ВЯЧЕСЛАВ МЕДВЕДЕВ, ведущий аналитик отдела развития компании «Доктор Веб»

Dr.Web – мифы и легенды

Антивирусы – продукты, окутанные завесой таинственности. Вопрос, пишут ли антивирусники вирусы, возникает чуть ли не на каждой второй конференции. Задают такие вопросы и по продуктам Dr.Web

Но, как правило, такие вопросы задают пользователи иных продуктов, до того не использовавшие корпоративных или домашних решений нашей компании. Обиды тут никакой нет. Совсем другое дело, когда странные вещи об антивирусных решениях начинает рассказывать «независимый консультант, системный архитектор».

В 11-м номере «Системного администратора» за 2017 год была размещена статья «Обзор российских антивирусных систем». В анонсе статьи было сказано, что «в статье рассказывается о российских антивирусных продуктах. Читатель найдет здесь интересные нюансы, приятные и неприятные факты». Статья действительно получилась уникальная, невозможно этого не признать. Не будем касаться того, что было рассказано автором о решениях «Лаборатории Касперского», «Кода Безопасности» и «NANO Антивируса» – мы думаем, что о том, что написано об этих продуктах, лучше расскажут их разработчики.

Первый интересный факт встречается уже в третьем абзаце статьи:

Мы живем в эпоху всемирной глобализации, когда отдельный метод, алгоритм или технология, изобретенная где-то в одном месте, через непродолжительное время становится известной всей заинтересованной общественности. Причин для этого много: ...разработки стали более открытыми... специалисты свободно переходят из одной компании в другую, унося в своих головах идеи и наработки, а иногда и работают на несколько заказчиков одновременно как фрилансеры. Добавьте к этому тенденцию использовать услуги аутсорсинговых компаний из стран третьего мира.

Э-э-э – а это не воровство, случаем? Не за это ли сейчас страдает известный сервис Uber? Да, разработчики переходят из компании в компанию, но, если станет известно, что в некой компании стали использоваться наработки компании иной, компанию ждут проблемы. И зачастую весьма суровые – фактов подобного можно набрать куда больше, чем пальцев на руке, даже в истории российского программирования. А уж если идея защищена патентом, то и разработать аналог становится затруднительно.

И сразу об открытых разработках. Средства безопасности – мир весьма закрытый. И закрытым останется. Причина этому достаточно проста – узнав, как антивирус обнаруживает угрозы различного типа, куда проще их обойти. Естественно, есть реверс. Но вскрывать антивирусы могут далеко не все создатели вредоносных программ, да и занимает это время, за которое создатели антивируса успевают обновить методы защиты (просьба просто поверить тому, кто регулярно читает внутренние рассылки компании).

Поэтому хотелось бы к фразе:

Надо трезво отдавать себе отчет в том, что, когда какая-то компания, организация или отдельный человек заявляют, что только они только сейчас изобрели что-то «уникальное», «инновационное», «сверхзащищенное» и «не имеющее аналогов в мире», – это скорее всего не более чем старый рекламный трюк.

получить от «независимого консультанта и системного архитектора» некие доказательства с примерами. Скажем, разобрав и оспорив патенты антивирусных компаний. Конкуренты владельцев патентов будут благодарны.

Разумеется, бывают ситуации (я бы сказал, интересные совпадения), когда только что появившийся вирус один антивирус поймал, а другие не смог. Но через очень короткое время этот же вредоносный код будут регистрировать и «лечить» все остальные защитные системы. В следующий раз другое антивирусное ПО выловит новый вирус, когда все остальные аналогичные средства поначалу будут его игнорировать. Исходя из этого бессмысленно заявлять о превосходстве одного продукта над другими.

Ну, про «интересные совпадения» автор, видимо, намекает на то, что кто-то пишет вирусы сам и потому лучше всех пиарится. То есть автор бросает публичное обвинение в деянии, подпадающем под ст. 273 УК РФ – создание, использование и распространение вредоносных компьютерных программ. Как минимум часть 3 – «до семи лет».

Видимо, автор никогда не знал две вещи.

Во-первых, смысла создавать вредоносные программы нет. В день на анализ приходит до миллиона файлов, в базы добавляются сотни записей (можно посмотреть на updates.drweb.com). Вирусов, созданных в день, на порядки больше вирусов, описанных в новостях. Нет смысла делать за вирусописателей их работу.

А во-вторых, напомним автору его же слова о том, что разработчики переходят с работы на работу. И что за десятилетия существования антивирусной индустрии никто не проговорился о всемирном заговоре? Видимо, соответствующие разработчики уходят из компании только ногами вперед.

Поэтому в этой статье мы не будем говорить о бесподобных эвристических алгоритмах, хитрых разработках из «секретных военных лабораторий» и других захватывающих вещах.

Жаль. О «хитрых разработках из “секретных военных лабораторий”» мы бы и сами с удовольствием послушали. А вот, скажем, эвристические алгоритмы Dr.Web позволили сходу обнаруживать WannaCry, пока о нем не было никакой информации в антивирусных базах. Мы бы не сказали, что это бесподобно. Обычная рутинная поимка вредоносного комплекса, по ряду причин засветившегося во многих мировых СМИ.

Мало того, если этот самый «сверхмощный» и «гениальный» антивирусный комплект не дает работать (и зарабатывать деньги, чтобы оправдать его приобретение), то его нужно просто выбросить и поставить другой, который не мешает основной хозяйственной деятельности.

Отличное заявление от «независимого консультанта и системного архитектора»! Антивирус не должен мешать работать – кто бы спорил. А защищать он не должен, случаем? И самое грустное, что пользователи следуют рекомендациям таких «экспертов». Устанавливают антивирусы с пустыми антивирусными базами (но быстрыми и шустрыми, не мешающими работать), отключают антивирус сразу после установки, ставят в исключения диск C или используемые программы, отключают защиту от внедрения в процессы (защиту целостности). А потом оказываются в техподдержке с просьбой расшифровать. А эксперты продолжают рекомендовать.

Мы не утверждаем, что антивирус – это единственное возможное средство защиты. Естественно, нет. Для каждого риска можно подобрать разные методы защиты. Но и антивирус может то, что иные методы защиты делать не могут. Не предназначены. Но это тема иной статьи.

Удобство, нетребовательность к ресурсам, надежность – вот в такой последовательности стоит рассматривать приоритеты при работе с антивирусными системами.

Какие бы ни использовал антивирус технологии, стоит он на антивирусных базах. Вне зависимости от вендора запись с информацией от вредоносной программы (для простоты мы не говорим о методах лечения) будет примерно одинакова у всех. Чудес нет. Соответственно, размер антивирусной базы прямо пропорционален знанию о вредоносных программах. И здесь есть два варианта – всего два! Или держать всю антивирусную базу в памяти – тогда все будет отрабатывать быстро и работать приемлемо даже при наличии не очень мощных компьютеров. Но потребует не менее 512 Мб памяти. Или размещать базу на диске и подсасывать записи по мере необходимости. Тогда памяти потребуется меньше. Но нужен будет быстрый компьютер.

Чудес не бывает, вредоносных программ создано немыслимое количество. Одних шифровальщиков в день создается несколько десятков. Из космического эфира подтягивать на лету записи пока не научились. Поэтому увы и ах. Нужна защита – на это потребуется потратить ресурсы. Не будем лукавить и скажем честно.

Ну а кому важна стоимость и ресурсоемкость вместо защиты... Их данные, им их и защищать.

Пропустив «интересные» факты о «Лаборатории Касперского», перейдем к продуктам «Доктор Веб».

В 2015 году была выпущена версия Dr.Web Katana, которая сочетается с уже установленным антивирусом другого производителя. До этого одним из развлечений сисадминов была установка сразу двух антивирусов, чтобы понаблюдать, кто кого победит. До конца схватки обычно не доживал никто, потому что первой умирала операционная система.

По пунктам:

1. Не Dr.Web Katana, а Dr.Web KATANA. Это аббревиатура.
2. Dr.Web KATANA – это не название версии антивируса. Это отдельный продукт, обеспечивающий защиту от неизвестных пока антивирусным компаниям угроз. Dr.Web KATANA построена на основе превентивных механизмов анализа. Продукт, в частности, анализирует запущенные процессы на совпадение их поведения с известными шаблонами.
3. Dr.Web KATANA не имеет антивирусных баз. Они ей не нужны, так как продукт предназначен для защиты от неизвестных угроз. Поэтому в нем нет файлового монитора, а значит, и нет конфликтов с иными антивирусами.
4. Не знаю, откуда упомянутые сисадмины брали дистрибутивы для битвы антивирусов, так как уже достаточно давно ведущие антивирусы при установке проверяют наличие иных решений и для продолжения установки требуют их удалить.
5. У автора данной статьи стояло как-то три антивируса – от «Лаборатории Касперского», «Доктора Веб» и Eset. Все работало, за исключением IE. В другой раз в ходе сравнения «легких» антивирусов на одну машину было поставлено их штук 20, поскольку было априори понятно, что они ничего не ловят. И ничего, тоже все работало.

Скажем так, не очень много продуктов Dr.Web сертифицировано ФСТЭК, хотя один – это лучше, чем ничего.

В этой цитате замечательно то, что компания «Доктор Веб» сертифицировала не продукт. Dr.Web Enterprise Security Suite – это название корпоративной продуктовой линейки. То есть у компании сертифицированы все корпоративные продукты, а не отдельные решения, как у иных вендоров. Да, это дорого, но в результате этого решения наши клиенты могут не ограничивать себя в выборе защищаемых систем.

Теперь проверим в реестре российского ПО...

• Dr.Web Security Space
• Dr.Web Desktop Security Suite
• Dr.Web Server Security Suite
• Dr.Web Антивирус
• Dr.Web AV-Desk
• Dr.Web Cureit!
• Dr.Web KATANA
• Dr.Web CureNet!
• Dr.Web Mobile Security Suite
• Dr.Web Mail Security Suite
• Dr.Web Gateway Security Suite
• Dr.Web Enterprise Security Suite

Как видим, только продукт Dr.Web Enterprise Security Suite можно смело устанавливать на российские компьютеры.

Вот интересно, откуда такой вывод? Наличие в реестре любого из вышеперечисленных продуктов – разрешение на их использование.

И, кстати, Dr.Web Desktop Security Suite, Dr.Web Server Security Suite, Dr.Web Mail Security Suite, Dr.Web Gateway Security Suite и Dr.Web Mobile Security Suite – это тоже не продукты, а продуктовые группы, входящие в продуктовую линейку Dr.Web Enterprise Security Suite.

стоит отметить... антивирусный сканер Cureit. Она распространяется как отдельный продукт для установки, так и в виде LiveCD, LiveUSB для загрузки со стороннего носителя...

Опять по пунктам

• Не Cureit, а CureIt!
• Утилита Dr.Web Cureit! не требует как таковой установки, запускаясь с ходу – в отличие от иных решений.
• И LiveCD, и LiveUSB уже не существуют в продуктовой линейке Dr.Web. Текущее наименование решения – Dr.Web LiveDisk. Хотя по-прежнему Dr.Web LiveDisk может быть записан и на CD и USB.

Оказывается, письмо, адресованное мне, с триальным ключом и ссылкой для скачивания почему-то попало в спам. Разумеется, ошибки могут случаться везде, но все-таки компания – эксперт в области ИБ, и в том числе спам-фильтров, должна навести порядок в своей собственной инфраструктуре.

Не, мы, конечно, круты, спасибо на добром слове. Но почему, если письмо попало в спам-фильтр (кстати, даже не указано какой) на машине автора статьи, мы должны навести порядок в своей инфраструктуре?

…так и не получилось запустить тестовую версию. Версия Dr.Web Enterprise Security Suite для скачивания оказалась недоступной, для Dr.Web Katana нужен лицензионный файл, которого у меня не было. Снова общаться с представителями Dr.Web не было никакого желания... Еще раз напомню, что ПО для обеспечения безопасности – вещь, которая носит сугубо вспомогательный характер и не должна по пустякам отнимать время и силы у персонала ИТ-подразделений.

• Попытка скачать и установить по одной ссылке все до одного продукты продуктовой линейки – это подвиг. Мы даже не сомневаемся, что он должен был провалиться.
• Автор, не читая документацию и даже не выяснив названия продукта, который он хочет установить, ринулся в бой. Dr.Web KATANA – часть продуктовой группы Dr.Web Desktop Security Suite, которая в свою очередь является частью Dr.Web Enterprise Security Suite. По чистой логике автор статьи имел возможность скачать Dr.Web KATANA. К нам какие претензии?

• Мы также считаем, что наши продукты не должны отнимать время пользователей, поэтому в упомянутом письме все расписано (два скриншота).

• Антивирус не знает, какие документы он должен защищать, какие программы работают на компьютере пользователя и к каким ресурсам нужен доступ. Поэтому после установки системный администратор должен настроить соответствующие разделы. А если он решает не читать документацию и оставить доступ к сети Интернет без ограничений? Ну, можно и так, но тогда просьба без критики.

Меня очень привлек раздел «Мифы о Dr.Web». То есть если сам производитель публикует ответы на сомнительные вопросы, то определенные предпосылки для этого все-таки были? Иначе, зачем об этом писать?

Действительно, зачем?

1. https://antifraud.drweb.ru/av_myths/?lng=ru

Комментарии могут оставлять только зарегистрированные пользователи