作者lulalalalala (鲁拉拉拉拉拉)
看板AntiVirus
标题[闲聊] 防毒软体对资安的负面影响
时间Thu Jun 1 20:33:25 2017
最近看到国外的相关讨论,就把他们整理一下写成一篇文章,
Web版会有连结连到各文章
http://www.lulalala.com/wordpress/archives/3296
在 2016 年底的时候,Chrome 的资安总监 Justin Schuh 在推特上跟人笔战。他提到「
防毒软体是阻碍我研发安全的浏览器最大的障碍」,然後他随手列出许多防毒软体造成的
漏洞。这之後在 Hacker News 上引起很大的讨论。
在 2017 年初,前 Mozilla 工程师 Robert O'callahan 也跳出来说他也碰过许多防毒
软体的问题,所以他推荐已经升级到 Windows 10 的大家,不要再买防毒软体了,移除他
们,使用 Windows 内建的就好。Robert 其实在 2012 年就曾经在 Mozilla 的公开讨论
区提到防毒软体的问题,不过那时 Mozilla 的公关要求他停止了,因为怕这会影响防毒
软体公司跟他们的关系。
节录两位工程师提到的问题:
替换掉系统DLL,但是却换成一个比较不安全的版本,如关闭 ASLR。
把不安全的格式处理码注入系统核心
防毒软体自己通常要求要在系统最高层级执行,反而成为一个容易攻击的目标,以取
得最高存取权。
防毒软体公司的员工能力不足,常写出有漏洞的程式。比如先前趋势科技的密码管理
工具才被爆出能做出远端执行程式的漏洞。
常常发生把浏览器搞挂的事情。
让浏览器无法更新。
在拦截 https/hsts 封包时反而把其搞挂
有趣的是,两人都推荐 Windows 内建的防毒软体,因为依照浏览器的纪录,只有这款没
出现什麽问题。感觉他们是希望有款比较没有侵略性的防毒软体。依照 Justin 自己在另
一篇文章的说法,防毒软体已经是资安的最後一道关卡,软体产业应该注重於更早期避免
问题的产生,比如说在产品设计阶段就以资安为考量,而不是最後让消费者感染後才来侦
测以及治疗。
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 111.243.91.156
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1496320407.A.79C.html
1F:→ George017: 防毒软体会被列为攻击对象是因为"不弄死它会很麻烦吧" 06/01 20:56
2F:→ George017: 把浏览器搞挂的情况可以分成不少吧(扩充或是内建) 06/01 20:57
3F:→ ross800127: 以上内容并不试用於随时让自己暴露在危险中的使用者 06/01 20:58
这说的是没错,
我想两位工程师还是想呼吁防毒软体公司底子再加强些
4F:→ George017: 至於出现漏洞喔...这个其实有点微妙,毕竟只要是程式就 06/01 20:59
5F:→ George017: 可能会有洞,而公司可以做到的顶多是加强释出前的验证 06/01 21:00
6F:→ George017: 可是即便像Windows Update的更新档都号称有先在沙盒中 06/01 21:02
7F:→ George017: 测试後才释出的东西都会有bug了 06/01 21:02
8F:→ George017: 然後,其实防毒软体的某些技术做得正是本文最後一句话 06/01 21:03
9F:推 ltyintw: 以前avast刚发展https流量扫描的时候曾经遇过一次https网 06/01 21:05
10F:→ ltyintw: 站都不能上 06/01 21:05
11F:→ George017: 希望在进到系统前可以做出对应 06/01 21:05
12F:→ George017: 而且没有侵略性可能也意味着它对於潜在或是未知威胁的 06/01 21:06
13F:→ George017: 对应能力不会很强力(如WD其实也能一定程度挡下某些新型 06/01 21:07
14F:→ George017: 恶意程式,但是限定在某些情况下才强制出手) 06/01 21:07
15F:推 mathrew: 好笑的是 自己家的软体有漏洞 却要别人不要装 06/01 21:24
Chrome应该是比许多防毒软体严谨很多才是,
我想自己有漏洞是谁都会有的事,
但是说是防毒软体却把浏览器加强资安的措施盖掉便是十分讽刺。
※ 编辑: lulalalalala (111.243.91.156), 06/01/2017 23:22:37
16F:→ ross800127: 防毒大厂就算有洞也会立刻补起来 不可能自己破坏商誉 06/01 23:28
17F:推 mayuyu: 其实不只Google/Mozilla的工程师这麽说 06/01 23:53
18F:→ mayuyu: 许多研究资安问题的机构也都这麽说 在他们看来 06/01 23:54
19F:→ mayuyu: 有些防毒的开发者反而没有基本的安全观念 06/01 23:54
20F:→ mayuyu: 他们的设计反而增加了系统被病毒攻击的介面 06/01 23:54
21F:→ mayuyu: 而且很糟糕的是 由於这些防毒软体运作在系统的核心 06/01 23:54
22F:→ mayuyu: 一旦被利用 就会造成无可阻挡的破坏 06/01 23:54
23F:→ mayuyu: 我们一般可能没有注意防毒软体本身也有漏洞的新闻 06/01 23:55
24F:→ mayuyu: 其实许多资安机构和组织包括Google Project Zero 06/01 23:55
25F:→ mayuyu: 每年都在发现防毒软体的严重漏洞 06/01 23:55
26F:→ mayuyu: 这些漏洞使得系统本身的安全设计形同虚设 06/01 23:55
27F:→ mayuyu: 比没有安装防毒的情况更加惨烈 06/01 23:56
28F:→ mayuyu: 和我们一般印象相反的是 06/01 23:56
29F:→ mayuyu: 这些资安专家认为Windows10系统本身的安全性设计 06/01 23:56
30F:→ mayuyu: 已经足以缓解大部分的漏洞攻击 06/01 23:56
31F:→ mayuyu: 可是不安全的防毒软体设计反而制造了更多病毒利用的管道 06/01 23:56
32F:→ mayuyu: 譬如说系统本身的AppContainer的沙箱设计非常难以攻破 06/01 23:56
33F:→ mayuyu: 但是利用防毒软体的漏洞 病毒反而可以轻松从沙箱逃逸 06/01 23:57
34F:→ mayuyu: 这个结果和我们一般的印象完全相反 所以可能让人无法接受 06/01 23:57
35F:→ mayuyu: 但是这是真的 系统本身的安全设计反而是最坚固的 06/01 23:57
36F:→ mayuyu: 所以Chrome的沙箱设计理念的第一条就是「不要自己造轮子」 06/01 23:57
37F:→ mayuyu: 你要设计安全软体 就用系统本身提供的安全架构和功能就好 06/01 23:57
38F:→ mayuyu: 不要自己发明和设计另一套漏洞百出的安全系统 06/01 23:57
39F:→ mayuyu: 所有软体都是基於系统 仰赖系统提供的功能而运作的 06/01 23:58
40F:→ mayuyu: 没有会比系统本身的安全架构更坚固的设计 06/01 23:58
41F:→ mayuyu: 所以Google才会认为「不要叠床架屋」自己设计轮子 06/01 23:58
42F:→ mayuyu: 然而随着Windows本身的安全性越来越好 06/01 23:58
43F:→ mayuyu: 防毒软体的地位就会变得越来越尴尬 06/01 23:58
44F:→ mayuyu: 前一阵子才发生卡巴斯基怒呛微软垄断防毒市场的新闻 06/01 23:59
45F:→ mayuyu: 防毒市场因为以前的Windows不安全 已经发展了很多年 06/01 23:59
46F:→ mayuyu: 结果现在微软反而认为防毒是累赘 经常冲突制造系统的不稳 06/01 23:59
47F:→ mayuyu: 所以想要逐步限制第三方的防毒软体 06/02 00:00
48F:→ mayuyu: 这样厂商生存不下去当然要抗议 06/02 00:00
49F:→ lokuji: MPE在5月已经出了两次问题,加上之前延後发布OS整合修补档 06/02 02:32
50F:→ lokuji: 这件事。不觉得MS有甚麽脸去检讨第三方防毒软体。 06/02 02:34
51F:推 purplvampire: 没说错,所有的系统与防护都是有漏洞的,搭配的好 06/02 05:33
52F:→ purplvampire: 才能创造综效,否则只是互扯後腿 06/02 05:33
53F:推 mathrew: 其实不是 Chrome 严谨,而是 Chrome 根本不让你用某些功 06/02 06:10
54F:→ mathrew: 能,结果它自己却也讲别人 06/02 06:11
55F:→ DINJIAPC: 呵呵浏览器插件造成的首页与间谍软体绑架多的很 06/02 09:21
56F:→ DINJIAPC: 怎不先检讨这些机制 06/02 09:22
57F:推 ww: 其实自动更新的软体都有风险 一旦server被骇 铁定死一堆人 06/02 13:43