30.07.2014, 19:20
Kilka dni temu (16,17 lipca) odbyła się w Pekinie konferencja dotycząca szeroko pojętego bezpieczeństwa IT pod nazwą
Podstawowe tezy da się chyba ująć w poniższych hasłach:
- silniki AV (analizowano 17 silników) czynią system bardziej podatnym i wpływają na jego wydajność, a nawet mogą osłabić systemowe mechanizmy ograniczające
- programy AV są tak samo podatne, jak aplikacje które starają się chronić
- wykorzystanie podatności w AV (oryg. "exploitation") jest bardziej podobne do podobnych metod w stosunku do plików Office, niż przeglądarek internetowych czy PDF
- silniki AV nie oferują żadnych specjalnych metod samoochrony - właściwie nie wykorzystują nic więcej poza systemowymi mechanizmami ASLR/DEP
- zalecenia dla użytkowników
"* nie należy ślepo ufać swojemu programowi AV
* przy okazji...nie należy ślepo wierzyć swojemu programowi AV
* ponadto nie należy ślepo wierzyć swojemu programowi AV
* Nie...wystarczy, nie trzeba już podkreślać"
Prezentacja ma 90 stron i nie sposób jej tu przytoczyć, nawet trudno wybrać jakieś najważniejsze fragmenty...trzeba by chyba z połowę zacytować
...jednak przykładowe podatności, które odkryto chyba warto
Poniżej żartobliwy obrazek podpisany "AV developers writing security software"
Źródło informacji
[Aby zobaczyć linki, zarejestruj się tutaj]
...jedną z bardziej interesujących i chyba nieco obrazoburczych prezentacji była ta pt. "Breaking Antivirus Software" przygotowana przez Joxeana Koret - badacza reprezentującego mające swoją siedzibę w Singapurze prywatne i niezależne laboratorium COSEINC.Podstawowe tezy da się chyba ująć w poniższych hasłach:
- silniki AV (analizowano 17 silników) czynią system bardziej podatnym i wpływają na jego wydajność, a nawet mogą osłabić systemowe mechanizmy ograniczające
- programy AV są tak samo podatne, jak aplikacje które starają się chronić
- wykorzystanie podatności w AV (oryg. "exploitation") jest bardziej podobne do podobnych metod w stosunku do plików Office, niż przeglądarek internetowych czy PDF
- silniki AV nie oferują żadnych specjalnych metod samoochrony - właściwie nie wykorzystują nic więcej poza systemowymi mechanizmami ASLR/DEP
- zalecenia dla użytkowników
"* nie należy ślepo ufać swojemu programowi AV
* przy okazji...nie należy ślepo wierzyć swojemu programowi AV
* ponadto nie należy ślepo wierzyć swojemu programowi AV
* Nie...wystarczy, nie trzeba już podkreślać"
Prezentacja ma 90 stron i nie sposób jej tu przytoczyć, nawet trudno wybrać jakieś najważniejsze fragmenty...trzeba by chyba z połowę zacytować
...jednak przykładowe podatności, które odkryto chyba wartoCytat:AV engines vulnerabilitiesKaspersky też niestety się nie ustrzegł
* Avast: Heap overflow in RPM (reported, fixed and paid Bug Bounty)
* Avg: Heap overflow with Cpio (fixed...)/Multiple vulnerabilities with packers
* Avira: Multiple remote vulnerabilities
* BitDefender: Multiple remote vulnerabilities
* ClamAV:Infinite loop with a malformed PE (reported & fixed)
* Comodo: Heap overflow with Chm
* DrWeb: Multiple remote vulnerabilities (vulnerability with updating engine fixed)
* ESET: Integer overflow with PDF (fixed)/Multiple vulnerabilities with packers
* F-Prot: Heap overflows with multiple packers
* F-Secure: Multiple vulnerabilities in Aqua engine (all the F-Secure own bugs fixed)
* Panda: Multiple local privilege escalations (reported and partially fixed)
* eScan: Multiple remote command injection (all fixed? LOL, I doubt...)
And many more...
Poniżej żartobliwy obrazek podpisany "AV developers writing security software"
[Aby zobaczyć linki, zarejestruj się tutaj]
Źródło informacji
[Aby zobaczyć linki, zarejestruj się tutaj]
Całość prezentacji[Aby zobaczyć linki, zarejestruj się tutaj]
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
