作者lulalalalala (魯拉拉拉拉拉)
看板AntiVirus
標題[閒聊] 防毒軟體對資安的負面影響
時間Thu Jun 1 20:33:25 2017
最近看到國外的相關討論,就把他們整理一下寫成一篇文章,
Web版會有連結連到各文章
http://www.lulalala.com/wordpress/archives/3296
在 2016 年底的時候,Chrome 的資安總監 Justin Schuh 在推特上跟人筆戰。他提到「
防毒軟體是阻礙我研發安全的瀏覽器最大的障礙」,然後他隨手列出許多防毒軟體造成的
漏洞。這之後在 Hacker News 上引起很大的討論。
在 2017 年初,前 Mozilla 工程師 Robert O'callahan 也跳出來說他也碰過許多防毒
軟體的問題,所以他推薦已經升級到 Windows 10 的大家,不要再買防毒軟體了,移除他
們,使用 Windows 內建的就好。Robert 其實在 2012 年就曾經在 Mozilla 的公開討論
區提到防毒軟體的問題,不過那時 Mozilla 的公關要求他停止了,因為怕這會影響防毒
軟體公司跟他們的關係。
節錄兩位工程師提到的問題:
替換掉系統DLL,但是卻換成一個比較不安全的版本,如關閉 ASLR。
把不安全的格式處理碼注入系統核心
防毒軟體自己通常要求要在系統最高層級執行,反而成為一個容易攻擊的目標,以取
得最高存取權。
防毒軟體公司的員工能力不足,常寫出有漏洞的程式。比如先前趨勢科技的密碼管理
工具才被爆出能做出遠端執行程式的漏洞。
常常發生把瀏覽器搞掛的事情。
讓瀏覽器無法更新。
在攔截 https/hsts 封包時反而把其搞掛
有趣的是,兩人都推薦 Windows 內建的防毒軟體,因為依照瀏覽器的紀錄,只有這款沒
出現什麼問題。感覺他們是希望有款比較沒有侵略性的防毒軟體。依照 Justin 自己在另
一篇文章的說法,防毒軟體已經是資安的最後一道關卡,軟體產業應該注重於更早期避免
問題的產生,比如說在產品設計階段就以資安為考量,而不是最後讓消費者感染後才來偵
測以及治療。
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 111.243.91.156
※ 文章網址: https://webptt.com/m.aspx?n=bbs/AntiVirus/M.1496320407.A.79C.html
1F:→ George017: 防毒軟體會被列為攻擊對象是因為"不弄死它會很麻煩吧" 06/01 20:56
2F:→ George017: 把瀏覽器搞掛的情況可以分成不少吧(擴充或是內建) 06/01 20:57
3F:→ ross800127: 以上內容並不試用於隨時讓自己暴露在危險中的使用者 06/01 20:58
這說的是沒錯,
我想兩位工程師還是想呼籲防毒軟體公司底子再加強些
4F:→ George017: 至於出現漏洞喔...這個其實有點微妙,畢竟只要是程式就 06/01 20:59
5F:→ George017: 可能會有洞,而公司可以做到的頂多是加強釋出前的驗證 06/01 21:00
6F:→ George017: 可是即便像Windows Update的更新檔都號稱有先在沙盒中 06/01 21:02
7F:→ George017: 測試後才釋出的東西都會有bug了 06/01 21:02
8F:→ George017: 然後,其實防毒軟體的某些技術做得正是本文最後一句話 06/01 21:03
9F:推 ltyintw: 以前avast剛發展https流量掃描的時候曾經遇過一次https網 06/01 21:05
10F:→ ltyintw: 站都不能上 06/01 21:05
11F:→ George017: 希望在進到系統前可以做出對應 06/01 21:05
12F:→ George017: 而且沒有侵略性可能也意味著它對於潛在或是未知威脅的 06/01 21:06
13F:→ George017: 對應能力不會很強力(如WD其實也能一定程度擋下某些新型 06/01 21:07
14F:→ George017: 惡意程式,但是限定在某些情況下才強制出手) 06/01 21:07
15F:推 mathrew: 好笑的是 自己家的軟體有漏洞 卻要別人不要裝 06/01 21:24
Chrome應該是比許多防毒軟體嚴謹很多才是,
我想自己有漏洞是誰都會有的事,
但是說是防毒軟體卻把瀏覽器加強資安的措施蓋掉便是十分諷刺。
※ 編輯: lulalalalala (111.243.91.156), 06/01/2017 23:22:37
16F:→ ross800127: 防毒大廠就算有洞也會立刻補起來 不可能自己破壞商譽 06/01 23:28
17F:推 mayuyu: 其實不只Google/Mozilla的工程師這麼說 06/01 23:53
18F:→ mayuyu: 許多研究資安問題的機構也都這麼說 在他們看來 06/01 23:54
19F:→ mayuyu: 有些防毒的開發者反而沒有基本的安全觀念 06/01 23:54
20F:→ mayuyu: 他們的設計反而增加了系統被病毒攻擊的介面 06/01 23:54
21F:→ mayuyu: 而且很糟糕的是 由於這些防毒軟體運作在系統的核心 06/01 23:54
22F:→ mayuyu: 一旦被利用 就會造成無可阻擋的破壞 06/01 23:54
23F:→ mayuyu: 我們一般可能沒有注意防毒軟體本身也有漏洞的新聞 06/01 23:55
24F:→ mayuyu: 其實許多資安機構和組織包括Google Project Zero 06/01 23:55
25F:→ mayuyu: 每年都在發現防毒軟體的嚴重漏洞 06/01 23:55
26F:→ mayuyu: 這些漏洞使得系統本身的安全設計形同虛設 06/01 23:55
27F:→ mayuyu: 比沒有安裝防毒的情況更加慘烈 06/01 23:56
28F:→ mayuyu: 和我們一般印象相反的是 06/01 23:56
29F:→ mayuyu: 這些資安專家認為Windows10系統本身的安全性設計 06/01 23:56
30F:→ mayuyu: 已經足以緩解大部分的漏洞攻擊 06/01 23:56
31F:→ mayuyu: 可是不安全的防毒軟體設計反而製造了更多病毒利用的管道 06/01 23:56
32F:→ mayuyu: 譬如說系統本身的AppContainer的沙箱設計非常難以攻破 06/01 23:56
33F:→ mayuyu: 但是利用防毒軟體的漏洞 病毒反而可以輕鬆從沙箱逃逸 06/01 23:57
34F:→ mayuyu: 這個結果和我們一般的印象完全相反 所以可能讓人無法接受 06/01 23:57
35F:→ mayuyu: 但是這是真的 系統本身的安全設計反而是最堅固的 06/01 23:57
36F:→ mayuyu: 所以Chrome的沙箱設計理念的第一條就是「不要自己造輪子」 06/01 23:57
37F:→ mayuyu: 你要設計安全軟體 就用系統本身提供的安全架構和功能就好 06/01 23:57
38F:→ mayuyu: 不要自己發明和設計另一套漏洞百出的安全系統 06/01 23:57
39F:→ mayuyu: 所有軟體都是基於系統 仰賴系統提供的功能而運作的 06/01 23:58
40F:→ mayuyu: 沒有會比系統本身的安全架構更堅固的設計 06/01 23:58
41F:→ mayuyu: 所以Google才會認為「不要疊床架屋」自己設計輪子 06/01 23:58
42F:→ mayuyu: 然而隨著Windows本身的安全性越來越好 06/01 23:58
43F:→ mayuyu: 防毒軟體的地位就會變得越來越尷尬 06/01 23:58
44F:→ mayuyu: 前一陣子才發生卡巴斯基怒嗆微軟壟斷防毒市場的新聞 06/01 23:59
45F:→ mayuyu: 防毒市場因為以前的Windows不安全 已經發展了很多年 06/01 23:59
46F:→ mayuyu: 結果現在微軟反而認為防毒是累贅 經常衝突製造系統的不穩 06/01 23:59
47F:→ mayuyu: 所以想要逐步限制第三方的防毒軟體 06/02 00:00
48F:→ mayuyu: 這樣廠商生存不下去當然要抗議 06/02 00:00
49F:→ lokuji: MPE在5月已經出了兩次問題,加上之前延後發佈OS整合修補檔 06/02 02:32
50F:→ lokuji: 這件事。不覺得MS有甚麼臉去檢討第三方防毒軟體。 06/02 02:34
51F:推 purplvampire: 沒說錯,所有的系統與防護都是有漏洞的,搭配的好 06/02 05:33
52F:→ purplvampire: 才能創造綜效,否則只是互扯後腿 06/02 05:33
53F:推 mathrew: 其實不是 Chrome 嚴謹,而是 Chrome 根本不讓你用某些功 06/02 06:10
54F:→ mathrew: 能,結果它自己卻也講別人 06/02 06:11
55F:→ DINJIAPC: 呵呵瀏覽器插件造成的首頁與間諜軟體綁架多的很 06/02 09:21
56F:→ DINJIAPC: 怎不先檢討這些機制 06/02 09:22
57F:推 ww: 其實自動更新的軟體都有風險 一旦server被駭 鐵定死一堆人 06/02 13:43