PTT數位生活區 / AntiVirus (防毒)

[閒聊] 防毒軟體對資安的負面影響

看板AntiVirus (防毒)作者 (魯拉拉拉拉拉)時間9年前 (2017/06/01 20:33), 9年前編輯推噓6(6051)
留言57則, 9人參與, 最新討論串1/1
最近看到國外的相關討論,就把他們整理一下寫成一篇文章, Web版會有連結連到各文章 http://www.lulalala.com/wordpress/archives/3296 在 2016 年底的時候,Chrome 的資安總監 Justin Schuh 在推特上跟人筆戰。他提到「 防毒軟體是阻礙我研發安全的瀏覽器最大的障礙」,然後他隨手列出許多防毒軟體造成的 漏洞。這之後在 Hacker News 上引起很大的討論。 在 2017 年初,前 Mozilla 工程師 Robert O'callahan 也跳出來說他也碰過許多防毒 軟體的問題,所以他推薦已經升級到 Windows 10 的大家,不要再買防毒軟體了,移除他 們,使用 Windows 內建的就好。Robert 其實在 2012 年就曾經在 Mozilla 的公開討論 區提到防毒軟體的問題,不過那時 Mozilla 的公關要求他停止了,因為怕這會影響防毒 軟體公司跟他們的關係。 節錄兩位工程師提到的問題: 替換掉系統DLL,但是卻換成一個比較不安全的版本,如關閉 ASLR。 把不安全的格式處理碼注入系統核心 防毒軟體自己通常要求要在系統最高層級執行,反而成為一個容易攻擊的目標,以取 得最高存取權。 防毒軟體公司的員工能力不足,常寫出有漏洞的程式。比如先前趨勢科技的密碼管理 工具才被爆出能做出遠端執行程式的漏洞。 常常發生把瀏覽器搞掛的事情。 讓瀏覽器無法更新。 在攔截 https/hsts 封包時反而把其搞掛 有趣的是,兩人都推薦 Windows 內建的防毒軟體,因為依照瀏覽器的紀錄,只有這款沒 出現什麼問題。感覺他們是希望有款比較沒有侵略性的防毒軟體。依照 Justin 自己在另 一篇文章的說法,防毒軟體已經是資安的最後一道關卡,軟體產業應該注重於更早期避免 問題的產生,比如說在產品設計階段就以資安為考量,而不是最後讓消費者感染後才來偵 測以及治療。 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 111.243.91.156 ※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1496320407.A.79C.html
06/01 20:56, , 1F
防毒軟體會被列為攻擊對象是因為"不弄死它會很麻煩吧"
06/01 20:56, 1F
06/01 20:57, , 2F
把瀏覽器搞掛的情況可以分成不少吧(擴充或是內建)
06/01 20:57, 2F
06/01 20:58, , 3F
以上內容並不試用於隨時讓自己暴露在危險中的使用者
06/01 20:58, 3F
這說的是沒錯, 我想兩位工程師還是想呼籲防毒軟體公司底子再加強些
06/01 20:59, , 4F
至於出現漏洞喔...這個其實有點微妙,畢竟只要是程式就
06/01 20:59, 4F
06/01 21:00, , 5F
可能會有洞,而公司可以做到的頂多是加強釋出前的驗證
06/01 21:00, 5F
06/01 21:02, , 6F
可是即便像Windows Update的更新檔都號稱有先在沙盒中
06/01 21:02, 6F
06/01 21:02, , 7F
測試後才釋出的東西都會有bug了
06/01 21:02, 7F
06/01 21:03, , 8F
然後,其實防毒軟體的某些技術做得正是本文最後一句話
06/01 21:03, 8F
06/01 21:05, , 9F
以前avast剛發展https流量掃描的時候曾經遇過一次https網
06/01 21:05, 9F
06/01 21:05, , 10F
站都不能上
06/01 21:05, 10F
06/01 21:05, , 11F
希望在進到系統前可以做出對應
06/01 21:05, 11F
06/01 21:06, , 12F
而且沒有侵略性可能也意味著它對於潛在或是未知威脅的
06/01 21:06, 12F
06/01 21:07, , 13F
對應能力不會很強力(如WD其實也能一定程度擋下某些新型
06/01 21:07, 13F
06/01 21:07, , 14F
惡意程式,但是限定在某些情況下才強制出手)
06/01 21:07, 14F
06/01 21:24, , 15F
好笑的是 自己家的軟體有漏洞 卻要別人不要裝
06/01 21:24, 15F
Chrome應該是比許多防毒軟體嚴謹很多才是, 我想自己有漏洞是誰都會有的事, 但是說是防毒軟體卻把瀏覽器加強資安的措施蓋掉便是十分諷刺。 ※ 編輯: lulalalalala (111.243.91.156), 06/01/2017 23:22:37
06/01 23:28, , 16F
防毒大廠就算有洞也會立刻補起來 不可能自己破壞商譽
06/01 23:28, 16F
06/01 23:53, , 17F
其實不只Google/Mozilla的工程師這麼說
06/01 23:53, 17F
06/01 23:54, , 18F
許多研究資安問題的機構也都這麼說 在他們看來
06/01 23:54, 18F
06/01 23:54, , 19F
有些防毒的開發者反而沒有基本的安全觀念
06/01 23:54, 19F
06/01 23:54, , 20F
他們的設計反而增加了系統被病毒攻擊的介面
06/01 23:54, 20F
06/01 23:54, , 21F
而且很糟糕的是 由於這些防毒軟體運作在系統的核心
06/01 23:54, 21F
06/01 23:54, , 22F
一旦被利用 就會造成無可阻擋的破壞
06/01 23:54, 22F
06/01 23:55, , 23F
我們一般可能沒有注意防毒軟體本身也有漏洞的新聞
06/01 23:55, 23F
06/01 23:55, , 24F
其實許多資安機構和組織包括Google Project Zero
06/01 23:55, 24F
06/01 23:55, , 25F
每年都在發現防毒軟體的嚴重漏洞
06/01 23:55, 25F
06/01 23:55, , 26F
這些漏洞使得系統本身的安全設計形同虛設
06/01 23:55, 26F
06/01 23:56, , 27F
比沒有安裝防毒的情況更加慘烈
06/01 23:56, 27F
06/01 23:56, , 28F
和我們一般印象相反的是
06/01 23:56, 28F
06/01 23:56, , 29F
這些資安專家認為Windows10系統本身的安全性設計
06/01 23:56, 29F
06/01 23:56, , 30F
已經足以緩解大部分的漏洞攻擊
06/01 23:56, 30F
06/01 23:56, , 31F
可是不安全的防毒軟體設計反而製造了更多病毒利用的管道
06/01 23:56, 31F
06/01 23:56, , 32F
譬如說系統本身的AppContainer的沙箱設計非常難以攻破
06/01 23:56, 32F
06/01 23:57, , 33F
但是利用防毒軟體的漏洞 病毒反而可以輕鬆從沙箱逃逸
06/01 23:57, 33F
06/01 23:57, , 34F
這個結果和我們一般的印象完全相反 所以可能讓人無法接受
06/01 23:57, 34F
06/01 23:57, , 35F
但是這是真的 系統本身的安全設計反而是最堅固的
06/01 23:57, 35F
06/01 23:57, , 36F
所以Chrome的沙箱設計理念的第一條就是「不要自己造輪子」
06/01 23:57, 36F
06/01 23:57, , 37F
你要設計安全軟體 就用系統本身提供的安全架構和功能就好
06/01 23:57, 37F
06/01 23:57, , 38F
不要自己發明和設計另一套漏洞百出的安全系統
06/01 23:57, 38F
06/01 23:58, , 39F
所有軟體都是基於系統 仰賴系統提供的功能而運作的
06/01 23:58, 39F
06/01 23:58, , 40F
沒有會比系統本身的安全架構更堅固的設計
06/01 23:58, 40F
06/01 23:58, , 41F
所以Google才會認為「不要疊床架屋」自己設計輪子
06/01 23:58, 41F
06/01 23:58, , 42F
然而隨著Windows本身的安全性越來越好
06/01 23:58, 42F
06/01 23:58, , 43F
防毒軟體的地位就會變得越來越尷尬
06/01 23:58, 43F
06/01 23:59, , 44F
前一陣子才發生卡巴斯基怒嗆微軟壟斷防毒市場的新聞
06/01 23:59, 44F
06/01 23:59, , 45F
防毒市場因為以前的Windows不安全 已經發展了很多年
06/01 23:59, 45F
06/01 23:59, , 46F
結果現在微軟反而認為防毒是累贅 經常衝突製造系統的不穩
06/01 23:59, 46F
06/02 00:00, , 47F
所以想要逐步限制第三方的防毒軟體
06/02 00:00, 47F
06/02 00:00, , 48F
這樣廠商生存不下去當然要抗議
06/02 00:00, 48F
06/02 02:32, , 49F
MPE在5月已經出了兩次問題,加上之前延後發佈OS整合修補檔
06/02 02:32, 49F
06/02 02:34, , 50F
這件事。不覺得MS有甚麼臉去檢討第三方防毒軟體。
06/02 02:34, 50F
06/02 05:33, , 51F
沒說錯,所有的系統與防護都是有漏洞的,搭配的好
06/02 05:33, 51F
06/02 05:33, , 52F
才能創造綜效,否則只是互扯後腿
06/02 05:33, 52F
06/02 06:10, , 53F
其實不是 Chrome 嚴謹,而是 Chrome 根本不讓你用某些功
06/02 06:10, 53F
06/02 06:11, , 54F
能,結果它自己卻也講別人
06/02 06:11, 54F
06/02 09:21, , 55F
呵呵瀏覽器插件造成的首頁與間諜軟體綁架多的很
06/02 09:21, 55F
06/02 09:22, , 56F
怎不先檢討這些機制
06/02 09:22, 56F
06/02 13:43, , 57F
其實自動更新的軟體都有風險 一旦server被駭 鐵定死一堆人
06/02 13:43, 57F
更多 lulalalalala 的文章
文章代碼(AID): #1PC0cNUS (AntiVirus)
AntiVirus 近期熱門文章
更多 近期熱門文章 >>
PTT數位生活區 即時熱門文章
更多 即時熱門文章 >>
更多 lulalalalala 的文章
文章代碼(AID): #1PC0cNUS (AntiVirus)