Бывший разработчик Firefox призвал отказаться от антивирусов

(В связи с разгоревшейся дискуссией. Статья не новая, но на Pikabu не нашел.)

Разработчик Firefox и хакер Роберт О'Каллахан временно покинул Mozilla, стал свободен от корпоративных обязательств и теперь волен говорить правду без оговорок. Он призвал пользователей к немедленному удалению сторонних антивирусов со своих компьютеров (Windows Defender лучше оставить).

«Теперь [после ухода из Mozilla] я могу безопасно сказать: разработчики антивирусных программ ужасны; не покупайте антивирусные программы, и удалите уже установленные (кроме Microsoft, если вы под Windows [10]», — заявил Роберт.

Основные правила безопасности: следить за обновлениями операционной системы, устанавливать последние патчи безопасности. Специалист добавил, что если человеку приходится использовать устаревшие системы Windows 7 или, не дай бог, Windows XP, то сторонние антивирусы всё-таки помогут ему быть не в полной дыре — чувствовать, что есть хоть какая-то защита.

Призыв удалить вредные сторонние антивирусы относится, конечно же, в первую очередь к Windows 10. И главным образом он касается платных программ, потому что если вы установили бесполезную вещь бесплатно — это одно, а если вы установили бесполезную вещь за деньги и продолжаете платить — это совсем другое. Тем более что сторонние антивирусы не всегда можно назвать нейтрально бесполезными, ведь они потребляют ресурсы CPU и заряд аккумулятора на мобильных устройствах, так что пользователям приходится ещё отдавать вычислительные ресурсы этим «дойным коровам» рынка информационной безопасности. И самое главное — сторонние антивирусы могут значительно ухудшить безопасность ПК.

«В лучшем случае есть призрачный шанс, что основной немайкрософтовский антивирус хотя бы немного повысит безопасность. Более вероятно, что они значительно ухудшат безопасность. Например, посмотрите на список уязвимостей в антивирусных продуктах, перечисленный на страницах каталога уязвимостей Google Project Zero».

Пример исправления 0-day уязвимостей в популярном антивирусном продукте, 2015-2016 гг.

В самых известных коммерческих антивирусах — десятки уязвимостей. Речь идёт о тех багах, которые обычно обнаружены сторонними исследователями или уже активно эксплуатируются вредоносным ПО. Разработчики антивирусов стараются закрывать эти баги, но многие пользователи не обновляют антивирус и не устанавливают патчи. К тому же, обновление не поможет, если злоумышленникам известны другие уязвимости, о которых информация пока не просочилась в открытый доступ. А таких багов много, ведь антивирус — очень соблазнительная мишень для хакеров. Антивирус сидит в ОС на нижнем уровне, и взломав его можно получить полный доступ к файловой системе, вплоть до загрузчика ОС.

Наличие серьёзных багов в антивирусах даёт понять две вещи:

Антивирусы открывают злоумышленникам разнообразные векторы для атаки.

Антивирусы пишут не соблюдая стандартные правила безопасности.

Роберт О'Каллахан — не единственный, кто упрекает антивирусы во вредительской деятельности. С таким же мнением недавно выступил Джастин Шух (Justin Schuh), один из программистов проекта Google Chrome. В длинном треде обсуждения темы антивирусов и безопасности он сказал такую фразу, чтобы наиболее понятно объяснить оппоненту свою точку зрения: «Антивирус — это единственное самое большое препятствие, которое мешает выпуску безопасного браузера».

Шух пояснил, что антивирусы «отравляют программную экосистему», потому что их инвазивный и плохо написанный код осложняет браузерам и другим программам возможность обеспечить собственную безопасность. О'Каллахан напоминает, что когда в Firefox впервые внедряли поддержку механизма защиты памяти ASLR в Firefox под Windows, антивирусные программы постоянно ломали эту защиту, внедряя в программные процессы свои DLL без защиты ASLR.

Несколько раз антивирусы блокировали обновления Firefox, не давая установить последние важные обновления безопасности. Разработчикам приходится тратить много времени на обход антивирусов. А ведь это время можно было уделить другим вопросам безопасности.

«Самое большое коварство заключается в том, что разработчикам программ трудно говорить вслух об этих проблемах, потому что они нуждаются в содействии со стороны антивирусных вендоров, — говорит О'Каллахан. — Может быть, за исключением Google, в последнее время. Пользователей ввели в заблуждение, что антивирус обеспечивает безопасность, и никто не хочет, чтобы производители антивирусов плохо высказывались о вашем браузере. Антивирусы стоят повсеместно, и если он ломает ваш браузер, то вам нужно их содействие для исправления ситуации». Разработчики браузеров не могут прямо и официально сказать пользователям отключить антивирус, потому что если вдруг случится что-нибудь плохое, что антивирус потенциально мог бы предотвратить, то все шишки достанутся им.

«Когда браузер крашится при загрузке из-за вмешательства антивируса — виноват браузер, а не антивирус. Ещё хуже, если они делают вашу программу невероятно медленной и раздутой, пользователи думают, что именно такой медленный и раздутый ваш браузер», — удручающе заключает О'Каллахан, напоминая ситуацию с браузером Firefox, который потреблял огромное количество оперативной памяти после установки антивирусных модулей McAfee.

Антивирус — очевидная брешь в безопасности компьютера не только из-за новых опасных уязвимостей, которая она добавляет в систему. Это уязвимость изначально по своей природе, ведь многие антивирусы устанавливают собственные корневые сертификаты по умолчанию без предупреждений, внедряясь в HTTPS-трафик по принципу MitM. Большинство антивирусов — это в любом случае деградация защиты HTTPS, о чём неоднократно предупреждали специалисты по ИБ.

Хотя сам О'Каллахан предпочитает воздержаться от негативной оценки антивируса Microsoft, но нужно заметить, что именно этот антивирус хуже всех влияет на производительность компьютера (сильнее Windows Defender тормозит систему только антивирус от Trend Micro).

Источник: https://habr.com/ru/post/401059/

Знаете, у меня, как у человека сведущего в сфере информационных технологий всегда попа болела на тему бесплатных антивирусов, но это уже прям что то интересное. Статья из Хабра:

"Что если я Вам скажу, что единственной функцией одного из компонентов антивирусного ПО, имеющего доверенную цифровую подпись, является сбор всех Ваших учетных данных сохраненных в популярных Интернет-браузерах? А если я скажу что ему без разницы в чьих интересах их собирать? Наверное подумаете что я брежу. А давайте посмотрим как на самом деле?

Разбираемся

Живет себе и здравствует такая антивирусная компания как Avira GmbH & Co. KG. Выпускает различные продукты связанные с информационной безопасностью. В ассортименте даже есть бесплатные продукты для домашнего использования.

Установим себе интереса ради бесплатную версию, посмотреть что умеет продукт немецких коллег. Пробегаем взглядом по интерфейсу – ничего необычного. Не находим никакого упоминания еще одного из продуктов компании – Avira Password Manager.

А давайте заглянем в компонент с ничем не привлекающим внимание именем «Avira.PWM.NativeMessaging.exe»? Он скомпилирован для платформы .NET и никак не обфусцирован, поэтому загружаем его в dnSpy и свободно изучаем код программы.

Программа консольная и она ожидает команд в стандартном потоке ввода. Главная функция при помощи «Read» считывает данные с потока, проверяет формат и передает команду в функцию «ProcessMessage». Та же, в свою очередь, проверяет что переданная команда является "fetchChromePasswords" или "fetchCredentials" (хотя какая разница если дальнейшее поведение одинаковое?) и тогда начинается самое интересное – вызов функции «RetrieveBrowserCredentials». Интересно даже… что может делать функция с таким именем?

Да ничего необычного, просто собирает в один список все учетные записи пользователя, сохраненные им при работе с Интернет-браузерами «Chrome», «Opera» (на базе Chromium), «Firefox» и «Edge» (на базе Chromium) и возвращает данные в виде JSON-объекта.

Ну а затем выводит собранные данные в консоль:

Суть проблемы:

1. Компонент собирает пользовательские учетные данные;

2. Компонент не верифицирует вызывающую программу (например, по наличию у неё цифровой подписи самого производителя);

3. Компонент имеет «доверенную» цифровую подпись и не вызывает подозрение у других производителей антивирусного ПО;

4. Компонент работает как отдельное приложение.

По данной проблеме был заведен CVE-2020-12680.

Об этой проблеме мною 07.04.2020 было направлено письмо в адрес support@avira.com и info@avira.com с полным описанием. Ответных писем, включая от автоматических систем не поступало. Спустя месяц описываемый компонент всё так же распространяется в дистрибутиве Avira Free Antivirus."