46 antivirusnih programa nije palo na testu!
Ako dosadni IT stručnjak jednostavnim tehnikama za nekoliko sati može zaobići gotovo pola stotine poznatih antivirusnih programa, to je briga za privatnost. Ako postoji proizvođač koji to samo maše, to je već dovoljno zastrašujuće.
Iako je većina IT stručnjaka svjesna da antivirusni softver nije savršen, ali koliko energije mogu utrošiti do sada zapravo nije proučeno. Međutim, Attila Marosi, stručnjak za IT sigurnost, koristio je jednostavne tehnike koje se lako mogu pronaći na Internetu kako bi za 10 do 12 sati zaobišao 46 antivirusnih i zaštitnih zidova, a sve će to biti predstavljeno na konferenciji Ethical Hacking 9. svibnja.
“Tijekom testiranja, tzv Koristio sam Metasploit shell_reverse_tcp, koji pruža udaljeni pristup napadaču. Ovo je zlonamjerni softver dobro poznat zajednici IT sigurnosti i antivirus ga redovito upozorava na testovima. Ako se takav poznati program može sakriti, postoji veliki problem i 46 ispitanih antivirusnih programa nije uznemireno ”, objasnio je Attila Marosi, govornik konferencije.
Potom je stručnjak istražio i pokrenuo test izvršavanja 9 najpopularnijih antivirusnih proizvoda. Međutim, ni ovdje rezultati nisu bili baš uvjerljivi: upozorila su samo tri antivirusa, a samo dva su blokirala aktivnost.
Prema riječima stručnjaka, razlog najjednostavnijeg zaobilaženja većine antivirusnog softvera je taj što antivirusni programi ne uključuju značajke za koje proizvođači tvrde ili imaju da ih imaju, već rade samo pod "određenom zvjezdanom pozicijom", pa ih se lako može zaobići ...
“Postojao je proizvođač kojemu sam poslao rješenje za zaobilaženje njihovog antivirusa i vatrozida, ali odgovor je bio da to nije bila pogreška jer su na njega mogli napisati potpis. Međutim, to nije istina, jer ovaj obrazac djeluje samo dok ne promijenim kôd. Naravno, postojao je i proizvođač koji je bio šokiran rezultatom i pokušao ukloniti pogreške ”, rekao je stručnjak za IT sigurnost.
Prema Attili Marosiju, koji će metodu zaobilaženja antivirusa detaljno predstaviti na Etičkoj hakerskoj konferenciji 9. svibnja, rješenje je možda stvarno razdvajanje, a već postoji operativni sustav koji može isključiti pokrenute aplikacije iz nepoznatih izvora ili bez potpisa . Uz otkrivanje temeljeno na potpisu, još veću pozornost trebalo bi posvetiti otkrivanju zlonamjernog softvera u stvarnom vremenu, u kojem antivirusni softver ima još mnogo vremena. Međutim, razni testovi također bi se trebali kretati u ovom smjeru. "U većini testova istaknuti su atributi poput brzine", objasnio je Attila Marosi. "Međutim, ako na svom računalu imate poslovni plan koji bi krađom mogao koštati milijune, vrijedi razmisliti je li razlika od nekoliko posto u brzini između antivirusnog softvera zaista toliko važna."
Jasan antivirus
Na Etičkoj hakerskoj konferenciji gore navedeno neće biti jedina prezentacija na ovu temu, također obećava da će biti zanimljivo. prezentacija stručnjaka za IT sigurnost Silent Signala kako bi istražila ključna pitanja u zaštiti krajnje točke zasnovane na uslugama i pružila praktične primjere neugodnih posljedica pretjeranog oslanjanja na dobavljače.
Postupak ispitivanja
Tijekom testiranja, Attila Marosi "spakirao" je Metasploit shell_reverse_tcp koristeći relativno jednostavne metode lako dostupne na Internetu kako bi ga sakrio od antivirusnih sustava. Zatim je proveo mrežni test skeniranja na virustotal.com u kojem niti jedan od 46 antivirusa koji su se mogli testirati nije ukazivao na problem.
Ponovio je testove na 9 najpopularnijih antivirusnih softvera na virtualnim računalima, čak i u stvarnom okruženju, gdje su samo tri zlonamjerna softvera već radila ukazivala na sumnjivo ponašanje. Iako su dva antivirusa blokirala pokretanje, nisu mogli utvrditi koji je zlonamjerni kod.
Osim toga, konačno rješenje uspjelo je zaobići vatrozid, dokazujući da većina proizvođača u usporedbi s tim aplikacijama nije zaštićena.
