Абсурдность антивирусов

В день появляется под тысячу новых вирусов. Drweb-cureit за 4 года существования распух от 2,5 до 35 мегабайт за счёт пополнения антивирусных баз, сменив три мажорных версии.

Раньше я говорил, что если антивирус вчерашний – то толку от него не особо много. Сейчас мы видим, что толку немного, даже если он сегодняшний.

Появляется всё больше разных антивирусов, вирусный охват каждого их них далёк от 100%, для большинства даже значительно меньше 50%. ??меется в виду не рыночная доля, а доля вылавливаемых вирусов. Совместно разные антивирусы работать обычно не могут из-за конкуренции. Да и совместный охват тоже далёк от 100%.

Так почему же от антивирусов совсем нет толку?

Антивирусы появились в начале девяностых годов прошлого века как симметричный ответ хулиганам-вирусописателям. Автор вируса мог быть уверен, что его детище достаточно распространится и успеет причинить определённый вред, прежде чем это сумеют отследить, а саму вредоносную программу внести в антивирусную базу свежей редакции антивируса. Только после этого при сканировании свежей версией наличие заразы на компьютере всплывало и принимались меры.

Такая схема работы антивирусных баз аналогична щитам «их разыскивает милиция», на которых вывешивались фотографии непойманных преступников. Только вместо фотографий в базах находились так называемые сигнатуры – типа фотографии вредоносных программ. Пользователи при этом выглядели весьма гостеприимно и пускали в дом всех, чьих фотографий нет на этих щитах. А некоторые пользователи не пользовались щитами (антивирусами) вовсе и пускали в дом вообще всех подряд.

Если же кто-то из гостей оказывался злодеем и успевал насолить многим, его фотографию вешали на щит. Такая схема, в целом, неплохо работала, пока число «злодеев» было невелико, а скорость их перемещения ограничена…

Сейчас число «злодеев» резко увеличилось, а скорость их движения вообще стала огромной. Ботнеты – вообще огромный рынок, на котором работает немало профессионалов. Щиты с фотографиями разыскаваемых распухли и не успевают обновляться. На обновление досок стало уходить очень много ресурсов. Появились и конкурируют коммерческие агентства «розыска», каждое со своей стопкой фотографий преступников. Каждая из фирм обещает обеспечить безопасность, но, разумеется, не может…

Сейчас вместо базы «плохих» программ скорее следовало бы создавать базу «хороших» программ. Потому что пускать незнакомого человека в дом – небезопасно, даже если его фотография не висит на щите «их разыскивает милиция». Многие давно используют механизм цифровых подписей файлов, но он тоже не до конца отлажен, и его необходимость не все признают, хотя вышеприведённая аналогия с гостями весьма наглядна.

Когда большинство программ были полезными, а вирус/троян был исключением из правил – публикация «фотографий разыскиваемых» была весьма оправданным делом.

Сейчас же рынок вредоносного ПО развивается куда быстрее и динамичнее, чем рынок полезных программ. Неудивительно, что ни один разработчик антивируса не угонится за столь стремительным развитием. ?? сейчас впору вешать щиты с заголовком «их НЕ разыскивает милиция».

Поэтому повсеместное внедрение цифровых подписей – дело недалёкого будущего. Хотя, есть факторы, которые сдерживают это. К этим факторам можно отнести дырявость ПО и дырявость самих пользователей.

Когда люди начнут относиться к системе как к своему дому, укреплять его, заделывать дырки в стенах, ставить надёжные замки и не пускать посторонних – только тогда получится бороться с вредоносными программами.

А сейчас я только могу констатировать, что эффективность антивирусных программ стремительно падает, так как подход, который в большинстве из них используется, безнадёжно устарел.