Danske Secunia chokeret over antivirus-test

Misvisende markedsføring, lyder anklagen fra sikkerhedsvirksomheden Secunia efter at have testet 12 sikkerhedsprodukter. Selv vinderproduktet leverer et skuffende resultat.

Oooooog vinderen er ... Symantec! Sikkerhedsvirksomhedens software er den suveræne vinder i en test af 12 Internet Security Suites, som danske Secunia har gennemført. Vinder, det lyder måske flot, men det er det faktisk ikke.

Testens fokus har været detektion af exploits i tredjepartsprogrammer. Det vil eksempelvis sige evnen til at spotte en ondsindet Quicktime-fil (.mov), som har til hensigt at udnytte svagheder i Apples medieafspiller.

»Siden 2006 har der været meget fokus på at opdatere Windows og de ting, der kommer fra Microsoft. Og det har brugerne taget til sig. Men det, der ikke bliver opdateret, er tredjeparts-applikationer,« siger teknisk direktør i Secunia Thomas Kristensen og peger på, at netop tredjeparts-applikationer er blevet guf for hackere, fordi der kan gå lang tid imellem, at brugeren får opdateret det virvar af produkter, som ligger på maskinen, og som oftest har vidt forskellige opdateringsprocedurer.

Thomas Kristensen mener, at den manglende opdatering af tredjeparts-produkterne simpelthen skyldes, at brugeren oplever det som besværligt.

Det lykkedes Symantecs sikkerhedssoftware at finde næsten 10 gange flere exploits end det nærmeste konkurrerende produkt. Men alligevel kunne Symantec-produktet kun finde 64 ud af 300 exploits i en række udbredte programmer.

»Vi var mildest talt chokerede. Vi havde håbet på, at den, der klarede sig dårligst, ville ligge på det niveau, hvor Symantec ligger,« siger teknisk direktør i Secunia Thomas Kristensen.

En Internet Security Suite er en samlebetegnelse, som producenter bruger omkring sikkerhedssoftware, der indeholder flere forskellige sikkerhedsløsninger som firewall og antivirus. Flere af sikkerhedsløsningerne bliver markedsført, som om de yder omfattende beskyttelse mod alle internet-trusler. Og så kan brugerne jo med rette forvente, at de er sikrede, mener Thomas Kristensen. Men test-resultatet får ham til at beskrive markedsføringen af Internet Security Suiterne på følgende måde:

»Folk får et forkert budskab og et forkert indtryk af tingene, når de læser deres reklamemateriale. Misvisende ville være et passende ord,« siger Thomas Kristensen og henviser til, at sikkerhedsleverandørerne bør informere kunderne om, at den omfattende sikkerhed altså er under forudsætning af, at kundernes maskiner er opdaterede med patches.

Gør som Linux

Thomas Kristensen efterlyser en simplere opdateringsprocedure i Windows-miljøet, så det bliver lettere for brugerne at holde tredjeparts-programmerne up-to-date. I Linux-miljøer bliver al software typisk opdateret et centralt sted.

»Vi ville være nået rigtigt langt i denne verden, hvis man gjorde som i Linux-verdenen. Hvor man vælger, om man vil bruge Fedora, Debian eller Ubuntu, og så er det dem, der sørger for rettelserne til de pakker, du får fra dem af. Selvom det måske i virkeligheden er en anden gruppe, producent eller programmør, som egentlig laver koden. Det kunne der være mange fordele i, og det ville være mere transparent for brugerne. Man kan håbe på, at der er nogen, der med tiden vågner op og finder ud af, at det er nødvendigt at gå i noget, der ligner den retning,« siger han.

Ifølge Secunia ville det ikke være en større udfordring for virksomheder som Symantec at scanne for sårbarheder i tredjeparts indhold. Men de har valgt ikke at fokusere på det, mener Thomas Kristensen.

»De har simpelthen ikke fokus på det. De holder sig til deres traditionelle måder at lave mønstre til genkendelse eller signaturer for at finde vira og ondsindede ting, der er derude. Men problemet er jo, at når malwaren kommer i fil-typer, som folk har tillid til, eller direkte i browser-angreb, så er det altså nødvendigt at hjælpe brugerne med at detektere de her exploits, og det har man fuldstændigt valgt at ignorere.«

Version2.dk har forsøgt at indhente en kommentar fra Symanctec, men det er endnu ikke lykkedes.

De testede produkter:

? McAfee Internet Security Suite 2009
? Norton Internet Security 2009
? Windows Live OneCare
? ZoneAlarm Security Suite 8
? AVG Internet Security 8.0
? CA Internet Security Suite 2008
? F-secure Internet Security 2009
? TrendMicro Internet Security 2008
? BitDefender Internet Security Suite 2009
? Panda Internet Security 2009
? Kaspersky Internet Security 2009
? Norman Security Suite 7.10

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (19)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Hans Jørn Storgaard Andersen

Det tyske selskab Avira fik sidste år en topplacering i en tilsvarende undersøgelse i det engelske tidsskrift PcPro - så det undrer mig, at dette produkt ikke er medtaget i den nævnte undersøgelse. Men sådan er der så meget, der undrer mig, når snakken går om virus, spyware og andet ondt ... for der er jo en pokkers masse penge på spil al den stund folk får et antivirus-program "foræret" på en ny Pc - og efter 40-60 dage får firmaerne virkelig snabelen ned i pengepungen. At tænke sig, at man vil betale 4-600 kr. om året resten af livet for det gøgl ... Man burde nationalisere branchen og se til, at der ikke bruges så megen tid på al den kontrol - bare at slette disse "gratis"-programmer tager alt for megen tid.

  • 0
  • 0
#2 Claus Madsen

Man kunne måske også antyde, at alle de testede produkter er virkeligt dårlige kaffemaskiner - men de har heller aldrig været designet i den retning...

Det her lugter langt væk af markedsføring fra Secunias side - der er vist ingen af sikkerhedsprodukterne, som har antydet at være patch-management systemer. Mangelfuld patching er et problem på ALLE platforme...

  • 0
  • 0
#4 Knud Henrik Strømming

Secunias rapport kritiserer AV-leverandørerne for at tage et forældet udgangspunkt i deres produkter: at AV-produkter udelukkende er beregnet til at skanne filer efter kendte virus-signaturer. Secunia baserer denne konklussion på en måling af, hvor gode AV-produkterne er til at identificere PoC-exploits, som Secunia har udviklet.

Men AV-produkterne er udviklet til at beskytte mod den virkelige verdens virkelige trusler. Derfor er det ikke en rimelig test at teste mod egenudviklede PoC-exploits, heller ikke selv om disse er bragt til AV-leverandørernes kendskab. Med den eksplosive stigning i antallet af unikke malware-forekomster, der er set de sidste par år, så har AV-leverandørerne rigeligt at gøre med at udvikle og distribuere signaturer mod de malware-typer, der faktisk udgør et problem i den virkelige verden.

Ydermere er der flere AV-leverandører, der har udviklet teknologien i deres produkter i en retning, som slet ikke bliver testet i denne form for undersøgelse. En meget stor del af de virkelige trusler, der ses for tiden, går ud på, at udvikle rigtig mange forskellige former for exploit-kode, så mange at det enkelte stykke malware er eller er tæt på at være unikt. Men store familier af malware downloader yderligere komponenter fra nettet, fra de samme sites. Nogle AV-produkter, deriblandt Trend Micro's Internet Security 2008, som er blevet testet her, blokerer for adgangen til sådanne download-sites efter opslag i en central database, der opdateres meget hyppigt. Det ville selvfølgelig være bedst, om exploit-koden blev elimineret i første omgang, men den virkelige udnyttelse af sårbarheden er forhindret gennem blokering af adgangen til download-sitet (til domænet eller til en specifik URL på et kompromitteret site). Secunias undersøgelse tager overhovedet ikke hensyn til disse nye teknologier.

Derudover kan jeg kun være enig i mantraet: Patch! Patch! Patch!

  • 0
  • 0
#5 Anonym

Det tyder på at Secunia ikke har udført Real life tests. Hvis man skal teste, skal det jo være med den samlede portefølje af teknologier, som den enkelte udbyder har lagt til rådighed i en løsning og ikke et udpluk af den. Testen skulle være udført I et “real world system”, eftersom produkterne har Run time protection. Sikkerhedsløsninger scanner jo typisk filerne inden de køres og når de først eksekveres monitoreres filerne af en adfærdsscanner. Det betyder at vi i testen ikke får at se om sikkerhedsprodukternes øvrige mekanismer ville have bremset Malwaret.

Secunia har kun udført en signaturbaseret test, men det er jo efterhånden en teknologi som ingen sikkerhedsudbydere med respekt for sig selv vil lade stå alene. Vi ved alle at signaturbaseret beskyttelse hele tiden efterlader sikkerhedsindustrien nogle skridt bagud. Det tager tid for udbyderne af sikkerhedsløsninger at registrere, identificere et malware og programmere en signatur for det og sidenhen distribuere en opdatering.

Derfor er generisk genkendelse og adfærdsbaseret genkendelse, teknikker som man opnår meget mere succes med, fordi de et langt stykke af vejen vil fungere ad hoc.

Når alt det er sagt, så skal man selvfølgelig huske at patche sit software løbende, og sørge for at brugerne af virksomhedens eller hjemmets PC'er har den korrekte adfærd. Således kan man være så meget som muligt på forkant med de som eventuelt vil udnytte sikkerhedshuller. Man kan selvfølgelig ikke alene forlade sig på at sikkerhedsindustriens software kan løse problemerne.

Med venlig hilsen Mette Nikander, Direktør, C-Cure

  • 0
  • 0
#7 Jesper Stein Sandal

Lige en enkelt kommentar:

Uden selv at have nærlæst Secunias test, så er metoden særdeles relevant.

Samtlige større AV-leverandører fremhæver NETOP deres evne til at beskytte proaktivt mod angreb. Det vil blandt sige, at sikkerhedspakkerne kan identificere et forsøg på at udnytte et kendt sikkerhedshul.

Nuvel, en stor del af den beskyttelse foregår for erhvervskunder på firewall-niveau, men selv i enterprise-løsningerne er der deep packet inspection på klienterne.

Det har netop været AV-firmaernes største salgsargument for at opdatere til 2008 og 2009 versionerne af deres produkter. Derfor er det relevant at teste, hvor godt produkterne holder det, de lover.

Antivirusfirmaerne siger selv, at signaturer mod de enkelte ondsindede programmer ikke længere er godt nok:

http://www.version2.dk/artikel/8699

Ser vi på de seneste angreb som er blevet leveret gennem eksempelvis kompromitterede websteder, så har de forsøgt at udnytte en stribe kendte sårbarheder. Ikke kun i browsere men også i medieafspillere, Adobe Reader og andre programmer, der kan tilgås fra browseren.

Om Secunia så har testet de 300 mest relevante exploits er straks sværere at vurdere.

I øvrigt mener jeg, at løsningen på problemet ikke ligger i at bruge en sårbarhedsscanner som Secunias, men at firmaer som Microsoft og Apple åbner deres update-tjenester for eksterne partnere. Når Microsoft i dag frigiver opdateringer, var det passende, at Windows Update samtidig kontrollerer, om Flash, RealPlayer og iTunes er opdateret.

I Linux-verdenen er man jo som regel helt opdateret, hvis man holder sig inden for software, der distribueres via distroens pakketjeneste.

Jesper Sandal Version2

  • 0
  • 0
#8 Brian Aagesen

Brugte PC-celin(trend-micro) i 2002, men har siden skiftet til andre bla. avg, kørte med Bullguard i et stykke tid, men det brugte for mange ressourcer, og sløvede maskinen for meget, kører nu med avast, og har gjort det i nogle år, det er gratis og det bliver opdateret helt automatisk, og tit.

Men det jeg får ud af testen, er en bekræftelse på at største delen af computerne er hullet som en si.

Men den næstbedste sikkerhed i mod alt muligt skadelige vira sidder ca. 40 cm fra skærmen, den bedste er at hive stikket på computeren ;P

  • 0
  • 0
#9 Flemming Hansen

Jeg kunne ikke lade være med at tænke på, om de har testet flere andre som godt kunne klare opgaven, men valgte ikke at offentliggøre navnene på disse for ikke at give 'gratis' reklame til disse virksomheder (som måske konkurrerer med dem selv).

Jeg har det svært med produktsammenligninger foretaget af nogle som selv sælger produkter i samme kategori. Jeg ved ikke om www.virusbtn.com er bedre eller mere objektive, jeg synes det er en fin informationskilde. Det kunne da være sjovt at høre om andre læsere har gode forslag til 'neutrale' testere af anti-virus produkter.

  • 0
  • 0
#10 Troels Arvin

Jeg synes, det er ganske fortrinligt at Secunia forsøger at rette fokus mod andre sikkerheds-tankegange end anti-virus. (Omend det måske ikke var deres oprindelige formål med testen?)

Desværre har der gennem mange år opbygget sig en underlig konsensus om at "man skal jo installere antivirus". Det på trods af, at effektmålinger samstemmende bliver mere og mere pinlige for den slags programmel. Og på trods af at antivirus-software (idet det er software) i sig selv kan introducere angrebsveje. Og på trods af, at der - så vidt jeg ved - aldrig har været publiceret nogen uafhængig og grundig undersøgelse som konkluderede at antivirus-software hæver sikkerheden.

I mange andre sektorer var den slags overtro og pengespild ikke gået.

Hatten af for at Secunia retter fokus i retning af værktøjer der kan hjælpe hr og fru Jensen med at identificere software-komponenter som mangler fejlrettelser.

  • 0
  • 0
#12 Stig Johansen

Om Secunia så har testet de 300 mest relevante exploits er straks sværere at vurdere.

Spørgsmålet er vel også - hvad mener man med 300 exploits.

Uden at gå i detaljer, så var den der realplayer 'ting' bygget op som: 1) Encoded javascript. Den bruger en eval på en string, der er bygget på baggrund af talværdier. Dvs. hvis man skal have en karakter, eks 64, så kan den skrives som: 64, 32*2,128/2,60+4 og meget mere. Det er denne request firewall/browser ser initielt, og kan laves i lige så mange varianter som der er stjerner i universet. 2 ) Så vist jeg husker blev der genereret noget, også encoded' windows scripting. 3 ) Den sidste kode, eller 'den sidste kasse i kinesiske æsker', udfører selve exploitet.

Selve exploitet kan som sagt pakkes ind i noget nær uendelige varianter.

  • 0
  • 0
#13 Rune Madsen

Al denne snak om at man skal holde sine 3-parts programmer opdateret, så undre det mig at MS ikke allerede har indbygget en funktion, der kan hjælpe folk, med dette. F.eks. med at udvide tilføj/fjern funktionalitet med en opdatering funktion.

Nogen der ved om de har planer om sådan en funktion??

  • 0
  • 0
#14 Henrik Kramselund Jereminsen Blogger

Der er mange andre måder man kan beskytte sig mod en del af dette.

Eksempelvis bruger moderne operativsystemer mulighederne i processoren og memory management til at sikre at data der kommer ind i programmet ikke kan læses og udføres som instruktioner.

Det er med i flere og flere operativsystemer og beskytter mod en del exploits - med garanti.

og nej det beskytter ikke mod alt, men det er en god begyndelse at fjerne stackbased buffer overflows, heap based buffer overflows, mulighed for at smide shellcode ind osv.

Hvis man vil se hvor langt man kan komme er OpenBSD noget af det ypperste til at forhindre den slags exploits, men alt fra Linux, Vista til Mac OS X implementerer mere og mere af dette. En pæn præsentation med lidt lir er: http://www.openbsd.org/papers/rp2007-slides.pdf

Jeg bruger personligt IKKE antivirusprodukterne - der har simpelthen været for mange problemer med dem! Når de ikke engang selv kan programmere sikkert, hvordan skal man så kunne tro dem.

Ovenstående er til dels baseret på erfaring der viser at selvom et stykke scanner software er designet til at søge efter skadelige filer har de igen og igen buffer overflows, burde de ikke være de første til at sikre sig mod dette?

Se http://osvdb.org/search?request=virus for nogle eksempler op alvorlige fejl i antivirus produkter.

  • 0
  • 0
#16 Knud Henrik Strømming

De produkter, Secunia har testet, er primært rettet mod privat-brugere, mod "hr. og fr. Danmark". Jeg kan IKKE anbefale "hr. og fr. Danmark" at køre uden den beskyttelse, som et AV-produkt giver. I min private omgangskreds såvel som blandt professionelle kontakter, der arbejder inden for brancher, der ikke er orienteret mod IT-sikkerhed, har jeg oplevet rigeligt med tilfælde, hvor et AV-produkt klart har haft sin berettigelse - og har forhindret større nedbrud, større udgifter o.s.v.

Naturligvis kan et AV-produkt i visse tilfælde give problemer og selvfølgelig kan endnu en applikation potentielt betyde flere sårbarheder, men gennemsnitligt vil et AV-produkt betyde, at den samlede angrebsflade bliver mindre.

  • 0
  • 0
#17 Henrik Kramselund Jereminsen Blogger

og jeg har set rigeligt med tilfælde hvor anti-virus ikke virkede, men har både sløvet og kostet mere end hvad der berettigede investeringen.

Det typiske er når en medarbejder med den falske tryghed som anti-virus giver åbner filer, der er jo antivirus på. Det næste der sker er at den specifikke virus/orm/malware smadrer rundt ... pænt store nedbrud hvor virus ikke hjælper.

Jeg forudsiger at vi i fremtiden, allerede nu?, ser flere og flere virus der er specifikt skræddersyet og rettet mod bestemte mål og derfor aldrig kommer forbi en anti-virus leverandør - som derfor ikke opdager dem.

Samtidig ser vi at virusprogrammørerne oversvømmer "markedet" med diverse varianter og antallet stiger næsten måned for måned. Hvad er sandsynligheden for at store firmaer i al støjen fra almindelige virusvarianter ser en specifik virus skrevet for at introducere en bagdør i NETOP deres virksomhed, og som ikke er brugt før.

Jeg mener antivirus har spillet fallit, det koster simpelthen for meget at udvikle, at købe, at drive osv. KUN for at maskere en angrebsflade. Det er enorme summer vi snakker om!

Samtidig ser vi at der findes løsninger som bevisligt fjerner dele af angrebsfladen - og det er ikke kun på OpenBSD. Hr og fr Danmark skal altså istedet lære at vælge mere aktivt. Eksempelvis ved at vælge Mac OS X, det er nemt at finde ud af og de bruger deres CPU på programmerne ikke antivirus :-)

Jeg er sikker på at vi er enige om at ved at mindske angrebsfladen løser vi flere problemer :-)

  • 0
  • 0
#18 Rune Madsen

Tja, nu kan man jo løse det på mange forskellige måder, hvor ms er mere eller mindre med tiul at styre, hvad der kommer ind.

En mulig løsning kunne være at programmet registrere en updatering url, hvor siden så sendte noget data, der beskrev den nyeste version, hvorefter brugeren, så kunne vælge om han vil opgradere...

  • 0
  • 0
#19 Jarle Knudsen

Jeg ved ikke noget om det, men jeg tvivler meget stærkt. Prøv at overveje hvilket ansvar, MS ville pådrage sig, hvis de rullede en fejlbehæftet opdatering ud for tredjepart. Selvom de så rent juridisk havde fraskrevet sig ethvert ansvar, så ville det imagemæssigt være rigtig grimt.

Ja, just... som om det ALDRIG har sket :O)

  • 0
  • 0
Log ind eller Opret konto for at kommentere