Black Hat: Ormandy obnaża wady Sophos AV
- Antoni Steliński,
- 08.08.2011, godz. 10:40
Znany specjalista ds. zabezpieczeń, Tavis Ormandy, zaprezentował podczas konferencji Black Hat wady popularnego programu antywirusowego Sophos Antivirus - Ormandy znalazł w nim szereg błędów projektowych i programistycznych. Ekspert zaznacza jednak, że podobne problemy prawdopodobnie występują w większości popularnych antywirusów.
Zobacz też:
Najważniejsze problemy to, zdaniem Ormandy'ego:
- przechowywanie klucza szyfrującego pewne dane razem z tymi danymi (co czyni go stosunkowo łatwym do złamania)
Zobacz również:
- system ochrony przed błędami przepełnienia bufora, który działa tylko na platformie Windows, i to wyłącznie na systemach starszych niż Windows Vista
- słabe zabezpieczenie sygnatur wykorzystywanych do identyfikowania wirusów - Ormandy twierdzi, że można je sfałszować i bez większych problemów dostarczyć aplikacji.
Przedstawiciele Sophos częściowo potwierdzili te rewelacje - rzecznik firmy przyznał, że Tavis Ormandy zgłosił do niej te zastrzeżenia, a autorzy antywirusa już zaczęli wprowadzać do aplikacji zasugerowane przez niego zmiany. Pierwszym etapem jest zmiana systemu szyfrowania danych - aczkolwiek Sophos zastrzega, że jego rola w antywirusie jest znikoma i że w swoich produktach do zabezpieczenia danych firma wykorzystuje dużo bardziej skuteczne rozwiązanie. Szyfrowanie w Sophos AV służy do ukrycia sygnatur złośliwych aplikacji przed innymi programami zabezpieczającymi (dzięki temu nie generują one fałszywych alarmów) i ewentualne obejście tego rozwiązania w żaden sposób nie zagraża użytkownikowi.
Firma zamierza również zreformować system ochrony przed przepełnianiem bufora - Graham Cluely z Sophos wyjaśnia jednak, że w Windows Vista i 7 takie zabezpieczenie nie jest niezbędnym elementem aplikacji antywirusowej, ponieważ w systemach tych Microsoft zastosował własną, całkiem skuteczną, ochronę przed błędami typu "buffer overflow".
Warto przy okazji wspomnieć, że Ormandy i Cluely swego czasu ostro spierali się na łamach swoich blogów - przedstawiciel Sophos mocno skrytykował pracownika Google za ujawnienie informacji o poważnym błędzie w Windows (zanim Microsoft zdążył go załatać - informacją tą szybko zainteresowali się cyberprzestępcy).
Zapytany o ten incydent Tavis Ormandy podkreśla, że nie miał on żadnego wpływu na wybranie do testów aplikacji Sophos Antivirus. Ekspert dodał też, że jego zdaniem podobne problemy znajdziemy w większości popularnych aplikacji zabezpieczających - tyle, że on nie ma czasu i ochoty analizować ich wszystkich. Ormandy dodał też, że zajęcie się produktem Sophos było jego własną inicjatywą i nie miało to żadnego związku z jego pracą w Google.
"Problem z popularnymi antywirusami polega na tym, że ich autorzy bardzo starają się, by nikt nie mógł zapoznać się z ich kodem. Chodzi o maksymalne utrudnienie pracy cyberprzestępcom - problem w tym, że jednocześnie sprawia to, że kod nie jest starannie sprawdzany i mogą w nim pozostawać istotne błędy. Moim zdaniem klasyczne antywirusy nie są skutecznym narzędziem do walki ze złośliwym oprogramowaniem - bo zwykle wykrywają je dopiero wtedy, gdy w systemie dojdzie do jakichś uszkodzeń" - tłumaczy Ormandy.
Graham Cluely dla odmiany podkreśla, że choć Ormandy wypunktował kilka słabości produktu jego firmy, to jednak żadna z tych słabości nie wpływa negatywnie na skuteczność aplikacji. "On testował jedynie jakość kodu. I pewnie ma racje - jest kilka rzeczy, które możemy poprawić (i na pewno to zrobimy)" - podsumowuje przedstawiciel Sophos.