Leszerepeltek a biztonsági programok a szoftver-sebezhetőségek védelme terén
Az összes integrált biztonsági szoftver leszerepelt a Secunia tesztjén, ahol a szoftverekben időről időre felbukkanó sebezhetőségek elleni védelmüket vizsgálták.
Nem csodaszer
Az utóbbi időben egyre gyakrabban esik szó olyan sebezhetőségekről, amelyekre különféle szoftverekben, például böngészőkben, azok beépülő moduljaiban (Adobe Flash, QuickTime stb.), médialejátszókban, vagy akár az Office komponenseiben bukkannak fel. Ezek között akadnak olyan kritikus hibák, amelyeket kihasználva a támadók tetszőleges kódot csempészhetnek az áldozatok gépeire, teljesen irányításuk alá vonva azokat. Ez szabad utat ad egyfelől az érzékeny adatok ellopásának, másfelől az így irányított PC-ket a bűnözők további támadások indítására, vagy éppen spamküldésre használhatják később.
A kliensoldali biztonsági szoftver kezdetben egyet jelentett a víruskeresővel, de ma már a kártevők elleni védelem mellett a gyártók egyre több funkciót építnek be a szoftvereikbe, például tűzfalat, behatolásvédelmet, spamszűrést, vagy a sebezhetőségek elleni védelmet -- így jönnek létre az átfogó védelmi termékek, amelyeket Security Suite-ként is szoktak emlegetni, árulni. "A cégek úgy hirdetik ezeket a termékeket, hogy a felhasználóknak nincs másra szüksége ahhoz, hogy biztonságban legyenek. Szerintünk ez viszont nem igaz" -- állítja Thomas Kristensen, a Secunia műszaki vezetője.
A vállalat egy tucat integrált biztonsági programot vett szemügyre a sebezhetőségek elleni védelem szempontjából, és azt találta, hogy a sérülékenységeket kihasználó kódok túlnyomó többsége ellen valamennyien teljesen hatástalanok. A teszt során a sérülékenységet kihasználó kódokat tartalmazó fájlokat (pl. képeket, Word-dokumentumokat, videókat) rámásolták a PC-re, kitömörítették, majd elindították azt a programot, amelyet a kód támad (weboldalba ágyazott kódnál ez az Internet Explorer volt).
Átjáróház minden védelem
Az esetek túlnyomó többségében a feltelepített biztonsági szoftverek nem észlelték a sebezhetőségeket kihasználó kódokat, még az állományok kézi szkennelésekor sem. A tesztelt termékek közül a Norton Internet Security 2009 teljesített a legjobban, de a 300 vizsgált sérülékenység közül ez is csak 64 esetben riasztott, a többi termék pedig ennél is jóval rosszabb eredményeket produkált. A leggyatrább eredményt a Norman Security Suite 7.10 érte el, amely a sebezhetőségeket kihasználó kódok közül egyet sem ismert fel a teszt során.
Kristensen szerint a biztonsági szoftverek azért szerepeltek le, mert mindannyian olyan módszereket -- szignatúrákat vagy heurisztikát -- használnak az ellenőrzéshez, amelyek nem a sebezhetőséget ismerik fel, hanem az azt kihasználó rutin által "szállított" ártó szándékú kódot, például trójait vagy rootkitet. Ez a módszer azonban kevéssé hatékony, ugyanis a szignatúra-alapú felismeréshez a biztonsági cégnek már rendelkeznie kell a támadó kóddal, ezt elemezve készül el a szignatúra is. Kérdés, hogy a való életben előfordul-e egy exploit magában, ártó kód nélkül -- valószínűleg nem.
Az mindenesetre biztos, hogy a szignatúrákat tartalmazó adatbázist a felhaználóknak is rendszeresen frissítenie kell annak érdekében, hogy az ilyen típusú védelem működjön. Ez előnyhöz juttatja a támadókat, akiknek a szignatúra-frissítéskor elegendő egy másik támadó kódot csomagolniuk az exploit mellé, hogy újra kikerüljék a védelmet. Kristensen szerint a gyártóknak szemléletváltásra lenne szüksége, hogy ne az ártó szándékú kódokra fókuszáljanak, hanem magukra a sérülékenységekre, így lényegében egyetlen frissítéssel védelmet adhatnának többféle támadás ellen is.
Fontos a frissítés
Persze ez időigényesebb és kevésbé hatékonyan automatizálható folyamat, de hosszú távon ez az egyedüli járható út -- véli Kristensen, aki hangsúlyozta: a biztonsági szoftver telepítése és rendszeres frissítése mellett továbbra is elengedhetetlen a gépre telepített szoftverek rendszeres patchelése. A Secunia mellett a Kaspersky és a BitDefender is kínál olyan szoftvereket, amelyek feltérképezik a gépre telepített programokat és figyelmeztetik a felhasználót, hogy mely alkalmazásokat kellene frissítenie.