Na moich komputerach od dłuższego czasu nie ma antywirusa (rezydenta). Po prostu w moim przypadku taki antywirus jest nieco szkodliwy. Poza tym bez antywirusa można całkiem nieźle żyć.
Dlaczego nie używam antywirusa
Nie używam antywirusa z kilku powodów. Po pierwsze w moim przekonaniu oprogramowanie zabezpieczające nie powinno wprowadzać nowych podatności do systemu. Pakiety antywirusowe stają się coraz bardziej rozbudowane i złożone. W tak dużym kodzie, z którego znaczna część często pracuje jako usługa z uprawnieniami SYSTEM, prawdopodobieństwo wystąpienia błędu jest duże, a jego skutki - poważne.
Po drugie antywirusy często dodatkowo niepotrzebnie obciążają system. Tu nie ma się co rozpisywać, antywirus powinien robić swoją robotę nie zajmując niepotrzebnie zasobów systemowych. Nie interesują mnie "ładne" okienka, migające ikonki i tym podobne badziewia.
Po trzecie antywirusy mają brzydką cechę usuwania moich zabawek. Skoro zajmuję się testami penetracyjnymi, to normalne jest, że na moich komputerach znajdują się narzędzia podpadające pod kategorię hacking tools. Nie życzę sobie by jakiś narwany antywirus mi je "znikał". Zresztą nie tylko ja mam z tym problem...
Co w zamian?
Brak antywirusa wcale nie znaczy, że mój system jest siedliskiem robaków/wirusów/trojanów i tym podobnych stworzeń. Mam swoje metody...
Po pierwsze pracuję na koncie zwykłego użytkownika. W zasadzie pracuję tak mniej więcej od roku 2001 od czasów Windows 2000. Oznacza to, że na Windows 2000/Windows XP da się pracować bez praw administratora, choć różni eksperci (zwykle mający dość znikome pojęcie o temacie) twierdzą inaczej. Owszem, istnieje pewien problem z dostawcami aplikacji, którzy często robią wszystko, by ich dzieło nie działało z konta zwykłego użytkownika. Mnie się jednak zwykle udaje znaleźć rozwiązanie (temat długi, na początek polecam małą lekturę), gdy to się nie udaje, zawsze mogę skorzystać z czegoś innego...
Po drugie jako zwykły użytkownik nie mam praw zapisu do katalogów typu %programfiles% oraz %systemroot%. Dzięki temu złośliwy kod, który ewentualnie uruchomiłby się w kontekście mojego użytkownika nie spowoduje uszkodzenia systemu. Co najwyżej będę musiał wyczyścić swój profil. Tak, moje super tajne dane mogą zostać w międzyczasie wysłane w siną dal...
Po trzecie korzystam z Software Restriction Policy, z której wykorzystaniem blokuję wykonywanie programów z miejsc, do których mam zapis. Tutaj pewnym wyjątkiem/problemem jest profil użytkownika. W ramach kompromisu bezpieczeństwa i wygody pozwalam na uruchamianie programów z mojego pulpitu. Swoją drogą od pewnego czasu pracownikiem firmy Microsoft jest Crispin Cowan. Ciekawe co będzie rezultatem jego pracy.
Po czwarte wyłączam AutoRun/AutoPlay. I to wyłączam skutecznie, blokując interpretację pliku autorun.inf. Co prawda jest to w pewnym stopniu zabezpieczenie nadmiarowe z uwagi na wykorzystanie przeze mnie Softare Restriction Policy, ale jednak uważam, że SRP zbyt łatwo obejść umieszczając na pendrive skrypt, a do jego wykonania używając jak najbardziej legalny cmd.exe. Swoją drogą istnieje spora lista plików wykonywalnych, do których zwykły użytkownik nie powinien mieć dostępu (patrz szablony zabezpieczeń NSA lub NIST), aczkolwiek dla mnie byłoby to zbyt duże utrudnienie...
Te zasady połączone z pewną dozą zdrowego rozsądku pozwalają mi zachować czystość systemów, z których korzystam. W sumie nie wiem, co jest ważniejsze, te metody, czy wspomniany zdrowy rozsądek.
ClamAV
Od pewnego czasu na moich komputerach zainstalowany jest również ClamAV w wersji dla Windows. Co prawda jego historia błędów nie jest może krystalicznie czysta, ale zachowuje się tak, jak ja tego chcę, czyli skanuje to, co mu każę i kiedy każę. A głównie każę mu sprawdzić do instalacji jakich niespodzianek namawiają mnie różnej maści phisherzy.
http://www.guardian.co.uk/technology/2007/sep/20/guardianweeklytechnologysection.spam
GMER jest OK, choć jak dla mnie, wolałbym, by był mniej "bałaganiarski". Nie lubię, gdy coś mi się uporczywie kopiuje do %systemroot% i jego podkatalogów.