показатели обнаружения. В то же время, настоящие системы безопасности работают только методом «белого списка»: «плохим считается всё, пока не доказано обратное».

        Если бы эффективность антивирусных программ составляла 100%, с вирусами было бы покончено уже много лет назад.

3. «Моя система лицензионная, заражаются только нелегальные».

        Утверждение столь же обоснованное, как и «ДТП случаются только с крадеными автомобилями».  С технической точки зрения, лицензионная и нелицензионная программы друг от друга ничем не отличаются. Они одинаковы на вкус, цвет, рост и вес. Единственное, что их отличает — на использование нелегальной копии вам разрешения не давали. Думать, будто легальность системы является гарантом её безопасности — большая ошибка.

        Легальные программы заражаются вирусами столь же легко, как и нелегальные. Защита компьютера от вирусов целиком и полностью зависит лишь от компетентности человека, который этим компьютером управляет.

4. «Я по левым сайтам не хожу, ничего лишнего не запускаю».

        Когда человек садится в автомобиль, у него обычно нет желания пострадать в ДТП на ближайшем перекрёстке. Но ДТП почему-то всё равно случаются, и виной этому чаще всего является человеческий фактор.

        Никто из нас не желает заразить свой компьютер вирусом. Однако, заражения всё равно происходят. Можно сколько угодно раз быть осторожным, но все мы люди, а осторожным людям тоже свойственно ошибаться. Большинство заражений происходит невольно. Более того — даже отвечая лично за себя, вы не можете поручиться головой за действия всех остальных допущенных к компьютеру людей.

5. «Заражение вирусом легко обнаружить».

        Собрались как-то однажды вирусописатели на сходку, сели в круг и думу думают: «а давайте напишем такой вирус, который можно будет легко обнаружить любой антивирусной программой?»

        Конечно же, в жизни всё совсем наоборот. Ни один из программистов, создающих компьютерные вирусы или шпионские программы, не заинтересован в быстром обнаружении своего «продукта». Поэтому, во-первых, практически все вирусописатели стараются создать свой вирус максимально незаметным. Во-вторых, они тестируют обнаруживаемость своего творения популярными антивирусами, прежде чем выпустить его в мир. И обладают при этом соответствующим приоритетом — пока производители антивирусных программ узнают, что появился и размножается конкретный новый штамм, затем выпустят обновления антивирусных баз, может пройти значительное время.

        Не держите авторов вирусов за дураков.

6. «Любое вирусное заражение можно вылечить».

        Собрались как-то вирусописатели на очередную сходку, сели в круг и думу думают: «а давайте создавать только такие вирусы, которые можно будет легко убрать из системы?»

        Удивительно, но в жизни всё совсем наоборот. То есть, действительно, существуют такие вирусы и шпионские программы, которые можно легко деактивировать и убрать вручную. Да и те, что посложнее, можно убрать специализированной антивирусной программой. Но поставьте себя на место профессионального вирусописателя — ну зачем вам создавать вирус, от которого может легко избавиться любой непрофессионал? Загнать вирус как можно глубже в тело системы, запрятать и зашифровать его — задача, на решение которой тратится немало сил.

        Существуют люди, знания которых позволяют обнаружить и ликвидировать практически любое вирусное заражение. Но, во-первых, таковых специалистов можно пересчитать на пальцах одной руки. Во-вторых, не тешьте себя надеждой, что они будут заниматься именно вашим случаем. Гарантию чистоты можно получить только радикальным методом: при обнаружении вирусного заражения операционной системы уничтожайте её и переустанавливайте с нуля.

7. «Систему можно вылечить, восстановив её из System Restore».

        Собрались как-то однажды вирусописатели на сходку, сели в круг и думу думают: «а давайте напишем такой вирус, который будет заражать только вот эту папку, а в другие пусть не лезет?»

        Сюрприз-сюрприз! Оказывается, в жизни всё совсем наоборот. Вирус способен делать всё, на что его запрограммировал автор. Нацелил на заражение всех доступных программ и их инсталляционных файлов — так оно и случится. Пожелал стереть документы пользователя — это тоже произойдёт. Предусмотрел заражение Master Boot Record (MBR) или той части диска, где хранится System Restore — значит, так тому и быть.

        Заражённая вирусом система является скомпрометированной целиком и полностью. Гарантированно очиститься можно только с помощью средств, которые не были доступны скомпрометированной системе в момент её работы.

8. «Да пусть себе вирус живёт, у меня в компьютере нет ничего ценного».

        Некоторые люди, зная о вирусном заражении своего компьютера, предпочитают отмахиваться подобным образом, чтобы не тратить время и ресурсы на лечение.

        Если хранящиеся в компьютере файлы не представляют никакой ценности, удалите их. Они не нужны, а лишь просто забивают собой место на диске. Если работоспособность компьютера, его исправность также не представляют никакой ценности, выключите его и выбросите в мусорник. Он вам не нужен, а лишь впустую потребляет электроэнергию.

        На самом деле, мы просто не задумываемся над уровнем проникновения коммуникаций в нашу жизнь. Люди обмениваются личной информацией со своими друзьями, совершают платежи через Интернет, ходят раздетыми перед компьютером с веб-камерой ☺. Подумайте ещё раз, готовы ли вы довериться скомпрометированной машине, которую контролирует кто-то извне.

9. «А мы подключены через маршрутизатор, на нём firewall».

        Задача firewall — ограничение потоков трафика. Типичный недорогой маршрутизатор понятия не имеет, что за данные передаются из Интернета в вашу сеть, он не умеет анализировать содержимое потока. Ему абсолютно всё равно, есть в этом потоке вирус или нет. И уж тем более, он не имеет ни малейшего контроля над тем, что вы приносите на флеш-дисках или скачиваете, а затем запускаете на своём компьютере.

        Firewall защищает от вирусов не лучше, чем целебные мази и заговоры — от стрел. Единственное, от чего он может вас закрыть, да и то не во всех ситуациях — от проникновения интернет-червей, для защиты от которых на самом деле нужно вовремя устанавливать обновления.

10. «Зачем ставить обновления, они не дают ничего нового».

        Сервисные пакеты и обновления безопасности призваны оперативно устранять найденные ранее в операционной системе и программах уязвимости. Не устанавливать обновления равносильно тому, чтобы держать дверь в свою квартиру нараспашку для всех мошенников и проходимцев. И нет способа эти уязвимости устранить, кроме как установить соответствующие обновления.

        Все до единого нашумевшие интернет-черви использовали для атаки компьютеры, на которых обновления безопасности не устанавливались месяцами и даже годами.

        Раз уж антивирусные программы не могут обеспечить достойного уровня защиту от зловредных программ, что делать? Оказывается, уже много лет существуют гораздо более надёжные средства безопасности, которые просят от вас только вникнуть в суть и не лениться их применять:

• Всегда входите в компьютер только с привилегиями стандартного пользователя. Это гарантирует неприкосновенность операционной системы в случае непреднамеренного запуска зловредной программы. Администраторы также обязаны выполнять это правило и применять административную учётную запись только по доказанной необходимости;
• Вовремя устанавливайте обновления безопасности как для операционной системы, так и для прочих приложений.  За обновлениями многих программ даже следить не нужно, достаточно согласиться с опцией «обновлять автоматически»;
• Настройте политику безопасности Software Restriction Policies или Applocker в режиме «белого списка» либо примените альтернативное решение с тем же принципом действия;
• Устанавливая новые программы или обновления, установочные файлы берите только в оригинальном источнике. Также учтите, что довольно большое количество бесплатно предлагаемых для скачивания программ может иметь в себе скрытую «троянскую» функциональность — не берите всё подряд, не все йогурты одинаково полезны!
• Не все операционные системы и пользовательские программы по умолчанию настроены безопасно. Например, считаю для себя обязательным включить Data Execution Prevention (DEP) в Windows и отключить JavaScript в Acrobat Reader. Возможно, что-то нужно настроить и в применяемых вами программах?

         Типичное заблуждение сегодняшнего дня «мой антивирус — самый лучший, я нажму одну кнопку, и он меня защитит от всего» много раз опровергалось эпидемиями новых вирусов. К сожалению, не все смогли открыть глаза и понять, что «однокнопочной панацеи» не существует. Конечно, работать с антивирусом гораздо безопаснее, чем без него, но не следует возводить его в рамки абсолюта. Только комплексный подход к настройкам компьютера может обеспечить приемлемый уровень защиты, и начинается он именно с описанных выше методов работы.

Ещё один материал по данной теме: Заблуждения и реальность антивирусной защиты