Хакер #305. Многошаговые SQL-инъекции
«Разработчики антивирусного ПО ужасны! Не покупайте антивирусы и удалите их, если они у вас уже есть (не считая [решений] Microsoft на Windows)».
Известный инженер Mozilla Роберт О'каллахан (Robert O'Callahan) ранее удостоился награды Mozilla Distinguished Engineer, но в прошлом году оставил организацию после 16 лет работы. О'каллахан и ранее отличался резкими высказываниями в адрес различных компаний, но теперь он, кажется, превзошел себя и опубликовал в своем блоге сообщение с призывом отказываться от всех антивирусов, кроме продукции Microsoft.
«Нет почти никаких доказательств того, что топовые антивирусные продукты (не MS) как-то улучшают сетевую безопасность. Скорее они заметно ей вредят. К примеру, посмотрите на баги в антивирусном ПО, обнаруженные Google Project Zero. Эти баги свидетельствуют не только о том, что данные продукты открыты для большинства типов атак, но их разработчики в целом не следуют стандартным практикам безопасности (с другой стороны, Microsoft демонстрирует компетентность)», — пишет О'каллахан.
Стоит сказать, что за последние пару лет исследователь Google Project Zero Тевис Орманди (Tavis Ormandy) действительно обнаружил в различных антивирусных продуктах множество серьезных уязвимостей (1, 2, 3).
Затем О'каллахан заявляет, что антивирусы отравляют всю софтверную экосистему в целом, так как их инвазивный и плохо написанный код осложняет работу разработчиков браузеров и другого ПО, мешая им самим заниматься улучшением безопасности. Эксперт вспоминает случай, когда Firefox для Windows обзавелся поддержкой ASLR, но многие производители антивирусов незамедлительно все испортили, внедрив в процесс собственные DLL, отключающие ASLR. Также О'каллахан припомнил, как антивирусное ПО не раз блокировало обновления Firefox, лишая пользователей важных исправлений.
«Софтверным вендорам сложно говорить об этих проблемах, потому что это требует сотрудничества со стороны антивирусных вендоров», — продолжает разработчик. Ведь современные пользователи считают, что слово «антивирус» — это синоним слова «безопасность». Так что ссориться с крупными производителями антивирусов, по мнению О'каллахана, опасно, если те начнут поливать компанию грязью, последствия могут быть самыми плачевными. В качестве примера О'каллахан приводит собственный горький опыт: когда он попытался призвать производителя антивирусов к ответу из-за инъекций кода в Firefox API, PR-отдел Mozilla заставил его замолчать. Ведь в отместку антивирусный вендор мог бы признать Firefox небезопасным, или обвинить разработчиков браузера в том, что пользователи стали жертвами малвари.
«Когда ваш продукт вылетает при запуске из-за вмешательства антивируса, пользователи будут винить в этом ваш продукт, а не антивирус. Хуже того, если из-за антивируса ваш продукт станет невероятно медленным и раздутым, пользователи решат, что так оно и есть», — сетует инженер.
Стоит сказать, что за последние годы О'каллахан успел раскритиковать многих. Вот лишь несколько примеров:
- в начале 2017 года О'каллахан подверг критике производителей браузеров, так как все они (не считая Mozilla) в первую очередь заботятся о своих бизнес-интересах, но не о веб-стандартах;
- в 2014 году разработчик призывал пользователей прекратить использовать Chrome, так как иначе в будущем можно будет наблюдать монополию Google в сети;
- в 2013 году О'каллахан раскритиковал Blink, новый на тот момент движок Chrome;
- в 2010 году он, наряду с другими инженерами Mozilla, поссорился с Microsoft из-за того, что компания заявила, будто IE – это единственный браузер, который поддерживает полное аппаратное ускорение.
Фото: Kristina D.C. Hoeppner