30 января в 11:52

Бывший разработчик Firefox: удалите сторонние антивирусы

Разработчик Firefox и хакер Роберт О'Каллахан временно покинул Mozilla, стал свободен от корпоративных обязательств и теперь волен говорить правду без оговорок. Он призвал пользователей к немедленному удалению сторонних антивирусов со своих компьютеров (Windows Defender лучше оставить).

«Теперь [после ухода из Mozilla] я могу безопасно сказать: разработчики антивирусных программ ужасны; не покупайте антивирусные программы, и удалите уже установленные (кроме Microsoft, если вы под Windows [10]», — заявил Роберт.

Основные правила безопасности: следить за обновлениями операционной системы, устанавливать последние патчи безопасности. Специалист добавил, что если человеку приходится использовать устаревшие системы Windows 7 или, не дай бог, Windows XP, то сторонние антивирусы всё-таки помогут ему быть не в полной дыре — чувствовать, что есть хоть какая-то защита.

Призыв удалить вредные сторонние антивирусы относится, конечно же, в первую очередь к Windows 10. И главным образом он касается платных программ, потому что если вы установили бесполезную вещь бесплатно — это одно, а если вы установили бесполезную вещь за деньги и продолжаете платить — это совсем другое. Тем более что сторонние антивирусы не всегда можно назвать нейтрально бесполезными, ведь они потребляют ресурсы CPU и заряд аккумулятора на мобильных устройствах, так что пользователям приходится ещё отдавать вычислительные ресурсы этим «дойным коровам» рынка информационной безопасности. И самое главное — сторонние антивирусы могут значительно ухудшить безопасность ПК.

«В лучшем случае есть призрачный шанс, что основной немайкрософтовский антивирус хотя бы немного повысит безопасность. Более вероятно, что они значительно ухудшат безопасность. Например, посмотрите на список уязвимостей в антивирусных продуктах, перечисленный на страницах каталога уязвимостей Google Project Zero».


Пример исправления 0-day уязвимостей в популярном антивирусном продукте, 2015-2016 гг.

В самых известных коммерческих антивирусах — десятки уязвимостей. Речь идёт о тех багах, которые обычно обнаружены сторонними исследователями или уже активно эксплуатируются вредоносным ПО. Разработчики антивирусов стараются закрывать эти баги, но многие пользователи не обновляют антивирус и не устанавливают патчи. К тому же, обновление не поможет, если злоумышленникам известны другие уязвимости, о которых информация пока не просочилась в открытый доступ. А таких багов много, ведь антивирус — очень соблазнительная мишень для хакеров. Антивирус сидит в ОС на нижнем уровне, и взломав его можно получить полный доступ к файловой системе, вплоть до загрузчика ОС.

Наличие серьёзных багов в антивирусах даёт понять две вещи:

  1. Антивирусы открывают злоумышленникам разнообразные векторы для атаки.
  2. Антивирусы пишут не соблюдая стандартные правила безопасности.

Роберт О'Каллахан — не единственный, кто упрекает антивирусы во вредительской деятельности. С таким же мнением недавно выступил Джастин Шух (Justin Schuh), один из программистов проекта Google Chrome. В длинном треде обсуждения темы антивирусов и безопасности он сказал такую фразу, чтобы наиболее понятно объяснить оппоненту свою точку зрения: «Антивирус — это единственное самое большое препятствие, которое мешает выпуску безопасного браузера».


Шух пояснил, что антивирусы «отравляют программную экосистему», потому что их инвазивный и плохо написанный код осложняет браузерам и другим программам возможность обеспечить собственную безопасность. О'Каллахан напоминает, что когда в Firefox впервые внедряли поддержку механизма защиты памяти ASLR в Firefox под Windows, антивирусные программы постоянно ломали эту защиту, внедряя в программные процессы свои DLL без защиты ASLR.

Несколько раз антивирусы блокировали обновления Firefox, не давая установить последние важные обновления безопасности. Разработчикам приходится тратить много времени на обход антивирусов. А ведь это время можно было уделить другим вопросам безопасности.

«Самое большое коварство заключается в том, что разработчикам программ трудно говорить вслух об этих проблемах, потому что они нуждаются в содействии со стороны антивирусных вендоров, — говорит О'Каллахан. — Может быть, за исключением Google, в последнее время. Пользователей ввели в заблуждение, что антивирус обеспечивает безопасность, и никто не хочет, чтобы производители антивирусов плохо высказывались о вашем браузере. Антивирусы стоят повсеместно, и если он ломает ваш браузер, то вам нужно их содействие для исправления ситуации». Разработчики браузеров не могут прямо и официально сказать пользователям отключить антивирус, потому что если вдруг случится что-нибудь плохое, что антивирус потенциально мог бы предотвратить, то все шишки достанутся им.

«Когда браузер крашится при загрузке из-за вмешательства антивируса — виноват браузер, а не антивирус. Ещё хуже, если они делают вашу программу невероятно медленной и раздутой, пользователи думают, что именно такой медленный и раздутый ваш браузер», — удручающе заключает О'Каллахан, напоминая ситуацию с браузером Firefox, который потреблял огромное количество оперативной памяти после установки антивирусных модулей McAfee.

Антивирус — очевидная брешь в безопасности компьютера не только из-за новых опасных уязвимостей, которая она добавляет в систему. Это уязвимость изначально по своей природе, ведь многие антивирусы устанавливают собственные корневые сертификаты по умолчанию без предупреждений, внедряясь в HTTPS-трафик по принципу MitM. Большинство антивирусов — это в любом случае деградация защиты HTTPS, о чём неоднократно предупреждали специалисты по ИБ.

Хотя сам О'Каллахан предпочитает воздержаться от негативной оценки антивируса Microsoft, но нужно заметить, что именно этот антивирус хуже всех влияет на производительность компьютера (сильнее Windows Defender тормозит систему только антивирус от Trend Micro).
Анатолий Ализар @alizar
карма
671,3
рейтинг 838,1
Редактор
Самое читаемое

Комментарии (210)

  • –14
    Удалите антивирусы! Нам трудно стало за вами следить?
    • +12
      А если следят через антивирусы?
      • +6
        без «если»
    • 0
      какой-то сомнительный эксперт, видел я десятку, где вполне себе родной atimalware сервис жрал 90% cpu… да и слежка от MS вполне доказана, чего про dr.web например не слышал.

      p.s. ни разу не адепт антивирусов, считаю их все мусором, только права, песочница и файервол реально могут чем-то помочь… ну и, разумеется, делать бэкапы хотя бы иногда и самого важного)
      • 0
        Можно пожалуйста примеры доказательств.
        • +2
          Слышали про телеметрию в Windows и хост vortex.data.microsoft.com? Это не шутки.
          Вот прямо сейчас запускаю сетевой сниффер, а затем Visual Studio и начинаю дебажить программу.
          На каждое безобидное действие, типа Step в отладчике, в интернет уходит 500-килобайтный json-пакет, исчерпывающе описывающий что я делаю, над каким проектом работаю:

          А чуть выше, в том же пакете — все идентификационные данные аккаунта, оси, домена, тип проца, памяти, экрана, mac-адрес, даже свободное место на диске

          Если NSA спросит у Microsoft, кто работал над какой-то неприятной утилитой, а автор не закрывал свою винду от инета, Microsoft всё расскажет.
          • 0
            Visual Studio не является компонентом по умолчанию в Windows.
            • +1
              Я думаю, все актуальные продукты Microsoft участвуют в Customer Experience Improvement Program. Это универсальный фреймворк, с которым MS будет дружить всё больше и больше своих продуктов.
        • 0
          доказательств чего? что десятка может жрать, или что песочницы и права надежнее антивирусов с базой?
          • +1
            Я понял, это относилось к цитате
            да и слежка от MS вполне доказана
            • 0
              то есть сервисы телеметрии (да не важно, что именно они собирают и как это объясняют) еще и доказывать надо?
              • +2
                Всё надо доказывать. На слово никому верить нельзя.
  • +15
    По сути он прав, AdBlock (и аналоги) защищают от вирусов из инета весьма не плохо, если вы сами своими руками не ставите всякую гадость и регулярно обновляете ОС, то антивирус даже от MS, на практике, ни к чему.
    • +2
      А как вы без песочницы справитесь со сценарием «при заходе на ваш любимый сайт, который взломан злоумышленником, отдаётся эксплоит-пак с 0-day»?

      Код браузер может выполнить и без вашей команды. Вспомнить хотя бы недавнюю уязвимость, срабатывавшую от специально сформированного изображения.
      • +6
        И как по вашему антивирусы помогают от 0-day?
        От хорошего 0-day в первую очередь помогают правильно настроенные права (чтобы пользователь не работал под локальным администратором), и песочника в которой проверяются все скачиваемые файлы, но
        пока они не очень распространены (и тоже не дают 100% выявления вредоносов).
        • +1
          Помогают не антивирусы, а песочница. На неё я и намекал, отвечая на комментарий, смысл которого сводился к «достаточно не ставить всякую гадость руками и обновлять софт». Этого недостаточно, нужна песочница.
          • 0
            Виртуальная машина?
        • 0
          В песочнице нужна не столько проверка, сколько запрет запуска всего, что не относится к браузеру (браузер, флеш и т.д.) + умение песочницы обрабатывать запуск браузера пользователем и помещать его автоматически в песочницу. Если браузер будет «пробит», то вредоносная «нагрузка» осядет в песочнице, не получив даже возможности запуститься.
      • +1
        Браузер по-хорошему тоже нужно из песочницы запускать.
        • 0
          Это было первое, что я посадил в песочницу. К сожалению, совместимость с песочницей иногда ломается, потому приходится ждать фиксов и сидеть на устаревшей версии браузера.
          • 0
            А какую песочницу Вы используете? Я вот для себя недавно открыл firejail (это, правда, только для Linux) — замечательная песочница с готовыми конфигами для большого количества популярного ПО.
            • 0
              Под linux как-то не было стимула юзать песочницу, а под винды у меня куплена лицензия на sandboxie. У меня несколько десятков песочниц, все могут читать общую ФС, каждый пишет только в свою виртуальную ФС, запись в реальную ФС только для директории downloads и диску E:, где лежит всякий хлам. Доступ к сетевым функциям, службам и др только тем, кому это нужно.
              • 0
                Я тоже из-под винды Sandboxie использую, пока проблем не было. В Debian использую MBox, он притом бесплатный.
    • 0
      то антивирус даже от MS, на практике, ни к чему.

      Очень даже к чему.
      Если у вас не будет антивируса, то Окошки вас замучают воплями об опасности.

      • +2
        Это отключается в настройках
        • 0

          Не подскажете где? А то на компе жены Win7 и для успокоения души поставил ClamWin+Clam Sentinel, но они не регистрируют себя как антивирус, и постоянно весит предупреждение в трее. Не часто за этот комп сажусь, но раздражает. А основа: внимательно смотреть на расширение файла. Программы самой не ставить, поэтому в расширениях не должно быть, как минимум, .exe. Для проверки: выделить файл и нажать F2 (это для случая забивания пробелами).


          В общем, пока блокировок не хватал, вирусов тоже. У родителей Linux Mint, обновляю удалённо. Там проблем с самого появления компов [у них] не было.

          • 0

            Мой компьютер правой кнопкой- управление — службы. Там нахожу две: брандмауэр и центр обеспечения безопасности. Сначала останавливаю их потом выбираю параметр отключено, чтобы не загружались после перезагрузки больше.
            Если ЯЧДНТ, поправьте..

            • 0
              В десятке такое не работает, уведомление будет и с остановленной службой. Поэтому остаётся отключить всё что можно в самом центре безопасности.
          • 0
            Панель управления — Центр поддержки
    • +1
      Это все, конечно, прекрасно, но пользователей, которые отдают отчет своим действиям меньше 1/5.
      Статья оригинала больше похожа на вброс, ибо, во-первых, даже на скрине видно, что уязвимости пофикшены, и во-вторых, с тем же успехом на том сайте можно найти огромные уязвимости как всеми нелюбимой ОС, так и браузера топик ориджина.
    • 0
      Ну и, для большей защиты, лазать в браузере с любой не-Windows операционной системы (хотя бы под виртуалкой, в VirtualBox в режиме интеграции), и вирусы физически не смогут навредить основной системе (остаётся лишь костыль, чтобы URL-запросы из основной оси передать в гостевую)
  • +4
    > сильнее Windows Defender тормозит систему только антивирус от Trend Micro.

    Интересно было бы увидеть подобные тесты проведенные уже на Win10. По ссылке в статье исследование проводилось на Win7.
    • 0

      В Win10 встроенный дефендер тормозит ещё как

      • 0
        Забавно то, что из собственного опыта (семь с лишним лет сисадминства) именно продукты ТрендМикро БЫСТРЕЕ втроенных решений МС (во всяком случае, в период Windows 8/8.1 точно было) и что именно они, в отличие от других антивирусных решений, на большом парке машин отлавливали что-то новое и пару раз критическое.
      • +1
        А в чем тормоза выражаются? Windows Defender включен постоянно. Проверку делаю вручную когда захочу. Тормозов системы из-за него не видел ни разу.
        • +1
          Выражаются в том, что при нагрузных файловых операциях (копирование каталога с 10000+ мелких файлов) Anti Malware Service Executable в списке процессов грузит процессор очень сильно). Причем это продолжается еще некоторое время после завершения файловой операции.
          Погуглите по ключевым словам «anti malware service executable грузит систему» и поймете, что проблема затрагивает очень многих пользователей.
        • +1
          Или внезапна запустится задача проверки или обновления, что на слабом процессоре выльется в такие дикие томроза, что можно повеситься.
          • 0
            А если сторонний антивирус тоже не настраивать, то он так делать не будет, да?
  • +3
    А другого софта кроме браузеров не существует, как и других способов распространения заразы…
    • 0
      Антивирусы как правило внедряют своих агентов в работу браузеров и другого ПО, для эффективной работы самих себя, отсюда резкая критика именно этого вида софта. Остальное программное обеспечение, мешающее работе приложений, не так распространено как антивирусное.
      • +1
        Я про то, что высказывания именно про браузер, будто бы это пуп земли (системы) и единственный источник потенциальной заразы. Это как если бы производитель противогазов жаловался на общий защитный костюм, и призывал отказаться от него, чтобы они могли сделать более безопасный/функциональный противогаз.
        • 0
          Есть подозрение, что более 99% заражений происходит через браузер или скачанное через него.
          • 0
            Есть подозрение, что с появлением IOT, это уже не так
            Ну и не забываем почту.
            • +7
              Ну и не забываем почту.

              Которую сейчас тоже все смотрят через браузер.

              • +4
                Очень и очень «не все».
                • +4
                  Отчего минусуете? В вашем окрушении все пользуются веб-интерфейсом gmail, mail, yandex? Никто не использует standalone клиенты? Среди моего окружения процентов 30 используют что-то стороннее.
                  • +1
                    Не стоило бы айтишнику судить о происходящем у простых пользователей по своему окружению :)
                    • 0
                      Речь шла не о простых пользователях, а кванторе общности «все»
              • +5
                Теперь осталось только отучиться говорить за всех.
        • +1

          У большей части населения это чуть ли не единственное используемое в ОС приложение, если в браузер встроить смотрелку личных фотографий и видео в остальных вообще потребность отрасть может.

          • 0
            Остается только встроить в него ОС :) хромос не видел, не этим ли путем они пошли? :)
  • –2
    но многие пользователи не обновляют антивирус и не устанавливают патчи
    Проблема здесь.
    антивирус — очень соблазнительная мишень для хакеров
    А для этого есть firewall. Внешние подключения к антивирусу вообще не нужны, только запрос свежих баз. Если же есть уязвимость локальная, это всё равно оказывается безопаснее, чем без антивируса вовсе.
    Когда браузер крашится при загрузке из-за вмешательства антивируса — виноват браузер, а не антивирус.
    Всё ещё не проблема конечного пользователя. Он в крайнем случае просто поменяет браузер/антивирус.
    • +6
      А для этого есть firewall. Внешние подключения к антивирусу вообще не нужны, только запрос свежих баз.

      Почитайте список выложенных ошибок. Так далеко не сетевые ошибки. Там ошибки парсинга файлов с порчей памяти и переполнениями. Как от них спасёт фаярвол?
      • –4
        Ответ на этот вопрос тоже есть в моём предыдущем комментарии.
        • +5
          Как фаярвол спасает от ошибок парсинга файлов? Я его не вижу может покажите?
          • –2
            Если же есть уязвимость локальная, это всё равно оказывается безопаснее, чем без антивируса вовсе.
            То есть, если вирус уже локально исполняется, то больше вероятность поиметь проблем без каких-либо антивирусов вовсе, нежели при использовании уязвимостей внутри антивируса, что требует куда большего профессионализма от вирусописателя, нацелено на конкретную версию конкретного антивируса, а поэтому весьма и весьма реже случается.
            • +1
              Если он уже исполняется, то вы уже поимели проблемы независимо от того есть у вас антивирус или нет. Да может с очередным обновлением этот чудо защитник прозреет, но шанс что ваши пароли уплыли а данные зашифрованы гораздо выше.
              • –2
                Именно так я и сказал. Просто Вы рассматриваете единичный случай вместо вероятности, хотя заражение и последующие его эффекты — вероятностный процесс. Идеально защищённый компьютер выключен и заперт в экранированном сейфе на секретном охраняемом объекте.
            • +7

              Проблема в том, что через антивирус проходит весь трафик по сети. И поскольку антувирус корраптит память просто при парсинге архивов, то сам антивирус является источником этого локального вредоносного кода.

              • –2
                Вот только при нормальной работе через антивирус трафик по сети не проходит, за исключением кэша браузера и загрузок. Загрузки — это уже вина пользователя, а в кэше не должно быть ничего такого, что требует сложного парсинга. Да, и фоновое сканирование архивов вообще малополезная практика, т.к. ресурсов пожирает много, а в результате файлы будут всё равно пересканированы при извлечении и запуске.
                • +4
                  Простите а разве не должен антивирус защитить пользователей от скачивания вредоносных файлов?
                  И да при нормальной то работе антивируса не должен трафик через него идти, но сейчас очень много комплексных решений.
                  • –3
                    Антивирус должен защищать от запуска вредоносного кода. Все остальные свистелки опциональны.
                    • +2
                      Так зачем тогда он пытается распаковывать архивы да ещё и сам себе в ногу стреляет?
                      • –2
                        Производителям выгодно нагрузить в антивирус побольше модулей, которые дадут маркетинговое преимущество, и за которые пользователь в результате будет доплачивать. Можно будет нарисовать красивую табличку с графой «защита веб», где около своего продукта влепить галку, а у других — крест.
                        • +4
                          То есть по вашим словам получается большая часть антивируса это «маркетинговое преимущество» и лишь малая оставшаяся часть попытки выполнять то что он должен.
                          • –2
                            Всё зависит от антивируса, их весьма много разных.
                          • +1
                            Вы так говорите, как будто это не так.
                            И не только для антивирусов.
                    • 0
                      Тогда странно:
                      То есть, если вирус уже локально исполняется, то больше вероятность поиметь проблем без каких-либо антивирусов вовсе

                      Он уже не защитил, всё остальное опционально, но всё же с ним как то лучше?
                      • –1
                        И на этот вопрос я уже ответил. Вы рассматриваете одно единственное заражение, а я — парк в 1000 компьютеров, которые мне приходится обслуживать. От единичных заражений никто вас не защитит, но избежать эпидемии с антивирусом куда проще, нежели без него.
            • +4
              Вообще говоря, это неверно.

              Вирус, запущенный под учётной записью пользователя имеет ограниченные возможности влиять на систему. Если же этот вирус может действовать от лица антивируса, то и возможности его становятся практически неограниченными.
              • –2
                Локальное повышение привилегий под виндами — очень типичная практика для вирусов, поэтому я бы не стал хоть сколько-нибудь рассчитывать на ограниченную учётку.
    • +4
      >> Когда браузер крашится при загрузке из-за вмешательства антивируса — виноват браузер, а не антивирус.
      > Всё ещё не проблема конечного пользователя. Он в крайнем случае просто поменяет браузер/антивирус.

      А причем тут проблема пользователя? Это проблема репутации браузера.
      Закрашился браузер — значит плохой браузер. Далеко не каждый пользователь будет задумываться с чем конфликтует браузер. Он просто скачает за 5 минут другой браузер и все, клиент потерян.
      Разработчик так и говорит, что уйма времени уходит на доработку браузера, чтобы он работал со всеми антивирусами, причем требования почти всегда односторонние.
      • –4
        Почему нам как пользователям это должно быть интересно?
        • +5
          Например после того, как вы это прочитали, то после краша браузера, вы можете поменять не браузер, а именно антивирус.
          А это полезно знать.
          • 0
            Браузеров обычно уже несколько стоит. А вот менять антивирус это головняк.
            • +4
              Менять основной браузер — это переносить, как минимум, все закладки. А у меня ещё пара десятков вкладок открыта (и оставлена на потом)…
              А менять антивирус — это всего лишь приобрести новую лицензию.
              • 0
                >Менять основной браузер — это переносить, как минимум, все закладки
                тоже мне проблема, нормальные браузеры поддерживают импорт-экспорт.

                >А менять антивирус — это всего лишь приобрести новую лицензию.
                А если лицензия уже куплена на 2 года вперед на парк машин?
          • +2
            Почему бы не отказаться от антивируса совсем. Это будет куда полезнее.
            Три года не нуждался в антивирусе, сидя под ограниченной учёткой и зажатыми политиками, а если есть какой-нибудь sandboxie — то тут даже сложно представить риск. От 0day антивирус не спасёт в любом случае, как уже написали выше.
            • +1
              У меня дома вместо антивируса работают brains.dll и hands.sys

              Но есть родственники, знакомые, родственники знакомых, которые не понимают что такое «сайт производителя», которые не способны сперва подумать, а потом открывать.
              И на рабочем месте, например, антивирус может быть просто обязательным согласно инструкций сверху, и против регулятора не попрешь никак.
      • 0

        Поменять браузер? Да ладно? Сдается мне, большинство систему поменяет, но не браузер

        • 0
          Солидарен )) Но за всё время у меня никогда FF не конфликтовал с моим антивирусом, а тот не блокировал обновления. Да и в статье не написано за какие «деньги» можно ставить файрвол. Так что статья — очередной вброс для тех, кто отказался от «устаревшей» ОСи.
          Рынок потребления не может стоять на месте.
          • 0
            никогда FF не конфликтовал с моим антивирусом

            Или это было выяснено и пофикшено на альфа/бета релизе и до вас не дошло.
            • 0
              Или это был другой антивирус и другой браузер :) FF у меня приемлемо работает даже на старых машинах с 1Gb RAM.
              Кто-то подключён 24/7 к сети и не видит атак, плюёт на фантивирусйрволы и пользуется virustotal (который подписанные приложения не проверяет). Если не видно разницы — то и делать нечего не нужно ;)

              Кто вспомнит браузер, который бы блокировал популярные торренты-клиенты со встроенным malware?
    • +2
      А для этого есть firewall
      А в них уязвимости перестали уже находить что ли?
      • –2
        Уязвимости есть во всём. Хотите полной безопасности — выключите компьютер и спрячьте в сейф.
    • +1
      Всё ещё не проблема конечного пользователя. Он в крайнем случае просто поменяет браузер/антивирус.


      Нет. Есть эмпирическое опровержение. В 90-х были системы Windows 9x и Window NT 4.0. Первая считалась отстоем и имела народное прозвище must die, а вторая — супер стабильной. Просто первая не могла себе позволить защиту памяти, а вторая могла. И одни и те же программы в NT падали сами и пользователи ругались на программу, а в Win 9x падала сама система и пользователи ругали её. Если браузер упадёт — виноват в глазах пользователя будет он.
    • 0
      Фаервол не спасает, к тому же он имеет свои уязвимости. Как сейчас помню… уязвимость службы RPC… фаервол говорит что соединение заблокировано, а компьютер всеравно идет в перезагрузку — служба покрешилась от вируса.
      Аппаратный в принципе помог бы, но решение так себе — мало того что дорогое так ещё и топорное(аппаратный фаервол не знает о сетевой активности приложений, видит только суммарный трафик) и помогает только от узкого спектра угроз.
      • 0
        Под Win7 — вполне спасает. Достаточно прикрыть всё виндовое и разрешать коннекты на уровне приложений. У меня так система годами стоит и никаких антивирусов не надо (а что-то странное из инета можно и на virustotal проверить).
        • 0
          Тут фишка в чём… фаервол тогда должен быть внешней оболочкой для всех служб, т.е. прописаться он должен на самом низком уровне, в святая-святых ядра виндовс. Кто его туда пустит? Иначе получается что обработка входящего сетевого трафика осуществляется ещё до того как она попадёт в фаервол, и уязвимость на этом этапе фаерволом прикрыта быть не может чисто физически. Конкретно с том случае, пакет с данными попадал в службу RPC раньше чем в фаервол! и толку от того что фаервол зарегистрировал атаку, когда служба уже уязвлена. Поэтому у программных фаерволов всегда будут подобные проблемы, ибо они не могут полностью заменить сетевое ядро для полного контроля. А аппаратный менее функционален, т.к. трафик для него выглядит безликим — что там передаётся на 80-й порт в интернет трафик от браузера, торрента или трояна ему неведомо, поэтому блокировать им конкретные приложения или шейпить трафик на уровне приложения не выйдет.
          • 0
            Кто его туда пустит?

            В ХР х32 вполне можно ввинтится в ядро.
          • 0
            в том случае, пакет с данными попадал в службу RPC раньше чем в фаервол
            Есть пруфы? Я как-то себе слабо представляю, что прикладная служба (особенно от MS) сама организует протокол TCP/IP, а не пользуется системным. Фаер висит на пакетном или кадровом уровне — ниже, чем TCP.
            • 0
              Так RPC как раз и сесть самая системная служба. Всегда будет что-то что обрабатывает пакеты до программного фаервола, и там возможны уязвимости.
              Во времена трояна, Outpost как и все виндовые фаерволы, был обычной службой и получал доступ к сетевому стеку штатными средствами, и в этом случае его «обработчик» был не самым первым после сетевого драйвера, первой пакеты обрабатывала служба RPC… потом они опомнились конечно и сделали свой драйвер, достаточно нестандартный который встраивался в систему нештатным путём чтобы быть поближе к сетевому стеку поэтому были проблемы с новыми операционками, да и в старых проблем хватало.
              • 0
                Так RPC как раз и сесть самая системная служба
                «Прикладная» для сетевого стека. В том смысле, что живёт не в ядре, а в процессе svchost.exe, работает поверх TCP, как любая прикладная программа.

                в этом случае его «обработчик» был не самым первым после сетевого драйвера, первой пакеты обрабатывала служба RPC
                Служба слушает сокет, она конечный потребитель пакетов. Если пакет до неё дошёл, на этом его путь закончен, дальше он никуда не может пойти.

                Я думаю, это дыра/бага файрвола, имея возможность зафильтровать пакеты, он их пропускал.
                • 0
                  В этом и состоит загадка. Очень маловероятно чтобы это была уязвимость фаерволов, т.к. ни один из них не мог справится с этой задачей — пакет видят, блокируют, а служба всё равно уязвлена. Если не ошибаюсь, это был Blaster. Год это был 2004, все локальные сети штормило… Фаервол регистрирует пакет, блокирует его но всё тщетно — даётся минутный отсчет до перезагрузки… разные фаерволы пробовал, один фиг.
  • +9
    Это конечно все интересно, но мне как-то непонятно:
    • какое отношение разработчик Firefox имеет к антивирусам
    • каким образом «корпоративные обязательства» Mozilla запрещали ему раньше «резать правду матку» по поводу антивирусов разрабатываемых 3-ми компаниями?


    Не имея ответов на эти два вопроса, все написанное воспринимается не более, чем очередная теория заговора
    • +4
      По второму пункту в статье написано: «Самое большое коварство заключается в том, что разработчикам программ трудно говорить вслух об этих проблемах, потому что они нуждаются в содействии со стороны антивирусных вендоров, — говорит О'Каллахан.»
      • 0
        Если так, значит они сами себе злобные Буратины. Если бы они на антивирусы не оглядывались бы, то компаниям, занимающимся разработкой антивирусного ПО пришлось бы под них подстраиваться.

        Более того, AFAIK, Firefox — это браузер с открытым исходным кодом по крайней мере раньше так было. Как-то странно говорить, о том, что компании занимающиеся разработкой антивирусов требуют от разработчиков скрывать подобную информацию, если она приводит к «хакам» в исходном коде программы, для совместимости с антивирусом, при условии что исходный код программы доступен третьим лицам.
        • 0
          Мало того, что это странно, это вообще подрывает всю концепцию открытого исходного кода… Может и в ядро лиукса также для совместиимости со спецслужбами что-то добавляют, а мы и не знаем?
        • 0
          Видел интересное решение у опенсорсного ApexDC++
          При креше он сканирует внедрённые DLL-ки и если находит одну из своего списка, пишет сообщение

          LIB_CRASH, // "Application ""%s"" caused an unhandled exception in ApexDC++. Please uninstall it, upgrade it or use an alternate product."

          Юзер уже знает, что программа падает из-за чего-то внешнего.
    • +2
      По первому пункту, тоже есть в статье:
      Несколько раз антивирусы блокировали обновления Firefox, не давая установить последние важные обновления безопасности. Разработчикам приходится тратить много времени на обход антивирусов.

      Я сам уже 5 лет не использую антивирусы. хватает разных плагинов к браузеру типа NoScript, HTTPS Everywhere и другие. Иногда проверяю бесплатными утилитами от того же Касперского или доктор веба.
      • 0
        В огороде Бузина, а в Киеве дядька.

        Это только объясняет проблемы браузера с антивирусами, но абсолютно индифферентно к теме дыр в антивирусах.

        Языком аналогий, это все равно, что поднимать тему коррупции в правоохранительных органах, а в качестве обоснования приводить пример, что у тебя патрульные вечером остановили и попросили паспорт показать, потому, что ты им показался подозрительным.
        • +1
          Вы никогда не встречали сообщения что разработчики какого-либо ПО «сотрудничали» с антивирусными компаниями чтобы антивирусы перестали на них ложно реагировать? Если сотрудники FF будут на лево и на право говорить что антивирусы — уг, то сотрудники антивирусных компаний будут обижаться и отвечать на письма «Ваш антивирус удалил explorer.exe browser.exe» в последнюю очередь.

          Это политика, а не логика.

          И у каждых компаний свои соглашения о неразглашении, мои вот продукты сейчас уходят пограничникам и военным, и никакого запрета на неразглашение я даже устно не получал. Хотя ничего секретного и нету, но я бы не стал подробности делать публичными. А вот на моей первой работе нельзя было сказать ни слова, даже выговор получил как раз за мнение о смежном продукте, но не поняв такой политики партии просто уволился.
    • +1
      Сложно публично сказать, что антивирус X плохой, если ты официально являешься разработчиком (и представителем) браузера Y.
      Потому что антивирус может выпустить очередное обновление, в котором браузер Y будет крашится, и пока успеет выйти обновление, потеряет своих клиентов. Браузер Y, такого давления на антивирус X оказать не может.
      • +1
        > Браузер Y, такого давления на антивирус X оказать не может.

        Почему не может? «Вы пытаетесь получить доступ к заблокированому ресурсу»
        • 0
          И в итоге пользовать открывает другой браузер и качает нужный ему антивирус.
          Будет мне ещё браузер указывать, куда ходить.
        • +1
          Вдобавок, антивирус, в глазах среднестатистической домохозяйки, гораздо более доверительная вещь, чем браузер. «Антивирус же делают для защиты — значит он лучше знает, чем браузер.»
    • +1
      О'Каллахан напоминает, что когда в Firefox впервые внедряли поддержку механизма защиты памяти ASLR в Firefox под Windows, антивирусные программы постоянно ломали эту защиту, внедряя в программные процессы свои DLL без защиты ASLR.

      Несколько раз антивирусы блокировали обновления Firefox, не давая установить последние важные обновления безопасности.

      Соответственно, им приходилось договариваться с производителями антивирусов, чтобы не блокировали апдейты файрфокса и не мешали реализовывать свои собственные механизмы защиты.
    • 0
      По второму пункту было на Арстехнике:
      He then links to a mailing list thread in 2012, where he suggests keeping a list of the AV software that interferes with Firefox. Later in the thread, Mozilla PR swoops in and tells him to knock it off.
  • –1
    Я не понимаю, эпоха шароваров давно миновала, почему МС не сделает возможным запуск только подписанных модулей? С бесплатной выдачей сертификатов при предоставлении персоданных и налаженным механизмом отзыва? Пусть даже как отключаемую опцию.
    • 0
      Ну, хотя бы по тому, что существует огромное количество старого ПО.
    • 0
      Тогда полушутливый эпитет «прошивка для игор» окончательно утратит шутливую составляющую.
    • 0

      В Windows 10 все так и есть.
      Только сертификаты для подписи не дают бесплатно.
      Хотя недорого все же можно: купить аккаунт разработчика за $25 и распространять через Windows Store.

    • 0
      И будет Apple, получить подпись какой-нибудь Portable утилите — тот ещё гемор будет. Программ под винду миллионы, непосредственно исполняемые файлы и библиотеки исчисляются миллиардами, если не триллионами, и на каждую подпись?
      Если вам надо — есть политики безопасности, можно реализовать чёрные и белые списки.
      • 0
        У macOS есть галочка — запускать только подписанное, либо всё что душе угодно.
        • 0
          Когда её ввели? Помню несколько лет назад с Riot Games был конфликт, из-за задержки патчей под мак, т.к. не было долго подписей.
        • 0
          Причем сертификат подписи стоит 99US$ в год и если вы заняты разработкой под мак — у вас он вероятнее всего есть.
          В macOS кстати не галочка а radio button: AppStore/AppStore+DeveloperID/все
          Опцию 'все' — недавно убрали из GUI, есть консольная команда + есть ОЧЕНЬ легко гуглящейся (но не совсем очевидный) способ как запустить неподписанное приложение, да — будет предупреждение.

          вот если драйвера(Kext'ы) нужны — то либо отключать подпись для них (есть режим) либо писать запрос в Apple с описанием зачем оно нужно.

          для Windows сертификат для подписи раньше не проблемы была через тот же StartSSL (не бесплатно но дешево) а сейчас — 200-300 и надо organization validation (привет индивидуальным разработчикам)

          • 0
            >> Причем сертификат подписи стоит 99US$ в год и если вы заняты разработкой под мак — у вас он вероятнее всего есть.
            Что касается меня, то никаких денег я не платил но это не мешает кодить ни под мак ни под айфон (для себя).

            >> В macOS кстати не галочка а radio button
            Ну это кардинально меняет дело!
            • 0
              А вы не понимаете разницы между галочкой и radio button? Галочку можно поставить, а можно и снять, а radio button можно только переключить на другую, то есть переключатель режимов, а галочка просто выключатель, то есть включить-выключить. Понятно?
              • 0
                В ситуации «или или», одна галочка заменяет две radio button.
                • 0
                  Не заменяет. По своей природе, изначально обе radio button могут быть НЕ ОТМЕЧЕНЫ.
  • +7
    «Я работал в Мозилла, но они меня уволили из-за кризиса. Поэтому я хочу, чтобы как можно больше человек знали секрет, о котором знают лишь только работники этой компании...»
    • +4
      … и приняли очевидно в microsoft ;)
      удалите уже установленные (кроме Microsoft, если вы под Windows [10]

      если человеку приходится использовать устаревшие системы Windows 7

      реклама вин10. подлиз засчитан :)
  • +7

    Что-то в статье заметный акцент на касперском...

    • +5
      … и на самодостаточности антивирусного решения Windows. Сразу вспоминается жалоба Касперского на Microsoft в ФАС.
      • 0

        … про его (defender) достаточность два важных слова сказано в последнем абзаце.
        Хотя и желтовато, TOTAL у победителей всего на 10% выше проигравших.
        Кстати, и ни слова про dr.web? Он не катируется за бугром?

  • 0
    когда в Firefox впервые внедряли поддержку механизма защиты памяти ASLR в Firefox под Windows, антивирусные программы постоянно ломали эту защиту, внедряя в программные процессы свои DLL без защиты ASLR


    Это вообще законно? Вроде как антивирус должен по максимуму использовать встроенные механизмы безопасности ОС, дополняя и усиливая их при необходимости. Описанное же поведение, ИМХО, для такого класса программ недопустимо.
  • +1
    Основные правила безопасности: следить за обновлениями операционной системы, устанавливать последние патчи безопасности.

    Разработчики антивирусов стараются закрывать эти баги, но многие пользователи не обновляют антивирус и не устанавливают патчи.

    Ну полагаю, кто не обновляет антивирус, тот и об ОС не особо заботится.

    К тому же, обновление не поможет, если злоумышленникам известны другие уязвимости, о которых информация пока не просочилась в открытый доступ.
    А в браузерах и ОС нет уязвимостей неизвестных получается.

    Унылый «хакер» какой то.
  • +1
    Недавно так же столкнулся с этим. У человека обратившегося в поддержку постоянно крэшилась наша программа, дампы указывали только на место крэша но причину понять не удавалось. Гугление помогло понять, что проблема была в антивирусе AVG, который приводил к крэшам сторонних приложений в модуле comctl32.dll
  • 0
    Например, посмотрите на список уязвимостей в антивирусных продуктах, перечисленный на страницах каталога уязвимостей Google Poject Zero

    Посмотрел. Одна открытая уязвимость по Android. По остальным продуктам всё в состоянии Fixed.
    Android на большинстве устройств не обновляется, антивирус, если стоит, обновляется. Вопрос «нужен ли антивирус?» в данном случае риторический, как мне кажется.
    • +3
      Антивирус под Андроид я вообще не могу понять. Мне кажется, он даёт не больше безопасности, чем наклейка на корпус с заклинаниями. Не имея рута, пусть даже имея права администратора устройства, всё, что он может — это проверить хеши установленных программ на наличие их в базе. Антивирусы под DOS когда-то так работали. Лезть в APK ему всё равно не позволят, а слушать все подряд Intentы мне не видится полезным.
      • 0
        Если есть утилиты, получающие права рута на телефонах (а это вплоть до 7.0 так), то любой условный фонарик из маркета может получить рута и протроянить устройство. Антивири на Андроиде умеют находить модули, получающие рута и бить тревогу сразу после установки «фонариков», но до их запуска.
        Обычному юзеру со старым Андроидом это может понадобиться. А старые Андроиды это почти все.
        • +1
          Не понял ни слова. Утилиту рута на устройство обычно ставит сам пользователь. Допускаю, что можно написать приложение, которое на некоторых прошивках некоторых телефонов через некоторые эксплойты сделает это в тайне от пользователя. Но!
          Чтобы проверить, вызывается ли su, не нужен огромный антивирус, достаточно простого скрипта. Если умная версия su игнорит антивирус, то вообще толком не проверишь, разве что через хаки, плохо портируемые между устройствами. Получается, имеем неуклюжую ненадёжную защиту от очень редкого типа атаки?
          • 0
            Дело в том, что утилита su нужна пользователю для того, чтобы использовать полученные права. А приложению, которое, например, запросто повышает свои привилегии с помощью DirtyCow, она не нужна. Нужен маленький модуль, написанный на C/C++, который поднимет себе привилегии, сделает из вашего девайса марионетку, и никакого su для вашего удобства не положит в системный раздел.
            Поэтому, антивирусы пытаются ловить скомпилированные эксплоиты под все возможные атаки.
            • 0
              Как антивирус без рут-прав может определить, какой .so-файл запускает/загружает другой процесс?
              • 0
                Если библиотеки были в комплекте с программой — их вполне может получить и другая программа. Они не защищаются системой, в отличие от данных.
                • 0
                  Так поймается небольшой процент зловредов, которые не скрываются.

                  К примеру, Paragon NTFS&HFS+ самостоятельно распаковывает из ассетов в /data/data утилиты типа probe, mkntfs, mount_ufsd_fuse и запускает их оттуда. Добавить шифрование, или скачивание модулей из интернета, и антивирус не увидит.
              • 0
                А как в досмартфоновую эпоху и до сих пор антивирусы проверяют исполняемые файлы? Так же они проверяют и содержимое всех APK-файлов.
                • 0
                  Антивирусы на ПК ставят драйвер ядра, который перехватывает обращения к диску.
                  При попытке прочитать или скопировать зараженный файл операция блокируется.
                  • 0
                    not-sure-if-trolling.jpg

                    Вы сами пишете «заражённый файл», но ведь в какой-то момент надо установить факт того, что файл заражен, то есть проверить его. Не так ли? Распаковать архив, просмотреть все составляющие и так далее. ТАК?

                    Вот и у антивирусов на Андроиде есть такой момент — сразу после установки всем интересующимся, в том числе и антивирусам, приходит броадкаст о том, что такой-то пакет был установлен. Антивирус спрашивает у PackageManager'а полный путь к новому файлу APK и сканирует его.

                    Большая часть «троянов» и других зловредов под Андроид пишутся дилетантами, ибо порог вхождения низок. Поэтому, простые «фонарики» с эксплоитами можно отследить по сигнатурам выложенных на форумах утилит для рутования.
                    Поэтому, для тех, кто ставит даже из официального маркета всё, что попадается, лучше иметь хотя бы такую защиту.

                    По-моему, я доступно объяснил. Глубже вдаваться в дебри не буду.

                    П.С.: Я не пытаюсь защищать антивирусные компании и не работаю на таковую, но просто платформа очень уж дырявая, а юзеры уж слишком… наивные.

                    П.П.С.: Платформа от Apple еще более дырявая, но там хоть какая-никакая премодерация есть.
                    • +1
                      Вот и у антивирусов на Андроиде есть такой момент — сразу после установки всем интересующимся, в том числе и антивирусам, приходит броадкаст о том, что такой-то пакет был установлен. Антивирус спрашивает у PackageManager'а полный путь к новому файлу APK и сканирует его.

                      Пока антивирус проснётся, вирус с рут правами прибьёт его.
                      • +1
                        Программы не запускаются сами сразу после установки.
        • 0
          А что мешает антивирусу работать не в смартфоне, а на сервере, в Play Store / Samsung Store и т.п., проверяя все вновь добавленные «фонарики».

          На 90% смартфонов ставит ПО только из официального магазина, поэтому нет никакого смысла грузить слабые процессоры миллиарда смартфонов, проверяя одни и те же файлы, когда можно проверить исходник еще ДО загрузки.

          Жалко, конечно, пользователей, которые ставят непойми что, скачанное непойми откуда, но есть большие сомнения, что их может спасти хоть что-то.
          • 0
            Ну, Гуголь сделал некую проверку и у себя на сервере и на телефонах. Но фиг его знает как она работает.
          • 0
            А что мешает антивирусу работать не в смартфоне, а на сервере

            По настоящему хорошая защита должна быть проактивной.

            Антивирус на сервере не справится со сценарием, что вредоносный модуль скачается вместе с рекламой только на определённые страны и только в определённый день недели.

            Или со сценарием, что зловред зашифрован и расшифровывается только когда пользователь пройдёт 2 уровня игры, а сама игра установлена на смартфоне более 24 часов назад.
  • 0
    «Теперь [после ухода из Mozilla] я могу безопасно сказать: разработчики антивирусных программ ужасны; не покупайте антивирусные программы, и удалите уже установленные (кроме Microsoft, если вы под Windows [10]», — заявил Роберт.
    Давайте поможем Даше угадать, где теперь работает Роберт.
    • 0
      Давайте.
      Он теперь работает над отладчиком rr.
      • 0
        А если под отладчиком?
  • +1
    А в чём собственно разница между вирусом и не-вирусом, принципиально, с технической точки зрения.
    Вот есть у нас например RDP — встроенная в Windows технология, но пишем мы небольшой батник, который включит RDP, пробросит порты и создаст скрытого пользователя, и вот уже RDP даёт нам полный удалённый доступ к системе. Или пишем батник который будет удалять случайные файлы с диска (я такой писал как то, антивирусами он совсем не детектился), добавляем его в планировщик, чем не «вирус»?

    Собственно вся разница между программой и вирусом, в том что последний добавили в сигнатуры антивирусов.
    А вредоносные действия можно выполнить с помощью встроенных в систему средств, таки как Batch, PowerShell, Bash (на линукс) и так далее, при том антивирусы и внимания не обратят зачастую. Конечно есть ещё эвристика, но она тоже не на всё реагирует.

    Лично я соглашусь что антивирус не нужен.
    В браузере ставим блокировщик рекламы и отключаем лишние плагины, в обычном вебе сейчас Java и Flash уже становятся редкостью, а на сайта где они действительно нужны и можно включить, при том только для эти сайтов.
    В системе настраиваем запрет запуска всего бинарного с внешних носителей.
    Естественно обновление всего что часто используется.
    В случае если если комп имеет Белый IP, имеет смысл ставить Firewall, но сейчас большинство компьютеров за NAT, т.к. подключены через роутеры, а то и за двумя NAT за счёт провайдера.
    Раз в месяц проверять сканерами типа KVRT и Dr.Web CureIt.
    При скачивании с сомнительны сайтов ясность запускать или нет вносит VirusTotal.

    Перечисленные меры вам помогут если Ваш комп никому не нужен.
    Если же Вас собрались атаковать профессионалы, то и антивирус особо не поможет, и даже переход на линукс, только несколько усложнит задачу, помогут только знания особенностей используемой системы и грамотна её настройка. Но к счастью ваш домашний комп, скорее всего никому не нужен.

    Я же практически всё время пользуюсь компьютером без антивируса, за всё время словил только один серьёзный вирус и тот ещё на Windows XP с флешки, в последние лет 5 я вообще вирусов в живую не видел на личных компах, неоткуда им взяться при соблюдении перечисленных правил.
    • +1
      Но к счастью ваш домашний комп, скорее всего никому не нужен.


      Вы забыли про ботнеты — сейчас это бизнес, соперничающий по прибыли с традиционным взломом и, значит, почти любой компьютер, роутер, модем — даже живая древность из 1990-х будет интересен как составляющая ботнета.
      • 0
        Ну методы заражения общие то, ботнеты сканерами детектируются, за 5 лет ничего не ловил пользуясь вышеуказанными методами, а дырявость роутеров это вообще отдельный и очень интересный вопрос, сам сейчас его на практике изучаю.
    • +2
      А в чём собственно разница между вирусом и не-вирусом

      А это произрастает из принципиальной нерешаемости проблемы останова (the halting problem). Поэтому я совершенно не верю в эвристические механизмы детектирования и с подозрением (но и надеждой) отношусь к методам, основанным на симуляции в песочнице. Последние в конце концов упираются в то, что они настолько хороши, насколько хороши списки контроля доступа того, что каждому приложению можно и нельзя делать (SElinux, manifest etc.)

      • 0
        К вопросу об эвристике и продуктов ТрендМикро:
        лет 5+ у меня был случай: подхватила одна машина вирус, который состоял как минимум из двух частей — загрузчика или распаковщика тела (точно уже не помню) и самога тела. Актуальная база ТрендМикро загрузчик не детектировала, но зато активные действия его по скачиванию/распаковке тела очень хорошо определяла. Т.е. пару дней (пока в новой базе ТрендМикро не появилась сигнатура тела) всё выглядело так: загрузчик тащит тело — ТрендМикро говорит «что-то подозрительно это — дай-ка я его грохну» — загрузчик не получает тело и ждёт 3-4 минуты, а потом снова повторяет попытку — ТрендМикро говорит «что-то подозрительно это — дай-ка я его грохну»…
        В общем, как я понял из статьи, мне надо было снести ТрендМикро, поставить иконку Николая Чудотворца и молиться, чтобы у меня всегда на компьютерах была благодать.
    • 0
      Вы путаете вирус и вредоносное ПО.

      Вирус — программа, которая распространяется без ведома пользователя, и скорее всего вопреки желанию пользователя.
      А насколько вирус будет вредоносным — это уже второстепенный вопрос. Во времена ДОСа было множество развлекательных вирусов, которые ничего не портили, кроме собственно заражения и нагрузки на ресурсы.
      • 0
        Прошли те благословенные времена, сейчас бесплатно никто не работает, а писание вирусов это та еще работа.
  • 0

    Во многом прав. Сколько компьютеров попадалось с именно заражённым антивирусом. По моему мнению защита должна быть на уровне самой ОС а не сторонним ПО. Самое интересное (на личном опыте) пик вирусной активности всегда приходился в переходное время, на гране смены ОС WINxp->Wista->WIN7->WIN8->WIN10 складывалась впечатление будто сами производители операционной системы заражали компьютеры, податалкивая таким образом к переходу на новую версию. Может это и случайная закономерность, но всякая случайность как правильно не случайна.
    В данный момент уже более нескольких лет мои машины находятся без антивируса, на всех стоит 7-ка.

  • –1

    Очень умные и аргументированные рассуждения. Только почему, когда я советую знакомым поставить каспера, то обычно он находит кучу вирей? И при захода на сайты с вирями именно каспер чаще блокирует закачку а не браузер?

    • 0
      Есть одна конспирологическая теория о том, откуда на компьютере с касперским появляются вирусы :)
  • 0
    С одной стороны он прав, и если вы технический специалист, и кроме вас никто за машиной не работает, а вы работаете только в трезвом уме и здравой памяти, то без антивируса будет проще и быстрее. Но если компьютером пользуются обычные пользователи, то антивирус уже желателен. Хотя бы майкрософтский. Не панацея, но от совсем уж глупостей убережёт.

    Возможно, хорошим решением будет Яндекс.Браузер, который, согласно заявлению авторов, имеет некую встроенную защиту на те же закачки. Не знаю, насколько хорошо работает эта защита, но они хотя бы думают в эту сторону. Но это трудно продать, обычные люди о таком не задумываются.
    • +1
      Эту встроенную защиту имеют и Chrome с Firefox. Базируется она на отправке хэшей всех загружаемых файлов в Google, где они сверяются с хэшами известной малвари.
      • 0

        Эта встроенная защита очень часто имеет ложно-позитивные срабатывания (по крайней мере у Google Chrome)

  • 0
    временно покинул Mozilla, стал свободен от корпоративных обязательств и теперь волен говорить правду без оговорок

    Работая в Mozilla, он обещал антивирусным компаниям (которые, по его словам, существенно осложняли своими продуктами жизнь ПО от Mozilla) молчать, он антивирусы — отстой? Нелогично как-то. А если это Mozilla договорилась с производителями антивирусов, что будет молчать об их проделках, то…
    • +2
      Просто если подобные заявления будет делать сотрудник компании, то и отвечать за них придется его работодателлю. А сейчас это просто личное мнение частного лица.
      И ничего они антивирусным компаниям не обещали. Представьте себе, что работу вашей программы ломают антивирусники. Броситесь публично с ними сражаться? А уверены что выгребете против такого течения?
  • 0
    Практически одновременно вторая новость

    в среднем 29% пользователей компьютеров и 6% владельцев мобильных устройств игнорируют предупреждения об угрозе при загрузке расширений.


  • 0
    Я вот слежу за обновлениями файерфокс. Они постоянно удаляют функциональность. Поэтому обновляться не хочется, новых версий файерфокса у меня нет. Если уж мозилла всерьёз предлагает бороться с уязвимостями посредством обновлений — было бы неплохо, если бы уязвимости обновлялись отдельно от интерфейса.
    • +2
      А чего там мозилла поудаляла из функционала особо в последнее время?
      • +1
        Tab Groups, например. А к концу 2017 собираются полностью переходить на аддоны через WebExtensions. Причем, как я понял, старые аддоны перестанут работать (хотелось бы ошибаться).
        • 0
          Tab Groups были ужасны, долго с ними мучался пытаясь привыкнуть после перехода с оперы 12, пока не открыл Tree Style Tab. Который кстати не работает в старых версиях Firefox. Переход на универсальные аддоны имеет смысл, хотя конечно тоже никому не хочется чтобы старые аддоны выпилили.
        • +1
          Ну вот кроме Tab Groups ничего не вспомнится, да и Tab Groups еще до того, как их отменили сделали как расширение и всем сказали, что если Вы пользуетесь — вот Вам расширение. И мне кажется, что это вполне логичный, Firefox-way шаг. Если что-то нужно не очень большому количеству пользователей, то пусть это будет расширением, а остальные сэкономят пару мегабайт памяти.

          Ну а что будет с WebExtensions — поживем — увидим. В новых FF есть много интересных вкусностей, так что зря Вы его не обновляете, я считаю.
  • +1
    именно этот антивирус хуже всех влияет на производительность компьютера

    Он у меня стоит, и регулярно мониторит систему и я узнаю о его существовании раз в пятилетку, если кто-то на флешке троянчик принесёт. В остальном я его вообще не чувствую. Каким старым должно быть железо, чтобы ощущать серьёзную нехватку производительности?
    • –1
      SSD нужен для тех у кого Windows 10 или Касперский (ну или что-то другое специфическое и тяжеловесное). Да и никакой SSD с Терагерцовым процессором не поможет Win 10. У меня на нетбуке стояла Win 10 (потому что лицензия же), так чтобы он не тормозил — я его не выключал на ночь, а то после включения часа три он непрерывно что-то делал. Сейчас стоит FreeBSD (это та ОС у которой не работают ждущий и спящий режимы) паралелльно с ХР, так на них ничего не тормозит, кроме FF и GIMP который запускается 5 секунд. 5 секунд это же тормозит, да?
      • 0
        Старенький 2600к — win 10 с каспером не тормозят ни разу. А на нетбуках и 7-ка тормозила.
        • 0
          Про Касперского это я так сказал, потому что он уже притча во языцех, давно не ставлю антивирусы, но «не тормозит» это сильно индивидуально, вот для меня «не тормозит» это если отклик от работы меньше 15мсек (время реакции человека). И когда программирую (в основном микроконтроллеры) то интерфейсы у меня так и отвечают, но недавно сделал работу на графическом LCD, перерисовка занимала сотни мсек, заказчик был недоволен. Но для PC сотни мсек (заметное время, но посчитать в уме нельзя) это нормально. Даже в самых легковесных GUI. XTerm (консоль) запускается столько — меня это бесит. И win10 так же работает, а кроме того он постоянно что-то делает, что ну никак не прибавляет производительности.
        • +1
          Кстати по Win7. Недавно знакомый админ рассказал как лечить тормозящие Win7 — очень часто виновата система обновлений которая не может обновится (ну еще встроенный антивирус может грузить). Нужно ее выключить, накатить какое-то обновление, а потом снова включить. А то она так съедает от пары сотен Мб ОЗУ до нескольких Гб (в зависимости от фазы луны). И примерно та же картина с процессором.
          • 0
            Долго не верил в существование этой проблемы пока однажды не нарвался сам. Решение оказалось из разряда необычных — баг появлялся на пиратских версиях. Лечился ещё более странно — надо строго две (запамятовал какие) включённые службы выключить, перевести в режим «вручную» и включить повторно.
      • 0
        А каким боком тут вообще тема SSD всплыла?
        • 0
          Это ответ на вопрос каким старым должно быть железо чтобы Win10 подтормаживала.
          Производительность ПК сейчас не сильно на процессорах завязана. Если взять самый дешевый процессор последнего поколения или средненький пятигодичный, достаточно ОЗУ то производительность приложений будет сильно зависеть от дисковой подсистемы. Ну а SSD сильно быстрее HDD. К тому же опять, если постоянно HDD будет подгружен (как в Win10 после включения если не включал больше суток) то производительность просядет заметно. И наоборот, ОС которая не трогает HDD сильно увеличивает быстродейтсвие. (Тяжеловесные сайты с тормозящим js, игры, архиваторы, кодирование видео и т.п. могут подвесить любую ОС и железо, так что не рассмастриваем)
          • 0
            у меня, например до сих пор нет ssd и я до сих пор считаю его нерентабельным из за крайне незаметного прироста в скорости (ну хорошо, винда, говорят, запускается за 2-3 секунды, но у меня средний аптайм около 4 месяцев). У меня WD Green на 750Gb и WD Black на 1Tb. Обоим по несколько лет — то есть не самые свежие и не самые скоростные.

            И вот именно в таких условиях я присутствие «тормозящего» защитника не ощущаю. Даже если я однажды перейду на SSD, шансы почувствовать тормоза ещё больше уменьшатся.

            Поэтому я и задаюсь вопросом — что за старое железо должно быть, чтобы Defender доводил систему до нехватки производительности.
            • 0

              Насколько я понимаю тут важно не только железо но и сценарии использования компьютера. Где-то выше был пример про копирование большого количества мелких файлов. Если пользователю зачем-то это нужно часто — то тормозить может и на вполне адекватном железе. Я с чем-то похожим столкнулся на предыдущем ноутбуке — была какая-то проблема со скоростью доступа к HDD и при запуске торрента можно было уходить пить чай — одновременно с ним вообще ничего не работало. При этом процессор был загружен хорошо если на 10%, то же и с оперативной памятью.

              • 0
                Когда собеседники размениваются общими фразами в качестве примеров обычно берут стандартные усреднённые действия рядового пользователя.

                Если ставится изначальный вопрос «постоянно гонять много мелких файлов», то это частный случай, под который надо брать не типовую конфигурацию, на которой всё по умолчанию будет работать медленнее чем на узкоспециализированной. И подход соответствующий.
            • 0
              • В SSD нет механики, в отличии от HDD.
              • В Windows есть фрагментация.

              Нет заметного прироста в скорости и не ощущаете потерю производительности? Ну явно вы что-то не договориваете.
  • 0
    Забавный скриншотец с багами Касперского.

    Получить такую картинку на Project Zero можно, только если ввести в строке поиска слово «kaspersky». И как я понимаю, скриншот взят не из оригинала сообщения.

    Чем автору так не угодил касперский?
    • 0
      Причем подавляющая часть багов — осень 2015 года, целых два (некритичных AFAIK) — ноябрь 2016. Интенсивность зашкаливает. Кошмар, караул, чума, понос, наводнение, всёпропалошеф.
  • –1
    Сколько же майкрософт заплатил человеку за такие «полезные» советы?! Претензии ко всем антивирусам, а ссылается только на касперского… советовать встроеный антивирус винды? самый некачественный из всех антивирусов??? да поставьте на виртуальной машине этот антивирус и скачайте тестовый файл с набором вирусов — почти любой(!) антивирус покажет лучшие результаты чем эта убогая поделка — основная функция которой мешать работать. Хотя да, если не скачивать экзешники, ничего не устанавливать и не пользоваться интернетом, и пореже включать комп, то защитник виндовс наплох, очень неплох))) Можно долго спорить о других антивирусах и фаерволах, но не охота — мой совет: пользуйтесь линуксом! а винда и безопасность — слова антонимы)))
    • +1
      знаете, если:
      1. скачать вручную набор вирусов, игнорируя предупреждения антивируса и прямой запрет на скачку таких файлов (если зловреды серьёзные, придётся полностью отключить на период скачки, иначе не даст),
      2. Вытащить удалённый архив из карантина и запретить загонять его туда повторно.
      3. Разархивировать.
      4. Вытащить все удалённые файлы из карантина, куда они моментально улетят, запретить отправлять их в карантин повторно. (что защитник будет пытаться делать при любом последующем обращении к файлу),
      4. В каждом файле в свойствах установить галочку «доверять этому содержимому», иначе система снова же не даст ничего запустить
      5. запустить всё из под администратора \ с отключенным UAC, потому что даже на этом этапе система будет пытаться всё не запустить…

      То да, в таком случае «убогая поделка» покажет очень плохой результат — ведь пользователь проигнорировал все предупреждения систем безопасности.

      Но чаще такое называют не «убогая поделка», а «умышленный саботаж».
    • +1
      Можно долго спорить о других антивирусах и фаерволах, но не охота — мой совет: пользуйтесь линуксом! а винда и безопасность — слова антонимы)))

      безопасность линукса получается из вот таких вещей:


      1. Самое главное, вы на линуксе — неуловимый Джо. Вас слишком мало чтобы кто-то всерьез вас пытался ломать.
      2. На линуксе идеологически считается нормальным потратить несколько дней на тщательную его настройку (несколько дней это если в первый раз, либо на сильно отличающейся системе). Я не очень понимаю почему, но неоднократно сталкивался с ситуацией вроде такой: "Какой ужас эта винда, нужно сделать аж 5 шагов по меню и выставить несколько настроек, а ведь мне никто этого при установке не сказал!" и чуть ниже этот же человек говорит: "Какой прекрасный линукс, там можно сделать то что тебе нужно, нужно всего лишь установить вот этот пакет, но не последней версии, а вот такой, переписать его конфиг в одном месте и запустить с вот такими ключами."
      3. Линуксов много (не убивайте за нестрогую терминологию) и они во многом несовместимы — вирусы писать сложнее. Из этого правда вытекает сложность же написания ПО, но это мелочи.

      Ни в коем случае не говорю что линукс хуже винды, просто говорить что он безопасен, а винда нет — неверно. И там и там безопасность нужно правильно настроить. И безопасность отнюдь не вытекает из открытости исходников.

  • 0

    Создается впечатление, что автор ушел из мозилы не куда-нибудь, а именно в мелкософт и теперь озвучивает именно мелкомягкие мечты.


    IMHO каждый специалист должен заниматься своим делом:


    • мелкософт — осью
    • антивирусы — ловлей живности
    • мозильцы — мозилой

    Иначе получится еще больший бардак, чем сейчас.


    Разумеется, отдельные защитные технологии лучше делать в глубинах ОС, но в способности майкрософта в этой области, равно как и в их добрую волю, лично у меня веры нет.


    Гипотетическая ситуация, с использованием только одного, пусть даже самого лучшего, антивируса сильно упростит задачу разработчиками малвари.


    Ну а эпичное воззвание использовать обновления вместо защиты вообще не выдерживает никакой критики. Учитывая, хотя бы, то, что настоящая культура обновлений и выпуска новых версий ПО в общем, и отдельные обновления в частности, приносят куда больше ущерба пользователю нежели средняя малварь.

    • 0
      Для того что бы кидаться такими тезисами, надо хотя бы иметь представление о том как сейчас устроена винда.
      Вот позиция гугла по поводу современных антивирей: https://geektimes.ru/post/282760/.
      Вот примеры последних доработок для защиты от zero-day:https://blogs.technet.microsoft.com/mmpc/2017/01/13/hardening-windows-10-with-zero-day-exploit-mitigations/

      Ломающий софт антивирь, это конечно лучше, чем обновления.
      Советую внимательно ознакомиться и не писать больше ерунды: https://decentsecurity.com/.
      Для более искушенных товарищей — https://blogs.technet.microsoft.com/secguide/2016/01/22/security-baseline-for-windows-10-v1511-threshold-2-final/.
      • 0

        Не увидел ничего, чтобы отказываться от антивирусов (если меняется ОС, защитные программы также переписываются) и не посылать в пешее эротическое разработчика браузера рассуждающего о никчемности антивирусов (т. е. ПО в котором он, мягко говоря, неспециалист).


        Отдавать защиту экслюзивно в одни руки (в особенности таких гнилых многостаночных контор как мелкософт) — IMHO гарантия появления дыр с многолетней историей известного существования.


        Антивирусы, кроме всего, делают множество вещей за других разработчиков ПО и ОС, которые тем было сделать недосуг. Например, отслеживают наличие "на борту" уязвимых версий ПО и библиотек.


        И не надо перевирать мои слова об обновлениях. Они нужны и важны, однако они — никак не замена защите. Кроме того, безоглядно рекомендовать обновления и апгрейды мешает их зачастую маргинальная культура, когда:


        • система обновлений признает только транк — багфиксы безальтернативно идут в одной цепочке с ненужными изменениями (в том числе, новыми багами, изменениями случайно или намерено ломающими текущий функционал и UX)
        • обновление не имеет описания или оно неполно/невнятно (или в случае MS — лживо)
        • обновление внезапно оказывается сырой мажорной версией, с отсуствием половины функционала и переколбашенным UX
        • обновление, зачастую, невозможно штатно откатить
        • невозможно выбрать/купить подходящую версию ПО (потому что вышла новая мажорная версия а старые сняты с продажи/загрузки)

        И хорошо, если это развлекательное ПО, а не софт от которого что-то зависит. Минное поле.

      • 0

        Вот, например, квалифицированное мнение с другой стороны:


        https://eugene.kaspersky.ru/2016/11/10/s-menya-xvatit/


        В частности, в противоположность тому что единственный "правильный" антивирус это благо.

  • 0
    Нам предлагают отказаться от антивирусов в пользу Защитника Windows… О, боже…
  • 0
    Довольно интересно. У меня Windows 10 и никаких антивирусов не стоит. Но Firefox таки отъедает и дальше немеряно памяти, как и раньше. Это главная проблема у меня. Пара десятков вкладок и почти двух гигов нет. Но я не могу иначе. Мне нужно много вкладок одновременно :(
    Все же и в браузере хватает проблем. Нечего только на антивирус кивать.
    • 0
      Вы просто хром не пробовали.
      Два гига не проблема при настроенной многопроцессности браузера. У меня даже на ноутбуке 8, и можно расширить как минимум до 24.
      • 0
        Хром я пробовал, конечно. Я о лисе говорю. Лиса мой любимый. Привычку никуда не денешь :)
        • +1
          Я тоже на лисе и никуда с неё не уйду, пока она поддерживает нужные мне дополнения. Поэтому ставим по больше памяти и включаем поддержку многопроцессного режима.
          Я вообще был бы раз, если бы она у меня занимала гигабайт 8, но при этом летала. Но нет, как только мастер процесс приближается к отметке 2ГБ, она начинает экономить память и тормозить.
          • 0
            Вот с этим неоднозначно – я, к примеру, многопроцессность в Лисе не включаю, поскольку не все нужные расширения с ней работают. Вам с этим повезло. А вот что по поводу антивирусов – за всё время использования никаких конфликтов Лисы с ESET'ом не замечалось)
    • 0
      Это не в браузере хватает проблем… Это, скорее всего, конкретные пара десятков вкладок перегружены JS или html5 видяшками… И как ниже пишут, в хроме было бы, наверное, гигов под 8… Потому что «многопроцессность» это эффективно по +100М на вкладку, как минимум, будет.
  • 0
    А всё почему? Потому что firefox — это антивирус )
    Browse the Web with confidence — Firefox protects you from viruses, spyware and pop-ups
  • 0
    Почему я не использую антивирусы

    Время от времени на SharewareOnSale можно найти «платный продукт бесплатно» с годовой лицензией. Так я взял себе антивирус Bitdefender и сначала был рад, ведь там всё красиво, понятно, просто, и казалось бы не ест столько ресурсов, сколько McAfee (когда-то давно шёл вместе с ноутом).

    Но это только иллюзия защиты…

    По работе мне нужно защищать видеоуроки сервисом Infoprotector и просматривать огромную пачку курсов, всё ли в порядке. Порядок работы такой, что при запуске защищённого урока, он «кешится» на компьютер с сервера в виде защищённого файла. Моему Bitdefender'у очень приглянулись эти файлы, и он давай их сохранять себе в базу данных. Я сначала ничего не замечал, но через пару недель в работе компьютера начали наблюдаться микрофризы, зависания, и подтормаживание звука. Проигрываю видео на ютуб, звук «хрипит» и картинка лагает на несколько милисеккунд. Сравнимо, если ставишь небольшой буфер аудио при работе со звуком, и навешиваешь много разных эффектов.

    Я долго искал, в чём причина. Может, драйверы? Microsoft Windows 10 не очень хорошо работал с моей старой встроенной видеокартой Radeon на ноутбуке, постоянно внедряя свой несовместимый драйвер. Думал, проблема в этом. Но нет. Всё оказалось проще.

    Проверяя как то размеры файлов и папок я заметил, что антивирус стал весить где-то под 20 гигабайт. Антивирус. Точнее файл Database.dll (или .db, уже не помню). Пытался решить сначала вопрос с самими Bitdefender, почему антивирус «собирает мои данные», получил ответ «Просто переустановите программу». Разумеется, после чистой переустановки база данных опять начала расти, но проблемы с фризом исчезли.

    Виной этому оказался слишком большой файл базы данных, куда программа вносила весь входной траффик. Вывод – мне такой антивирус не нужен.

    Прошёл год, как я сижу только на Microsoft Defender. Ни единой проблемы нет, ошибок с работой нет, пароли до сих пор никто не украл, данные не использовал, компьютер в бот-сеть не превратили. Согласен с автором статьи, что прямые руки – лучший антивирус.
  • +1
    они делают вашу программу невероятно медленной и раздутой, пользователи думают, что именно такой медленный и раздутый ваш браузер

    Так он и есть медленный и раздутый. Нынешний Firefox, что в упакованном, что в распакованном виде вчетверо толще старой доброй Opera 12, и это при том, что большинство функций, доступных в Opera изначально, в Firefox реализуется только расширениями. Что из функциональности Firefox может оправдать хотя бы двукратное раздувание объема, не говоря уже о четырехкратном?

    браузером Firefox, который потреблял огромное количество оперативной памяти после установки антивирусных модулей McAfee

    Он и без антивируса потребляет 80-100 Мб на страницу. Если это не «огромное количество», то я даже не знаю, как это иначе назвать. Хотя, справедливости ради, та же Opera 12 потребляет около 30 Мб на страницу — это тоже многовато.
  • 0
    А ведь я уже 7 лет всем баранам говорю — удалите любые антивирусы и любую продукцию, написанную русскими рукожопами в русских конторках. То есть всякие говнояндексы, амиги и прочую ересь
  • 0
    Баклан детектед? Первая же уязвимость вашего компьютера — ваш компьютер подключен к сети. А вирусы — они могут жить на всём, что исполняет код и распространяться везде, где возможна отправка/получение информации. Примерно вот так:
    Hi! I'm a .signature virus! Copy me into your ~/.signature, please!
  • 0
    Интересно… Как-то прошлись только по российскому разработчику → Касперскому. А других забыли упомянуть? Или всё-же заказ?
    • 0

      Дополнение про касперского добавлено уже ализаром. Так что если и заказ, то местный, но более вероятно, что это что-то личное.

      • 0
        И что же? Личному не может быть места? В стародавние времена, когда на компьютерах ещё были винды, а Касперский был ещё 4.05, как-то мой одногруппник попросился ко мне полазить в инете с моего компа. Дома меня не было, и проконтролировать, что он там делает, я, разумеется, не мог И что же? Пришёл домой, а на месте виндов — развалины. Вирусы сожрали всё, что смогли. И обновления свежие были, и ключевой файл актуальный… Собственно, посде этого эпизода и начал рассматривать Linux как адекватную альтернативу, и вот уже много лет у меня на компах нет никаких виндов…
        • 0

          Хорошим тоном в журналистике считается либо передавать максимально точно, либо помечать авторские добавления. Здесь этого нет (по-крайней мере не было в момент когда я читал пост). А ваша жизненная история наверно безумно интересна, но нет не интересна. Тем более что она вообще ничего не доказывает. Но я вас выслушал и историю прочитал, надеюсь вам полегчало.

        • +2
          Должен заметить, что в линуксе неподготовленный пользователь способен нанести не меньшие разрушения. Сейчас интернет часто пиарит метод установки нового софта через curl | sh. Как вы понимаете, шансов нахвататься вирусов этот метод несёт огромное количество. Единственное, что спасает линукс — идиоты пользуются им реже.
  • 0
    Для дополнительного аргумента против антивирусов, автор статьи еще должен был написать:
    Глава отдела расследования компьютерных инцидентов «Лаборатории Касперского» Руслан Стоянов в декабре 2016 г. арестован ФСБ и содержится в следственном изоляторе «Лефортово».
  • 0
    Хотя сам О'Каллахан предпочитает воздержаться от негативной оценки антивируса Microsoft, но нужно заметить, что именно этот антивирус хуже всех влияет на производительность компьютера.

    С учетом этого замечания и о того, что, к примеру, я использую только Windows Defender (на Windows 10) и не хочу использовать что-то еще, каким образом можно избавиться от Windows Defender, точнее какие есть альтернативы из ПО, не считая антивирусных программ, о которых так плохо отзывается бывший разработчик Mozilla? Или теперь целесообразно вообще ото всего избавиться?
  • 0

    Просто напомню еще раз про :)
    http://pastebin.com/iLvTBsgG

  • 0
    А мне это место больше понравилось:
    «Когда браузер крашится при загрузке из-за вмешательства антивируса — виноват браузер, а не антивирус. Ещё хуже, если они делают вашу программу невероятно медленной и раздутой, пользователи думают, что именно такой медленный и раздутый ваш браузер», — удручающе заключает О'Каллахан, напоминая ситуацию с браузером Firefox, который потреблял огромное количество оперативной памяти после установки антивирусных модулей McAfee.


    Зашел по ссылке там стоны о том, что FF из-за плохого и вредного McAfee ест аж 450 МБ памяти при 8 открытых вкладках.
    Это был 2012й год, 10я версия FF.
    Сейчас всего через 5 лет текущая 50я версия FF при 8 открытых не тяжелых вкладках жрет не меньше 1000 МБ памяти без всяких антивирусов.

    Как говорится Нечего на зеркало пенять… и еще что-то про соринки и бревна.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.