[閒聊] 防毒軟體對資安的負面影響

作者lulalalalala (魯拉拉拉拉拉)

看板AntiVirus

標題[閒聊] 防毒軟體對資安的負面影響

時間Thu Jun 1 20:33:25 2017

最近看到國外的相關討論，就把他們整理一下寫成一篇文章， Web版會有連結連到各文章 http://www.lulalala.com/wordpress/archives/3296 在 2016 年底的時候，Chrome 的資安總監 Justin Schuh 在推特上跟人筆戰。他提到「防毒軟體是阻礙我研發安全的瀏覽器最大的障礙」，然後他隨手列出許多防毒軟體造成的漏洞。這之後在 Hacker News 上引起很大的討論。在 2017 年初，前 Mozilla 工程師 Robert O'callahan 也跳出來說他也碰過許多防毒軟體的問題，所以他推薦已經升級到 Windows 10 的大家，不要再買防毒軟體了，移除他們，使用 Windows 內建的就好。Robert 其實在 2012 年就曾經在 Mozilla 的公開討論區提到防毒軟體的問題，不過那時 Mozilla 的公關要求他停止了，因為怕這會影響防毒軟體公司跟他們的關係。節錄兩位工程師提到的問題：替換掉系統DLL，但是卻換成一個比較不安全的版本，如關閉 ASLR。把不安全的格式處理碼注入系統核心防毒軟體自己通常要求要在系統最高層級執行，反而成為一個容易攻擊的目標，以取得最高存取權。防毒軟體公司的員工能力不足，常寫出有漏洞的程式。比如先前趨勢科技的密碼管理工具才被爆出能做出遠端執行程式的漏洞。常常發生把瀏覽器搞掛的事情。讓瀏覽器無法更新。在攔截 https/hsts 封包時反而把其搞掛有趣的是，兩人都推薦 Windows 內建的防毒軟體，因為依照瀏覽器的紀錄，只有這款沒出現什麼問題。感覺他們是希望有款比較沒有侵略性的防毒軟體。依照 Justin 自己在另一篇文章的說法，防毒軟體已經是資安的最後一道關卡，軟體產業應該注重於更早期避免問題的產生，比如說在產品設計階段就以資安為考量，而不是最後讓消費者感染後才來偵測以及治療。 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 111.243.91.156 ※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1496320407.A.79C.html

→ George017: 防毒軟體會被列為攻擊對象是因為"不弄死它會很麻煩吧" 06/01 20:56

→ George017: 把瀏覽器搞掛的情況可以分成不少吧(擴充或是內建) 06/01 20:57

→ ross800127: 以上內容並不試用於隨時讓自己暴露在危險中的使用者 06/01 20:58

這說的是沒錯，我想兩位工程師還是想呼籲防毒軟體公司底子再加強些

→ George017: 至於出現漏洞喔...這個其實有點微妙，畢竟只要是程式就 06/01 20:59

→ George017: 可能會有洞，而公司可以做到的頂多是加強釋出前的驗證 06/01 21:00

→ George017: 可是即便像Windows Update的更新檔都號稱有先在沙盒中 06/01 21:02

→ George017: 測試後才釋出的東西都會有bug了 06/01 21:02

→ George017: 然後，其實防毒軟體的某些技術做得正是本文最後一句話 06/01 21:03

推 ltyintw: 以前avast剛發展https流量掃描的時候曾經遇過一次https網 06/01 21:05

→ ltyintw: 站都不能上 06/01 21:05

→ George017: 希望在進到系統前可以做出對應 06/01 21:05

→ George017: 而且沒有侵略性可能也意味著它對於潛在或是未知威脅的 06/01 21:06

→ George017: 對應能力不會很強力(如WD其實也能一定程度擋下某些新型 06/01 21:07

→ George017: 惡意程式，但是限定在某些情況下才強制出手) 06/01 21:07

推 mathrew: 好笑的是自己家的軟體有漏洞卻要別人不要裝 06/01 21:24

Chrome應該是比許多防毒軟體嚴謹很多才是，我想自己有漏洞是誰都會有的事，但是說是防毒軟體卻把瀏覽器加強資安的措施蓋掉便是十分諷刺。 ※ 編輯: lulalalalala (111.243.91.156), 06/01/2017 23:22:37

→ ross800127: 防毒大廠就算有洞也會立刻補起來不可能自己破壞商譽 06/01 23:28

推 mayuyu: 其實不只Google/Mozilla的工程師這麼說 06/01 23:53

→ mayuyu: 許多研究資安問題的機構也都這麼說在他們看來 06/01 23:54

→ mayuyu: 有些防毒的開發者反而沒有基本的安全觀念 06/01 23:54

→ mayuyu: 他們的設計反而增加了系統被病毒攻擊的介面 06/01 23:54

→ mayuyu: 而且很糟糕的是由於這些防毒軟體運作在系統的核心 06/01 23:54

→ mayuyu: 一旦被利用就會造成無可阻擋的破壞 06/01 23:54

→ mayuyu: 我們一般可能沒有注意防毒軟體本身也有漏洞的新聞 06/01 23:55

→ mayuyu: 其實許多資安機構和組織包括Google Project Zero 06/01 23:55

→ mayuyu: 每年都在發現防毒軟體的嚴重漏洞 06/01 23:55

→ mayuyu: 這些漏洞使得系統本身的安全設計形同虛設 06/01 23:55

→ mayuyu: 比沒有安裝防毒的情況更加慘烈 06/01 23:56

→ mayuyu: 和我們一般印象相反的是 06/01 23:56

→ mayuyu: 這些資安專家認為Windows10系統本身的安全性設計 06/01 23:56

→ mayuyu: 已經足以緩解大部分的漏洞攻擊 06/01 23:56

→ mayuyu: 可是不安全的防毒軟體設計反而製造了更多病毒利用的管道 06/01 23:56

→ mayuyu: 譬如說系統本身的AppContainer的沙箱設計非常難以攻破 06/01 23:56

→ mayuyu: 但是利用防毒軟體的漏洞病毒反而可以輕鬆從沙箱逃逸 06/01 23:57

→ mayuyu: 這個結果和我們一般的印象完全相反所以可能讓人無法接受 06/01 23:57

→ mayuyu: 但是這是真的系統本身的安全設計反而是最堅固的 06/01 23:57

→ mayuyu: 所以Chrome的沙箱設計理念的第一條就是「不要自己造輪子」 06/01 23:57

→ mayuyu: 你要設計安全軟體就用系統本身提供的安全架構和功能就好 06/01 23:57

→ mayuyu: 不要自己發明和設計另一套漏洞百出的安全系統 06/01 23:57

→ mayuyu: 所有軟體都是基於系統仰賴系統提供的功能而運作的 06/01 23:58

→ mayuyu: 沒有會比系統本身的安全架構更堅固的設計 06/01 23:58

→ mayuyu: 所以Google才會認為「不要疊床架屋」自己設計輪子 06/01 23:58

→ mayuyu: 然而隨著Windows本身的安全性越來越好 06/01 23:58

→ mayuyu: 防毒軟體的地位就會變得越來越尷尬 06/01 23:58

→ mayuyu: 前一陣子才發生卡巴斯基怒嗆微軟壟斷防毒市場的新聞 06/01 23:59

→ mayuyu: 防毒市場因為以前的Windows不安全已經發展了很多年 06/01 23:59

→ mayuyu: 結果現在微軟反而認為防毒是累贅經常衝突製造系統的不穩 06/01 23:59

→ mayuyu: 所以想要逐步限制第三方的防毒軟體 06/02 00:00

→ mayuyu: 這樣廠商生存不下去當然要抗議 06/02 00:00

→ lokuji: MPE在5月已經出了兩次問題,加上之前延後發佈OS整合修補檔 06/02 02:32

→ lokuji: 這件事。不覺得MS有甚麼臉去檢討第三方防毒軟體。 06/02 02:34

推 purplvampire: 沒說錯，所有的系統與防護都是有漏洞的，搭配的好 06/02 05:33

→ purplvampire: 才能創造綜效，否則只是互扯後腿 06/02 05:33

推 mathrew: 其實不是 Chrome 嚴謹，而是 Chrome 根本不讓你用某些功 06/02 06:10

→ mathrew: 能，結果它自己卻也講別人 06/02 06:11

→ DINJIAPC: 呵呵瀏覽器插件造成的首頁與間諜軟體綁架多的很 06/02 09:21

→ DINJIAPC: 怎不先檢討這些機制 06/02 09:22

推 ww: 其實自動更新的軟體都有風險一旦server被駭鐵定死一堆人 06/02 13:43