Auto-ochrona antywirusów, test 32 programów dla firm i użytkowników domowych

26 listopada, 2014
untitled-2

Niezależne laboratorium AV-Test opublikowało wyniki z nietypowego, ale zarazem bardzo ciekawego testu 32 programów antywirusowych. Test dotyczył skuteczności auto-ochrony (self-protection) antywirusów dla firm i konsumentów przed atakami wirusów na ich kod.

AV-Test, by pokazać jak naprawdę producenci ‘chroniąc siebie chronią nas’, zainstalowali poszczególne programy i rejestrowali zmiany 32 i 64-bitowych plików PE (portable executable) antywirusa. Pliki PE obejmują na przykład: EXE, DLL, SYS, DRV.

AV-Test sprawdził zaimplementowane mechanizmy obronne

1. Mechanizm ASLR po raz pierwszy został zastosowany w systemie Windows Vista. Losowy układ alokacji przestrzeni adresowej (ASLR – address space layout randomization) zabezpiecza (czyt. utrudnia) przed przepełnieniem bufora na skutek ataku exploita z wykorzystaniem luki w systemie. Ten skomplikowany mechanizm w skrócie oznacza, że ASLR losowo przydziela stos adresów pamięci aplikacji, co sprawia, że żaden z istotnych elementów systemu (między innymi pliki exe, dll, sys) nie może zostać łatwo namierzony przez złośliwy kod obcej aplikacji, jest to tym trudniejsze, jeśli złośliwy kod nie wie w jakiej lokalizacji w pamięci w danym czasie znajduje się aplikacja.  

2. DEP (Data Execution Prevention) jest zabezpieczeniem spotykanym we współczesnych systemach operacyjnych rodziny Microsoft Windows. Jego celem jest uniemożliwienie wykonywania kodu z segmentu danych. Pomaga to w ochronie przed exploitami wykorzystującymi przepełnienie bufora. DEP działa w dwóch trybach: sprzętowym, w którym procesor oznacza strony pamięci jako niewykonywalne, oraz programowym, który daje ograniczoną ochronę i jest stosowany wtedy, gdy procesor nie potrafi oznaczyć stron pamięci jako niewykonywalne. Pierwsza wersja DEP pojawiła się w systemie Windows XP Service Pack 2.

Procentowe wyniki z poniższych tabel biorą się z właściwości, iż od 5 do 45 procent wszystkich plików antywirusa po jego zainstalowaniu to pliki PE, których zabezpieczenie sprawdzano w tym badaniu.

avtest self protection bisuness

Powyższa tabela przedstawia zabezpieczenie 32 i 64 bitowych plików PE metodami DEP i ASLR, ostatnia kolumna to ogólna średnia. Jedynym programem dla biznesu, który oprócz własnych metod ochrony posiada także metody DEP i ASLR jest Symantec Endpoint Protection.

Producenci rozwiązań korporacyjnych w znacznie większym stopniu polegają na własnych metodach obrony i jak pokazuje powyższa tabela – nie zawsze stosują metody DEP i ASLR. Sophos swoje 64-bitowe pliki ma w pełni zabezpieczone, jednak 32-bitowe już nie. Producent zaznacza, że duża liczba niezabezpieczonych 32-bitowych plików DLL zawiera tylko dane, które nie stanowią żadnego zagrożenia. Z kolei Firma Trend Micro jest jedyną firmą, która tylko w nieznacznym stopniu zabezpiecze swoje pliki PE metodami DEP i ASLR.

csm 1114 DEP ASLR Consumer Tabellen en d08f2971b2

Jeśli chodzi o produkty dla zwykłych konsumentów i zabezpieczenie ich plików PE metodami DEP i ASLR, tutaj najlepszy jest ESET, AVIRA i Symantec. Warto zauważyć też dwie właściwości: niecała połowa producentów zdobyła średni wynik ponad 90 procent oraz 64-bitowe programy są lepiej zabezpieczone (lecz nie we wszystkich przypadkach).

Dziękujemy AV-Test za ten niecodzienny test. A skoro już mowa o słabych zabezpieczeniach antywirusów, zachęcamy do zapoznania się z równie interesującymi wynikami:

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]