Oprogramowanie zabezpieczające słabo radzi sobie w testach na lukach

Pakiety oprogramowania zabezpieczającego nie radzą sobie z wykrywaniem, kiedy oprogramowanie komputera jest atakowane, według duńskiego sprzedawcy Secunia.

Secunia przetestowała, jak dobrze tuzin pakietów bezpieczeństwa w Internecie może zidentyfikować, kiedy została wykorzystana luka w oprogramowaniu, powiedział Thomas Kristensen, Dyrektor Techniczny Secunii.

To odmienne podejście w stosunku do dzisiejszych programów. Oprogramowanie zabezpieczające zwykle koncentruje się na wykrywaniu złośliwego oprogramowania, które trafia na komputer po wykorzystaniu luki w zabezpieczeniach. Oprogramowanie jest aktualizowane za pomocą sygnatur lub plików danych, które rozpoznają niektóre szkodliwe ładunki dostarczane do exploita po awarii komputera.

[Więcej informacji: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

Jest wyraźna przewaga w ustawianiu ostrości o wykryciu exploita zamiast bronienia się przed niezliczonymi ładunkami, powiedziała Kristensen. Sam exploit się nie zmienia i musi być wykorzystywany w taki sam sposób, aby komputer mógł zostać zhakowany.

Niezliczona ilość ładunków - poczynając od loggerów po oprogramowanie do botnetów - może zostać wdrożona podczas ataku na lukę w zabezpieczeniach..

Identyfikacja exploita nie jest łatwą pracą, jednak Kristensen powiedział. Wersje programu, którego dotyczy luka, muszą zostać przeanalizowane przed i po zastosowaniu poprawki, aby dowiedzieć się, jak działa exploit.

W celu przeprowadzenia testu, Secunia opracował własne działające exploity dla znanych luk w oprogramowaniu. Z tych exploitów 144 to złośliwe pliki, takie jak pliki multimedialne i dokumenty biurowe. Pozostałe 156 to exploity wbudowane w złośliwe strony sieci Web, które szukają luk w zabezpieczeniach przeglądarki i ActiveX.

Symantec wyszedł na wierzch, ale nawet wtedy jego wyniki nie były wspaniałe: firma Internet Security Suite 2009 wykryła 64 z 300 exploitów, czyli 21,33 procent zestawu próbek.

Wyniki okazały się znacznie gorsze. BitDefender Internet Security Suite 2009 build 12.0.10 zajął drugie miejsce, wykrywając 2,33 procent zestawu próbek. Internet Security 2008 firmy Trend Micro miał taki sam wskaźnik wykrywania jak BitDefender, a następnie McAfee Internet Security Suite 2009 na trzecim miejscu na poziomie 2%.

Kristensen ostrzegł, że Secunia była świadoma, że ​​większość dostawców nie jest skoncentrowana na wykrywaniu exploitów. Przydałoby się jednak sprzedawcom, by zaczęli tworzyć podpisy pod kątem exploitów, a nie tylko ładunków, ponieważ mogłoby to zaoszczędzić im więcej czasu. Jak powiedział, "jest dużo mniej exploitów niż ładunków"

Wydaje się, że producenci tacy jak Symantec poruszają się w tym kierunku, ponieważ stworzyli sygnatury dla exploitów związanych z Microsoftem, powiedział Kristensen.

"Nie widzimy żadnego z inni sprzedawcy mają coś podobnego do tego "- powiedziała Kristensen.

W międzyczasie użytkownicy powinni instalować poprawki oprogramowania zaraz po wydaniu tych łat. Jeśli istnieje opóźnienie między ujawnieniem exploita a opublikowaniem łaty, użytkownicy mogą po prostu uniknąć użycia danego programu.

"Zbyt wielu ludzi uważa, że ​​nie mają się czym martwić, jeśli mają tylko [oprogramowanie antywirusowe]" Kristensen powiedział. "Niestety, tak nie jest."