Unii dintre noi am fi tentati sa credem ca atunci cand vine vorba de securitate cu cat este mai multa cu cat este mai bine. Insa atunci cand vine vorba de folosirea simultana a doua programe de antivirus pe acelasi sistem, principiul de mai devreme nu se aplica deloc cu succes. Iar motivele sunt bine intemeiate.
Putem folosi mai mult de un antivirus?
Raspunsul scurt este ca “da”, dar 🙂 nu ar trebui folosite in acelasi timp. Pentru a putea detecta amenintarile cibernetice cu o rata de succes cat mai mare, softului de antivirus trebuie sa i se permita accesul pana in nucleul sistemului cunoscut sub numele de kernel. Astfel, antivirusul poate urmari indeaproape evenimentele care se petrec pe sistem, apoi datele colectate sunt trimise motorului de analiza care ofera verdictul de bening/malign. In urma acestui proces, antivirusul poate sa scaneze fisierele care ajung pe sistem, programe care se executa, traficul de retea si alte activitati desfasurate pe dispozitiv.
Daca doua softuri de antivirus sunt active simultan pe sistem, fiecare dintre ele va dori sa se “instaleze” in aceeasi zona din kernel. Acest lucru va duce inevitabil la conflicte intre cele doua antivirusuri cu ramificatiile urmatoare:
Cele doua programe de antivirus se pot “bate” intre ele.
In filmul “Training Day” personajul Alonzo Harris interpretat de Denzel Washington spune “… it takes a wolf to catch a wolf.” Un fapt adevarat pentru un antivirus. Antivirusul se comporta foarte similar cu malware-ul cu care se lupta. Malware-ul incearca sa se inradacineze adanc in kernel-ul sistemului si sa se raspandeasca cu repeziciune pentru nu fi gasit si indepartat cu usurinta. Antivirusul va identifica programele non-standard care ruleaza cu un nivel ridicat de permisiuni si va semnala un pericol. Pentru o si mai buna protectie, antivirusul se foloseste de privilegiile pe care le are pentru a modifica fisierele suspecte. Actiunea de carantinare luata de antivirus va “dezactiva” fisierul si il va muta intr-o locatie izolata pentru a ne proteja. Asadar, comportamentele exercitate de un antivirus pot fi vazute ca pericole reale pentru celalalt antivirus.
Ruland mai multe antivirusuri, sistemul va fi incetinit.
Fiecare antivirus va face tot ce poate pentru a lupta impotriva amenintarilor cibernetice. In acest sens, antivirusul va folosi o anumita cantitate de memorie, un anumit numar de ciclii de procesor si un anumit procent din bateria laptopului. Multe sisteme nu sunt pregatite pentru a acomoda cerintele unui al doilea software de antivirus. Cel mai bun rezultat in acest caz este ca sistemul se va “misca” lent, nu va raspunde la comenzi, aspecte care vor duce la frustrarea utilizatorului. Cel mai rau rezultat este ca sistemul va intra in colaps si va “crash-ui”, in special pe sistemele low-end fara specificatii hardware deosebite. Consecintele pot fi mai grave. Antivirusul va fi “knock-down” nedispunand de resursele necesare pentru a putea scana si tine in siguranta sistemul, iar penuria de resurse poate duce la defectari hardware care pot afecta datele si fisierele de pe sistem.
Cel mai adesea, stratificarea mai multor antivirusuri creeaza probleme serioase. Insa, exista o situatie utila in care folosirea a doua antivirusuri este benefica. Atunci cand se doreste o a doua parere. La fel ca atunci cand vine vorba de sanatate, si in securitatea cibernetica se poate cere o a doua parere. Logica unui antivirus nu este perfecta, iar eficienta este data de precizia de detectia bazata pe corectitudinea semnaturii care nu poate fi niciodata 100% si de frecventa cu care baza de date de semnaturi este actualizata. Asa ca, daca suntem suspiciosi cu privire la posibilitatea de a fi infectati cu un malware chiar daca antivirusul nu a detectat nimic, putem scana sistemul cu un al doilea antivirus doar ca sa fim siguri. Pentru a ne folosi corect de acest use case, ar trebui sa avem un antivirus principal pe care sa il dezactivam atunci cand vrem sa folosim antivirusul de “backup”.
Ca o concluzie, cea mai buna protectie pe care o poate oferi un program de antivirus se intampla atunci cand lucrurile sunt pastrate simple 🙂 Trebuie sa alegem un produs de calitate, de la un vendor respectabil si cu traditie in domeniul securitatii cibernetice si sa ii permitem sa isi faca treaba pentru care a fost construit.
Mihai Dumitrascu, Sr Systems Engineer