Az antivírus halott és élvezi - na nem pontosan ezzel a címmel ;-) de viszonylagos rendszerességgel már a 90-es évek óta visszatérően fellángol a vita, ahol aztán mindig akad olyan, aki kijelenti, az antivírusnak vége, semmi szükség rá. Poéngyilkos módon már a lead-ben kiterítjük a kártyáinkat: ezzel szemben mi viszont azt gondoljuk, hogy nagyon is él és nélkülözhetetlenül fontos, de persze ehhez állandóan változnia, folyamatosan gőzerővel fejlődnie kell, ebben nem lehet megállás.
Az első, amiről érdemes szót ejtenünk, ahol amolyan "Chuck Norris nem használ antivírust, mert ő már a puszta tekintetével elpusztítja azokat" stílusban a Wired magazin hasábjain jelent meg tavaly tavasszal egy sokadik szájkaratés cikk, melyben vezető biztonsági szakemberek nyilatkoztak arról, ők bizony nem használnak víruskergetőt, felesleges, merthogy állítólag "az antivírus egyre kevésbé fontos jellemzője az online biztonságnak".
Erre, mintegy válaszként, David Harley is megfogalmazta a szempontjait, aki szerint bár valóban létezik a nulladik napi sebezhetőségek miatti kockázat, ahol még nem kaphatunk védelmet, de ez korántsem ok arra, hogy ne védekezzünk egyáltalán. Azzal persze egyetért, hogy ha telepítünk antivírust a gépünkre, nem kerülünk automatikusan 100%-os védőernyő alá. A vírusirtó nem csodaszer, de az sem igaz, hogy csak és kizárólag a már ismert kártevőket ismerné fel. Sok egyéb módszer: heurisztika, URL blokkolás, script elemzés, tűzfal, stb. biztosítja, hogy a még ismeretlen kártevők, variánsok is fennakadjanak az ellenőrzésen. Egy átlagos Windows felhasználónak (és lassan már nem is csak neki, hanem egyéb platformokon is) pedig nagyon is szüksége van vírusvédelemre, hiszen nem létezik semmilyen olyan másik 100 százalékban megbízható alternatíva, ami megvédené. (Sőt, fertőzés esetén még aktív naprakész vírusvédelem használata mellett is kerülhetünk olyan helyzetbe, hogy az antivírus mellett még külön segédprogramot is igénybe kell venni nehezebben eltávolítható kártevők esetében.) Harley ezzel kapcsolatban azt mondja, ha valaki mégis ismer ilyen 100%-os vírusirtó helyetti tuti módszert, bátran szóljon, ő nagyon szívesen kezd mást a felszabaduló temérdek szabadidejével ;-)
Egy másik, tételes pontokba szedett cáfoló válasz az F-Secure weblogjában született, ahol hideg észérvekkel igyekeznek cáfolni az állítólagos elhunyt felvetett feleslegességét. Érdemes ezt akár az elejétől teljesen végigolvasni, mert olyan lényeges pontokról is szó esik benne, mint például az újkeletű APT támadások, vagy a VirusTotal észlelések kapcsán megfogalmazott negatív kritika. Ez utóbbival kapcsolatosan tudni kell, mindegyik résztvevő antivirus motornak a parancssorból futtatható változata dolgozik a VT alatt, és egészen más hatásfokkal dolgozik egy commandline felismerés, mint egy komplex internetbiztonsági csomag részeként, amely közben a tűzfallal beszélgethet, a felhőből tölthet le reputációs adatot, sandbox vizsgálatot végezhet, futó memóriát vizsgálhat, vagy URL-ek és tartományok feketelistázásával, és egyéb dolgokkal egészítheti ki a védekezést.
A valósidejű heurisztikus vizsgálat és a memória futás közbeni ellenőrzése például hatékony segíthet adhat a még ismeretlen, de gyanús, illetve rosszindulatú viselkedésű kódok leleplezésében, és ez a védelmi vonal elengedhetetlen része egy korszerű internetsecurity csomagnak. Többek közt ezért sem szabad messzemenő antivirus összehasonlító elemzést alapozni pusztán a VirusTotalba bambán bedobált fájlokra alapozva. Ugyancsak értelmetlen, kivitelezhetetlen a feketelistázás megszüntetése, és helyette csak a megbízható webhelyek, állományok úgynevezett fehérlistázása. Aki csak egyszer is dolgozott nagyvállalatnál, multinál, hányan hányféle gépről, hányféle és milyen nyelvű Windows-zal, változatú Office-szal, CAD, SAP és egyéb, mondjuk hardver illesztő programokkal került kapcsolatba, az tudhatja, ezek naprakész listántartása egyszerűen nem lehetséges. Arról nem is beszélve, hogy az exploitot tartalmazó dokumentok és webhelyek ellen ez a fehérlistázás nem képes védelmet nyújtani. Természetesen mindannyian ismerjük a fájlok, és kártékony URL-ek feketelistázásának gyenge pontjait: lassú reagálású letiltás, gyors és tömeges domain foglalás a bűnözők részéről, fastflux és egyéb más változtatási technikák alkalmazása, ám a blacklistekre egyelőre akkor is szükség van. Azt persze remélhetjük, idővel növekszik majd ennek a hatékonysága, sőt legszebb álmainkban egyszer az AV cégek és Google közösen készít majd valamilyen gyors, Ultimate naprakész ilyet :-)
Végezetül megemlítjük, hogy ilyen csörtékről mi is közvetítettünk már többször, legutóbb például 2009. júniusában, amikor a PC World hasábjain megjelent Vírusok Varázslatos Világa sorozat a 22. részében "Homokba dugott fej" címmel írtunk e témában. A zárótanulságot is innen kölcsönözzük, mert úgy véljük, az azóta eltelt évek ellenére ez még ugyanúgy aktuális:
"Bár néhányan úgy gondolják, hogy az antivírus program csak egy olyan üzlet, ahol a fejlesztő cégek azon gazdagszanak meg, hogy saját maguk írják a vírusokat, ez távolról sem igaz. Szinte mindegyik fejlesztő csapat kicsiben kezdte, megbízható és rendkívül felkészült szakemberekkel folyamatosan küzdenek a néha szinte reménytelen mennyiségű keletkező kártevők áradata ellen, és várhatóan a helyzet évről évre keményebb próbatétel elé állítja őket, ahogy minket felhasználókat is. Nem lehet elégszer hangsúlyozni, hogy 100 százalékos védelem nem létezik, így esetleg még az is megfertőződhet, aki naprakész védelmi programokat használ. Már csak emiatt sem érdemes szándékosan tárva-nyitva hagyni az ajtót, hiszen ezzel ennek esélyét emeljük nagyságrendekkel."
