Thursday, April 22nd, 2010...10:36 am

Programy antywirusowe są ZŁE !!!

Jump to Comments

Teza w tytule celowo kontrowersyjna i przejaskrawiona … to na początek, tak żeby nie iść w niepotrzebne dyskusje.

Pamiętacie awanturę wywołaną przez producentów oprogramowania antywirusowego przed wypuszczeniem Visty? Chociażby McAffee domagał się wtedy od Microsoft dostępu do jądra systemu, aby móc zapewnić najlepszą ochronę:

We urge MS to give security vendors this access as quickly as possible and not wait until the eleventh hour so that we can offer our customers the best protection.

Cóż, każdy miecz ma dwa ognie – jeżeli chcesz się bawić ogniem to musisz pamiętać że możesz się oparzyć, i takie inne … podsumowując. Oprogramowanie AV sięga głęboko w system, niekoniecznie zawsze używając udokumentowanych API. Powoduje to różnorakie problemu, a w sytuacji krytycznej może spowodować i problemy, któe spowodował (o ironio !!!) patch McAfee na Windows XP. W tym wypadku AV zadziałał na system jak wirus. I co gorsza nie było już antywirusa na antywirusa, który by go powstrzymał, ponieważ to ten program miał być właśnie ostatnią linią obrony użytkownika.

Co prawda nie było to spowodowane ingerencją w system jako taką a po prostu fałszywym rozpoznaniem pliku systemowego jako niebezpiecznego, ale pokazuje to, że i do programów AV zaufanie ograniczone trzeba mieć. I testwoanie uaktualnień definicji przez ich dystrybucją może mieć sens.

Artykuł CNET jest pełen przykładów problemów jakie ten patch wywołał, ale jeden z bardziej obrazowych to przykład ćwiczeń systuacji kryzysowej prowadzonych przez SANS, w ramach któych nie można było skorzystać z systemu dostępnego pod 911 (nasz odpowiednik to 112) ponieważ system padł … od antywirusa.

Taka poranna prasówka …

Uaktualnienie: wyszedł na ten temat szybki artykuł KB.

6 Comments

  • Powiedziałbym, że to złe programy antywirusowe są złe. Bo te lepsze to nie zawsze.
    A tak na marginesie: ciekawe jak wyglądają ich wewnętrzne testy, skoro nie mieli w testowym systemie pliku svchost.exe

  • @GT hmm, ostatnio trochę rozmawiałem z dev i testerami z kilku większych korporacji. Jeśli w tych firmach przechodzą takie wałki jakie opisywały te osoby, to ja się nie dziwie, że McAfee mógł zrobić takiego babola z svchost.exe 🙂
    Teraz firmy produkujące rozwiązania AV dość mocno rywalizują i terminy gonią programistów. Na szczęście większość firmy AV nie popełnia aż tak dużych błędów. Co najwyżej przy wgrywaniu nowszej wersji nagle AV ubija kontroler domeny albo serwery plików:)

    Btw. To już chyba druga taka wpadka McAfee w przeciągu ostatnich dwóch kwartałów.

  • Wlasnie udalo mi sie doleciec do domu z Grecji a tu kolejny problem. Tym razem MCAfee – nigdy nie kochalem tego produktu ale teraz to niezly problem.
    Ostanio mialem spory problem z NOD32 ktory kasowal uparcie tresci email w html i nadal to robi. Zawsze uwazalem ze ESET jest OK ale coz naprawde trzeba uwazac z programami ktore maja byc “dobre” 😀

  • […] w2k.pl […]

  • Trzy małe przykłady z mojej pracy
    1. Symantec Brightmail po aktualizacji zjadł bazę MS Exchange z 25 GB zrobiło się 7 GB – pomógł tylko restore bazy z backupu

    2. MCafe po jakiejś aktualizacji zaczoł wycinać z wyzyłanych załącznikó pliki xls – dobrze że tylko dwie godziny

    3. Firma wymienia sprzęt na nowe kompye C2D + 3 GB ram – anywirus SIS – pracownicy są delikatnie mówąc w……i bo nowe kompy działją dwa razy wolniej niż stare – produkt SIS został usuniety i zastapiony VIPRE ENterprise

    Generalnie ja z tego co jest na rynku mogę polecić tylko VIPRE lub darmowego Microsoft Essential

  • A teraz jeszcze wyszedł ciekawy problem z tym dobieraniem się nie przez API…

    I tym, że praktycznie większość oprogramowania AV ma z tym problem: http://www.matousec.com/info/articles/khobe-8.0-earthquake-for-windows-desktop-security-software.php

Leave a Reply