Ложь, большая ложь и антивирусы «А король-то голый!»


Что управляет этим миром? Пресса? Телевидение? Монстроидальные корпорации? Нет — экономика! Именно она управляет людьми, которые хотят денег. А люди, которые хотят денег, составляют подавляющее большинство всех тех людей, которые вообще хоть чего-то ещё хотят и готовы действовать ради этого.

Откуда берётся экономика на зловредном программном обеспечении? А берётся она из положительного сальдо между украденными у простого пользователя ресурсами минус стоимость обхода средств защиты. Всё очень просто и логично, не так ли?

Какова же стоимость обхода современных антивирусных средств? Учитывая, что эпидемии случаются регулярно, а большинство пользователей всё же имеют антивирус с регулярно обновляемыми сигнатурными базами, то результат неутешителен — стоимость обхода современного антивируса достаточно низка, чтобы экономика на зловредном программном обеспечении не имела возможности существовать.

Происходит это потому, что все антивирусы реализуют «чёрносписочный» подход к обеспечению безопасности. Это значит «я знаю, что это плохой модуль (плохое поведение программы), я его блокирую». Достаточно замаскировать модуль, сбив сигнатуру и притвориться «хорошо себя ведущей» — всё оборона прорвана. Пока информация доползёт до производителя, пока там среагируют... Можно действовать, никого и ничего не опасаясь. А чтобы антивирус больше не мешал, взять, да и выключить его. Ничего сложного в этом нет. Немного расходов — и дальше только выгода, выгода и ничего кроме выгоды. Король-то голый!

И только принципиально иные подходы способны настолько увеличить стоимость обхода средства защиты, что продолжать бизнес на зловредном программном обеспечении станет вообще невыгодным. Почему? Давайте смотреть экономику пробоя новых средств защиты.

Если брать не-«чёрносписочные» подходы, то их всего два основных:
На основе «белых списков». То есть, запрещаем запуск всего того, про что мы не знаем, что оно заведомо хорошее, незловредное.

На основе модели «песочницы», изолируя потенциально опасные процессы от всех остальных и операционной системы.

Чистые белосписочние решения неприменимы в массовом продукте, поскольку пользователю очень тяжело ими пользоваться. Такого типа программы будут «ругаться» при обновления используемого программного обеспечения, например, пока они не попадут в центральную базу, хранящую контрольные суммы «хороших» модулей.

Кроме того, практически все подобные решения имеют врождённые недостатки в виде проблем в работе с файлами, содержащими скрипты, поскольку скрипт — это лишь набор текстовых строк, а интерпретируют эти строчки команды к действию вполне себе легитимные (зачастую — системные) исполняемые файлы. Так что обойти их либо достаточно тривиально, либо практически невозможно (но и работать с ними, при этом, также будет практически очень сложно).

Если же рассматривать песочницы, то нахождение дыр в тех из них, которые уже достаточно давно на рынке, достаточно нетривиальная задача. Задача, посильная разве что профессиональному хакеру, время которого стоит достаточно дорого. Стоимость обхода хорошей песочницы может вылиться заказчику в тысячи долларов и довольно продолжительный период ожидания.

Стоимость закрытия подобной дырки на стороне разработчика песочницы — несколько десятков долларов, полчаса времени (хорошо, с тестированием — ну пара часов максимум). Причём, поскольку старая дырка уже закрыта, то для обхода защиты нужно искать новую, что снова требует больших денег и времени. Причём, поскольку все очевидные уязвимости, обычно, выбираются первыми, то дальше стоимость и время нахождения новых только увеличиваются.

Получается, что при использовании либо решений на белых списках, либо песочниц бизнес на зловредном программном обеспечении становится всё менее и менее рентабельным, с каждой следующей итерацией защита становится всё крепче, а обход её всё дороже. И однажды будет пройдена «точка невозврата», когда такой способ заработка денег станет, банально, невыгодным. А что это, если не 100% защита от вирусов и прочих зловредных приложений?

автор: Илья Рабинович

Обновлено: 11.03.2015