Test auto-ochrony 31 programów antywirusowych dla domu i dla firm

26 października, 2015

Niemieckie laboratorium AV-Test opublikowało dzisiaj wyniki z nietypowego, ale zarazem bardzo ciekawego testu 31 programów antywirusowych – 21 wersji dla użytkownika domowego i 10 wersji dla firm. Test dotyczył skuteczności auto-ochrony (self-protection) antywirusów dla firm i konsumentów przed atakami wirusów na ich pliki.

AV-Test, by pokazać jak naprawdę producenci „chroniąc siebie chronią nas”, zainstalowali poszczególne programy i rejestrowali zmiany 32 i 64-bitowych plików PE (portable executable) antywirusa. Pliki PE obejmują na przykład: EXE, DLL, SYS, DRV.

AV-Test sprawdził zaimplementowane mechanizmy obronne:

1. Mechanizm ASLR po raz pierwszy został zastosowany w systemie Windows Vista. Losowy układ alokacji przestrzeni adresowej (ASLR – address space layout randomization) zabezpiecza (czyt. utrudnia) przed przepełnieniem bufora na skutek ataku exploita z wykorzystaniem luki w systemie. Ten skomplikowany mechanizm w skrócie oznacza, że ASLR losowo przydziela stos adresów pamięci aplikacji, co sprawia, że żaden z istotnych elementów systemu (między innymi pliki exe, dll, sys) nie może zostać łatwo namierzony przez złośliwy kod obcej aplikacji. Jest to tym trudniejsze, jeśli złośliwy kod „nie wie”, w jakiej lokalizacji w pamięci i w danym czasie znajduje się aplikacja.  

2. DEP (Data Execution Prevention) jest zabezpieczeniem spotykanym we współczesnych systemach operacyjnych rodziny Microsoft Windows. Jego celem jest uniemożliwienie wykonywania kodu z segmentu danych. Pomaga to w ochronie przed exploitami wykorzystującymi przepełnienie bufora. DEP działa w dwóch trybach: sprzętowym, w którym procesor oznacza strony pamięci jako niewykonywalne, oraz programowym, który daje ograniczoną ochronę i jest stosowany wtedy, gdy procesor nie potrafi oznaczyć stron pamięci jako niewykonywalne. Pierwsza wersja DEP pojawiła się w systemie Windows XP Service Pack 2.

0915 dep aslr consumer balken en 01

csm 0915 dep alsr business Tab en 01 7838f6a8ef

Powyższa tabela przedstawia zabezpieczenie 32 i 64 bitowych plików PE metodami DEP i ASLR, ostatnia kolumna to ogólna średnia. Jedynymi programami dla biznesu, który oprócz własnych metod ochrony posiada także metody DEP i ASLR jest Symantec Endpoint Protection i dwa rozwiązania Kaspersky Lab.

Producenci rozwiązań korporacyjnych w znacznie większym stopniu polegają na własnych metodach obrony i jak pokazuje powyższa tabela – nie zawsze stosują metody DEP i ASLR. Sophos swoje 64-bitowe pliki ma w pełni zabezpieczone, jednak 32-bitowe już nie. Producent zaznacza, że duża liczba niezabezpieczonych 32-bitowych plików DLL zawiera tylko dane, które nie stanowią żadnego zagrożenia. Z kolei Sequrite jest jedyną firmą, która tylko w nieznacznym stopniu zabezpiecza swoje pliki PE metodami DEP i ASLR.
 
Jeśli chodzi o produkty dla zwykłych konsumentów i zabezpieczenie ich plików PE metodami DEP i ASLR, tutaj najlepszy jest Avira, Bullguard, ESET, Symantec, Kaspersky, McAfee. A skoro już mowa o słabych zabezpieczeniach antywirusów, zachęcamy do zapoznania się z równie interesującymi wynikami:

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]