Test auto-ochrony antywirusów 2017

Jak ważna jest „auto-ochrona” programu antywirusowego? W kontekście podatności DoubleAgent odgrywa niebagatelną rolę, ponieważ na skutek luk w systemach aż od XP po Windows 10 daje przestępcom sposobność przejęcia kontroli nad antywirusem. Powierzając bezpieczeństwo systemów i danych dostawcom tego typu rozwiązań pokładamy w nich nadzieję – jak się czasami okazuje – dostając w zamian ułudę i zapewnienie ochrony, które nie mają faktycznego odzwierciedlenia w rzeczywistości.

Przypomnijmy, że DoubleAgent to podatność, która została odkryta w weryfikatorze aplikacji dostępnym w Windows. Narzędzie to umożliwia programistom sprawdzanie kodów błędów podczas uruchamiania aplikacji i działa poprzez załadowanie biblioteki DLL do programu, który poddany jest procesowi debugowania. Może się to zakończyć poważnymi konsekwencjami, o których piszemy więcej w tym miejscu.

Jako że ciągle pozostajemy w obszarze auto-ochrony, już po raz trzeci niemieckie laboratorium AV-Test opublikowało wyniki z nietypowego, ale zarazem bardzo ciekawego testu, który dotyczył skuteczności auto-ochrony antywirusów dla firm i konsumentów przed atakami wirusów na ich własne pliki, z których są zbudowane.

AV-Test sprawdził zaimplementowane mechanizmy obronne:

1. Mechanizm ASLR po raz pierwszy został zastosowany w systemie Windows Vista. Losowy układ alokacji przestrzeni adresowej (ASLR - address space layout randomization) zabezpiecza (czyt. utrudnia) przed przepełnieniem bufora na skutek ataku exploita z wykorzystaniem luki w systemie. Ten skomplikowany mechanizm w skrócie oznacza, że ASLR losowo przydziela stos adresów pamięci aplikacji, co sprawia, że żaden z istotnych elementów systemu (między innymi pliki exe, dll, sys) nie może zostać łatwo namierzony przez złośliwy kod obcej aplikacji. Jest to tym trudniejsze, jeśli złośliwy kod „nie wie”, w jakiej lokalizacji w pamięci i w danym czasie znajduje się aplikacja.

2. DEP (Data Execution Prevention jest zabezpieczeniem spotykanym we współczesnych systemach operacyjnych rodziny Microsoft Windows. Jego celem jest uniemożliwienie wykonywania kodu z segmentu danych. Pomaga to w ochronie przed exploitami wykorzystującymi przepełnienie bufora. DEP działa w dwóch trybach: sprzętowym, w którym procesor oznacza strony pamięci jako niewykonywalne, oraz programowym, który daje ograniczoną ochronę i jest stosowany wtedy, gdy procesor nie potrafi oznaczyć stron pamięci jako niewykonywalne. Pierwsza wersja DEP pojawiła się w systemie Windows XP Service Pack 2.

Aby pokazać, czy producenci naprawdę „chroniąc siebie chronią nas”, zainstalowano poszczególne programy antywirusowe i rejestrowano zmiany 32 i 64-bitowych plików PE (portable executable) antywirusa. Pliki PE obejmują na przykład: EXE, DLL, SYS, DRV.

Rozwiązania ochrony dla konsumentów


Tabela przedstawia zsumowane średnie zabezpieczenie 32 i 64 bitowych plików PE każdego antywirusa metodami DEP i ASLR.


Tabela przedstawia bardziej szczegółowe wyniki oraz średnie zabezpieczenie wszystkich plików antywirusa w latach 2014, 2015 i 2017.


Tabela przedstawia ilość plików, z których składa się każdy program antywirusowych w wersji 32 lub 64 bitowej oraz czy te pliki są podpisane cyfrowo przez prodicenta.

 

Rozwiązania ochrony dla firm


Tabela przedstawia zsumowane średnie zabezpieczenie 32 i 64 bitowych plików PE każdego antywirusa metodami DEP i ASLR.


Tabela przedstawia bardziej szczegółowe wyniki oraz średnie zabezpieczenie wszystkich plików antywirusa w latach 2014, 2015 i 2017.


Tabela przedstawia ilość plików, z których składa się każdy program antywirusowych w wersji 32 lub 64 bitowej oraz czy te pliki są podpisane cyfrowo przez prodicenta.


Tabela przedstawia, który producent umożliwia pobranie instalatora poprzez protokół HTTP / HTTPS.




Dodaj komentarz