Souboj bezpečnostních expertů. Jsou antiviry přínosné, nebo je máme zahodit?

Antiviry sice zamezují šíření malwaru, ale podle kritika více problémů způsobují. Může za to jednak jejich invazivní chování a využívání nestandardních postupů, jednak zranitelná místa. Doporučuje proto antiviry třetích stran odebrat a nechat si jen Windows Defender.

11

Jsou antiviry užitečné, nebo spíše způsobují problémy? Tahle zdánlivě jednoduchá otázka nemusí mít tak snadné řešení, jak naznačila diskuze posledních dní. Myslím, že diskuze bude ještě pokračovat – aspoň by měla. Robert O’Callahan, bývalý zaměstnanec Mozilly, který neziskovou organizace před necelým rokem opustil, se domnívá, že už nemusí mlčet a může si dovolit vyjádřit svůj názor týkající se antivirových řešení.

V příspěvku na svém blogu přímo píše, že „výrobci antivirů jsou hrozní“ a doporučuje, abychom antiviry nekupovali a stávající odinstalovali s jednou výjimkou. Jediný antivirus, který bychom si mohli nechat, je ten od Microsoftu. Připouští, že pokud používáme starší systémy jako Windows 7 nebo nepodporovaná Ikspéčka, pak nám antiviry mohou v zabezpečení aspoň trochu pomoci. Obecně je ale odsuzuje. Proč?

Podle něj přinejlepším znamenají zanedbatelný posun v zabezpečení systému, častěji však zabezpečení škodí. Činí tak jednak tím, že samy tyto produkty obsahují zranitelná místa, jednak výrobci nedodržují standardní praktiky týkající se zabezpečení. (Což vede k bodu předchozímu, a sice ke zranitelným místům.) V tomto ohledu chválí Microsoft, který označil za „obecně kompetentní“ firmu.

Antiviry vytváří problémy

Zranitelná místa antiviry někdy skutečně obsahují, podívat se můžeme např. na seznam ohlášených problémů v rámci Project Zero. O bezpečnostních problémech bezpečnostních řešení ale existují i jiné záznamy. Antiviry jsou trnem v oknu především výrobců prohlížečů, protože podle Justina Schuha, inženýra z Googlu zabývajícího se zabezpečením, jejich nekvalitně implementovaný a invazivní kód otravuje celý softwarový ekosystém.

Antiviry narušují funkčnost a bezpečnost prohlížečů
Antiviry narušují funkčnost a bezpečnost prohlížečů

Každému pak tyto produkty ztěžují zabezpečení vlastních programů. To se týká mj. prohlížečů s tím, že prohlížeče platí za jeden z nejpoužívanějších a nejzákladnějších programů. Proto právě prohlížeče cítí dopady antivirů silně. O’Callahan dává za příklad případ, kdy Mozilla zajistila fungování ASLR ve Firefoxu pro Windows. Jenže náhodné adresování prostoru, jenž je používáno právě pro zkvalitnění zabezpečení, pozbylo smyslu poté, co některé antiviry procesům prohlížeče vnutily vlastní knihovny DLL, které ASLR nepodporovaly.

Dále dává O’Callahan připomíná, že někdy antiviry zabránily Firefoxu v tom, aby byl aktualizován. Obecně se podle něj vývojáři a vývojářky neúměrně velkou část času potýkají řešením potíží způsobených antiviry a jejich chováním, přičemž tento čas by mohl být využit lépe. Výrobci prohlížečů si pak nemohou nahlas stěžovat, protože ti by pak mohli o prohlížečích tvrdit nepěkné věci a odrazovat tak uživatelskou základnu od používání.

S výrobci antivirů se výrobci prohlížečů veřejně hádat nechtějí
S výrobci antivirů se výrobci prohlížečů veřejně hádat nechtějí

Vzniká tak začarované kolečko, kdy výrobci prohlížečů musí spolupracovat s výrobci antivirů, přičemž nemohou lidem radit, aby antiviry vypnuli. Podle O’Callahana prohlížeče schytávají zbytečnou kritiku kvůli potížím, které nutně nezpůsobují. Některé antiviry prohlížeče prostě jen zpomalují, Mozilla si v tomto ohledu před lety opakovaně stěžovala na nechvalně proslulý McAffee. Důkazy o tom, že se výrobci prohlížečů brání strkanicím s výrobci antivirů, dokládají také některé příspěvky na tomto fóru.

Dostupnost a využití API v prohlížečích

Bývalého zaměstnance Mozilly k vyjádření vyprovokovala mj. diskuze na Twitteru a na Hacker News. Na Twitteru na podzim diskutovali mj. bezpečnostní expert Vesselin Vladimirov Bontchev a již zmíněný Justin Schuh, inženýr z Googlu. Zatímco Schuh tvrdí, že antiviry brání v tom, aby výrobci nabídli lidem skutečně bezpečné prohlížeče, Bontchev doporučuje, aby výrobci k prohlížečům dodávali zdokumentované API. Pak by antiviry nemusely zabezpečení obcházet.

Jenže podle Schuha jde spíše o to, že samotné antiviry jsou nekvalitně naprogramovány a zpochybňuje jejich efektivitu v obraně počítače. Proto je nepovažuje za důvěryhodné, aby je oficiálně pustil do prohlížeče. Bontchev nadále tvrdí, že antiviry potřebují používat své triky, protože musí kontrolovat obsah v prohlížečích. Schuh nicméně uvádí, že Chrome podporuje systémová rozhraní pro skenování souborů.

V jedné z odpovědí je cítit jistá arogance ze strany Bontchev, který uvedl, že např. Microsoft nabídl rozhraní, které antivirům umožňuje přímo skenovat dokumentu. Tento projev dobré vůle ale komentuje tak, že se v Microsoftu nemuseli namáhat, protože jeho antivirus si s otevřenými soubory dokázal poradit tak jako tak. Tím svou část diskuze shodil – budou antiviry využívat zdokumentovaná rozhraní v prohlížečích?

Naznačuje, je to nepotřebuje, protože antivirus si stejně prorazí svou cestu. Podle tvrzení Schuha nicméně antivirům nestačí ani podpora pro skenování ve Chromu. Je to málo, nebo si jen výrobci antivirů dělají, co se jim zlíbí? Pokud se chcete pustit do čtení sledujte tuto diskuzi, případně reakce na příspěvek, který ji a další reakce odstartoval.

Testování antivirů opomíjí řadu faktorů

Co si z dosavadní diskuze odnést? Pravda bude jako obvykle někde uprostřed. Antivirová kontrola je bezesporu dobrým doplňkem zabezpečení, na druhou stranu současné antiviry podle všeho samy představují bezpečnostní riziko. Jednak obsahují zranitelná místa, jednak svým agresivním a nestandardním chováním poškozují jiné programy. Aspoň podle O’Callahana jediným antivirem, který není tak agresivní a plní svůj účel, aniž by ohrožoval zařízení, je Windows Defender.

Jak ale víme, v posledních letech nevychází dobře z testů, minimálně z těch od AV‑Comparatives. I na to už O’Callahan zareagoval, a to dnes v novém příspěvku. Za prvé považuje 97 % úspěšnost v posledním testu za dostatečně vysokou. Sám Microsoft se již před lety bránil tím, že se zaměřuje na rozšířený malware a zpochybnil výběr vzorků v testu: „…redmondský gigant na výsledky reagoval tak, že na testovaný malware uživatelé ve skutečnosti prakticky nikdy nenarazili.“

Totéž učinil O’Callahan. Podle něj podobné testy hrají do karet silným stránkám antivirů, ale opomíjejí měřit jejich slabiny. Nakonec nevíme, jakým způsobem jsou vybírány vzorky malwaru, pravděpodobně jsou zdroje stejné jako zdroje výrobců antivirů. Reálně se však setkáváme s malwarem, který ještě není známý. Jednoduchou kalkulací, kdy O’Callahan předpokládá, že může existovat neznámý malware, přičemž tyto potenciální výskyty zohlednil v uvedeném nedávném testu. Opět došel k závěru, že reálný rozdíl mezi kvalitou ochrany mezi prvním F-Secure a posledním Defenderem by v takovém případě byl zanedbatelný.

Na miskách vah

Navíc tvrdí, že testy nezohledňují to, že antiviry rády zpomalují počítače (některé testy aspoň zahrnují rychlost skenování, pozn. red.), zahlcují uživatelky a uživatele oznámeními, falešnými poplachy a reklamami na další produkty. Zmiňuje i další vady testu, kdy např. AV-Comparatives uvádí, že používá software aktuální k určitému datu, jenže to ve skutečnosti nebyl ten případ. Např. použila Firefox 43.0.4, který nebyl aktuální ke dni 1. července 2016, naopak vyšel 6. ledna 2016.

Windows Defender je jediný přípustný antivirus, tvrdí O'Callahan
Windows Defender je jediný přípustný antivirus, tvrdí O’Callahan

Co se testů týče, máme tedy dostatek důvodů k pochybám o validitě měření. Z toho, co víme, Defender neobtěžuje, ale soustředí se na hledání běžně rozšířených druhů malwaru s tím, že podle všeho využívá invazivních a diskutabilních metod při detekci. Proto O’Callahan ze všech antivirů doporučuje tento. K testování bych dodal, že o vlastnostech, k nimž patří právě obtěžování oznámeními a reklamními nabídkami slouží spíše recenze v médiích.

Vidím to takto: antiviry ano, ale bez nestandardních invazivních metod a pochybně naprogramovaného kódu.

11 KOMENTÁŘE

  1. O cíleném výběru testovacích vzorků v AV Comparatives tak, aby microsoftí antivir vyšel nejhůř, si to myslím už delší dobu. Protože v jiných testech, pokud se někde objeví, tak špatný není.

  2. Tak, ono je celkem jedno který je lepší nebo horší a v čem, protože jeden vedle druhého jsou naprosto zbytečné. Kde je hlavá blbá, nepomůže žádný antivir (zkušenost podle servisovaných PC a jejich majitelů), protože i ten předpokládá určitou úroveň uživatele a tam kde u PC sedí myslící člověk, tam není antivir zapotřebí. Je to prostě další placebo na kterém se dá vydělat.
    Ty doby kdy bylo možné chytit vir, ty jsou dávno pryč, už to nikoho nezajímá. Teď jsou v kurzu svinstva typu malware, ransomware atd. a na ochranu proti tomuhle je každý antivir (software který chrání PC před viry) krátký.

    • Vazne? Treba Avast je zadarmo, tak jake vydelavani? Ono staci jak casto dokaze Avast zablokovat skodlive reklamy. Aktualizovane prohlizece by nemely mit problem, AdBlock dost reklam take zablokuje, ale pokud ne a fix bezpecnostni diry je teprve ve vyvoji, muzes byt za Avast rad. Dal jde o firewall, ktery maji nektere antiviry integrovany (treba prave Avast v Internet Security edici) nebo integrovane VPN.

      Za druhe, delas si patent na rozum. Na pouzivani PC nemusi byt clovek zrovna moc vzdelany nebo aspon zkuseny jako vetsina lidi tady. Ber v potaz obycejny uzivatele, kteri mohou delat chyby. Ne protoze by byli hloupi, ale protoze nemaji zkusenosti. Tem rozhodne antivir pomuze, protoze spoustu tehle chyb stopne.

      • Tebe jsem myslím dost srozumitelně žádal o to aby sis mě nevšímal, doufal jsem že tuto triviální žádost pochopíš. Hm, tak ani tady jsem neuspěl.
        O antivirech s tebou určitě polemizovat nebudu, protože ty jsi ještě nepochopil ani rozdíl mezi antivirem a parodií na antivir, který kromě toho že brzdí celý systém nedělá pochopitelně vůbec nic (desítky zasviněných PC ročně s nainstalovaným Avastem, AVG nebo spuštěným Defenderem hovoří naprosto jasně) … co už taky čekat od software tohoto typu „zadarmo“ že.
        K druhému odstavci jen tolik že těmhle lidem stačí spuštěný integrovaný Defender a výsledek bude úplně stejný … „do roka a do dne“ reinstall systemu, protože odvšivovat PC po člověku který kliká na každou kravinu co mu přijde mailem a jehož hlavním informačním kanálem je Facebook, je prostě masochismus.
        Takže opakuju, specielně pro tebe – kde je hlava blbá, nepomůže nic, kde člověk používá hlavu je antivir ZBYTEČNÝ. To totiž není o patentu na rozum, ale o elementární snaze člověka se něčemu naučit, něco pochopit a když už to není úplně jeho šálek čaje, tak alespoň dodržovat to, co se mu v dobré víře a v jeho zájmu poradí … což ty sice nikdy nepochopíš, ale alespoň jsem to zkusil …
        O tom že sis evidentně nevšiml že to není pouze můj názor (a budeš se divit, píše se o tom v článku nad názorovým forem, čehož sis samozřejmě nevšiml protože tvou hlavní činností je milovat Windows 10 za každou cenu a hejtovat každého kdo má jiný názor, takže to nemůžeš samozřejmě vědět) snad radši ani psát nebudu, nemělo by to smysl.

      • Nezkušený uživatel by třeba neměl mít adminovská práva na práci se systémem, neměl by mít dovoleno ani instalovat aplikace. Mj. proto MS vyvinul WinRT platformu, aby mohl toto relativně bezpečně umožnit.

        Ale jaká je realita? Jiná, že? A antiviry jsou opravdu jen placebo, ty zásadní bezpečnostní hrozby dneška vyřešit neumí a umět ani nebudou.

        • Ona je to poměrně známá věc, tedy samozřejmě lidem co přicházejí do „styku“ se zákazníkem typu „blbá hlava“, a ne ten kdo bude donekonečna tvrdit že „nejlepší je ten Windows a Avast“ protože to četl v Computeru a na facebooku, tak to tak je prostě, ale jen pro připomenutí.
          Protože i ten vir, musí někdo napsat, tak jako každou práci si i tenhle „programátor“ potřebuje zjednodušit práci a zvýšit efektivitu a tak se čím dál častěji stane následující.
          Volají lidi co jsem jim stavěl PC že „to nejede“. Poptávat se po telefonu co se stalo nemá samozřejmě smysl, protože se dozvíte že „včera to jelo a dneska to nejede“. Přijdete tam – mrtvola. Celkem logicky se ptáte co se s tím dělo než to úplně upažilo? „No nic, jenom Fanoušek si stáhnul tu hru jak to teďka všichni hrajou a jeho kamarád ze školy – co tomu rozumí – mu to tam nainstaloval“. tady už víte že je zle. Hra koupená na Ulož.to a v 15x přebaleném RARu mimojiné i soubor s poetickým názvem readme.txt. kde je naprosto blbuvzdorně sesumýrovaný návod „jak si zasvinit PC“ přičemž jeden z bodů je „dočasně vypněte antivir, protože jinak to nenainstalujete“. Na půl huby vysvětlíte že to je prostě na reinstall, vyslechnete si inteligentní dotazy typu „tak kua co to je za antivir že to je ZASE zavirované“ nebo „a jak jsem to asi měl nainstalovat když v tom návodu píšou vypněte antivir“ a podobně a prostě to reinstalujete. Takže ano, antivir, tam kde je hlava blbá, je zbytečný.
          Další důkaz tohoto tvrzení je třeba případ, kdy vám někdo volá s podobným problemem, vy tam přijdtete, pustíte PC a první co na vás vyskočí je šest nezavisle na sobě vyskočivších oken kde je reklama na věci ruletou počínaje a práškama na zvětšení ptáka konče … „no, přišel mi mail, že jsem vyhrál v nějaké souteži a ať teda jenom kliknu na odkaz dole“ … vyhrál. PC naprosto nepoužitelné, protože po otevření prohlížeče se najednou otevírá 100 oken s reklamou a domovská stránka, která určitě není seznam.cz, 16GB RAM jde do kopru a následuje BSOD. Antivir? Opět absolutně zbytečný, protože tenhle způsob útoku jde úplně mimo jeho kompetence. Antivir prostě řeší formu útoku, na který už dneska každý prdí, zjednodušeně řečeno. No a Admin práva jim zakázat nemůžete, protože jak by si tam nainstalovali ten CCleaner na který jste vy při instalaci nepochybně zapoměli a ještě tak dva, tři antiviry, co tak lidi poradí. Z toho dva free a jeden z Ulož.to …..
          Takže asi tak nějak to vypydá, když je hlava blbá a vy se s tím snažíte bojovat instalací antivirového software …

    • To bohužel rozhodně řešení není, naopak bych před takovým „řešením“ důrazně varoval.
      Jednak to předpokládá bezmeznou důvěru ve firmu poskytující takový balík, a potom to nijak neřeší, ba naopak eskaluje, problém s případnou chybou/dírou v kódu, potažmo zadními vrátky v takovém antivirovém řešení.

      Jen připomínám, že antiviry jsou v OS zakutány tak hluboko, že jejich části připomínají rootkit. Wedge na souborový systém jsou mj. často problémem stojícím za modrými smrtěmi, případně problémy s bootováním – a to jde jen o amaterismus vývojářů AV (typicky Avast, ti těch průšvihů měli několik).

  3. Antivir nepoužívám už delší dobu. Myslím, že od doby co používám Windows 8 a aktuálně 10. Nejhorší systém ohledně virů byly XP, antivir neantivir. Ať jsem se na tom počítači choval sebebezpečnějc, tak dřív nebo pozdějc sem stejně něco chytil. Naopak 10 jsou v tomhle ohledu naprostá paráda, ani jeden takovej problém. Moje zkušenosti s antivirama jsou takový, že jediný co mi vždycky zablokovaly byl falešnej poplach a co měly blokovat, pustily. Nejnebezpečnější jsou viry, o kterých zatím nikdo neví, takže je stejně antivir nezachytí. V dnešní době je to zbytečnej kus softwaru, kterej ve free verzích otravuje reklamou, zpomaluje počítač, otravuje falešnejma poplachama a sám přínáší bezpečnostní díry.

    • Já bych s vámi i souhlasil, ale je to právě trošku jinak. V dobách XP byl váš PC ohrožovát takřka výhradně hrozbou v podobě virů které měly řešit právě antivirové programy. Tam ještě mělo význam bádat nad tím, který je lepší, který horší a podobně. No a to, že dneska (vy říkáte od té doby co používáte Windows 8 – já chytil poslední vir na 486 a Windows 95) už je to jinak a jsou statisíce lidí, co žádný antivir nepoužívají a přece jsou při náhodných testech jejich Windows shledány čistými není tím že by používali Windows 8 a výše (ony Win 7 co mám na takovém polopracovním notebooku jsou už roky bez antiviru a roky čistá), ale tím, že se změnil charakter těch hrozeb, akorát to antivirová lobby ještě neřekla nahlas, protože by museli přestat udržovat placebo a začít vyrábět účinný lék.