Użytkownikom zagrażają... antywirusy?

W wielu popularnych aplikacjach antywirusowych występuje pewien typ błędu, który może zostać wykorzystany do skutecznego zaatakowania komputera - twierdzi Thierry Zoller, specjalista ds. bezpieczeństwa z niemieckiej firmy n.runs AG. Jego zdaniem w niektórych przypadkach wadliwe oprogramowanie zabezpieczające przed wirusami może stanowić dla użytkowników poważniejsze zagrożenie niż same wirusy...

Thierry Zoller przez minione dwa lata zajmował się analizowaniem bezpieczeństwa aplikacji antywirusowych - badał przede wszystkim proces parsowania poczty elektronicznej przez takie programy. Okazało się, że w komponentach "antywirusów" odpowiedzialnych za to zadanie wyjątkowo często występują błędy, które cyberprzestępcy mogą łatwo wykorzystać do atakowania komputerów.

Zoller tłumaczy, iż narzędzia do parsowania danych są bardzo złożone i rozbudowane - ponieważ podczas codziennej pracy programy antywirusowe muszą przetwarzać tysiące załączonych do e-maili plików o najróżniejszych rozszerzeniach. To sprawia, że stosunkowo często znaleźć można w nich mniej lub bardziej poważne błędy.

Popularne antywirusy są dziurawe?

Specjaliści z n.runs AG - czyli Zoller i jego współpracownik Sergio Alvarez - w ciągu ostatnich miesięcy sprawdzili pod kątem występowania takich błędów najpopularniejsze obecnie aplikacje antywirusowe. Wyniki tych analiz są dość niepokojące - panowie znaleźli ponad 80 różnych błędów, z których większość nie została jeszcze załatana przez producentów oprogramowania. Co ważne, Zoller mówi, że błędy znaleziono w aplikacjach wszystkich liczących się na rynku AV firm - część z tych luk mogła posłużyć do uruchomienia w systemie niebezpiecznego kodu. Sprawa jest o tyle poważna, że błędy związane z parsowaniem poczty przez program antywirusowy bardzo łatwo można wykorzystać do zaatakowania komputera - wystarczy wysłać do jego użytkownika wiadomość z odpowiednio spreparowanym załącznikiem.

Zoller zwraca uwagę, że wśród użytkowników korporacyjnych popularna jest pewna tendencja, która dodatkowo zwiększa zagrożenie takim atakiem - chodzi o wykorzystywanie w firmowej infrastrukturze kilku mechanizmów antywirusowych. "Ludzie sądzą, że dodawanie kolejnych "antywirusów" podnosi poziom bezpieczeństwa - myślą sobie: jeśli jeden z nich zawiedzie, to kolejny na pewno złapie wirusa. Problem w tym, że takie myślenie jest błędne - instalując kolejne aplikacje antywirusowe raczej obniżasz poziom bezpieczeństwa, bo dodajesz do systemu kolejne dziurawe oprogramowanie" - mówi Thierry Zoller.

"Jeden e-mail i... bum!"

Eksperci zastrzegają, że przestępcy wykorzystują luki w antywirusach od lat - jednak ostatnio zjawisko to nasila się. Sprzyja temu fakt, iż praktycznie wszystkie firmy wdrożyły już jakieś rozwiązania antywirusowe. Sytuacji nie poprawia fakt, iż antywirusy zwykle działają w systemie z najwyższymi przywilejami - a to oznacza, że napastnik korzystający z luki w takiej aplikacji może bez problemu uruchomić czy zainstalować w nim dowolny kod. "Problemem jest też wysoka skuteczność takiego ataku - jeden e-mail i bum! - już po tobie" - tłumaczy obrazowo Zoller.

Przedstawiciel n.runs AG mówi, iż zdaje sobie sprawę z tego, że wyniki jego prac mogą być ostro krytykowane przez przedstawicieli branży "antywirusowej" - Zoller sądzi jednak, że nagłośnienie tego problemu może zmusić firmy z tego sektora do lepszego zabezpieczenia swoich produktów.

Nie jest tak źle?

Russ Cooper, specjalista ds. bezpieczeństwa z firmy Verizon Business, częściowo przyznaje rację Zollerowi - on również uważa, że luki w antywirusach mogą stanowić dość poważne zagrożenie. Cooper zastrzega jednak, że jak dotąd nie odnotowano przypadku masowego wykorzystywania takich błędów do atakowania internautów.

Sądzi on, że w najbliższym czasie raczej nie powinniśmy się spodziewać gwałtownego wzrostu liczby takich ataków - po pierwsze dlatego, że przestępcy całkiem dobrze radzą sobie korzystając z popularnych obecnie metod i nie ma powodu, dla którego mieliby na gwałt szukać nowych sposobów atakowania. Drugą przyczyną jest to, że oprogramowanie zabezpieczające jest zwykle szczególnie uważnie obserwowane przez społeczność hakerską - dlatego też informacje o wszelkich nowych lukach są zwykle szybko upubliczniane, zaś błędy sprawnie łatane.