Diciamo che compro un computer e uso internet per i servizi, ma raramente scarico nulla e quando lo faccio è da fonti legittime con una probabilità minima o inesistente di malware.
Quali vantaggi può offrire un programma antivirus oltre a rilevare o impedire a quei pochi download di contenere malware?
O immagino più in generale - L'antivirus è necessario se un computer non scarica file ma utilizza solo applicazioni web?
Un programma antivirus è sempre utile. Il problema con la tua logica è che stai assumendo che tu abbia il controllo di tutto ciò che viene scaricato sulla tua macchina. L'utilizzo di applicazioni web inviterà ogni tipo di possibilità diverse nel mix.
Download sconosciuti
Un sacco di cose diverse vengono scaricate sulla tua macchina a tua insaputa. Recentemente ho visitato un sito per lo shopping natalizio e SilverBells.wav è stato immediatamente scaricato nella mia macchina senza alcun tipo di prompt. I dati mascherati da cookie di sessione, immagini, vengono scaricati senza chiedere all'utente.
"Ma non eseguo il browser come amministratore, in che modo il malware può causare danni senza privilegi?"
Si scopre che Malware non ha davvero bisogno di privilegi molto alti per portare a termine il proprio lavoro. Qualsiasi tipo di punto d'appoggio iniziale nel sistema è tutto ciò di cui ha bisogno per correre dilagante. Potrebbe non essere super avanzato e difficile da rimuovere. Ma i fastidiosi tipi di Adware di solito non interessano più di tanto.
Sfruttamento del browser
I browser sono grandi applicazioni con tonnellate di vettori di attacco per lo sfruttamento. Vedi la mia risposta qui che include collegamenti alle principali correzioni dei bug di sicurezza del browser. Non è nemmeno necessario visitare un sito dannoso se un annuncio da qualche parte contiene un pezzo di codice per sfruttare il browser. In questi casi i file possono essere scaricati sul computer oppure è possibile installare estensioni del browser; tutto senza la vostra conoscenza o il vostro consenso.
Protezione Web
Al giorno d'oggi i prodotti antivirus sono molto più di semplici scansioni di codice per il tuo sistema. Molte volte ora forniscono analisi di navigazione web in tempo reale. Se uno script dannoso è in esecuzione su una pagina Web, avviserà il tuo primo prima di visualizzare la pagina web stessa.
Possono anche cercare URL dannosi e possibili tentativi di phishing. Solo perché è visualizzato su Google non significa che devi fare clic su di esso. Alcuni phisher faranno molto per spingere il loro sito web sulla catena di ricerche restituite da Google.
La linea di fondo è che c'è molto di più da preoccuparsi rispetto al semplice download di file quando si tratta di pezzi di codice dannosi. L'utilizzo di un programma antivirus è sempre consigliato; meglio averlo e non usarlo che non preparato.
Naturalmente, avrai sempre bisogno di un programma anti malware anche se non scarichi i file da solo. Perché ? Perché una semplice visita al sito più innocente che conosci, può innescare un attacco e installare malware (più probabile spyware) che può portare persino a un controllo totale della tua macchina.
Ti consiglio di leggere sugli attacchi scarichi drive-by che possono sfruttare le vulnerabilità dei tuoi browser e / o i loro plugin e installare senza il tuo consenso o conoscenza malware più o meno pericoloso.
When is an antivirus program needed/useful?
Come ho detto, sempre. A meno che il tuo computer non sia completamente disconnesso da Internet e non usi mai alcun supporto esterno (chiavette USB, HDD esterno, CD ...) per leggere i dati (nel qual caso il tuo computer è inutile)
Un antivirus può aiutare contro il malware che sfrutta le vulnerabilità per installarsi senza l'interazione dell'utente, come vulnerabilità del browser, visualizzatore PDF, Flash player o plugin Java, nel qual caso l'antivirus impedirebbe il payload dall'esecuzione.
Questo naturalmente presuppone che il carico utile sia già noto all'antivirus, il che non è il caso di un nuovo virus o di un attacco mirato.
Dato che ci sono software antivirus gratuiti e non intrusivi come Microsoft Security Essentials, puoi installarlo, ogni protezione aiuta.
Nell'anno 2015, la maggior parte dei malware si diffonderà attraverso due meccanismi, il principale è l'USB (o derivativo, che è quasi tutto l'hardware) e il secondo è TDS (spesso una combinazione di adware, hosting parassita e blackhat SEO) tramite exploit kit. Sì, il secondo vettore si trova sul Web e gli obiettivi sono browser e plug-in del browser, in particolare le applet Java, Flash e Silverlight. Nessuno di questi richiede di scaricare nulla!
Non è possibile interrompere nessuno dei suddetti attacchi con antivirus, tuttavia l'antivirus è ancora molto importante da installare a prescindere. Esiste una tecnica (disponibile tramite almeno uno strumento gratuito che conosco e un prodotto commerciale) che fornisce un controllo quasi completo sull'infezione. Questa tecnica è la protezione da exploit sotto forma di canarini avanzati e ASLR come forniti da Microsoft EMET o Invincea Freespace. Molti nel settore della sicurezza affermeranno che questi possono essere aggirati - e mentre c'è del vero in questo, spesso richiede la conoscenza dell'ambiente di destinazione che va al di là di ciò che i kit di exploit consentono attualmente.
Supponiamo di avere un malware avanzato che utilizza un vettore hardware o un vettore Web estremamente avanzato. L'antivirus, come McAfee, non cattura il malware, ma può aiutare un'indagine forense. McAfee non solo lascia file BUP che possono essere analizzati, ma può anche lasciare log degli eventi o altri artefatti che lasciano una traccia di comportamenti malware a disposizione di un investigatore.
Riepilogo: installa Microsoft EMET, configuralo per la massima sicurezza aggiungendo tutti i browser e i plug-in del browser e avanza ulteriormente con altri strumenti come EmetRules . Installa anche l'antivirus: la mia raccomandazione è McAfee perché gli investigatori della scientifica lo conoscono bene e sembra essere utile durante le indagini successive al fatto delle sue capacità di registrazione. Se sei molto preoccupato che il malware si diffonda via hardware, allora non collegare hardware come USB (qualsiasi, non solo flash drive), CD / DVD o SDcard al tuo computer e proteggi il tuo computer rimuovendo o rendendo epossidico ( cioè, incollando chiuso) questi componenti hardware.
Visitare siti Web ombreggiati e scaricare file sono metodi comuni in cui un computer può essere infettato, ma non sono affatto gli unici. I download drive-by che sfruttano le vulnerabilità del browser, del sistema operativo o del plug-in (Flash, Java, ecc.) Possono infettare il computer se si limita a visitare una pagina Web dannosa, senza altre interazioni da parte dell'utente e nessuna indicazione che qualcosa è stato scaricato.
Anche i siti di grandi nomi possono a volte diffondere malware. Ad esempio, all'inizio di quest'anno i ricercatori hanno scoperto che alcuni annunci di YouTube erano che collegavano gli utenti scaricare drive-by e infettare chiunque ne abbia fatto clic con un trojan bancario. Il download drive-by si basava su exploit zero-day in IE e Flash, quindi le persone che erano infette non vedevano alcuna indicazione che qualcosa di malevolo accadesse.
Poi ci sono virus che si diffondono tramite unità flash USB infette, sulla rete locale, ecc. In breve, visitare solo i principali siti Web e scaricare da fonti legittime ridurrà le possibilità di ottenere malware, ma ciò non significa che puoi saltare l'installazione dell'antivirus.
Leggi altre domande sui tag antivirus antimalware