Ποιο antivirus χρησιμοποιείτε; Είστε σίγουροι ότι είναι αξιόπιστο; Αν ναι που στηρίζετε την απάντησή σας; Κατά τη διάρκεια του Σαββατοκύριακου, ένας από τους κορυφαίους ερευνητές ασφαλείας της Google, ο γνωστός μας κ. Tavis Ormandy, δημοσίευσε στο blog του κάτι που δεν θα άρεσε σε πολλούς. Η δημοσίευσή του επέκρινε τις πιστοποιήσεις σε προγράμματα προστασίας από ιούς που απονέμουν βραβεία χωρίς νόημα σε ατελή προϊόντα ασφαλείας.
Το πρόβλημά του προήλθε από το γεγονός ότι στο φετινό συνέδριο ασφάλειας RSA που πραγματοποιήθηκε στις αρχές του Μαρτίου, το ICSA Labs της Verizon επιβράβευσε τη Comodo με το 2016 Excellence in Information Security Testing Award.
Το ειρωνικό βέβαια σε αυτή την υπόθεση είναι ότι ο κ Ormandy είχε ανακαλύψει αρκετά κενά ασφαλείας στα προϊόντα Antivirus της Comodo.
Ο ερευνητής ανακάλυψε πρώτος ότι τα προϊόντα της Comodo (antivirus και ολοκληρωμένες σουίτες ασφαλείας) προσθέτουν μόνα τους ανασφαλή πρόγραμμα περιήγησης που απενεργοποιούν το Same-Origin Policy, ένα βασικό χαρακτηριστικό ασφαλείας σε προγράμματα περιήγησης στο Web. Ανακάλυψε επίσης ότι η διαδικασία σάρωσης του Comodo δεν ενεργοποιεί την προστασία ASLR, και γενικά το antivirus κάνει λανθασμένη χρήση των ACL (λίστες ελέγχου πρόσβασης).
Το Comodo τρέχει VNC σε κάθε υπολογιστή και ο κωδικός είναι:
Ο ασφαλής browser της Comodo δεν παρέχει ασφάλεια
Αργότερα, ανακάλυψε επίσης ότι ένα από τα εργαλεία τεχνολογικής υποστήριξης της Comodo που ενεργοποιείται από προεπιλογή σε μερικά από τα προϊόντα ασφαλείας της εταιρείας, χρησιμοποιούσε ένα ανασφαλές VNC με αδύναμα στοιχεία σύνδεσης.
Τα θέματα δεν σταματούν εδώ. Ο κ Ormandy, ανακάλυψε επιπλέον σφάλματα που επιτρέπουν σε έναν εισβολέα να δει τις πληκτρολογήσεις του θύματος μόνο με τη σάρωση ενός αρχείου.
Έτσι σύμφωνα με τα παραπάνω δεν θα πρέπει να αποτελεί έκπληξη που ο κ Ormandy έχει πρόβλημα που η Verizon τίμησε την Comodo με ένα βραβείο αριστείας στον τομέα της ασφάλειας των πληροφοριών.
Όμως εκτός από την Comodo, ο κ Ormandy ανέφερε και τα κριτήρια που χρησιμοποίησε η Verizon για να πιστοποιήσει με υψηλά πρότυπα ασφάλειας των πληροφοριών την Comodo.
Όταν η Verizon δημοσίευσε τη μεθοδολογία της σύμφωνα με την οποία δόθηκαν τα βραβεία, ο κ Ormandy επισήμανε ότι ήταν εξαιρετικά απλοϊκή.
Τα περισσότερα προϊόντα antivirus μπορούν να περάσουν από τις απαιτήσεις πιστοποίησης καθώς περιγράφονται βασικές λειτουργίες antivirus, οι μισές εκ των οποίων σχετίζονται με τις λειτουργίες του UI.
Zero Day σε λογισμικό της Trend Micro
Μερικά από τα “κριτήρια” πιστοποίησης συμπεριλαμβάνουν:
- “Ενεργοποίηση και απενεργοποίηση της ανίχνευσης κακόβουλου λογισμικού” (είναι ένα βασικό κουμπί start/stop για τη διαδικασία σάρωσης),
- “Ανάκτηση και εφαρμογή της τελευταίας έκδοσης και υπογραφών μέσω του Διαδικτύου» (το antivirus θα πρέπει να είναι σε θέση λάβει ενημερώσεις),
- “On-Demand Detection” (το antivirus θα πρέπει να πραγματοποιεί σάρωση ενώ λειτουργεί ήδη και σε ένα αρχείο που μπαίνει στον υπολογιστή),
και - “Αναφορές χωρίς false positives” (καλά, ok!)
.
Εδώ θα πρέπει να αναφέρουμε ότι η κριτική του κ Ormandy δεν απευθυνόταν μόνο στο βραβείο της Verizon προς την Comodo, και δήλωσε ότι τα προϊόντα antivirus, σε γενικές γραμμές, είναι επισφαλή.
“Όλοι οι μεγάλοι πωλητές ασφαλείας χρησιμοποιούν αρχαία codebases χωρίς την επίγνωση των σύγχρονων πρακτικών ασφάλειας, και hacking, είναι πίσω στο 1999”, δήλωσε ο ερευνητής.
Δύο zero-day σε προϊόντα της εταιρείας ασφαλείας FireEye
Ο ερευνητής φαίνεται να έχει δίκιο, που το στηρίζει παρέχοντας αξιολογήσεις για ένα σωρό εφαρμογές ασφαλείας. Ο κ Ormandy ανακάλυψε θέματα ασφάλειας σε προϊόντα ασφαλείας από εταιρείες, όπως την Avast, τη Malwarebytes, Trend Micro, AVG, FireEye, Kaspersky, και ESET.
Zero-day exploit στο antivirus της Kaspersky
Ευπάθεια σε προϊόντα της ESET, αναβαθμίστε άμεσα
Πραγματοποίησε την έρευνά του χωρίς να έχει πρόσβαση στον πηγαίο κώδικα, με εργαλεία ασφαλείας point-and-click, και βασικές τεχνικές που μαθαίνει κάθε ερευνητής ασφαλείας.