Пытаясь продвинуть свое программное обеспечение, продавцы новых программных продуктов порой передергивают и даже подтасовывают факты, а порой и вовсе оказывают психологическое давление на потенциального покупателя. О том как не поддаваться на трюки продавцов софта – старший аналитик компании «Доктор Веб» в новой колонке на «Полит.ру».
В мире существует две бесконечности — бесконечная вселенная и бесконечная жажда халявы.
Цитата из Интернета
Бесплатный сыр бывает только в мышеловке, но и за него кто-то заплатил при покупке.
Афоризм
«Уж сколько раз твердили миру…, но только все не впрок». Гениальные слова, которые постоянно приходят на ум, когда просматриваешь обращения в техническую поддержку или читаешь форумы. Всем не хочется переплачивать, а по возможности — не хочется платить вообще. Желание понятное, но почему-то при виде лозунгов типа «20 процентов бесплатно!», «Распродажа!», «Новогодние скидки!» и аналогичных способность думать выключается автоматически.
Все это была присказка. Собственно, причиной написания статьи послужила одна книга, рекламирующая бесплатные продукты. Ничего против бесплатности я лично не имею, но поскольку по роду деятельности занимаюсь безопасностью — решил в нее заглянуть...
Сначала я хотел написать рецензию, но потом передумал. Суть в том, что использованные в книге методы аргументации типичны. Я встречал их неоднократно, поэтому пусть книга останется безымянной, но послужит источником «типовых» цитат для разбора. Орфографию и пунктуацию в цитатах оставим без изменений.
Как говорится, дисклеймер. Автор ничего не имеет против бесплатных программ в целом. Более того сам использует бесплатные программы. Статья направлена не против конкретных программ — многие из рекомендуемых приложений автору знакомы не понаслышке и заявленные функции выполняют. Статья направлена против методов продвижения, умолчаний и прямой подтасовки. Именно поэтому ни одного названия программы вы здесь не встретите.
«За один только 2008 год было обнаружено уже 15 миллионов (вредоносных программ — В.М.), а в 2009 году, страшно даже представить, почти 34 миллиона. При таком росте «вредоносов» не за горами критическая временная точка, когда компьютер просто «захлебнётся», его вычислительных ресурсов просто не хватит для работы антивирусной программы, использующей сигнатурный анализ».
Это — подмена понятий и давление на эмоции. Да, рост вредоносных программ страшный (кому интересно – live.drweb.com в помощь), но:
-
ни на одном компьютере пользователя все эти миллионы не будут обрабатываться. Сколько вы скачивали файлов из Интернета год назад, столько же примерно и будете скачивать. Количество проверяемых файлов соответственно возрастет не сильно;
-
на данный момент не существует сигнатурных антивирусов (то есть обнаруживающих вредоносные файлы по характерным кускам кода — сигнатурам). Все они вымерли на рубеже веков, когда появились полиморфные вирусы, ни имеющие постоянных сигнатур: их тело создавалось заново при каждом запуске. Опять же, над антивирусами работают профессионалы. Если в базе три с половиной миллиона записей, не нужно перебирать их все — существуют методы минимизации пути до нужной записи (подробнее — в теориях баз данных; если, скажем, искать персональную информацию в базе данных населения страны перебором, то можно не дождаться конца поиска, а так — информация выдается почти мгновенно);
-
достаточно часто десятки, сотни и тысячи вредоносных программ обнаруживаются по одной записи, либо с помощью эвристического механизма (о нем ниже).
Так что все не так страшно.
«Лет через пять вирусная база любой традиционной антивирусной программы будет занимать объём около 1 гигабайта! Каждый раз при обновлении вирусной базы (а это у хорошей антивирусной программы происходит 3 – 4 раза в день) нужно будет скачивать сотни мегабайт новых антивирусных синатур!»
Ну, во–первых, нормальные антивирусные программы обновляются раз в час, а то и чаще. Цифры прогноза, конечно, потрясают, вот только взяты они с потолка. Сейчас обновления измеряются килобайтами в день. Кто-то замечает, как ему ежедневно в 12 приемов приходит, скажем, с запасом полмегабайта?
Зачем эти страшилки? «Как Вы понимаете, дальнейшее развитие традиционных антивирусных программ – это тупик. Выходом из этой тупиковой ситуации является использование для защиты компьютера «облачных» антивирусных сервисов».
Облачные сервисы действительно имеют много плюсов. Облака, как ни крути — это модно. И, конечно, облака — это безопасно. Это все знают. Посмотрим на аргументацию?
«Как это работает? Облачный антивирус состоит из двух частей – клиентской и серверной. Клиентская часть установлена на компьютере пользователя и имеет минимальный размер. Эта часть содержит движок. Движок сканирует данные и отправляет для анализа, причём не сами файлы, а лишь контрольные суммы файлов (так называемый хеш) на сервер. На сервере (а не на компьютере пользователя!) содержится база синатур (вирусная база). Сервер получив хеши файлов ищет аналоги в своей вирусной базе. Если вредоносные программы будут обнаружены, то сервер отправляет на компьютер пользователя скрипты (специальные команды) при выполнении которых компьютер очищается от “зловредов”».
Почти верно. Для проверяемого файла считается контрольная сумма, уникальная для каждого файла, и это число (именно число, не файл) передается на сервер. А вот далее интереснее. Файл на сервер не передается (кто-то пугал нас размером обновления, страшно представить, что все ваши файлы будут отсылаться на удаленный сервер. Да и вряд ли вы обрадуетесь, если ваши персональные файлы будут путешествовать по Интернету). Сервер — не шаман. По контрольной сумме определить, есть вирус в некоем недоступном для него файле, он не может. Он может только сравнить ее с ранее пришедшими контрольными суммами. Вирусная база для этого не нужна. Если контрольной суммы в базе нет, то, чтобы узнать, есть вирус или нет, проверка проводится на компьютере пользователя. Таким образом, процедура на самом деле примерно такова: подсчет контрольной суммы на локальном компьютере — отсылка ее на удаленный сервер, сравнение по базе с ранее полученными суммами — ответ на локальный компьютер — проверка на вирусы, если в базе суммы не нашлось. Мало кто знает, что контрольные суммы считались и ранее, и компьютер не проверял файлы, которые не изменились. С переходом в облака к этой процедуре добавилось еще время на отсылку и на ожидание ответа.
Ну и не забываем, что при каждом обновлении ваших программ (а это нужно делать, чтобы вирусы не лезли через уязвимости) контрольные суммы надо пересчитывать. Но это не страшно.
Интереснее другое. Не все вирусы известны антивирусу в любой момент времени. Путь от хакера до заражения куда короче пути «хакер — заражение — получение вредоносной программы антивирусной компанией — выпуск обновления — получение обновления пользователем». Поэтому ране обсчитанные и признанные чистыми файлы нужно перепроверить и пересчитать для них все контрольные суммы. Мало ли что. Напомним: обновления идут раз в час.
По сути, облако — это знание миллиона «леммингов» о том, что некий файл, присутствующий у большинства, их антивирусы признали чистым. Предположим, что кто-то получил обновления первым, перепроверил файлы и полез в облако с воплем: «У меня там вирус!» Что он получит в ответ? Правильно. «Не гоношись, миллион леммингов не может ошибаться». А тем временем на увод всех денег с банковского счета по статистике требуется всего от одной до трех минут.
Так может, антивирусные производители, не загоняющие своих пользователей пинками в облака, не так уж и не правы?
Кстати, к слову. Передача данных в облака должна быть безопасной — вы же не хотите, чтобы хакеры на лету подменяли передаваемые данные? Поэтому должно использоваться нечто типа средств шифрования или защищенного канала. И то, и другое дополнительно подтормаживает процесс передачи (на шифрование, как и на знакомый каждому процесс упаковки в архив, требуется время). А реалии России требуют при использовании средств шифрования от каждого самостоятельно их использующего получения специальной лицензии на работу с криптографическими средствами. Закон суров, но вы когда-нибудь слышали о пользователе, получившем такую лицензию?
Далее:
«Итак, использование «облачного» антивируса:
2. Даёт возможность не обновлять вирусную базу (она находится на сервере)».
Это мы уже разобрали — вирусные базы должны находиться на локальном компьютере. В противном случае при обрыве связи с сетью Интернет или только с серверами обновлений компьютер останется без защиты.
«3. Обеспечивает наилучшую защиту, основанную на так называемом «коллективном разуме». Миллионы компьютеров, подключённых к «облачному» антивирусному сервису, ежесекундно отправляют информацию на сервис о новых угрозах для автоматического обнаружения и классификации новых видов вредоносных программ».
Оооо! Выше было сказано, что на локальном компьютере баз нет. Откуда же на нем узнают, есть ли в файле вирус? В антивирусе находится искусственный интеллект с квалификацией вирусного аналитика способный не только распознать новую, отсутствующую в базах, угрозу, но и классифицировать ее? Иначе объяснить данные сведения я не могу. Почему это замалчивают средства массовой информации? Где комитет по защите прав искусственного интеллекта?
«Как бы, не был хорош антивирус..., всегда есть угроза всё-таки пропустить на компьютер какого-нибудь «представителя» вредоносного ПО. Снизить угрозу можно установив на
компьютер вторую антивирусную программу которая не будет конфликтовать с основной».
Одна программа не справилась — ставим вторую и надеемся, что они не полезут драться друг с другом, попытавшись получить доступ к одному файлу одновременно. Опять же, вместо одной проверки файл проверяется теперь два раза. Кто-то надеется, что время ожидания открытия файла от этого сократится?
«В xxx используется yyy-движок с эвристическим анализатором».
А мужики-то и не знали! Во всех антивирусах, кроме, может, лжеантивирусов (http://ru.wikipedia.org/wiki/Лжеантивирус) используются эвристические анализаторы. Они нужны для обнаружения вредоносных программ, еще не поступивших на анализ вирусным аналитикам, но похожих по поведению на изученные ранее. Судя по всему, больше, чем стандартной с прошлого века возможностью, похвастаться нечем.
«При тестировании xxx обнаружил целых 84 (по другим данным почти 100 — В.М.) шпиона, трояна и т.д. которые пропустил установленный на тестируемом компьютере антивирус».
Типичный подход к рекламе. Сотня обнаружена, а сколько было всего? Каков процент обнаружения? И вирусы ли это были? Может, вирусами были объявлены «чистые» файлы? Ложное срабатывание — это ошибочное детектирование программами файла или сайта, не содержащего вредоносного кода. Явление редкое, но встречается. Особенно при задранном под потолок уровне параноидальности эвристического механизма.
«4. Ещё одним из обязательных приложений безопасности, которое необходимо иметь на компьютере является, так называемая, антишпионская программа».
Еще один великолепный миф. Почему-то считается, что антивирус ловит исключительно вирусы. Другие типы вредоносных программ должны ловить иные программы — anti-malware, anti-spyware, антируткиты. Вот только «антитроянов» я почему-то не видел. Видимо, ловить их не нужно?
На самом деле антивирусы ловят все! И вирусы, и троянцев, и шпионское ПО, и… В общем, все, что может нанести вред компьютеру. Не нужно ставить третий и четвертый антивирус.
«Шпионское программное обеспечение (spyware) - это программы - шпионы, которые незаметно для вас размещаются на вашем же компьютере, чтобы контролировать и сообщать о действиях пользователя. Они стали, настоящим бичом Интернета».
Бич Интернета — это троянские программы для воровства денег с ваших счетов. Вот от чего реально сложно защититься и где крутятся деньги!
«Рассмотрим лучшую, на мой взгляд, программу Spyware zzz. Она имеет резидентный монитор, который в реальном времени проводит мониторинг системы и предотвращает попытки проникновения на компьютер вредоносного программного обеспечения. Имеющийся в программе сканер поможет отыскать и поместить в "каратин" или удалить уже внедренные объекты. В программу также включен модуль защиты от вирусов (ClamAV)».
Как и предполагалось — третий антивирус.
«Кроме того работает эта программа очень быстро и не тормозит работу системы».
Одна работает быстро, вторая — быстро, третья — тоже быстро. Вот только почему-то чем меньше размер вирусной базы (количество знаний о вирусах), тем быстрее поиск по ней. Может, прежде чем говорить о скорости работы, взглянем на количество записей в вирусной базе?
«Последняя волна заражения компьютеров троянцами-вымогателями, требующими для разблокировки входа в систему отправить мошенникам платное СМС-сообщение, происходило при попытке закрыть порнобаннер. Нажимая на крестик закрытия окна, пользователи запускают установку троянца на компьютер. Существует возможность блокировки баннеров. Это можно сделать настройкой браузера. Но самый простой способ, особенно для простых пользователей, которым некогда разбираться с настройками, это установить замечательную бесплатную программу ... Программа блокирует большую часть порно-рекламы и рекламы сайтов сомнительного содержания. Программа не требует дополнительных настроек».
Может, не нужен четвертый антивирус? Борьба с троянцами — дело антивирусной программы. Часть потока, конечно, можно перекрыть блокировкой всплывающих окон, но не все. Далеко не все.
«Отличным инструментом защиты Вашего компьютера является «облачный» сервис ... Сервис автоматически блокирует сайты содержащие вирусы, угрозы безопасности. Также блокируются фишинговые сайты».
В каждом нормальном антивирусе есть фильтрация интернет-ресурсов по черным и белым спискам. У внешних DNS-сервисов есть своя ниша — например, защита компьютеров и мобильных устройств, на которые по тем или иным причинам поставить антивирус нельзя. Но почему-то мне кажется, что компьютер, на который уже взгромоздили четыре антивируса, к таким не относится.
«На сегодняшний день это единственный в России (аналогов в мире много) бесплатный «облачный» сервис фильтрации Интернета».
Не единственный. Но не будем запускать рекламу, тем более, что абзацем ниже описывается практически полный аналог.
«Родителям, которые пекутся о моральном здоровье своих детей, настоятельно рекомендую установить программу ... В отличие от сервиса ... DNS, который работает по принципу ”НЕ ПУСКАТЬ пользователя на известные сервису ОПАСНЫЕ и ВРЕДОНОСНЫЕ сайты”, программа ... работает по другому принципу – ”ПУСКАТЬ пользователя только на известные БЕЗОПАСНЫЕ сайты”».
В одной программе использовались черные списки, чтобы не пускать по ним, во второй — просто прописали список известных сайтов, признанных нормальными.
«Седьмой составляющей частью комплексной защиты рекомендую установить уникальную программу ... Программа ... – это не антивирусная программа, не антишпион в его классическом виде, не брандмауэр. ... позволяет контролировать установку программ и предупреждает о попытках внедрения вредоносных программ. ... контролирует особо важные системные области – область загрузки, системные файлы, реестр. Именно эти области обычно и изменяются вредоносными программами».
Э… А антивирус что делает? Тоже ведь контролирует опасные места (по этому же списку) и предотвращает попытки внедрения, если кто-то неразрешенный пытается эти области изменить.
«Ну и последним кирпичиком в нашей комплексной защите является исключительно полезная утилита... В ходе работ разработчик решил сделать алгоритм выявления вредоносных программ более универсальным. И ему это удалось!»
Итого — 8 программ и утилит, выполняющих роль антивируса. Кто-то хотел сделать так, чтобы все работало и не тормозило? Советы перед вами. Может, не нужно мучиться и стоит просто поставить антивирус?
Глупо скрывать, что целью любой компании является прибыль. Хотя бы потому, что сотрудникам иногда хочется кушать. А по возможности — кушать вкусно. Да, бывают продажи себе в убыток, но обычно это разовые акции с целью очистки склада, смены рода деятельности или вытеснения конкурента с рынка. Спонсоров для коммерческих компаний, позволяющих им долго жить в убыток, почему-то в избытке не наблюдается. Для интереса прикинем. Вирусных аналитиков по нынешним временам много не бывает. В компанию, разрабатывающую антивирус, их нужно минимум десятка два. И студентами тут не обойдешься — нужны высокооплачиваемые профессионалы. И малую зарплату им не положишь — переманят мгновенно: на рынке на них голод. Но антивирусное ядро написать мало. Нужно написать саму программу (причем под кучу операционных систем), оттестировать на отсутствие проблем и совместимость с кучей программ, написать документиацию, сделать и поддерживать сайт. Нужны разработчики, тестировщики, техписатели, веб-дизайнеры. Бухгалтеры и менеджеры тоже нужны. Сколько получится народу? Минимум сотня. Загляните в Интернет на сайты поиска работы, посчитайте только зарплаты и умножьте их на три — налоги, аренда, закупка программ и компьютеров…
Автор гарантирует: за время написания статьи не пострадал никто, кроме поддавшихся на советы доброхотов.
