אתה תלוי באנטי-וירוס או חבילת האבטחה שלך כדי להגן על הנתונים שלך ועל המכשירים שלך, אבל עד כמה הוא מגן על עצמו? תוכנת אבטחה היא רק תוכנה, וכפופה לפגמים, כמו כל סוג אחר של תוכנית. קודאים יכולים לנקוט בצעדים פשוטים כדי לוודא כי פגם בתוכנה לא פותח את התוכנית לניצול התקפה. עם זאת, הדו"ח האחרון של המעבדה הגרמנית AV-Test Institute מראה מגוון רחב באיזו מידה ספקי האבטחה משרישים את המוצרים שלהם מפני התקפה ישירה.
פיתרון קל
הדו"ח של AV-Test קובע כי התוכנות הטובות ביותר טועות רק בשגיאה אחת בכל 2, 000 שורות קוד. הבעיה היא שתוכנית מרכזית לא תכיל אלפים אלא מיליוני שורות קוד. זה הרבה טעויות. לא כל שגיאה פותחת את התוכנית לתקיפה על ידי תוכנות זדוניות, אך יש כאלה שכן.
כדי להצליח בהתקפתה, על ניצול לאלץ את תוכנית הקורבן לבצע קוד זדוני. יש כאלה שעושים זאת על ידי החלקת הקוד כנתונים ואילוץ הקורבן לבצע אותו. אחרים מתפעלים בערימה או בערימה, אזורי זיכרון המשמשים תוכניות לאחסון זמני. שיבוש יותר נתונים למאגר ממה שהזיכרון בפועל מאפשר הוא דרך נוספת להכניס קוד שרירותי לחלל הזיכרון של התוכנית.
קיימות שתי טכנולוגיות בוגרות שיכולות לסכל ניצולים רבים. הגנת ביצוע נתונים (DEP) פשוט מונעת ביצוע קוד בכל זיכרון המסומן כמאוחסן נתונים. זה לבד מוחק נקודת כניסה אחת לניצול.
אקראית פריסת חלל כתובת (ASLR), כפי שהשם מרמז, מדשדשת את מגזרי הזיכרון המשמשים תוכנית, כך שהתוקף לא יכול לחזות היכן למצוא את הגזרה המחזיקה בקוד הפגיע. בשתי הטכניקות נעשה שימוש נרחב ב- Windows עצמה. עבור מרבית המהדרים המודרניים, הטמעת כל אחת מטכנולוגיות ההגנה הללו היא קלה כמו הפניית מתג.
מתודולוגיית מבחן
חוקרי AV-Test אספו 24 מוצרי אבטחה בצרכן ושמונה מוצרים המיועדים לעסקים. עבור כל מוצר הם ביצעו מפקד פשוט. הם ספרו כל קובץ הפעלה, ספריית קישורים דינאמית, מנהל התקן וקובץ sys הקשורים ליישום וציין אם כל מודול יישם DEP, ASLR או שניהם. הם העריכו מוצרים של 32 סיביות ו- 64 סיביות בנפרד.
כפי שציינתי, התוצאות כיסו מגוון רחב. ESET היה המוצר הצרכן היחיד עם כיסוי של 100 אחוזים; סימנטק היה המוצר העסקי היחיד ברמה זו. אבירה, G Data, McAfee ו- AVG מגנים לחלוטין על מוצרי 64 הסיביות שלהם באמצעות DEP ו- ASLR. עם זאת, הכיסוי במהדורות 32 הסיביות שלהם נע בין 90 ל- 100% לא לגמרי.
בקצה השני של הספקטרום, eScan Internet Security Suite עמד על 17.5 אחוזי כיסוי בממוצע. קינגסופט אנטי-וירוס הצליחה בממוצע 19 אחוזים, אך לא השתמשה DEP בכלל במוצרי ה- 64 סיביות שלה.
בהתחשב בכך שהפעלת מנגנוני ההגנה הללו היא רק עניין של הפניית מתג מהדר, מדוע הספקים יתעלמו מהם? מבחן AV קיבל מספר תשובות. חלק מהספקים השתמשו בספריות של צד שלישי שלא נערכו עם אבטחה בתאריך. חלקם דיווחו על שימוש בטכנולוגיית אבטחה קניינית שאינה תואמת DEP ו- ASLR. ויש שהצהירו כי קבצים מסוימים אינם משמשים באופן פעיל את התוכנית, ולכן הם לא חשובים. (אז למה לא להסיר אותם?)
הגנה, ביצועים, שימושיות
יחד עם דוח ההגנה העצמית, AV-Test פרסמה את הדו"ח האחרון בנושא הגנה אנטי-וירוס, ביצועים ושימושיות. אתה יכול לצפות בפרטי מתודולוגיית הבדיקה שלהם באופן מקוון. תוצאות הבדיקה המלאות זמינות גם באופן מקוון; אני אפגע בנקודות השיא כאן.
קספרסקי קלע 18 נקודות מושלמות, כמו שקרה בפעם הקודמת, ואבירה צברה 1.5 נקודות לעומת הפעם הקודמת והצטרפה לקאספרסקי בצמרת. במורד ההר בירידה, הן ZoneAlarm והן Vipre הגיעו למטה ב -3.5 נקודות לעומת הפעם הקודמת. עבור ZoneAlarm, הכל היה במבחן הביצועים, שם הניקוד שלו ירד מ -6 מושלם למטה ל -2.5. ויפר איבד נקודות בשלושת התחומים. הציון הכולל של 8.5 נקודות הוא הרבה מתחת לעשר הנקודות הדרושות להסמכה.
אני בהחלט מעריך מעבדות כמו AV-Test המרחיבות את ההערכות שלהן לתחומים חדשים, כמו לבדוק מוצרי אבטחה להגנה עצמית. אם לא אחר, דוח ספציפי זה יגרום לספקי האבטחה לחשוב פעמיים על ביצוע ללא DEP ו- ASLR. כן, יש סיבות תקפות להשמיט אותם עבור קבצים ספציפיים, אך נעדר הסיבה הזו, פשוט היפוך את המתג!
