46 antivirusprogrammer mislykkedes testen!
Hvis en keder it-professionel kan omgå næsten et halvt hundrede kendte antivirussoftware på få timer med enkle teknikker, er det en bekymring for privatlivets fred. Hvis der er en producent, der bare vinker det, er det allerede skræmmende nok.
Selvom de fleste it-fagfolk er opmærksomme på, at antivirussoftware ikke er perfekt, men med hvor meget energi det kan spille, er det ikke rigtig blevet undersøgt indtil videre. Imidlertid spillede it-sikkerhedsekspert Attila Marosi 10 antivirussoftware og forresten firewalls på 12-46 timer ved hjælp af enkle teknikker, der let kan findes på Internettet, som alle vil blive præsenteret på Ethical Hacking-konferencen om 9. maj.
”Under testen blev en såkaldt Jeg brugte Metasploit shell_reverse_tcp, som giver fjernadgang til angriberen. Dette er en malware, der er velkendt for it-sikkerhedssamfundet, og antivirus advarer den regelmæssigt om test. Hvis et sådant velkendt program kan skjules, er der et stort problem, og de 46 undersøgte antivirusprogrammer er ikke foruroliget, ”forklarede konferencens højttaler Attila Marosi.
Derefter fortsatte specialisten med at undersøge og køre en runtime-test på de 9 mest populære antivirusprodukter. Resultaterne var imidlertid heller ikke ligefrem overbevisende: kun tre antivirusanordninger advarede, og kun to af dem blokerede aktiviteten.
Ifølge eksperten er årsagen til, at den enkleste måde at omgå de fleste antivirussoftware på er, at antivirusprogrammer ikke inkluderer de funktioner, som producenter hævder eller har, men de arbejder kun under en "bestemt stjerneposition", så de let kan være omgået.
”Der var en producent, som jeg sendte løsningen til, der omgåede deres antivirus og firewall, men svaret var, at det ikke var en fejl, fordi de kunne skrive en signatur på det. Dette er dog ikke sandt, da dette mønster kun fungerer, indtil jeg ændrer koden. Der var selvfølgelig også en producent, der var chokeret over resultatet og forsøgte at fjerne fejlene, ”sagde it-sikkerhedsspecialisten.
Ifølge Attila Marosi, der vil præsentere metoden til at omgå antivirus i detaljer på Ethical Hacking Conference den 9. maj, kan løsningen være faktisk adskillelse, og der er allerede et operativsystem, der kan slå kørende applikationer fra ukendte kilder fra eller uden underskrifter. . Ud over signaturbaseret detektion bør der lægges endnu mere opmærksomhed på detektering af malware i realtid, hvor antivirussoftware stadig har en lang vej at gå. De forskellige tests skal dog også bevæge sig i denne retning. ”I de fleste tests fremhæves attributter som hastighed,” forklarede Attila Marosi. "Men hvis du har en forretningsplan på din computer, der kan koste millioner ved at stjæle den, er det værd at overveje, om de få procent hastighedsforskel mellem antivirussoftware virkelig er så vigtig."
Ryd antivirus
Den etiske hackingkonference er ikke kun den eneste præsentation om dette emne, den lover også at være interessant Buherator: Antivirus fra en klar himmel eller de skyggefulde sider af skybaseret forsvar. præsentation af en Silent Signal IT-sikkerhedsekspert for at undersøge nøglespørgsmål inden for servicebaseret slutpunktsbeskyttelse og give praktiske eksempler på de ubehagelige konsekvenser af overdreven tillid til leverandører.
Testproces
Under testningen "pakkede" Attila Marosi Metasploit shell_reverse_tcp ved hjælp af relativt enkle metoder, der er let tilgængelige på Internettet for at skjule det fra antivirussystemer. Derefter gennemførte han en online scanningstest på virustotal.com, hvor ingen af de 46 antivirus, der kunne testes, angav et problem.
Han gentog testene på de 9 mest populære antivirussoftware på virtuelle maskiner, selv i et virkeligt miljø, hvor kun tre af de malware, der allerede kørte, angav mistænkelig opførsel. Selvom to antivirusser blokerede løbet, kunne de ikke bestemme, hvad den ondsindede kode var.
Derudover lykkedes den endelige løsning at omgå firewalls, hvilket beviste, at disse applikationer ikke er beskyttet af de fleste producenter i forhold til hinanden.
