Edit: dit was een reactie op @Epiphany, excuses |:(

Toch heeft @Zezura een punt. Antivirus-applicaties worden vaak door elkaar gehusseld met security suites. Het feit is dat dit onjuist is.

Als je security researchers als Tavis Ormandy volgt, weet je een beetje waar ik op doel. Antivirus-suites hebben zo vaak de neiging op dingen open te breken en opnieuw te implementeren, vaak op een brakke manier, waardoor je systeem alleen maar kwetsbaarder maakt.

De afgelopen jaren zijn AV-suites door de mand gevallen door o.a.

  • HTTPS-verkeer te ontsleutelen en vervolgens niet goed de certificaten te controleren, MITM-aanvallen in de hand werkend.
  • Verdachte bestanden in kernel-space te scannen, waardoor een malformed bestand dit kon exploiten en direct systeemrechten had.
  • Code te injecteren in browsers en anders software die andere exploit-mitigations tegenwerken.
  • Netwerkverkeer te re-routen waardoor sommige applicaties niet meer kunnen werken of updaten, waardoor je dus met onveilige software zit. Ook dit was onlangs nog bij Firefox een bekend probleem.

Antivirus-suites zijn niet meer cruciaal. Tegenwoordig moet je het hebben van goede sandboxing, geheugenintegriteit, ASLR, DEP, en andere moderne exploit-preventiemethodes.

Geen enkele AV is perfect. Ook Windows defender niet. Maar o.a. Tavis Ormandy hebben als deel van Project Zero wel een hoop AV’s ge-reverse engineered en geven aan dat Defender in ieder geval één van de betere opties is. Plus je betaalt er niet voor.

[Reactie gewijzigd door CykoByte op 9 oktober 2022 14:26]