Когда антивирусы стали злом? (Или о том, как нельзя выбирать антивирус)

Всё сказанное ниже — исключительно моё мнение. На объективность не претендую. Если с чем-то не согласны, пожалуйста, напишите в комментариях.

Антивирусы — первые вредители на районе?

Оказывается, всё не так хорошо, как кажется. В конце января 2017 года бывший разработчик популярного браузера Firefox Роберт О’Каллахан в своём блоге призвал совершить необычный поступок. Он написал, что все пользователи должны удалить сторонние антивирусы. Можно оставить только Защитник Windows, если установлена Windows 10. Свою позицию аргументировал так:

• Антивирусы сами могут быть дырой в безопасности из-за возможных уязвимостей.
• Антивирусы так сильно вмешиваются в работу Windows, что программистам сложно или невозможно сделать браузер (как минимум Firefox) безопасным.
• Разработчики антивирусов пользуются неограниченным кредитом доверия. Если браузер глючит, то виноват, конечно, браузер, не антивирус (это сарказм).
• Антивирусы могут замедлять работу системы.

Заметка облетела весь Интернет и вызвала много дискуссий. Лично у меня она оставила смешанное ощущение. С одной стороны сам сталкивался с ложным срабатыванием некоторых антивирусов на безобидные инсталляторы моего же софта. С другой стороны автор выплеснул море эмоций и не привёл убедительных фактов, такому безоговорочно верить сложно.

Можно было бы забыть про этот крик души, но всплыла ещё одна новость: специалисты Google, Mozilla и других организаций опубликовали доклад (ссылка на pdf) о том, как перехват шифрованного трафика антивирусами влияет на безопасность.

О том, что антивирусы вмешиваются в шифрованную передачу данных между браузером и сервером в Интернете, было известно давно, это не секрет, да и О’Каллахан упомянул в своей заметке. Но теперь известно, как сильно эта безопасность снижается.

Так как разработчики антивирусов могут в любой момент изменить алгоритм работы, выбирать антивирус, основываясь на этом докладе, смысла нет. К тому же это лишь одна из множества характеристик. Просто теперь стало доподлинно известно, что в погоне за ловлей вирусов разработчики переступили черту, за которой безопасность, наоборот, снижается.

Какая разница, что благодаря антивирусам через зашифрованные страницы вирусы не попадут на компьютер, если при этом мошенники могут узнать данные вашей банковской карточки и лишить вас денег. Вы согласны на такой риск?

Полезны ли тесты антивирусов?

Прочитав отчёт, я подумал: «Так, а что делать-то? Какой антивирус не мешает работе других программ, не внедряет свои сертификаты в шифрованные соединения и успешно ловит вирусы? Надо бы посмотреть достоверную статистику да запилить обзор на блог. Читателям должно быть интересно, какой защитник для компьютера — лучший».

Я знаю, что существуют независимые лаборатории, тестирующие антивирусный софт. Логично предположить, что в их исследованиях должны учитываться проценты успешных и ложных срабатываний на вирусы, влияние на работу софта, вмешательство в трафик, удобство настройки и дополнительные функции. Например, антивирусы могут внедрять баннерорезки, которые удалят назойливую рекламу — для домашнего пользователя это полезно, потому что засилье рекламы с шокирующим и вредоносным контентом просто поражает. Также важно, чтобы антивирусы не мешали запуску популярных программ: браузерам, офисному софту, всяким дропбоксам и т.д.

Первым делом отправился на VirusTotal. Это сайт, позволяющий бесплатно проверить файлы больше полусотней антивирусов. К сожалению, на странице статистики ничего полезного не нашлось. Оказалось, что версии антивирусов, используемые сайтом, сильно отличаются от устанавливаемых на домашние компьютеры, поэтому ориентироваться на их статистику для выбора лучшего антивируса не стоит. По крайней мере, так заявляют владельцы сайта.

Тогда я стал гуглить на тему независимых антивирусных лабораторий. Нашлось всего две популярных, ориентированных на домашних пользователей.

Первая — это AV-TEST. Каждые несколько месяцев они публикуют рейтинговую таблицу, где антивирусам присваиваются оценки в номинациях «Защита», «Производительность», «Удобство использования».

К сожалению, в описываемых методиках нет упоминания о влиянии на зашифрованный интернет-трафик. Номинация «Удобство использования» (Usability) на самом деле оценивает назойливость антивируса и другие свойства, не имеющие отношения к удобству настройки и использования.

Затем посмотрел тесты AV-Comparatives. Они первый взгляд более подробны, категорий больше:

Но если копнуть чуть глубже, становится понятно, что публикуемые отчеты слишком похожи на рекламные буклеты. Да и упоминаний о негативном влиянии на безопасность не нашёл.

А теперь вишенка на торте: разработчики антивирусов ошибаются. Иногда так сильно, что просто диву даёшься. Я пробежался по двум новостным сайтам и отобрал несколько новостей о фейлах антивирусных компаний:

2011 год: антивирус Avira посчитал сам себя вредоносным.

2012 год: антивирус Symantec привёл к сбою массы компьютеров.

В 2015 году антивирус Panda случайно признал себя вирусом (наверное, туда перешёл сотрудник из Avira), а в антивирусе Avast обнаружены опасные уязвимости.

2016 год:

• В антивирусах Symantec обнаружена критическая уязвимость.
• Антивирус от Comodo позволяет получить удаленный доступ к компьютеру
• В антивирусе Trend Micro обнаружен очередной бэкдор.
• Антивирус McAfee показывает рекламу и отслеживает пользователей в Сети.

2017 год: уязвимость в антивирусе ESET позволяет выполнить на Mac код с привилегиями ядра.

А теперь гляньте на список AV-TEST. У антивируса Trend Micro значок «TOP product» и высокие баллы. Интересно, как у антивируса с несколькими бэкдорами может быть высокая оценка? Как могут быть объективными тесты, не учитывающие дичайшие косяки разработчиков?

AV-Comparatives, тесты которых цитируются сайтами по всему миру, тоже не учитывают качество и безопасность самих антивирусов, у них даже такой категории нет. Впрочем, у AV-TEST тоже.

Так какой антивирус лучший?

На этот вопрос ответа нет. По крайней мере, пока нет. Все тесты слишком оторваны от реальности. Они не учитывают самого важного: качества работы антивирусов. Это сложные программные продукты, в разработке которых заняты сотни, а то и тысячи, людей, каждый из которых может ошибиться. Исходный код — тайна за семью печатями, поэтому о том, насколько небрежно антивирус написан, домашние пользователи узнают после того, как случается беда. И это печально, потому что антивирус — та программа, которой нужно довериться.

Вот если бы составлялись какие-нибудь рейтинги, учитывающие глюки, баги и откровенные фейлы, конкуренция между антивирусами перешла бы из зоны фитюлек («А вот у нас баннерорезка!», «Зато у нас встроен менеджер паролей!») в зону надёжности использования. В конце концов, антивирусы должны защищать пользователей от целого вида принципиально разных угроз: файловых вирусов, сетевых атак, фишинговых сайтов. Это их истинное предназначение, которое забыто в погоне за кошельком.