Użytkownikom zagrażają... antywirusy?

Subskrybuj RSS A A A
22 listopada 2007 13:24
Daniel Cieślak

W wielu popularnych aplikacjach antywirusowych występuje pewien typ błędu, który może zostać wykorzystany do skutecznego zaatakowania komputera - twierdzi Thierry Zoller, specjalista ds. bezpieczeństwa z niemieckiej firmy n.runs AG. Jego zdaniem w niektórych przypadkach wadliwe oprogramowanie zabezpieczające przed wirusami może stanowić dla użytkowników poważniejsze zagrożenie niż same wirusy...

Thierry Zoller przez minione dwa lata zajmował się analizowaniem bezpieczeństwa aplikacji antywirusowych - badał przede wszystkim proces parsowania poczty elektronicznej przez takie programy. Okazało się, że w komponentach "antywirusów" odpowiedzialnych za to zadanie wyjątkowo często występują błędy, które cyberprzestępcy mogą łatwo wykorzystać do atakowania komputerów.

Zoller tłumaczy, iż narzędzia do parsowania danych są bardzo złożone i rozbudowane - ponieważ podczas codziennej pracy programy antywirusowe muszą przetwarzać tysiące załączonych do e-maili plików o najróżniejszych rozszerzeniach. To sprawia, że stosunkowo często znaleźć można w nich mniej lub bardziej poważne błędy.

Popularne antywirusy są dziurawe?

Specjaliści z n.runs AG - czyli Zoller i jego współpracownik Sergio Alvarez - w ciągu ostatnich miesięcy sprawdzili pod kątem występowania takich błędów najpopularniejsze obecnie aplikacje antywirusowe. Wyniki tych analiz są dość niepokojące - panowie znaleźli ponad 80 różnych błędów, z których większość nie została jeszcze załatana przez producentów oprogramowania. Co ważne, Zoller mówi, że błędy znaleziono w aplikacjach wszystkich liczących się na rynku AV firm - część z tych luk mogła posłużyć do uruchomienia w systemie niebezpiecznego kodu. Sprawa jest o tyle poważna, że błędy związane z parsowaniem poczty przez program antywirusowy bardzo łatwo można wykorzystać do zaatakowania komputera - wystarczy wysłać do jego użytkownika wiadomość z odpowiednio spreparowanym załącznikiem.

Zoller zwraca uwagę, że wśród użytkowników korporacyjnych popularna jest pewna tendencja, która dodatkowo zwiększa zagrożenie takim atakiem - chodzi o wykorzystywanie w firmowej infrastrukturze kilku mechanizmów antywirusowych. "Ludzie sądzą, że dodawanie kolejnych "antywirusów" podnosi poziom bezpieczeństwa - myślą sobie: jeśli jeden z nich zawiedzie, to kolejny na pewno złapie wirusa. Problem w tym, że takie myślenie jest błędne - instalując kolejne aplikacje antywirusowe raczej obniżasz poziom bezpieczeństwa, bo dodajesz do systemu kolejne dziurawe oprogramowanie" - mówi Thierry Zoller.

"Jeden e-mail i... bum!"

Eksperci zastrzegają, że przestępcy wykorzystują luki w antywirusach od lat - jednak ostatnio zjawisko to nasila się. Sprzyja temu fakt, iż praktycznie wszystkie firmy wdrożyły już jakieś rozwiązania antywirusowe. Sytuacji nie poprawia fakt, iż antywirusy zwykle działają w systemie z najwyższymi przywilejami - a to oznacza, że napastnik korzystający z luki w takiej aplikacji może bez problemu uruchomić czy zainstalować w nim dowolny kod. "Problemem jest też wysoka skuteczność takiego ataku - jeden e-mail i bum! - już po tobie" - tłumaczy obrazowo Zoller.

Przedstawiciel n.runs AG mówi, iż zdaje sobie sprawę z tego, że wyniki jego prac mogą być ostro krytykowane przez przedstawicieli branży "antywirusowej" - Zoller sądzi jednak, że nagłośnienie tego problemu może zmusić firmy z tego sektora do lepszego zabezpieczenia swoich produktów.

Nie jest tak źle?

Russ Cooper, specjalista ds. bezpieczeństwa z firmy Verizon Business, częściowo przyznaje rację Zollerowi - on również uważa, że luki w antywirusach mogą stanowić dość poważne zagrożenie. Cooper zastrzega jednak, że jak dotąd nie odnotowano przypadku masowego wykorzystywania takich błędów do atakowania internautów.

Sądzi on, że w najbliższym czasie raczej nie powinniśmy się spodziewać gwałtownego wzrostu liczby takich ataków - po pierwsze dlatego, że przestępcy całkiem dobrze radzą sobie korzystając z popularnych obecnie metod i nie ma powodu, dla którego mieliby na gwałt szukać nowych sposobów atakowania. Drugą przyczyną jest to, że oprogramowanie zabezpieczające jest zwykle szczególnie uważnie obserwowane przez społeczność hakerską - dlatego też informacje o wszelkich nowych lukach są zwykle szybko upubliczniane, zaś błędy sprawnie łatane.

Oceń artykuł

średnio: 4 liczba ocen: 1

Komentarze (5)

nx_2084

22-11-2007 23:46

Cóż... to było wiadome od początku powstania AV, że wojna z wirusami jest tak naprawdę przegrana od samego początku. To że programy AV, będące na pierwszej linii, najbardziej są narażone na ataki - również było wiadome. Nie czarujmy się, będzie gorzej, na razie to takie małe preludium...

uzytkownik

22-11-2007 21:13

@ted: Żeby włamać się do Google (GNU/Linux + Apache + MySQL), NSA (GNU/Linux + SELinux + cośtam) i innych ''nic nie znaczących'' instytucji?

kornik__

22-11-2007 20:10

oprogramowanie o zamkniętym kodzie jest zawsze bardziej atrakcyjne dla świata przestępczości komputerowej niż te z otwartym kodem. dlaczego? zapytajcie Stallmana. Linux i środowiska unixowe to margines desktopowy. bardziej atrakcyjne są serwery - więcej danych a zwłaszcza tych poufnych. oprogramowanie open source jest szybciej łatane przez jego otwartość i najczęściej jest tak: dziś jest luka - jutro jej nie ma. z systemem windows jest tak: dziś jest luka - za miesiąc łata (w comiesięcznej paczce łat). w antywirusach już gorzej: dziś jest luka - może kiedyś będzie łata. z gg to już tragedia: jest luka - gg nie działa albo szukaj nowej wersji bo aktualizacji brak. tyle na dziś mam do powiedzenia w tej sprawie. oczywiście mogę się mylić bo nie jestem osobą nieomylną, a najważniejsze, to przyznać się do błędu - chociażby z góry :P

vytah

22-11-2007 18:57

Wot i znawca się odezwał :P Mam pomysł: sam dziur se poszukaj w Linuksie. Masz łatwiej niż inni, bo kod źródłowy jest pod ręką.

tad

22-11-2007 17:58

Skoro antywirusy są dziurawe, w tym popularne też, bo są skomplikowane, to co można powiedzieć o dziurawości linuksów... Gdyby tylko było większe zainteresowanie tymi dziurami wśród crackerów - ale kto by się zajmował jakimś marginesem profesjonalnie.


Najnowsze

MAC, czyli ministerstwo reformowania rządzenia

Premier wspiera lojalnie w kryzysie najbliższego współpracownika, Michała Boniego, przyjmując na siebie atak oburzonych internautów podczas debaty o ACTA.

Nowe, unijne zamówienia publiczne

Komisja Europejska proponuje ważne zmiany prawa wspólnotowego w obszarze zamówień publicznych. Warto im się przyjrzeć bo to jeden z elementów nowej perspektywy finansowej UE. Warto zatem przyjrzeć się owej propozycji bliżej.

Bezpieczeństwo rządowych stron - analiza

Zespół zadaniowy ds. ochrony portali rządowych opublikował wytyczne. Trudno stwierdzić, że to najlepsze rekomendacje, jakie można było przy okazji zaistniałych ataków wypracować.

DEBATA: Kiedy walka polityczna w sieci przemienia się w cyberterroryzm?

Skuteczny atak cybernetyczny przyniesie opłakane skutki dla państwa i gospodarki. Boleśnie się o tym przekonaliśmy, gdy nie można było dostać się na strony internetowe najważniejszych instytucji w Polsce.

Czy MSW chce unieważnienia przetargu na pl.ID?

Rośnie ryzyko całkowitego unieważnienia przetargu na nowe dowody osobiste. Krajowa Izba Odwoławcza odrzuciła odwołanie firmy Sygnity, która nie zgadzała się na wydłużenie o trzy miesiące terminu składania ofert na dostawę blankietów nowych dowodów osobistych. Wydłużenie całego postępowania o trzy miesiące może spowodować skargi uczestniczących w nim firm, a w konsekwencji unieważnienie przetargu.

Garść rad dla roztropnego szefa IT

Trudne czasy w gospodarce to okres, kiedy szczególnego znaczenia nabiera hasło: Jak cię widza, tak cię piszą. Osłabienie rynku przekłada się na oszczędności w przedsiębiorstwie, a oszczędności najłatwiej szukać w działach, które, w opinii zarządu, nie są bezpośrednio związane z prowadzoną działalnością - czyli również w dziale IT.

Sprzeczne wizje e-dowodu

Koncepcja elektronicznego dowodu osobistego powstała w Polsce wiele lat temu. Starsze są koncepcje elektronicznego systemu świadczeń ochrony zdrowia. Mimo to, nadal są w trakcie budowy.

Rekomendacje


Serwisy IDG - Warunki obsługi - Kontakt - Redakcja - Regulamin - O nas - Polityka prywatności - Serwis zgodny z ASME
Reklama - Licencjonowanie treści
Computerworld Polska i Computerworld Polska online są znakami towarowymi IDG Poland SA.
© Copyright 2012 International Data Group Poland S.A. 04-204 Warszawa ul. Jordanowska 12 tel.(+4822)321-78-00 fax(+4822)321-78-88