Jsou antiviry užitečné, nebo spíše způsobují problémy? Tahle zdánlivě jednoduchá otázka nemusí mít tak snadné řešení, jak naznačila diskuze posledních dní. Myslím, že diskuze bude ještě pokračovat – aspoň by měla. Robert O'Callahan, bývalý zaměstnanec Mozilly, který neziskovou organizace před necelým rokem opustil, se domnívá, že už nemusí mlčet a může si dovolit vyjádřit svůj názor týkající se antivirových řešení. V příspěvku na svém blogu přímo píše, že „výrobci antivirů jsou hrozní“ a doporučuje, abychom antiviry nekupovali a stávající odinstalovali s jednou výjimkou. Jediný antivirus, který bychom si mohli nechat, je ten od Microsoftu. Připouští, že pokud používáme starší systémy jako Windows 7 nebo nepodporovaná Ikspéčka, pak nám antiviry mohou v zabezpečení aspoň trochu pomoci. Obecně je ale odsuzuje. Proč? Podle něj přinejlepším znamenají zanedbatelný posun v zabezpečení systému, častěji však zabezpečení škodí. Činí tak jednak tím, že samy tyto produkty obsahují zranitelná místa, jednak výrobci nedodržují standardní praktiky týkající se zabezpečení. (Což vede k bodu předchozímu, a sice ke zranitelným místům.) V tomto ohledu chválí Microsoft, který označil za „obecně kompetentní“ firmu.
Antiviry vytváří problémy
Zranitelná místa antiviry někdy skutečně obsahují, podívat se můžeme např. na seznam ohlášených problémů v rámci Project Zero. O bezpečnostních problémech bezpečnostních řešení ale existují i jiné záznamy. Antiviry jsou trnem v oknu především výrobců prohlížečů, protože podle Justina Schuha, inženýra z Googlu zabývajícího se zabezpečením, jejich nekvalitně implementovaný a invazivní kód otravuje celý softwarový ekosystém.
Každému pak tyto produkty ztěžují zabezpečení vlastních programů. To se týká mj. prohlížečů s tím, že prohlížeče platí za jeden z nejpoužívanějších a nejzákladnějších programů. Proto právě prohlížeče cítí dopady antivirů silně. O'Callahan dává za příklad případ, kdy Mozilla zajistila fungování ASLR ve Firefoxu pro Windows. Jenže náhodné adresování prostoru, jenž je používáno právě pro zkvalitnění zabezpečení, pozbylo smyslu poté, co některé antiviry procesům prohlížeče vnutily vlastní knihovny DLL, které ASLR nepodporovaly.
Dále dává O'Callahan připomíná, že někdy antiviry zabránily Firefoxu v tom, aby byl aktualizován. Obecně se podle něj vývojáři a vývojářky neúměrně velkou část času potýkají řešením potíží způsobených antiviry a jejich chováním, přičemž tento čas by mohl být využit lépe. Výrobci prohlížečů si pak nemohou nahlas stěžovat, protože ti by pak mohli o prohlížečích tvrdit nepěkné věci a odrazovat tak uživatelskou základnu od používání.
Vzniká tak začarované kolečko, kdy výrobci prohlížečů musí spolupracovat s výrobci antivirů, přičemž nemohou lidem radit, aby antiviry vypnuli. Podle O'Callahana prohlížeče schytávají zbytečnou kritiku kvůli potížím, které nutně nezpůsobují. Některé antiviry prohlížeče prostě jen zpomalují, Mozilla si v tomto ohledu před lety opakovaně stěžovala na nechvalně proslulý McAffee. Důkazy o tom, že se výrobci prohlížečů brání strkanicím s výrobci antivirů, dokládají také některé příspěvky na tomto fóru.
Dostupnost a využití API v prohlížečích
Bývalého zaměstnance Mozilly k vyjádření vyprovokovala mj. diskuze na Twitteru a na Hacker News. Na Twitteru na podzim diskutovali mj. bezpečnostní expert Vesselin Vladimirov Bontchev a již zmíněný Justin Schuh, inženýr z Googlu. Zatímco Schuh tvrdí, že antiviry brání v tom, aby výrobci nabídli lidem skutečně bezpečné prohlížeče, Bontchev doporučuje, aby výrobci k prohlížečům dodávali zdokumentované API. Pak by antiviry nemusely zabezpečení obcházet.
https://twitter.com/justinschuh/status/802491391121260544
Jenže podle Schuha jde spíše o to, že samotné antiviry jsou nekvalitně naprogramovány a zpochybňuje jejich efektivitu v obraně počítače. Proto je nepovažuje za důvěryhodné, aby je oficiálně pustil do prohlížeče. Bontchev nadále tvrdí, že antiviry potřebují používat své triky, protože musí kontrolovat obsah v prohlížečích. Schuh nicméně uvádí, že Chrome podporuje systémová rozhraní pro skenování souborů.
V jedné z odpovědí je cítit jistá arogance ze strany Bontchev, který uvedl, že např. Microsoft nabídl rozhraní, které antivirům umožňuje přímo skenovat dokumentu. Tento projev dobré vůle ale komentuje tak, že se v Microsoftu nemuseli namáhat, protože jeho antivirus si s otevřenými soubory dokázal poradit tak jako tak. Tím svou část diskuze shodil – budou antiviry využívat zdokumentovaná rozhraní v prohlížečích?
https://twitter.com/dblohm7/status/804384625141248000
Naznačuje, je to nepotřebuje, protože antivirus si stejně prorazí svou cestu. Podle tvrzení Schuha nicméně antivirům nestačí ani podpora pro skenování ve Chromu. Je to málo, nebo si jen výrobci antivirů dělají, co se jim zlíbí? Pokud se chcete pustit do čtení sledujte tuto diskuzi, případně reakce na příspěvek, který ji a další reakce odstartoval.
Testování antivirů opomíjí řadu faktorů
Co si z dosavadní diskuze odnést? Pravda bude jako obvykle někde uprostřed. Antivirová kontrola je bezesporu dobrým doplňkem zabezpečení, na druhou stranu současné antiviry podle všeho samy představují bezpečnostní riziko. Jednak obsahují zranitelná místa, jednak svým agresivním a nestandardním chováním poškozují jiné programy. Aspoň podle O'Callahana jediným antivirem, který není tak agresivní a plní svůj účel, aniž by ohrožoval zařízení, je Windows Defender.
Jak ale víme, v posledních letech nevychází dobře z testů, minimálně z těch od AV‑Comparatives. I na to už O'Callahan zareagoval, a to dnes v novém příspěvku. Za prvé považuje 97 % úspěšnost v posledním testu za dostatečně vysokou. Sám Microsoft se již před lety bránil tím, že se zaměřuje na rozšířený malware a zpochybnil výběr vzorků v testu: „…redmondský gigant na výsledky reagoval tak, že na testovaný malware uživatelé ve skutečnosti prakticky nikdy nenarazili.“
https://twitter.com/justinschuh/status/802492516385914880
Totéž učinil O'Callahan. Podle něj podobné testy hrají do karet silným stránkám antivirů, ale opomíjejí měřit jejich slabiny. Nakonec nevíme, jakým způsobem jsou vybírány vzorky malwaru, pravděpodobně jsou zdroje stejné jako zdroje výrobců antivirů. Reálně se však setkáváme s malwarem, který ještě není známý. Jednoduchou kalkulací, kdy O'Callahan předpokládá, že může existovat neznámý malware, přičemž tyto potenciální výskyty zohlednil v uvedeném nedávném testu. Opět došel k závěru, že reálný rozdíl mezi kvalitou ochrany mezi prvním F-Secure a posledním Defenderem by v takovém případě byl zanedbatelný.
Na miskách vah
Navíc tvrdí, že testy nezohledňují to, že antiviry rády zpomalují počítače (některé testy aspoň zahrnují rychlost skenování, pozn. red.), zahlcují uživatelky a uživatele oznámeními, falešnými poplachy a reklamami na další produkty. Zmiňuje i další vady testu, kdy např. AV-Comparatives uvádí, že používá software aktuální k určitému datu, jenže to ve skutečnosti nebyl ten případ. Např. použila Firefox 43.0.4, který nebyl aktuální ke dni 1. července 2016, naopak vyšel 6. ledna 2016.
Co se testů týče, máme tedy dostatek důvodů k pochybám o validitě měření. Z toho, co víme, Defender neobtěžuje, ale soustředí se na hledání běžně rozšířených druhů malwaru s tím, že podle všeho využívá invazivních a diskutabilních metod při detekci. Proto O'Callahan ze všech antivirů doporučuje tento. K testování bych dodal, že o vlastnostech, k nimž patří právě obtěžování oznámeními a reklamními nabídkami slouží spíše recenze v médiích.
Vidím to takto: antiviry ano, ale bez nestandardních invazivních metod a pochybně naprogramovaného kódu.