Trend Micro vs. Microsoft: Co skenovat?

Mají se z kontroly antivirovým souborem vyloučit určité soubory a složky? Vyváží zrychlení operačního systému možná bezpečnostní rizika? A je to dnes vůbec podstatné?


 

Americký Computerworld upozorňuje na spor mezi Microsoftem a společností Trend Micro. Microsoft v dokumentu své podpory na znalostní bázi KnowledgeBase (č. 822158, poznámka: další platí pro anglický originál, ne pro lokalizovanou stránku podpory) doporučuje nastavit v operačním systému určité soubory a adresáře, které nebudou skenovány antivirovým softwarem. Cílem tohoto doporučení je zvýšit rychlost systému. Doporučení tohoto typu byla publikována už u Windows 2000, dnes je seznam výjimek doveden až k Windows Server R2 a Windows 7.

Konkrétně by z kontroly antivirem měly podle Microsoftu být vyloučeny soubory a adresáře spojené se službami Windows Update a Group Policy a soubory .edb., .sdb a .chk ve složce %windir%security. Doporučený whitelist Microsoft zdůvodňuje tím, že příslušné soubory či složky nejsou malwarem ohroženy, naopak jejich kontrola může působit potíže, protože během ní budou zamknuty a dočasně nepřístupné pro operační systém.

Trend Micro, respektive její výzkumník David Sancho, ani tak nekritizuje samotné doporučení (rychlost systému se opravdu zvýší), ale fakt, že tato informace je veřejně dostupná. Podle společnosti tím pro útočníky vzniká velká motivace – pokud určité oblasti počítače nebudou kontrolovány antivirem, je to pro ně potenciálně velmi zajímavý cíl. Kam nyní směřovat například soubory stahované při útocích typu drive-by download?

Sancho se domnívá, že doporučení Microsoftu se každopádně hodí jen pro pokročilé uživatele, jinak zvýšení rychlosti rozhodně nestojí za související bezpečnostní rizika (Poznámka: Ovšem, opravdu začínající uživatelé čtou Microsoft Knowledge Base a konfigurují si podle ní antivirus?). Andrew Storms z firmy nCircle Network Security ale pro americký Computerworld uvedl, že celý problém je nepříliš podstatný, dnešní detekce malwaru ani techniky jeho šíření už příliš nesouvisejí s tím, kde je malware uložen v souborovém systému. To vše je podle Stormse spíše historická záležitost.

Nakonec, mezi TrendMicro a Microsoftem existují jisté třecí plochy, a to nejenom potenciálně konkurenční vztah po uvedení Microsoft Security Essentials. Menší mediální přestřelka mezi oběma společnostmi se odehrála již v roce 2008, kdy Trend Micro zpochybnila tvrzení Microsoftu, že se pomocí jeho Nástroje pro odstranění škodlivého softwaru (MSRT, Malicious Software Removal Tool) podařilo prakticky zlikvidovat botnet Storm.

 











Komentáře