Niebezpieczny antywirus

Czy program, którego używasz do ochrony komputera przed wirusami, programami szpiegowskimi i innymi szkodnikami stał się poważnym zagrożeniem? Są powody, by tak sądzić. Z jednej strony badania prowadzone przez firmę n.runs w ciągu ostatnich dwóch lat doprowadziły do odkrycia kilkudziesięciu luk w popularnych antywirusach. Z drugiej okazuje się, że antywirusy mogą mieć poważne problemy z wykrywaniem najnowszych zagrożeń - gdy globalna infekcja następuje w czasie kilkunastu minut, nie ma czasu na przygotowanie szczepionek.

W ciągu ostatnich dwóch lat Thierry Zoller, specjalista od zabezpieczeń komputerowych w firmie n.runs, badał sposób, w jaki programy antywirusowe skanują pliki, ze szczególnym uwzględnieniem sprawdzania załączników do wiadomości e-mail. Doszedł do wniosku, że osoby próbujące podnieść bezpieczeństwo przez wykorzystanie więcej niż jednego silnika antywirusowego mogą raczej doprowadzić do pogorszenia sytuacji. Dlaczego? Błędy, tzw. podatności w oprogramowaniu antywirusowym analizującym różne formaty plików mogą być łatwo wykorzystane przez cyberprzestępców. W efekcie używanie kilku takich aplikacji zwiększa ryzyko udanego ataku na chroniony przez nie komputer. Oprogramowanie musi otwierać pliki w setkach, jeśli nie w tysiącach formatów, a wystarczy jeden błąd w silniku skanującym, żeby stworzyć poważne zagrożenie.

"Ludzie myślą, że zainstalowanie drugiego programu antywirusowego w komputerze poprawia w jakiś sposób bezpieczeństwo. Są przekonani, że jeśli jeden program nie wychwyci wirusa, zrobi to drugi. Jednak w ten sposób nie zmniejsza się płaszczyzna ataku. Wręcz przeciwnie" - uważa Zoller.

Niezałatane luki

Zoller i jego współpracownik Sergio Alvarez wspólnie analizowali problem przez ostatnie kilkanaście miesięcy. Udało im się znaleźć aż 80 podatności w silnikach skanujących popularnych programów antywirusowych, a opisy poszczególnych luk zamieścili na stronie internetowej. Większość z nich nie została dotychczas poprawiona przez producentów. Spora część umożliwia hakerowi uruchomienie wybranego przez siebie kodu na komputerze ofiary. Problem dotyczy w znacznym stopniu najpopularniejszych programów antywirusowych.

Symantec przygotował schemat pokazujący, jak skraca się czas globalnej infekcji przez nowe zagrożenia. W pewnym momencie wirusy szybciej zainfekują całą sieć niż pojawi się szczepionka.

Symantec przygotował schemat pokazujący, jak skraca się czas globalnej infekcji przez nowe zagrożenia. W pewnym momencie wirusy szybciej zainfekują całą sieć niż pojawi się szczepionka.

Chociaż hakerzy od paru lat z powodzeniem wykorzystują luki w przeglądarkach internetowych, zdaniem Zollera problem z antywirusami jest poważniejszy. Prawie każdy ma zainstalowany program tego typu, często z wyższymi niż przeglądarka internetowa, administracyjnymi uprawnieniami. Dlatego luki w antywirusach mogą w przyszłości doprowadzić do poważnych problemów. To z kolei prowadzi do wniosku, że programy te nie spełniają swojego zadania. Wystarczy jeden spreparowany e-mail, żeby włamać się do komputera.

Niesprawne antywirusy

Testy antywirusów mające wykryć podatności polegały na zalewaniu programów masą spreparowanych danych i obserwowaniu, czy dana aplikacja przestanie działać. W latach 2002-2005 niemal połowa wykrytych luk w oprogramowaniu antywirusowym mogła być wykorzystana zdalnie. Obecnie udział takich niedociągnięć wynosi niemal 80 procent. Zoller uważa, że może pomóc walczyć z tym zagrożeniem; n.runs przygotowuje produkt o roboczej nazwie ParsingSafe, który ma chronić przed atakami wykorzystującymi luki w silnikach antywirusowych.

Inaczej problem widzi Russ Cooper, naukowiec z Verizon Business. "Badania opierają się na założeniu, że cyberprzestępcy są coraz lepsi w wykorzystywaniu podatności. Opublikowana lista podatności faktycznie wygląda zatrważająco. Mimo to do tej pory nie spotkaliśmy się z przypadkami ich wykorzystania" - krytykuje wnioski przedstawione przez Zollera. Wprawdzie zgadza się, że braki w silnikach skanujących stanowią zagrożenie, ale wymienia kilka czynników, które sprawiły, że do tej pory cyberprzestępcy ich nie użyli. Po pierwsze, obecnie wykorzystywane metody, np. rozsyłanie szkodliwego oprogramowania w wiadomościach elektronicznych, okazują się skuteczne. Po drugie, kwestie bezpieczeństwa są poważniej traktowane i wszelkie dziury, które są wykorzystywane przez cyberprzestępców, zostają szybko załatane.

Rzecznik firmy eEye Marc Maiffret wyjaśnia, że producenci oprogramowania ochronnego od dawna wiedzą o tych problemach. Jego zdaniem "programy ochronne zawierają luki, tak jak każde inne oprogramowanie. Zatrudniamy tych samych programistów, którzy chodzili do tych samych szkół, co ich koledzy w Microsofcie, i mają te same nawyki".

Zoller twierdzi, że jest krytykowany przez swoich kolegów z branży za "podważanie spoiwa, które trzyma razem branżę bezpieczeństwa komputerowego". Jednocześnie wierzy, że publicznie mówienie o problemach z antywirusami skłoni ich producentów do załatania dziur i rozwiąże tę istotną kwestię.


Zobacz również