Vídeo: Don't buy an anti-virus in 2020 - do THIS instead! (Setembre 2024)
Confieu en el vostre antivirus o suite de seguretat per protegir les vostres dades i els vostres dispositius, però fins a quin punt es protegeix? El programari de seguretat és només programari i està sotmès a defectes, com qualsevol altre tipus de programa. Els codificadors poden fer algunes mesures senzilles per assegurar-se que un defecte del programari no obri el programa per explotar els atacs. Tanmateix, l’últim informe del laboratori alemany AV-Test Institute mostra una àmplia gamma de fins a quin punt els venedors de seguretat blinden els seus productes contra atac directe.
Una solució fàcil
L'informe de l'AV-Test afirma que els millors programes només tenen un error en cada 2.000 línies de codi. El problema és que un programa important no contindrà milers, sinó milions de línies de codi. Això té molts errors. No tots els errors obren el programa per atacar per malware, però alguns ho fan.
Per tenir èxit en el seu atac, una explotació ha d’obligar el programa de la víctima a executar codi maliciós. Alguns ho fan escorcollant el codi com a dades i obligant la víctima a executar-lo. Uns altres manipulen les àrees de memòria que s’utilitzen per emmagatzemar temporalment els programes. Incorporar més dades en un buffer del que permet la memòria real és una altra manera d’introduir un codi arbitrari a l’espai de memòria d’un programa.
Existeixen dues tecnologies madures que poden frustrar moltes explotacions. Protecció d’execució de dades (DEP) impedeix simplement l’execució de codi en qualsevol àrea de memòria marcada com a reserva de dades. Només esborra un punt d’entrada per a una explotació.
L'admissió de l'espai d'adreces (ASLR), com el seu nom indica, remou els sectors de memòria utilitzats per un programa, de manera que l'atacant no pot predir on trobar el sector amb el codi vulnerable. Les dues tècniques s’utilitzen àmpliament en el propi Windows. Per a la majoria de compiladors moderns, implementar cadascuna d'aquestes tecnologies de protecció és tan fàcil com obviar un interruptor.
Metodologia de la prova
Els investigadors del Test AV van reunir 24 productes de seguretat del consumidor i vuit productes orientats al negoci. Per a cada producte, realitzaven un cens senzill. Van enumerar tots els fitxers executables, la biblioteca d’enllaços dinàmics, el controlador i el fitxer.sys associats amb l’aplicació i van observar si cada mòdul va implementar DEP, ASLR, o tots dos. Van avaluar productes de 32 i 64 bits per separat.
Com he comentat, els resultats abastaven un ampli ventall. ESET era l’únic producte de consum amb una cobertura del 100 per cent; Symantec era l’únic producte empresarial a aquest nivell. Avira, G Data, McAfee i AVG protegeixen completament els seus productes de 64 bits amb DEP i ASLR. Tot i això, la cobertura en les seves edicions de 32 bits va oscil·lar entre el 90 i el 100% per cent.
A l’altre extrem de l’espectre, eScan Internet Security Suite va tenir una cobertura només del 17, 5 per cent. Kingsoft Antivirus va gestionar una mitjana del 19 per cent, però no va utilitzar mai DEP en els seus productes de 64 bits.
Atès que habilitar aquests mecanismes de protecció només és qüestió de donar voltes a un interruptor de compilador, per què els venedors els ignoraran? El test AV va obtenir diverses respostes. Alguns venedors van utilitzar biblioteques de tercers que no es van compilar amb seguretat a. Alguns van informar que utilitzaven tecnologia de seguretat propietària no compatible amb DEP i ASLR. I alguns van dir que determinats fitxers no són utilitzats activament pel programa, per tant, no importa. (Per què no eliminar-los?)
Protecció, rendiment, usabilitat
Juntament amb l'informe d'autoprotecció, AV-Test va publicar l'últim informe sobre protecció antivirus, rendiment i usabilitat. Podeu veure els detalls de la seva metodologia de prova en línia. Els resultats de les proves completes també estan disponibles en línia; Arribaré als punts més alts aquí.
Kaspersky va anotar 18 punts perfectes, com va fer per última vegada i Avira va obtenir 1, 5 punts respecte al darrer temps, i va unir Kaspersky al capdavant. A la baixada, tant ZoneAlarm com Vipre van arribar amb 3, 5 punts per sota de la darrera vegada. Per a ZoneAlarm, tot va ser a la prova de rendiment, on la seva puntuació va baixar d’un 6 perfecte a un 2, 5. Vipre va perdre punts en les tres àrees. La seva puntuació total de 8, 5 punts està molt per sota dels 10 punts requerits per a la certificació.
Sens dubte agraeixo que els laboratoris com el test AV amplien les seves avaluacions a noves àrees, com ara comprovar els productes de seguretat per a l'autoprotecció. Si no és res més, aquest informe concret farà que els proveïdors de seguretat pensin dues vegades en prescindir de DEP i ASLR. Sí, hi ha motius vàlids per ometre'ls per a fitxers específics, però no hi ha motius. Només heu de canviar el commutador.
