Domanda:
Gli antivirus o antimalware basati su firme sono efficaci?
Sim
2010-11-18 18:05:39 UTC
view on stackexchange narkive permalink

Le soluzioni antivirus o antimalware basate su firme sono efficaci? La battaglia è stata persa contro la quantità sempre crescente di malware, in particolare rootkit, in circolazione?

Otto risposte:
#1
+21
user185
2010-11-19 04:00:03 UTC
view on stackexchange narkive permalink

Un sistema di rilevamento basato sulla firma non può essere l ' unica soluzione, ma può essere parte della soluzione. Scoprirai infatti che molti dei prodotti AV dotati di rilevamento comportamentale e rilevamento euristico utilizzano ancora il rilevamento basato sulla firma. È semplice, è veloce, le possibilità di falsi positivi sono molto basse. Ma le possibilità di falsi negativi sono alte e certamente fallisci contro nuovi attacchi.

+1. Qualsiasi grado di polimorfismo generativo o attacco di collisione può ostacolare i rilevamenti delle firme. Il segreto è fornire definizioni solide di accesso consentito e limitato, che cambiano almeno tanto rapidamente quanto le tecnologie sottostanti che stai cercando di proteggere.
#2
+10
Chris Dale
2010-11-19 19:35:13 UTC
view on stackexchange narkive permalink

Guarda questi video su securitytube

che entrambi dimostrano quanto sia facile evitare il rilevamento antivirus. L'antivirus basato sulle firme deve sopravvivere, ma se vogliono guadagnarsi da vivere non sarà sufficiente limitarsi solo al rilevamento basato sulle firme.

Disponi di strumenti automatizzati che possono essere utilizzati per mascherare il tuo malware evitando di distribuire malware che l'antivirus non rileva.

Hai anche le sfide del codice polimorfico che rende ancora più difficile il controllo basato sulla firma. La battaglia non è affatto persa, ma è significativamente più difficile da bloccare con la firma oggi rispetto a 10 anni fa.

#3
+8
arielf
2013-02-12 14:38:02 UTC
view on stackexchange narkive permalink

Direi che Anti-Virus / Ani-Malware e altri sistemi di sicurezza basati su blacklist presentano le seguenti gravi carenze:

  1. Non possono proteggersi da minacce nuove (ancora non elencate) come le vulnerabilità zero-day
  2. Forniscono un falso senso di sicurezza
  3. I file della loro firma hanno dimensioni illimitate e continuano a crescere
  4. a 3. diventano sempre più faticose sulle risorse (memoria, CPU, ecc.) nel tempo

Al contrario, sistemi di sicurezza basati su liste bianche che consentono ciò che è noto, di routine e sicuro, mentre non consentono (con un'opzione per chiedere all'utente se consentire d'ora in poi) tutto il resto, sono molto più sostenibile, efficace, efficiente e effettivamente sicuro.

Questa non è solo la mia opinione, è un principio su cui molti eminenti esperti di sicurezza concordano. Vedi ad esempio: Questo articolo WiReD


[Aggiornamento: 29/07/2014]

Ma ottiene peggio: immagina un'applicazione grande e complessa, monolitica che gira sul tuo computer con i privilegi più elevati. Intercetta molte chiamate di sistema e talvolta cambia la loro semantica, installa i driver del kernel sugli aggiornamenti, utilizza un filtro dei pacchetti che annusa tutto ciò che arriva e cerca di controllare efficacemente tutto ciò che il tuo computer può o non può fare. Quello che ho appena descritto è l'essenza del software AV. Questo è esattamente ciò che fa la maggior parte di loro. Il risultato è che il tipico software AV aumenta notevolmente la superficie di vulnerabilità degli attacchi. In effetti, il malware moderno spesso cerca le vulnerabilità del software AV da sfruttare (vedi questo riferimento per esempio). Questo è il motivo per cui molti esperti di sicurezza considerano i programmi AV i più grandi virus mai inventati.


Cosa userei io personalmente invece?

Una combinazione di protezioni basate su liste bianche, in molti livelli. Quando uno fallisce, gli altri possono riuscire:

  1. Firewall che consentono solo ciò che è noto e progettato per essere consentito
  2. Log scanner, trip-wire, file-signature (intrusion detection, basato su anomalie)
  3. Sandbox, VM attorno a software più vulnerabili come i browser
  4. Un sistema operativo rinforzato che protegge dall'esecuzione dei dati, supporta il caricamento casuale degli indirizzi, esegue controlli di runtime come controllo dei parametri delle chiamate di sistema, ecc.
  5. Connessioni sicure e crittografate come quelle fornite da ssh
  6. Un ambiente che consente di guardare il codice sorgente del software installato e creare da quella sorgente o almeno scaricare pacchetti da un piccolo numero di fonti affidabili invece di un gran numero di siti casuali.
  7. Password complesse o password più lunghe, un buon gestore di password, autenticazione a due fattori

Non esiste un proiettile d'argento. La sicurezza è un'area complessa influenzata da molti fattori. È possibile utilizzare i principi di cui sopra (e altri) per aumentare la sicurezza, ma non si può mai essere sicuri che sia sicuro al 100% data la complessità dell'hardware, del software e dell'elevato numero di potenziali vettori di infezione.

#4
+6
atdre
2010-11-18 23:00:58 UTC
view on stackexchange narkive permalink

È andato perso quando qualcuno come tua madre poteva perdere la sua identità e le carte di pagamento per frode.

Direi che, no, antivirus e antimalware sono stati molto inefficaci dal buffer di Windows overflow nel 1999. Nel 2010 stanno aggiungendo carburante al fuoco e rendono i sistemi più insicuri, e non solo perché forniscono un falso senso di sicurezza. Vengono attivamente attaccati essi stessi e utilizzati come rootkit o punti di ingresso.

Stai dicendo che, poiché tua madre può subire frodi con carta di credito online, l'AV basato sulla firma è inefficace? Inoltre, penso che sia necessario confrontare la superficie di attacco di un sistema con AV con la superficie di attacco su un sistema non AV prima di dire che diminuiscono la sicurezza. È più probabile che tu venga sfruttato dai milioni di campioni di malware là fuori o dai pochi che possono attaccare AV?
@rox0r: Meglio assicurarsi di avere tutte le patch
@atdre: Ma non è esclusivo. Puoi patchare ed eseguire completamente AV. Il malware che utilizza exploit zero-day non verrà fermato dalle patch, ma può essere catturato dal rilevamento del tipo di cloud utilizzato dai principali fornitori di AV. Fa tutto parte della difesa in profondità.
Le contromisure per lo sfruttamento di @rox0r: bloccano anche il malware che gli agenti antivirus farebbero nel tuo scenario. Tuttavia, le contromisure di sfruttamento non hanno una superficie di attacco più grande del sistema operativo o di qualsiasi altra app in esecuzione su di esso oltre ai browser. AV ha questo problema
@rox0r: Inoltre, non penso che tu stia usando correttamente il moniker di difesa in profondità. L'NSA intendeva che DiD nella sicurezza informatica si riferisse alla combinazione e alla stratificazione di persone, processi e strumenti. L'AV rompe definitivamente quel paradigma. Quello corretto sarebbe controllori di integrità di file / memoria / processo, un audit trail e gestori di incidenti.
@atdre: Non sono aggiornato sugli standard DoD e NSA, ma non vedo come AV rompa il paradigma della difesa a più livelli. Non che wikipedia non possa sbagliarsi, ma menzionano AV per DiD: [Defense in depth (computing)] (https://secure.wikimedia.org/wikipedia/en/wiki/Defense_in_Depth_%28computing%29)
Wikipedia e il mondo in generale, potrebbero benissimo essere profondamente, insicuramente sbagliato.
#5
+4
qbi
2010-11-19 03:45:16 UTC
view on stackexchange narkive permalink

Dipende da cosa intendi per efficace. Questo metodo noterebbe solo i virus conosciuti. Ma se un virus è noto è anche certo di quale tipo di vulnerabilità sfrutta. In passato queste vulnerabilità erano già corrette quando il virus si diffondeva o venivano riparate subito dopo che era diventato noto.

Quindi, se il sistema fosse aggiornato regolarmente, uno scanner antivirus non avrebbe molti vantaggi. L'aspetto negativo è che lo scanner antivirus rallenta il computer e spesso infastidisce le persone.

Spesso consiglio agli utenti domestici di non installare alcun software antivirus. Invece dovrebbero considerare alcuni suggerimenti generali (aggiornamenti regolari, principio del privilegio minimo ecc.). Ogni sei mesi o giù di lì controllo quei sistemi con un CD antivirus. Per ~ 10 anni nessuno di questi sistemi è stato colpito da un virus.

Non considero la battaglia persa. Se l'utente presta una certa attenzione alla sicurezza del suo computer, potrebbe stare al sicuro.

Per quanto riguarda i tuoi consigli agli utenti domestici, che dire della protezione contro le vulnerabilità che non hanno una patch ma vengono sfruttate attivamente, specialmente quelle che richiedono poca o nessuna interazione da parte dell'utente?
Qui entra in gioco il principio del minimo privilegio. Di solito un utente domestico dovrebbe lavorare come un utente non privilegiato (non amministratore). Quindi forse il sistema scaricherà qualche worm / virus / qualunque cosa, ma non ottiene i diritti di cui ha bisogno e quindi è "inutile".
#6
+4
zeroknowledge
2010-11-19 22:42:25 UTC
view on stackexchange narkive permalink

Potresti fare un inverso, i. e. avere checksum per eseguibili validi, altrimenti le firme sono un po 'fuori posto.

Questo è ciò che fanno le aziende come [bit9] (http://www.bit9.com/).
Il whitelisting rende un prodotto un sistema di prevenzione delle intrusioni basato su host; non un antivirus.
#7
+3
frankodwyer
2011-04-21 13:50:48 UTC
view on stackexchange narkive permalink

AV è un controllo della lista nera che cerca di enumerare ciò che è male e bloccarlo, consentendo tutto il resto per impostazione predefinita. Questo tipo di controllo è molto comodo ma poco efficace, e nel caso di AV è più o meno un'ammissione di sconfitta.

Dal punto di vista della sicurezza è solitamente meglio enumerare ciò che è consentito e nega tutto il resto per impostazione predefinita. Questo ovviamente è molto meno conveniente ma anche molto più efficace.

Preferirei di gran lunga vedere i sistemi che funzionano consentendo solo l'esecuzione di una manciata di programmi che ho esplicitamente installato e autorizzato, piuttosto che provando per fermare i miliardi di programmi che non voglio eseguire. Penso che l'attuale tendenza verso gli "app store" sia in qualche modo utile a questo riguardo.

L'AV è molto più facile per le persone "normali" che mantenere il proprio sistema operativo aggiornato. Se il computer di mamma e papà viene infettato ogni mese "non protetto" senza AV, ma solo ogni 4 mesi (in media) con AV, non vedo come sia così terribile. Da un punto di vista ingegneristico, sono d'accordo, fa completamente schifo. Da un joe medio che ottiene un po 'più di utilizzo tra le infezioni, penso che sia una protezione economica.
Sfortunatamente, la protezione AV non è economica. I sistemi antivirus più diffusi che ho visto rallentano notevolmente i computer. 2x, anche 3x più lento è abbastanza tipico. Le persone spesso acquistano nuovi computer perché quelli vecchi non si rendono conto che la maggior parte della lentezza deriva dal loro sistema AV (autoinflitto) che deve passare attraverso migliaia di scansioni delle firme ogni volta che un file viene scritto, un pacchetto sulla rete viene ricevuto, ecc. In questo senso un AV corrisponde praticamente alla definizione di virus: un software che interferisce con il normale funzionamento del computer e lo rallenta.
#8
+2
Bradley Kreider
2010-11-19 07:01:53 UTC
view on stackexchange narkive permalink

Penso che tu debba valutare la tua situazione per prendere quella decisione. I programmi AV presenti nella lista nera sono effettivamente in grado di rilevare milioni di diversi tipi di malware. Se sei vulnerabile a quel malware e vedi molti malware, penso che sarebbe difficile dire che non è efficace.

Tuttavia, è solo un pezzo di difesa della sicurezza. La lista nera è per lo più reattiva (alcune corrispondenze generiche, ma più falsi positivi). Quando vengono rilasciati aggiornamenti, per definizione sono già vecchi. Eventuali nuovi malware non saranno nell'elenco.

Un gruppo di grandi fornitori di AV sta eseguendo una sorta di rilevamento e aggiornamento in tempo reale tramite "il cloud", ma riduce solo il tempo tra gli aggiornamenti.



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 2.0 con cui è distribuito.
Loading...