Το λογισμικό ασφαλείας εκτελεί ανεπαρκώς τη δοκιμή Exploit

Οι μονάδες λογισμικού ασφαλείας κάνουν κακή δουλειά ανίχνευσης όταν το λογισμικό ενός υπολογιστή είναι υπό επίθεση, σύμφωνα με τον δανέζο πωλητή Secunia.

Η Secunia εξέτασε πόσο καλά μια δωδεκάδα σουιτών ασφαλείας στο Διαδίκτυο μπορούσε να εντοπίσει την εκμετάλλευση ενός ευάλωτου λογισμικού, δήλωσε ο Thomas Kristensen, CTO της Secunia.

Πρόκειται για μια διαφορετική προσέγγιση από την αρχιτεκτονική των προγραμμάτων σήμερα. Το λογισμικό ασφάλειας τείνει να επικεντρώνεται στην ανίχνευση κακόβουλου λογισμικού που καταλήγει σε υπολογιστή μετά την εκμετάλλευση μιας ευπάθειας. Το λογισμικό ενημερώνεται με υπογραφές ή αρχεία δεδομένων που αναγνωρίζουν ορισμένα κακόβουλα ωφέλιμα φορτία που παραδίδονται στον υπολογιστή μετά την εκμετάλλευση.

[Περισσότερες πληροφορίες: Πώς να αφαιρέσετε κακόβουλα προγράμματα από τον υπολογιστή σας Windows]

Υπάρχει ένα ξεχωριστό πλεονέκτημα στην εστίαση για την ανίχνευση μιας εκμετάλλευσης παρά για την υπεράσπιση έναντι αναρίθμητων ωφέλιμων φορτίων, είπε ο Kristensen. Το ίδιο το exploit δεν αλλάζει και πρέπει να χρησιμοποιείται με τον ίδιο τρόπο για να γίνει hacking στον υπολογιστή.

Ένας αναρίθμητος αριθμός ωφέλιμων φορτίων - από τους καταγραφείς πληκτρολόγησης έως το λογισμικό botnet - θα μπορούσε να αναπτυχθεί κατά τη διάρκεια μιας επίθεσης ενάντια σε μια ευπάθεια

Ο εντοπισμός της εκμετάλλευσης δεν είναι εύκολη δουλειά, ωστόσο, είπε ο Kristensen. Οι εκδόσεις του προγράμματος που επηρεάζονται από την ευπάθεια πρέπει να αναλυθούν πριν και μετά την εφαρμογή μιας ενημερωμένης έκδοσης κώδικα για να καταλάβει πώς λειτουργεί το exploit.

Για την δοκιμή του, η Secunia ανέπτυξε δικά της εργαλεία εκμετάλλευσης για γνωστά ευπάθειες λογισμικού. Από αυτά τα εκμεταλλεύματα, 144 ήταν κακόβουλα αρχεία, όπως αρχεία πολυμέσων και έγγραφα γραφείου. Τα υπόλοιπα 156 ήταν εκμεταλλεύσεις ενσωματωμένες σε κακόβουλες ιστοσελίδες που αναζητούσαν ευπάθειες browser και ActiveX, μεταξύ άλλων.

Η Symantec βγήκε στην κορυφή, αλλά ακόμα και τότε τα αποτελέσματά της δεν ήταν αστραπιαία: το Internet Security Suite 2009 της εταιρείας ανίχνευσε 64 300 εκμεταλλεύσεις, ή 21,33 τοις εκατό του συνόλου δειγμάτων.

Τα αποτελέσματα στη συνέχεια έγιναν πολύ χειρότερα. Η δεύτερη έκδοση του BitDefender για το Internet Security Suite 2009, που ξεκίνησε στις 12.0.10, ανίχνευσε το 2,33% του δείγματος. Το Trend Micro's Internet Security 2008 είχε το ίδιο ποσοστό ανίχνευσης με το BitDefender, ακολουθούμενο από το Internet Security Suite 2009 της McAfee στην τρίτη με 2%.

Η Kristensen προειδοποίησε ότι η Secunia γνώριζε ότι οι περισσότεροι πωλητές δεν επικεντρώνονται στην ανίχνευση εκμεταλλεύσεων. Αλλά θα ωφελήσει τους πωλητές να αρχίσουν να δημιουργούν υπογραφές για εκμεταλλεύσεις αντί για απλά ωφέλιμα φορτία, καθώς θα μπορούσαν να τους εξοικονομήσουν περισσότερο χρόνο. Οι προμηθευτές όπως η Symantec φαίνεται να κινούνται προς αυτή την κατεύθυνση, καθώς έχει δημιουργήσει υπογραφές για εκμεταλλεύσεις που σχετίζονται με τη Microsoft, δήλωσε ο Kristensen.

«Δεν βλέπουμε κανένα από τα οι άλλοι πωλητές έχουν κάτι παρόμοιο με αυτό », δήλωσε ο Kristensen

Εν τω μεταξύ, οι χρήστες θα πρέπει να εφαρμόζουν τις ενημερώσεις λογισμικού αμέσως μόλις απελευθερωθούν αυτά τα μπαλώματα. Εάν υπάρχει μια καθυστέρηση μεταξύ του χρόνου κατά την οποία ένα exploit είναι δημόσιο και μια ενημερωμένη έκδοση κώδικα κυκλοφόρησε, οι χρήστες μπορούν απλώς να αποφύγουν τη χρήση του συγκεκριμένου προγράμματος.

"Πολλοί άνθρωποι πιστεύουν ότι δεν έχουν τίποτα να ανησυχούν αν έχουν μόνο [λογισμικό προστασίας από ιούς] Kristensen είπε. "Δυστυχώς, αυτό σίγουρα δεν συμβαίνει."