¿Son eficaces los antivirus basados en firmas o antimalware?

Yo diría que los sistemas de seguridad basados en Anti-Virus / Ani-Malware y otros black-list tienen las siguientes deficiencias graves:

1. No pueden proteger contra amenazas nuevas (pero no listadas) como vulnerabilidades de día cero
2. Proporcionan un falso sentido de seguridad
3. Sus archivos de firmas son sin consolidar en tamaño y siempre siguen creciendo
4. Debido a 3. se convierten en más y más exigentes en los recursos (memoria, CPU, etc.) a lo largo del tiempo

Por el contrario, los sistemas de seguridad basados en white-list que permiten lo que se conoce, rutinarios y seguros, al mismo tiempo que lo rechazan (con una opción para preguntar al usuario si debe permitirlo). ahora en adelante) todo lo demás, son mucho más sostenibles, efectivos, eficientes y realmente seguros.

Esto no es solo mi opinión, es un principio en el que muchos expertos de seguridad prominentes están de acuerdo. Consulte, por ejemplo, Este artículo de WiReD

[Actualización: 2014-07-29]

Pero empeora: imagina una aplicación monolítica grande y compleja que se ejecuta en tu computadora con los privilegios más altos. Intercepta muchas llamadas al sistema y, a veces, cambia su semántica, instala los controladores del kernel en las actualizaciones, emplea un filtro de paquetes que detecta todo lo que ingresa y trata de controlar todo lo que su computadora puede o no puede hacer. Lo que acabo de describir es la esencia del software AV. Esto es exactamente lo que la mayoría de ellos hacen. El resultado es que el software AV típico aumenta dramáticamente su superficie de vulnerabilidad de ataque. De hecho, el malware moderno a menudo busca vulnerabilidades de software AV para explotar (consulte esta referencia por ejemplo ). Esta es la razón por la que muchos expertos en seguridad consideran que los programas AV son los virus más grandes jamás inventados.

¿Qué yo personalmente usaría en su lugar?

Una combinación de protecciones basadas en listas blancas, en muchas capas. Cuando uno falla, los otros pueden tener éxito:

1. Los cortafuegos solo permiten lo que se conoce y está diseñado para que se permita
2. Sistemas de escáneres de registros, cableado de viaje, firma de archivos (detección de intrusiones, basados en anomalías)
3. Cajas de arena, máquinas virtuales alrededor de software más vulnerables como los navegadores
4. Un sistema operativo reforzado que protege contra la ejecución de datos, admite la carga aleatoria de direcciones, realiza verificaciones en tiempo de ejecución como la verificación de parámetros de llamadas al sistema, etc.
5. Conexiones seguras y encriptadas como las que proporciona ssh
6. Un entorno que permite ver el código fuente del software instalado y compilar desde esa fuente o al menos descargar paquetes de un número pequeño de reputable fuentes en lugar de una gran cantidad de sitios aleatorios.
7. Contraseñas seguras o mejores frases largas, un buen administrador de contraseñas, autenticación de dos factores

No hay bala de plata. La seguridad es un área compleja afectada por muchos factores. Uno puede usar los principios anteriores (y más) para aumentar la seguridad, pero nunca se puede estar seguro de que esté 100% seguro, dada la complejidad del hardware, el software y la gran cantidad de posibles vectores de infección.

Un sistema de detección basado en firmas no puede ser la solución only , pero puede ser parte de la solución. De hecho, encontrará que muchos de los productos AV que tienen detección de comportamiento y detección heurística también emplean detección basada en firmas. Es simple, es rápido, las posibilidades de falsos positivos son muy bajas. Pero las posibilidades de falsos negativos son altas, y ciertamente fracasas contra nuevos ataques.

Por favor, mire estos videos en securitytube

• enlace
• enlace

que demuestra lo fácil que es evitar la detección de antivirus. El antivirus basado en firmas debe seguir vivo, pero si quieren ganarse la vida no será suficiente limitándose a la detección basada en firmas.

Usted tiene herramientas automatizadas que pueden usar para disimular su malware, lo que hace que no sea un problema distribuir un malware que el antivirus no detectará.

También tiene los desafíos de Código polimórfico que hace que la verificación basada en firmas sea aún más difícil. La batalla no se pierde, pero es mucho más difícil de bloquear con una firma hoy que hace 10 años.

Se perdió cuando alguien como tu madre pudo perder su identidad y sus tarjetas de pago por fraude.

Yo diría que no, los antivirus y antimalware han sido muy ineficaces desde el desbordamiento de búfer de Windows en 1999. En 2010, están agregando combustible al fuego y hacen que los sistemas sean más inseguros, y no solo porque Proporcionar una falsa sensación de seguridad. Están siendo atacados de forma activa y utilizados como rootkits o puntos de entrada.

Depende de lo que entiendas por efectivo. Este método solo notaría virus conocidos. Pero si se conoce un virus, también es seguro qué tipo de vulnerabilidad explota. En el pasado, esas vulnerabilidades ya estaban solucionadas cuando el virus se propagó o se solucionaron directamente una vez que se conoció.

Entonces, si el sistema se actualiza regularmente, un analizador de virus no tendría mucho beneficio. En el lado negativo, el escáner de virus ralentiza la computadora y a menudo molesta a las personas.

A menudo aconsejo a los usuarios domésticos que no instalen ningún software antivirus. En su lugar, deben considerar algunos consejos generales (actualizaciones regulares, principio de privilegios mínimos, etc.). Cada medio año más o menos reviso esos sistemas con algún CD antivirus. Durante unos 10 años, ninguno de esos sistemas se vio afectado por un virus.

No considero que la batalla esté perdida. Si el usuario presta atención a la seguridad de su computadora, podría mantenerse a salvo.

AV es un control de lista negra que intenta enumerar lo que está mal y bloquearlo, permitiendo todo lo demás de forma predeterminada. Este tipo de control es muy conveniente pero no muy efectivo, y en el caso de AV es más o menos una admisión de derrota.

Desde un punto de vista de seguridad, normalmente es mejor enumerar lo que está permitido y denegar todo lo demás de forma predeterminada. Por supuesto, esto es mucho menos conveniente, pero también mucho más efectivo.

Preferiría ver sistemas que funcionen solo al permitir el puñado de programas que instalé explícitamente y que tengo permiso para ejecutar, en lugar de detener los miles de programas que no quiero ejecutar. Creo que la tendencia actual hacia las 'tiendas de aplicaciones' es algo útil a este respecto.

Podrías hacer una inversa, i. mi. tener sumas de comprobación para los ejecutables válidos, de lo contrario las firmas están un poco fuera de lugar.

Creo que tienes que evaluar tu situación para tomar esa determinación. Los programas de AV de la lista negra que hay por ahí son capaces de detectar millones de tipos diferentes de malware. Si eres vulnerable a ese malware y ves muchos malware, creo que sería difícil decir que no es efectivo.

Sin embargo, es solo una pieza de defensa de seguridad. Las listas negras son en su mayoría reactivas (algunas coincidencias genéricas, pero más falsos positivos). Cuando se lanzan actualizaciones, por definición ya son antiguas. Cualquier nuevo malware no estará en la lista.

Un grupo de los grandes proveedores de AV están realizando una especie de detección y actualizaciones en tiempo real a través de "la nube", pero solo acorta el tiempo entre actualizaciones.