Sì ... Purtroppo.
C'è un sacco di malware automatico abbastanza stupido che galleggia intorno (specialmente per la piattaforma desktop di Windows) che è molto antipatico se autorizzato ad installarlo. Il software antivirus in genere può rilevare questa roba prima dell'eseguibile dell'installer, del dropper o di qualsiasi altra esecuzione. La maggior parte dei software AV include anche proxy di filtraggio trasparenti per rilevare exploit shellcode e altri livelli di difesa.
Ma ci sono dei problemi qui.
a) Questo è contro attacchi generici, spray-or-pray rivolti principalmente agli utenti desktop. Se l'attacco è personalizzato, nuovo, altamente offuscato o mirato specificamente a te (ad esempio l'attacco di spear phishing in una società), un antivirus ha una buona possibilità di mancarlo.
b) I motori antivirus sono processi privilegiati ed eseguono vari tipi di analisi (spesso comportano il disassemblaggio o l'esecuzione virtualizzata) su un eventuale codice dannoso. Questa è una enorme superficie di attacco potenziale.
c) L'intero concetto di antivirus come difesa in tempo reale non è molto intelligente o molto a prova di futuro. Rileva possibili malvagità tramite firme ed euristica; quindi i falsi negativi sono comuni e devono essere aggiornati frequentemente.
d) La parte principale di un antivirus, il motore in accesso, prende il via solo quando è già iniziato un attacco. Il suo compito è fermare i payload. L'exploit della logica della memoria o del programma che attiva il payload generalmente non viene rilevato.
e) Ci sono diverse modalità di attacco che un motore AV non intecetti, per esempio
- exploit del kernel di tipo Stuxnet
- Snooping non persistente nella memoria del programma
In breve:
- L'antivirus non è l'essenza e la fine della sicurezza
- È un tipo specializzato di software di sicurezza per gestire tipi di attacchi specifici
- È estremamente utile in alcune situazioni, ma ciò non lo rende invariabilmente utile
e su tutto, non è una prima linea di difesa. Le tue applicazioni (tramite exploit) e il tuo cervello (tramite social engineering) sono ciò che viene compromesso, quindi sono sempre la prima linea di difesa. Il tuo AV è lì come una misura di fallback. Ciò non significa che sia inutile, ma ciò significa che non dovresti fare troppo affidamento su di esso.
E ora alcune dichiarazioni di non responsabilità:
- Sono un informatico, non un consulente di sicurezza, quindi non prendere ciò che dico al valore nominale.
- Ho un interesse personale per il software antivirus che scompare come concetto popolare, perché ritengo che l'approccio sia insostenibile e commercializzato in misura dannosa.