Pracujący obecnie w Google Tavis Ormandy zastosował tzw. inżynierię wsteczną (reverse engineering) do rozłożenia na czynniki pierwsze programu antywirusowego firmy Sophos. Pozwoliło mu na to na wykrycie i wskazanie kilku znaczących wad tej aplikacji - m.in. błędów projektowych, które sprawiają, iż możliwe jest ominięcie zabezpieczeń lub nawet przeprowadzenia ataku.

Najważniejsze problemy to, zdaniem Ormandy'ego:

- przechowywanie klucza szyfrującego pewne dane razem z tymi danymi (co czyni go stosunkowo łatwym do złamania)

Zobacz również:

• Polacy bezrefleksyjnie ufają technologii?

- system ochrony przed błędami przepełnienia bufora, który działa tylko na platformie Windows, i to wyłącznie na systemach starszych niż Windows Vista

- słabe zabezpieczenie sygnatur wykorzystywanych do identyfikowania wirusów - Ormandy twierdzi, że można je sfałszować i bez większych problemów dostarczyć aplikacji.

Przedstawiciele Sophos częściowo potwierdzili te rewelacje - rzecznik firmy przyznał, że Tavis Ormandy zgłosił do niej te zastrzeżenia, a autorzy antywirusa już zaczęli wprowadzać do aplikacji zasugerowane przez niego zmiany. Pierwszym etapem jest zmiana systemu szyfrowania danych - aczkolwiek Sophos zastrzega, że jego rola w antywirusie jest znikoma i że w swoich produktach do zabezpieczenia danych firma wykorzystuje dużo bardziej skuteczne rozwiązanie. Szyfrowanie w Sophos AV służy do ukrycia sygnatur złośliwych aplikacji przed innymi programami zabezpieczającymi (dzięki temu nie generują one fałszywych alarmów) i ewentualne obejście tego rozwiązania w żaden sposób nie zagraża użytkownikowi.

Firma zamierza również zreformować system ochrony przed przepełnianiem bufora - Graham Cluely z Sophos wyjaśnia jednak, że w Windows Vista i 7 takie zabezpieczenie nie jest niezbędnym elementem aplikacji antywirusowej, ponieważ w systemach tych Microsoft zastosował własną, całkiem skuteczną, ochronę przed błędami typu "buffer overflow".

Warto przy okazji wspomnieć, że Ormandy i Cluely swego czasu ostro spierali się na łamach swoich blogów - przedstawiciel Sophos mocno skrytykował pracownika Google za ujawnienie informacji o poważnym błędzie w Windows (zanim Microsoft zdążył go załatać - informacją tą szybko zainteresowali się cyberprzestępcy).

Zapytany o ten incydent Tavis Ormandy podkreśla, że nie miał on żadnego wpływu na wybranie do testów aplikacji Sophos Antivirus. Ekspert dodał też, że jego zdaniem podobne problemy znajdziemy w większości popularnych aplikacji zabezpieczających - tyle, że on nie ma czasu i ochoty analizować ich wszystkich. Ormandy dodał też, że zajęcie się produktem Sophos było jego własną inicjatywą i nie miało to żadnego związku z jego pracą w Google.

"Problem z popularnymi antywirusami polega na tym, że ich autorzy bardzo starają się, by nikt nie mógł zapoznać się z ich kodem. Chodzi o maksymalne utrudnienie pracy cyberprzestępcom - problem w tym, że jednocześnie sprawia to, że kod nie jest starannie sprawdzany i mogą w nim pozostawać istotne błędy. Moim zdaniem klasyczne antywirusy nie są skutecznym narzędziem do walki ze złośliwym oprogramowaniem - bo zwykle wykrywają je dopiero wtedy, gdy w systemie dojdzie do jakichś uszkodzeń" - tłumaczy Ormandy.

Graham Cluely dla odmiany podkreśla, że choć Ormandy wypunktował kilka słabości produktu jego firmy, to jednak żadna z tych słabości nie wpływa negatywnie na skuteczność aplikacji. "On testował jedynie jakość kodu. I pewnie ma racje - jest kilka rzeczy, które możemy poprawić (i na pewno to zrobimy)" - podsumowuje przedstawiciel Sophos.