Claudio Tamburrino

Antivirus, sono tutti inutili?

Un ex sviluppatore Mozilla lancia un vero e proprio appello a rimuovere gli antivirus installati nei PC. Nella maggior parte dei casi, dice, Ŕ meglio fare senza

Antivirus, sono tutti inutili?Roma - Se i computer vanno a rilento e i dati degli utenti sono sotto la costante minaccia di intrusioni informatiche la colpa è anche degli antivirus: a riferirlo è Robert ĎCallahan, uno che conosce le aziende che lavorano nel settore degli antivirus e che nei loro confronti sembri portare un po' di rancore.

ĎCallahan, ora libero professionista, ha lavorato per anni con Firefox ed ora che non ha più nulla a che fare con Mozilla sente di dover vuotare il sacco , definendo i vendor AV come "terribili" e invitando tutti alla rimozione dei loro software.

Secondo quanto riferisce, anche gli antivirus di punta hanno un impatto minimo sulla capacità di sicurezza di un sistema e in molti casi rischiano addirittura di essere dannosi, dal momento che potrebbero contenere bug sfruttabili: nel corso del Project Zero di Google dello scorso giugno sono state individuate 25 gravi vulnerabilità solo nei prodotti di sicurezza Symantec/Norton, che hanno a che fare con software con massimi privilegi di sistema, con conseguente possibile influenza a livello di kernel. Negli scorsi anni simili vulnerabilità sono state individuate anche in altri antivirus come quelli di Kaspersky, McAfee, Eset, Comodo e Trend Micro.
Nel discorso di ĎCallahan c'è anche una soluzione: gli utenti farebbero meglio a mantenere aggiornati i sistemi operativi e i software installati, piuttosto che gravare il PC di un antivirus. Ad eccezion fatta per Microsoft e il suo Windows Defender, a suo modo di vedere particolarmente affidabile.

Sulla stessa linea di ĎCallahan, peraltro, si era schierato qualche mese fa anche Justin Schich, vertice della divisione sicurezza di Google Chrome, secondo cui "il più grande impedimento alla vendita di un browser sicuro" è legato proprio all'utilizzo di software antivirali: essi sono infatti alla base di ritardi nell'adozione di diversi software "sandboxing" e inoltre il loro porsi come intermediari determina una serie di errori di TLS (Transport Layer Security) con ripercussioni anche per diversi elementi di HTTPS/HSTS. Insomma, componenti di parti terze come i browser non riescono a lavorare concretamente sul miglioramento della loro sicurezza a causa dell'intrusione dei software antivirali.

Secondo questa non del tutto trascurabile fazione anti-antivirus, il problema è che questi software sono troppo invasivi e lo sono sempre di più: nel tentativo di individuare un software prima che questo possa infettare il sistema, si allacciano forzatamente ai software dei computer, come il browser, il word processor o addirittura il kernel. In parole povere lo infettano per prevenire infezioni.

Claudio Tamburrino
Notizie collegate
60 Commenti alla Notizia Antivirus, sono tutti inutili?
Ordina
  • Reputo gli AV (residenti in memoria) inadeguati alla funzione che dovrebbero svolgere, quindi sostanzialmente inutili: controproducenti sia sul versante della stabilità che su quello della reattività e sicurezza del sistema...una piaga seconda solo ai malware stessi! Gli antivirus, inoltre, infondono negli utenti un finto senso di sicurezza, spingendoli a mantenere immutato nel tempo lo stesso modus operandi nefasto che poi puntualmente li costringe a chiedere aiuto nei forum di sicurezza AV o più semplicemente a ripristinare/riformattare l'OS per l'ennesima volta; insomma, i malware così come gli antivirus esistono e prosperano per un solo motivo: la totale vergognosa ignoranza dell'ABC dell'informatica da parte dell'utilizzatore-tipo di un PC. Si potrebbero tranquillamente riscontrare le medesime problematiche nel campo automobilistico se non ci fosse stata in origine una regolamentazione d'uso (esame di abilitazione teoria/pratica); e, se con i computer ancora non si è arrivati a tale regolamentazione, questo si deve solo al fatto che difficilmente con un PC puoi investire ed uccidere un pedone sulle strisce (a parte le auto a guida autonoma!): danni comunque ne puoi fare se non hai il controllo del mezzo - furto di identità, spam, ddos, etc. - esattamente come succede quando ti rendi conto di non avere più il controllo dell'auto che stai guidando...con la sostanziale differenza che i danni arrecati via PC sono meno ''percepiti'' e ''percepibili'' al di fuori della vita digitale, almeno finché non ti crittografano tutti i dati sull'hard drive o ti svuotano il C/C.
    -----------------------------------------------------------
    Modificato dall' autore il 01 febbraio 2017 21.29
    -----------------------------------------------------------
  • Tutti i geni adesso saltano fuori a dire che no hanno antivirus. Peccato che se rimuovi l'antivirus dal PC aziendale sei passibile di lettera di richiamo e se hai già avuto lettere di richiamo sei passibile di licenziamento e per un buon motivo.

    Certe reti aziendali sono infette come un lebbrosario. Ci sono stati in passato virus che fanno la scansione di tutte le porte aperte nella intranet cercando di connettersi a tutti le macchine che gli capitano a tiro. Le directory condivise piene di files infetti e quando ti mandano un file Excel pieno di calcoli fatti da una procedura VB non puoi disabilitare le macro.

    Io il mio antivirus cerco sempre di configurarlo escludendo le directories dove compilo il codice e le directories dove sono sicuro non ci finisce niente di pericoloso, cerco di ridurre il numero di scansioni, ma a toglierlo non ci penso proprio.

    A casa vostra fate come vi pare, in ufficio decide l'incaricato per la sicurezza.
    non+autenticato
  • - Scritto da: tvfydrg
    > Tutti i geni adesso saltano fuori a dire che no
    > hanno antivirus. Peccato che se rimuovi
    > l'antivirus dal PC aziendale sei passibile di
    > lettera di richiamo e se hai già avuto lettere di
    > richiamo sei passibile di licenziamento e per un
    > buon
    > motivo.

    In una azienda seria, che sa gestire la sicurezza, te manco dovresti poterlo rimuovere perché manco sovresti avere i diritti amministrativi.

    >
    > Certe reti aziendali sono infette come un
    > lebbrosario. Ci sono stati in passato virus che
    > fanno la scansione di tutte le porte aperte nella
    > intranet cercando di connettersi a tutti le
    > macchine che gli capitano a tiro. Le directory
    > condivise piene di files infetti e quando ti
    > mandano un file Excel pieno di calcoli fatti da
    > una procedura VB non puoi disabilitare le
    > macro.

    Le macro vanno disabilitate di default, a livello di dominio. Poi, se proprio sei certo del mittente e del file le riabiliti, ma non devono essere abilitate di default all'apertura dei file.

    >
    > Io il mio antivirus cerco sempre di configurarlo
    > escludendo le directories dove compilo il codice
    > e le directories dove sono sicuro non ci finisce
    > niente di pericoloso, cerco di ridurre il numero
    > di scansioni, ma a toglierlo non ci penso
    > proprio.

    In una azienda che sa gestire la sicurezza l'anti virus non serve, perché si autorizzano a livello di dominio i programmi ch si possono eseguire mediante whitelist, o certificati digitali. Le whitelist sono un paradigma nettamente più efficace delle blacklist, che sono il paradigma degli antivirus. E comunque se c'è l'anti virus l'utente non deve poterne cambiare la configurazione, altrimenti significa che è un amministratore, e quindi è presente una vulnerabilità.
    non+autenticato
  • > In una azienda seria, che sa gestire la
    > sicurezza, te manco dovresti poterlo rimuovere
    > perché manco sovresti avere i diritti
    > amministrativi.
    >

    Vero.

    > Le macro vanno disabilitate di default, a livello
    > di dominio. Poi, se proprio sei certo del
    > mittente e del file le riabiliti, ma non devono
    > essere abilitate di default all'apertura dei
    > file.
    >

    Nell'ufficio attuale ci sono meno virus in circolazione, ma disabilitare le macro di default è una palla perché gli analisti hanno una mare di file imbottiti di macro. Dicono che comun i files sono tutti controllati e vengono dall'interno.
    Dicono.


    >
    > In una azienda che sa gestire la sicurezza l'anti
    > virus non serve, perché si autorizzano a livello
    > di dominio i programmi ch si possono eseguire
    > mediante whitelist, o certificati digitali.

    E se ti serve un particolare programma per fare del lavoro devi aspettare mesi.

    > Le
    > whitelist sono un paradigma nettamente più
    > efficace delle blacklist, che sono il paradigma
    > degli antivirus.

    Però è restrittivo.

    > E comunque se c'è l'anti virus
    > l'utente non deve poterne cambiare la
    > configurazione, altrimenti significa che è un
    > amministratore, e quindi è presente una
    > vulnerabilità.

    E questa è una stupidaggine degli antivirus. Comunque se metti i tuoi motivi per iscritto e non sei un utonto dovresti poter chiedere un'utente amministratore temporaneo.
    non+autenticato
  • - Scritto da: ctgct5cg
    > > Le macro vanno disabilitate di default, a
    > > livello
    > > di dominio. Poi, se proprio sei certo del
    > > mittente e del file le riabiliti, ma non devono
    > > essere abilitate di default all'apertura dei
    > > file.
    > >
    >
    > Nell'ufficio attuale ci sono meno virus in
    > circolazione, ma disabilitare le macro di default
    > è una palla perché gli analisti hanno una mare di
    > file imbottiti di macro. Dicono che comun i files
    > sono tutti controllati e vengono dall'interno.
    >
    > Dicono.

    La gente deve capire che si era abituata a lavorare male e deve disimparare quel modo. Mi spiego. Se la gente è stata sempre abituata ad essere amministratore della macchina è sempre stata abituata "bene" in termini di comodità ma malissimo in termini di sicurezza. Oggi quel modo di lavorare non è più possibile, è troppo pericoloso, pertanto la gente deve imparare a lavorare come si lavora su altri sistemi da sempre: user per le attività quotidiane e "super user" per installare programmi, cambiare impostazioni ecc. Ma l'utilizzo di super user deve essere militato solo a quello. La stessa cosa vale per le macro: si sono sempre usate, e si useranno sempre, ma oggi non deve essere più possibile avere Office con le macro abilitate di default, devono disabilitarle di default e poi premere il tastino "Abilita contenuto attivo" appena aperto il documento. Oppure, se questa è considerata una scocciatura, devono implementare i certificati digitali e firmare i documenti con certificati digitali. In questo modo puoi abilitare di default le macro per i documenti firmati. Chiaro, è costoso. In ogni caso già limitare i diritti mitiga di molto i rischi delle macro, ma non li elimina completamente.
    >
    > E se ti serve un particolare programma per fare
    > del lavoro devi aspettare
    > mesi.

    Quello è un altro problema, è che l'IT spesso è inefficiente, non è in grado di adattarsi dinamicamente alle richieste degli utenti. Va risolto (anche) con opportuni strumenti che aiutino i tecnici a svolgere i loro compiti più velocemente.


    >
    > > Le
    > > whitelist sono un paradigma nettamente più
    > > efficace delle blacklist, che sono il paradigma
    > > degli antivirus.
    >
    > Però è restrittivo.

    Parzialmente vero, ma è l'unica garanzia: una blacklist prima o poi fallirà, se ti becchi un virus/malware appena uscito sei fortunato se lo beccano le euristiche, altrimenti sei a terra. Con una whitelist farai eseguire solo ciò che è certo, e quello non cambia. Dico parzialmente vero perché non è che una azienda cambia o installa programmi in continuazione, e le whitelist generiche (tipo autorizzare la Windows e sottocartelle, la Program Files e sottocartelle e la Program Files(x86) e sottocartelle coprono il 99% dei programmi da eseguire. Se in più uno non è amministratore, un virus non riuscirà mai ad installarsi nelle cartelle di sistema, e spesso i virus vanno in esecuzione nelle temp dell'utente, che non sono assolutamente da autorizzare.


    > E questa è una stupidaggine degli antivirus.
    > Comunque se metti i tuoi motivi per iscritto e
    > non sei un utonto dovresti poter chiedere
    > un'utente amministratore
    > temporaneo.

    Si, ma allora li ci vorrebbe poi una gestione seria della cosa, per cui ti viene assegnato un utente admin temporaneo, che dura x minuti, e che viene tracciato per audit. Assolutamente fattibile, ma diventa un po' complesso e oneroso in termini di software da usare per la gestione.
    non+autenticato
  • Negli articoli citati si parla di software costantemente aggiornati, di versioni recenti e di Windows Defender.

    Nel mio gruppo di lavoro facciamo così ma essendo quasi tutti programmatori di in certo livello, parliamo di una utenza evoluta che evita certi comportamenti.

    In generale però ci sono molte aziende che non capiscono nulla. Ci sono ancora quelli convinti che AV e un firewall/proxy perimetrale sei a posto. Di gestione del PC (anche in senso ampio) se ne parla molto poco. Ho "litigato" con molti a proposito. Dove abbiamo implementato meccanismi di segmentazione dei diritti e politiche di gestione dell'end point, i problemi sono ridotti al minimo. Il vero e unico problema è criptolocker et similia (tecnicamente non sono neanche virus) che usano una vulnerabilità difficile da tappare: la stupidità umana. Qui servirebbero meccanismi di white list ma, purtroppo, è difficile realizzarle perchè l'IT spesso non ha la forza di imporle.

    In quelle reti impestate, come dici tu, io arrivo con il mio PC utilizzando una configurazione di sicurezza blindata e non condivido niente usando poi una VM per accedere a certe loro risorse. Grande rottura però.
  • - Scritto da: Zucca Vuota
    >
    > Nel mio gruppo di lavoro facciamo così ma essendo
    > quasi tutti programmatori di in certo livello,
    > parliamo di una utenza evoluta che evita certi
    > comportamenti.

    Da me anche i tecnici NON sono amministratori, sono user. Solo se devono fare qualcosa di amministrativo usano una utenza ad hoc amministrativa, usando il "Run As". Anche se hai comportamenti coscienziosi rischi sempre che qualcosa ti si infili sotto il naso. Meglio evitare. E adattarsi a cambiare user o elevare i privilegi quando necessario non è impossibile, basta avere un po' di buona volontà.

    >
    > In generale però ci sono molte aziende che non
    > capiscono nulla. Ci sono ancora quelli convinti
    > che AV e un firewall/proxy perimetrale sei a
    > posto.

    Verissimo, e poi scopri che hanno password ridicole, uguali all'utenza, che vengono beccate a forza bruta nel giro di millisecondi. E difatti spendono un patrimonio facendosi infinocchiare da sedicenti esperti con nuovi antivirus, per poi essere sistematicamente silurati da ransomware vari.

    > Il vero e unico problema è
    > criptolocker et similia (tecnicamente non sono
    > neanche virus) che usano una vulnerabilità
    > difficile da tappare: la stupidità umana. Qui
    > servirebbero meccanismi di white list ma,
    > purtroppo, è difficile realizzarle perchè l'IT
    > spesso non ha la forza di imporle.

    Allora secondo me bisogna mettere davanti all'evidenza le persone e dire chiaramente che senza le whitelist è un rischio, e portare fatti ed esempi concreti a sostegno. Poi non vogliono farlo? bene, aspettiamo la prima volta che vengono silurati, e poi ne parliamo... Ho un cliente che è tempo che gli dico di fare sta cosa, ha tergiversato, ed è stato trapanato varie volte in poco più di un anno. Vediamo se ora l'ha capita.
    non+autenticato
  • - Scritto da: Max

    > Da me anche i tecnici NON sono amministratori,
    > sono user. Solo se devono fare qualcosa di
    > amministrativo usano una utenza ad hoc
    > amministrativa, usando il "Run As".

    Con gli sviluppatori è praticamente impossibile fare quello che dici. In effetti I programmatori hanno diritto di amministrazione locale sulle nostre machine. Invece i pochi sysadmin lavorano come dici tu.

    > Allora secondo me bisogna mettere davanti
    > all'evidenza le persone e dire chiaramente che
    > senza le whitelist è un rischio
    > ...
    > Vediamo se ora l'ha
    > capita.

    Alcuni non la capiranno mai. In questi casi io penso che sarebbe utile un programa di rieducazione stile Pol Pot o Mao.
  • >
    > Con gli sviluppatori è praticamente impossibile
    > fare quello che dici. In effetti I programmatori
    > hanno diritto di amministrazione locale sulle
    > nostre machine. Invece i pochi sysadmin lavorano
    > come dici tu.
    >

    Non sono gli sviluppatori. E' il meccanismo di registrazione delle DLL in Visual Studio che obbliga ad usare i privilegi di amministratore.
    Per quel poco che ho visto di la modalità di sviluppo in Windows impone un buco nella sicurezza mostruoso. Con Eclipse/Java NetBeans/C++ non son mai stato costretto a diventare amministratore.

    > > senza le whitelist è un rischio
    > > ...
    > > Vediamo se ora l'ha
    > > capita.
    >
    > Alcuni non la capiranno mai. In questi casi io
    > penso che sarebbe utile un programa di
    > rieducazione stile Pol Pot o Mao.

    No. In una grande azienda dove centinaia di specializzazioni di personale diverse hanno bisogno di migliaia di software diversi è impossibile. Liste di attesa di settimane per autorizzare un software ne viste tante.
    non+autenticato
  • - Scritto da: cazzate

    > Non sono gli sviluppatori. E' il meccanismo di
    > registrazione delle DLL in Visual Studio che
    > obbliga ad usare i privilegi di
    > amministratore.

    Non sai di che parli visto che non sai che tipo di software sviluppiamo. Le DLL non c'entrano nulla.

    > No. In una grande azienda dove centinaia di
    > specializzazioni di personale diverse hanno
    > bisogno di migliaia di software diversi è
    > impossibile. Liste di attesa di settimane per
    > autorizzare un software ne viste
    > tante.

    E allora punto e capo. Rimedi non ce ne sono. Ma veramente tutte queste persone hanno bisogno di software diversi? Sono molto scettico a tal proposito.
  • cmq anche la fiducia cieca nelle whitelist e' un bel rischio. i trick usando i sw M$ con xml=autoelevate non si contano... il crapware del "winsxs dll hell" non aiuta....boiate come il "dotlocal" andrebbero eliminate da anni... si, M$ dice che UAC non e' un security boundary ecc... pero' poi... ecc.
    non+autenticato
  • - Scritto da: Zucca Vuota
    > - Scritto da: cazzate
    >
    > > Non sono gli sviluppatori. E' il meccanismo
    > di
    > > registrazione delle DLL in Visual Studio che
    > > obbliga ad usare i privilegi di
    > > amministratore.
    >
    > Non sai di che parli visto che non sai che tipo
    > di software sviluppiamo. Le DLL non c'entrano
    > nulla.
    >

    Da noi gli sviluppatori non sono amministratori di sistema.
    Io uso run as admin se devo installare qualche tool, non quando faccio una build.
    Se da te gli sviluppatori sono tutti amministratori i casi sono due: o sono costretti (da Visual Studio?) o sono incapaci.
    non+autenticato
  • - Scritto da: mik.ud
    > Per esempio:
    >
    > https://mike.pub/20160412-consigli-windows

    Buoni consigli, a parte secondo me quello dei due antivirus, totalmente inutili e fonte (se va bene) di un rallentamento mostruoso del sistema e rischi di conflitti fra di essi a causa dei loro driver.

    PS: le SRP io le uso dal 2014...
    non+autenticato
  • - Scritto da: mik.ud
    > Qualcuno lo diceva anche in Italia...
    > Per esempio:
    > https://mike.pub/20160412-consigli-windows

    Qualcuno lo diceva anche qui:
    http://punto-informatico.it/b.aspx?i=4282074&m=428...
    ...e molto prima di mike...
  • ╚ sufficiente un qualsiasi adblocker gratuito per risolvere il problema virus a monte
    non+autenticato
  • Giusto!
    non+autenticato
  • Ma nessuno si è accorto che Microsoft viene definita competente sulla parte sicurezza?
    E che Windows Defender è l'unico che il tizio userebbe?
    E che è meglio usare una versione recente (10?) e aggiornata (Windows Update?) di Windows?
    E che, in generale, occorre usare software aggiornato?
  • - Scritto da: Zucca Vuota
    > Ma nessuno si è accorto che Microsoft viene
    > definita competente sulla parte
    > sicurezza?

    Da chi? Da un rosicone?

    > E che Windows Defender è l'unico che il tizio
    > userebbe?

    In base a cosa?

    > E che è meglio usare una versione recente (10?)

    Il punto interrogativo perché? Hai i tuoi dubbi anche tu Rotola dal ridere?

    > e
    > aggiornata (Windows Update?) di
    > Windows?

    Esistono updates di terze parti?

    > E che, in generale, occorre usare software
    > aggiornato?

    Possibilmente NON M$.
    non+autenticato
  • - Scritto da: Zucca Vuota

    > E che, in generale, occorre usare software
    > aggiornato?
    Magari anche non MS aiuta!
    Rotola dal ridereRotola dal ridereRotola dal ridere
    https://www.cvedetails.com/top-50-vendors.php?year...
    Ficoso
    non+autenticato
  • - Scritto da: giaguarevol issimevolm ente
    > - Scritto da: Zucca Vuota
    >
    > > E che, in generale, occorre usare software
    > > aggiornato?
    > Magari anche non MS aiuta!
    > Rotola dal ridereRotola dal ridereRotola dal ridere
    > https://www.cvedetails.com/top-50-vendors.php?year
    > Ficoso

    Questi numeri andrebbero analizzati, non buttati là a caso.

    Ad esempio di sono in mucchio di prodotti vecchi in quella lista che, se hai in casa, andrebbero aggiornati a quelli nuovi. Non aiuta neanche il fatto che Microsoft produce tante cose.

    Tanto per capire, guarda lo stato di Windows 10: 0 vulnerabilità.
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | Successiva
(pagina 1/3 - 12 discussioni)