Wiadomości

Black Hat: Ormandy obnaża wady Sophos AV

8 sierpnia 2011 10:40,
Antoni Steliński
.. » Bezpieczeństwo » Bezpieczeństwo komputera osobistego » Programy antywirusowe
TAGI: sophos, black hat, ormandy

Znany specjalista ds. zabezpieczeń, Tavis Ormandy, zaprezentował podczas konferencji Black Hat wady popularnego programu antywirusowego Sophos Antivirus - Ormandy znalazł w nim szereg błędów projektowych i programistycznych. Ekspert zaznacza jednak, że podobne problemy prawdopodobnie występują w większości popularnych antywirusów.

Pracujący obecnie w Google Tavis Ormandy zastosował tzw. inżynierię wsteczną (reverse engineering) do rozłożenia na czynniki pierwsze programu antywirusowego firmy Sophos. Pozwoliło mu na to na wykrycie i wskazanie kilku znaczących wad tej aplikacji - m.in. błędów projektowych, które sprawiają, iż możliwe jest ominięcie zabezpieczeń lub nawet przeprowadzenia ataku.

Najważniejsze problemy to, zdaniem Ormandy'ego:

- przechowywanie klucza szyfrującego pewne dane razem z tymi danymi (co czyni go stosunkowo łatwym do złamania),

- system ochrony przed błędami przepełnienia bufora, który działa tylko na platformie Windows, i to wyłącznie na systemach starszych niż Windows Vista,

- słabe zabezpieczenie sygnatur wykorzystywanych do identyfikowania wirusów - Ormandy twierdzi, że można je sfałszować i bez większych problemów dostarczyć aplikacji.

Przedstawiciele Sophos częściowo potwierdzili te rewelacje - rzecznik firmy przyznał, że Tavis Ormandy zgłosił do niej te zastrzeżenia, a autorzy antywirusa już zaczęli wprowadzać do aplikacji zasugerowane przez niego zmiany. Pierwszym etapem jest zmiana systemu szyfrowania danych - aczkolwiek Sophos zastrzega, że jego rola w antywirusie jest znikoma i że w swoich produktach do zabezpieczenia danych firma wykorzystuje dużo bardziej skuteczne rozwiązanie. Szyfrowanie w Sophos AV służy do ukrycia sygnatur złośliwych aplikacji przed innymi programami zabezpieczającymi (dzięki temu nie generują one fałszywych alarmów) i ewentualne obejście tego rozwiązania w żaden sposób nie zagraża użytkownikowi.

Firma zamierza również zreformować system ochrony przed przepełnianiem bufora - Graham Cluely z Sophos wyjaśnia jednak, że w Windows Vista i 7 takie zabezpieczenie nie jest niezbędnym elementem aplikacji antywirusowej, ponieważ w systemach tych Microsoft zastosował własną, całkiem skuteczną, ochronę przed błędami typu "buffer overflow".

Warto przy okazji wspomnieć, że Ormandy i Cluely swego czasu ostro spierali się na łamach swoich blogów - przedstawiciel Sophos mocno skrytykował pracownika Google za ujawnienie informacji o poważnym błędzie w Windows (zanim Microsoft zdążył go załatać - informacją tą szybko zainteresowali się cyberprzestępcy).

Zapytany o ten incydent Tavis Ormandy podkreśla, że nie miał on żadnego wpływu na wybranie do testów aplikacji Sophos Antivirus. Ekspert dodał też, że jego zdaniem podobne problemy znajdziemy w większości popularnych aplikacji zabezpieczających - tyle, że on nie ma czasu i ochoty analizować ich wszystkich. Ormandy dodał też, że zajęcie się produktem Sophos było jego własną inicjatywą i nie miało to żadnego związku z jego pracą w Google.

"Problem z popularnymi antywirusami polega na tym, że ich autorzy bardzo starają się, by nikt nie mógł zapoznać się z ich kodem. Chodzi o maksymalne utrudnienie pracy cyberprzestępcom - problem w tym, że jednocześnie sprawia to, że kod nie jest starannie sprawdzany i mogą w nim pozostawać istotne błędy. Moim zdaniem klasyczne antywirusy nie są skutecznym narzędziem do walki ze złośliwym oprogramowaniem - bo zwykle wykrywają je dopiero wtedy, gdy w systemie dojdzie do jakichś uszkodzeń" - tłumaczy Ormandy.

Graham Cluely dla odmiany podkreśla, że choć Ormandy wypunktował kilka słabości produktu jego firmy, to jednak żadna z tych słabości nie wpływa negatywnie na skuteczność aplikacji. "On testował jedynie jakość kodu. I pewnie ma racje - jest kilka rzeczy, które możemy poprawić (i na pewno to zrobimy)" - podsumowuje przedstawiciel Sophos.
Podziel się |
Ocena:
Twoja ocena:
+ dodaj komentarz

Komentarze (0)

Reklama

Huawei celuje w rynek biznesowy

Huawei celuje w rynek biznesowy

Huawei nieustannie rozwija się jako dostawca infrastruktury dla branży telekomunikacyjnej. W tym roku chiński koncern zamierza umocnić swoją pozycję również na rynku rozwiązań Enterprise.


Polecane

Opinie

Koniec Windows XP początkiem problemów?

Koniec Windows XP początkiem problemów?

Microsoft oficjalnie potwierdził, że za dwa lata definitywnie zakończy się era Windows XP - systemu operacyjnego,...


Spokój i luz administratora

Spokój i luz administratora

Wymagania wobec pracowników działów IT rosną proporcjonalnie do stopnia rozwoju teleinformatyki. Oczekuje się, że...


Prenumerata: Networld, Computerworld, PC World
Redakcja Regulamin Reklama
Ochrona Prywatności
04-204 Warszawa ul. Jordanowska 12
tel.: (+48 22) 321 78 00 fax: (+48 22) 321 78 88
© copyright 2011 IDG Poland SA