Test auto-ochrony antywirusów 2017

4 maja 2017

Jak ważna jest „auto-ochrona” programu antywirusowego? W kontekście podatności DoubleAgent odgrywa niebagatelną rolę, ponieważ na skutek luk w systemach aż od XP po Windows 10 daje przestępcom sposobność przejęcia kontroli nad antywirusem. Powierzając bezpieczeństwo systemów i danych dostawcom tego typu rozwiązań pokładamy w nich nadzieję – jak się czasami okazuje – dostając w zamian ułudę i zapewnienie ochrony, które nie mają faktycznego odzwierciedlenia w rzeczywistości.

Przypomnijmy, że DoubleAgent to podatność, która została odkryta w weryfikatorze aplikacji dostępnym w Windows. Narzędzie to umożliwia programistom sprawdzanie kodów błędów podczas uruchamiania aplikacji i działa poprzez załadowanie biblioteki DLL do programu, który poddany jest procesowi debugowania. Może się to zakończyć poważnymi konsekwencjami, o których piszemy więcej w tym miejscu.

Jako że ciągle pozostajemy w obszarze auto-ochrony, już po raz trzeci niemieckie laboratorium AV-Test opublikowało wyniki z nietypowego, ale zarazem bardzo ciekawego testu, który dotyczył skuteczności auto-ochrony antywirusów dla firm i konsumentów przed atakami wirusów na ich własne pliki, z których są zbudowane.

AV-Test sprawdził zaimplementowane mechanizmy obronne:

1. Mechanizm ASLR po raz pierwszy został zastosowany w systemie Windows Vista. Losowy układ alokacji przestrzeni adresowej (ASLR – address space layout randomization) zabezpiecza (czyt. utrudnia) przed przepełnieniem bufora na skutek ataku exploita z wykorzystaniem luki w systemie. Ten skomplikowany mechanizm w skrócie oznacza, że ASLR losowo przydziela stos adresów pamięci aplikacji, co sprawia, że żaden z istotnych elementów systemu (między innymi pliki exe, dll, sys) nie może zostać łatwo namierzony przez złośliwy kod obcej aplikacji. Jest to tym trudniejsze, jeśli złośliwy kod „nie wie”, w jakiej lokalizacji w pamięci i w danym czasie znajduje się aplikacja.

2. DEP (Data Execution Prevention jest zabezpieczeniem spotykanym we współczesnych systemach operacyjnych rodziny Microsoft Windows. Jego celem jest uniemożliwienie wykonywania kodu z segmentu danych. Pomaga to w ochronie przed exploitami wykorzystującymi przepełnienie bufora. DEP działa w dwóch trybach: sprzętowym, w którym procesor oznacza strony pamięci jako niewykonywalne, oraz programowym, który daje ograniczoną ochronę i jest stosowany wtedy, gdy procesor nie potrafi oznaczyć stron pamięci jako niewykonywalne. Pierwsza wersja DEP pojawiła się w systemie Windows XP Service Pack 2.

Aby pokazać, czy producenci naprawdę „chroniąc siebie chronią nas”, zainstalowano poszczególne programy antywirusowe i rejestrowano zmiany 32 i 64-bitowych plików PE (portable executable) antywirusa. Pliki PE obejmują na przykład: EXE, DLL, SYS, DRV.

Rozwiązania ochrony dla konsumentów

Tabela przedstawia zsumowane średnie zabezpieczenie 32 i 64 bitowych plików PE każdego antywirusa metodami DEP i ASLR.
Tabela przedstawia bardziej szczegółowe wyniki oraz średnie zabezpieczenie wszystkich plików antywirusa w latach 2014, 2015 i 2017.
Tabela przedstawia ilość plików, z których składa się każdy program antywirusowych w wersji 32 lub 64 bitowej oraz czy te pliki są podpisane cyfrowo przez prodicenta.

 

Rozwiązania ochrony dla firm

Tabela przedstawia zsumowane średnie zabezpieczenie 32 i 64 bitowych plików PE każdego antywirusa metodami DEP i ASLR.
Tabela przedstawia bardziej szczegółowe wyniki oraz średnie zabezpieczenie wszystkich plików antywirusa w latach 2014, 2015 i 2017.
Tabela przedstawia ilość plików, z których składa się każdy program antywirusowych w wersji 32 lub 64 bitowej oraz czy te pliki są podpisane cyfrowo przez prodicenta.
Tabela przedstawia, który producent umożliwia pobranie instalatora poprzez protokół HTTP / HTTPS.

PODZIEL SIĘ:

Share on facebook
Share on twitter
Share on linkedin
Share on email
AUTOR: Adrian Ścibor
Redaktor prowadzący AVLab.pl i CheckLab.pl.
guest
0 komentarzy
Inline Feedbacks
View all comments

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

Bitdefender GravityZone Webinarium

Dowiedz się, co eksperci mówią o GravityZone

POLECANE PRODUKTY

YUBIKEY

Klucze zabezpieczające

100% ochrony przed phishingiem

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA E-MAIL I ZAWSZE BĄDŹ NA BIEŻĄCO!
zapisz się

POLECANE PRODUKTY

YUBICO

Klucze zabezpieczające

SILNE UWIERZYTELNIANIE DWUSKŁADNIKOWE, WIELOSKŁADNIKOWE I BEZ HASŁA

Bitdefender GravityZone Webinarium

Dowiedz się, co eksperci mówią o GravityZone