Danske Secunia chokeret over antivirus-test

Det tyske selskab Avira fik sidste år en topplacering i en tilsvarende undersøgelse i det engelske tidsskrift PcPro - så det undrer mig, at dette produkt ikke er medtaget i den nævnte undersøgelse. Men sådan er der så meget, der undrer mig, når snakken går om virus, spyware og andet ondt ... for der er jo en pokkers masse penge på spil al den stund folk får et antivirus-program "foræret" på en ny Pc - og efter 40-60 dage får firmaerne virkelig snabelen ned i pengepungen. At tænke sig, at man vil betale 4-600 kr. om året resten af livet for det gøgl ... Man burde nationalisere branchen og se til, at der ikke bruges så megen tid på al den kontrol - bare at slette disse "gratis"-programmer tager alt for megen tid.

Man kunne måske også antyde, at alle de testede produkter er virkeligt dårlige kaffemaskiner - men de har heller aldrig været designet i den retning...

Det her lugter langt væk af markedsføring fra Secunias side - der er vist ingen af sikkerhedsprodukterne, som har antydet at være patch-management systemer. Mangelfuld patching er et problem på ALLE platforme...

Jeg er helt enig med Claus - det er påfaldende at Secunia lige netop har et product til formålet..

Men når det er sagt, så har de ret i at det er et overset punkt i de fleste virksomheders sikkerhedspolitik.

Secunias rapport kritiserer AV-leverandørerne for at tage et forældet udgangspunkt i deres produkter: at AV-produkter udelukkende er beregnet til at skanne filer efter kendte virus-signaturer. Secunia baserer denne konklussion på en måling af, hvor gode AV-produkterne er til at identificere PoC-exploits, som Secunia har udviklet.

Men AV-produkterne er udviklet til at beskytte mod den virkelige verdens virkelige trusler. Derfor er det ikke en rimelig test at teste mod egenudviklede PoC-exploits, heller ikke selv om disse er bragt til AV-leverandørernes kendskab. Med den eksplosive stigning i antallet af unikke malware-forekomster, der er set de sidste par år, så har AV-leverandørerne rigeligt at gøre med at udvikle og distribuere signaturer mod de malware-typer, der faktisk udgør et problem i den virkelige verden.

Ydermere er der flere AV-leverandører, der har udviklet teknologien i deres produkter i en retning, som slet ikke bliver testet i denne form for undersøgelse. En meget stor del af de virkelige trusler, der ses for tiden, går ud på, at udvikle rigtig mange forskellige former for exploit-kode, så mange at det enkelte stykke malware er eller er tæt på at være unikt. Men store familier af malware downloader yderligere komponenter fra nettet, fra de samme sites. Nogle AV-produkter, deriblandt Trend Micro's Internet Security 2008, som er blevet testet her, blokerer for adgangen til sådanne download-sites efter opslag i en central database, der opdateres meget hyppigt. Det ville selvfølgelig være bedst, om exploit-koden blev elimineret i første omgang, men den virkelige udnyttelse af sårbarheden er forhindret gennem blokering af adgangen til download-sitet (til domænet eller til en specifik URL på et kompromitteret site). Secunias undersøgelse tager overhovedet ikke hensyn til disse nye teknologier.

Derudover kan jeg kun være enig i mantraet: Patch! Patch! Patch!

Det tyder på at Secunia ikke har udført Real life tests. Hvis man skal teste, skal det jo være med den samlede portefølje af teknologier, som den enkelte udbyder har lagt til rådighed i en løsning og ikke et udpluk af den. Testen skulle være udført I et “real world system”, eftersom produkterne har Run time protection. Sikkerhedsløsninger scanner jo typisk filerne inden de køres og når de først eksekveres monitoreres filerne af en adfærdsscanner. Det betyder at vi i testen ikke får at se om sikkerhedsprodukternes øvrige mekanismer ville have bremset Malwaret.

Secunia har kun udført en signaturbaseret test, men det er jo efterhånden en teknologi som ingen sikkerhedsudbydere med respekt for sig selv vil lade stå alene. Vi ved alle at signaturbaseret beskyttelse hele tiden efterlader sikkerhedsindustrien nogle skridt bagud. Det tager tid for udbyderne af sikkerhedsløsninger at registrere, identificere et malware og programmere en signatur for det og sidenhen distribuere en opdatering.

Derfor er generisk genkendelse og adfærdsbaseret genkendelse, teknikker som man opnår meget mere succes med, fordi de et langt stykke af vejen vil fungere ad hoc.

Når alt det er sagt, så skal man selvfølgelig huske at patche sit software løbende, og sørge for at brugerne af virksomhedens eller hjemmets PC'er har den korrekte adfærd. Således kan man være så meget som muligt på forkant med de som eventuelt vil udnytte sikkerhedshuller. Man kan selvfølgelig ikke alene forlade sig på at sikkerhedsindustriens software kan løse problemerne.

Med venlig hilsen Mette Nikander, Direktør, C-Cure

at Version bringer den slags 'nyheder'. Det er da ren Computerworld/Pcworld reklamestil. Mit indtryk, bemærk datid, var at version2's journalister var kildekritiske.

Lige en enkelt kommentar:

Uden selv at have nærlæst Secunias test, så er metoden særdeles relevant.

Samtlige større AV-leverandører fremhæver NETOP deres evne til at beskytte proaktivt mod angreb. Det vil blandt sige, at sikkerhedspakkerne kan identificere et forsøg på at udnytte et kendt sikkerhedshul.

Nuvel, en stor del af den beskyttelse foregår for erhvervskunder på firewall-niveau, men selv i enterprise-løsningerne er der deep packet inspection på klienterne.

Det har netop været AV-firmaernes største salgsargument for at opdatere til 2008 og 2009 versionerne af deres produkter. Derfor er det relevant at teste, hvor godt produkterne holder det, de lover.

Antivirusfirmaerne siger selv, at signaturer mod de enkelte ondsindede programmer ikke længere er godt nok:

http://www.version2.dk/artikel/8699

Ser vi på de seneste angreb som er blevet leveret gennem eksempelvis kompromitterede websteder, så har de forsøgt at udnytte en stribe kendte sårbarheder. Ikke kun i browsere men også i medieafspillere, Adobe Reader og andre programmer, der kan tilgås fra browseren.

Om Secunia så har testet de 300 mest relevante exploits er straks sværere at vurdere.

I øvrigt mener jeg, at løsningen på problemet ikke ligger i at bruge en sårbarhedsscanner som Secunias, men at firmaer som Microsoft og Apple åbner deres update-tjenester for eksterne partnere. Når Microsoft i dag frigiver opdateringer, var det passende, at Windows Update samtidig kontrollerer, om Flash, RealPlayer og iTunes er opdateret.

I Linux-verdenen er man jo som regel helt opdateret, hvis man holder sig inden for software, der distribueres via distroens pakketjeneste.

Jesper Sandal Version2

Brugte PC-celin(trend-micro) i 2002, men har siden skiftet til andre bla. avg, kørte med Bullguard i et stykke tid, men det brugte for mange ressourcer, og sløvede maskinen for meget, kører nu med avast, og har gjort det i nogle år, det er gratis og det bliver opdateret helt automatisk, og tit.

Men det jeg får ud af testen, er en bekræftelse på at største delen af computerne er hullet som en si.

Men den næstbedste sikkerhed i mod alt muligt skadelige vira sidder ca. 40 cm fra skærmen, den bedste er at hive stikket på computeren ;P

Jeg kunne ikke lade være med at tænke på, om de har testet flere andre som godt kunne klare opgaven, men valgte ikke at offentliggøre navnene på disse for ikke at give 'gratis' reklame til disse virksomheder (som måske konkurrerer med dem selv).

Jeg har det svært med produktsammenligninger foretaget af nogle som selv sælger produkter i samme kategori. Jeg ved ikke om www.virusbtn.com er bedre eller mere objektive, jeg synes det er en fin informationskilde. Det kunne da være sjovt at høre om andre læsere har gode forslag til 'neutrale' testere af anti-virus produkter.

Jeg synes, det er ganske fortrinligt at Secunia forsøger at rette fokus mod andre sikkerheds-tankegange end anti-virus. (Omend det måske ikke var deres oprindelige formål med testen?)

Desværre har der gennem mange år opbygget sig en underlig konsensus om at "man skal jo installere antivirus". Det på trods af, at effektmålinger samstemmende bliver mere og mere pinlige for den slags programmel. Og på trods af at antivirus-software (idet det er software) i sig selv kan introducere angrebsveje. Og på trods af, at der - så vidt jeg ved - aldrig har været publiceret nogen uafhængig og grundig undersøgelse som konkluderede at antivirus-software hæver sikkerheden.

I mange andre sektorer var den slags overtro og pengespild ikke gået.

Hatten af for at Secunia retter fokus i retning af værktøjer der kan hjælpe hr og fru Jensen med at identificere software-komponenter som mangler fejlrettelser.

Kaspersky er de bedste til at finde vira og spyware.... Det siger de selv: http://www.kaspersky.com/virusscanner :P

Om Secunia så har testet de 300 mest relevante exploits er straks sværere at vurdere.

Spørgsmålet er vel også - hvad mener man med 300 exploits.

Uden at gå i detaljer, så var den der realplayer 'ting' bygget op som: 1) Encoded javascript. Den bruger en eval på en string, der er bygget på baggrund af talværdier. Dvs. hvis man skal have en karakter, eks 64, så kan den skrives som: 64, 32*2,128/2,60+4 og meget mere. Det er denne request firewall/browser ser initielt, og kan laves i lige så mange varianter som der er stjerner i universet. 2 ) Så vist jeg husker blev der genereret noget, også encoded' windows scripting. 3 ) Den sidste kode, eller 'den sidste kasse i kinesiske æsker', udfører selve exploitet.

Selve exploitet kan som sagt pakkes ind i noget nær uendelige varianter.

Al denne snak om at man skal holde sine 3-parts programmer opdateret, så undre det mig at MS ikke allerede har indbygget en funktion, der kan hjælpe folk, med dette. F.eks. med at udvide tilføj/fjern funktionalitet med en opdatering funktion.

Nogen der ved om de har planer om sådan en funktion??

Der er mange andre måder man kan beskytte sig mod en del af dette.

Eksempelvis bruger moderne operativsystemer mulighederne i processoren og memory management til at sikre at data der kommer ind i programmet ikke kan læses og udføres som instruktioner.

Det er med i flere og flere operativsystemer og beskytter mod en del exploits - med garanti.

og nej det beskytter ikke mod alt, men det er en god begyndelse at fjerne stackbased buffer overflows, heap based buffer overflows, mulighed for at smide shellcode ind osv.

Hvis man vil se hvor langt man kan komme er OpenBSD noget af det ypperste til at forhindre den slags exploits, men alt fra Linux, Vista til Mac OS X implementerer mere og mere af dette. En pæn præsentation med lidt lir er: http://www.openbsd.org/papers/rp2007-slides.pdf

Jeg bruger personligt IKKE antivirusprodukterne - der har simpelthen været for mange problemer med dem! Når de ikke engang selv kan programmere sikkert, hvordan skal man så kunne tro dem.

Ovenstående er til dels baseret på erfaring der viser at selvom et stykke scanner software er designet til at søge efter skadelige filer har de igen og igen buffer overflows, burde de ikke være de første til at sikre sig mod dette?

Se http://osvdb.org/search?request=virus for nogle eksempler op alvorlige fejl i antivirus produkter.

Jeg ved ikke noget om det, men jeg tvivler meget stærkt. Prøv at overveje hvilket ansvar, MS ville pådrage sig, hvis de rullede en fejlbehæftet opdatering ud for tredjepart. Selvom de så rent juridisk havde fraskrevet sig ethvert ansvar, så ville det imagemæssigt være rigtig grimt.

De produkter, Secunia har testet, er primært rettet mod privat-brugere, mod "hr. og fr. Danmark". Jeg kan IKKE anbefale "hr. og fr. Danmark" at køre uden den beskyttelse, som et AV-produkt giver. I min private omgangskreds såvel som blandt professionelle kontakter, der arbejder inden for brancher, der ikke er orienteret mod IT-sikkerhed, har jeg oplevet rigeligt med tilfælde, hvor et AV-produkt klart har haft sin berettigelse - og har forhindret større nedbrud, større udgifter o.s.v.

Naturligvis kan et AV-produkt i visse tilfælde give problemer og selvfølgelig kan endnu en applikation potentielt betyde flere sårbarheder, men gennemsnitligt vil et AV-produkt betyde, at den samlede angrebsflade bliver mindre.

og jeg har set rigeligt med tilfælde hvor anti-virus ikke virkede, men har både sløvet og kostet mere end hvad der berettigede investeringen.

Det typiske er når en medarbejder med den falske tryghed som anti-virus giver åbner filer, der er jo antivirus på. Det næste der sker er at den specifikke virus/orm/malware smadrer rundt ... pænt store nedbrud hvor virus ikke hjælper.

Jeg forudsiger at vi i fremtiden, allerede nu?, ser flere og flere virus der er specifikt skræddersyet og rettet mod bestemte mål og derfor aldrig kommer forbi en anti-virus leverandør - som derfor ikke opdager dem.

Samtidig ser vi at virusprogrammørerne oversvømmer "markedet" med diverse varianter og antallet stiger næsten måned for måned. Hvad er sandsynligheden for at store firmaer i al støjen fra almindelige virusvarianter ser en specifik virus skrevet for at introducere en bagdør i NETOP deres virksomhed, og som ikke er brugt før.

Jeg mener antivirus har spillet fallit, det koster simpelthen for meget at udvikle, at købe, at drive osv. KUN for at maskere en angrebsflade. Det er enorme summer vi snakker om!

Samtidig ser vi at der findes løsninger som bevisligt fjerner dele af angrebsfladen - og det er ikke kun på OpenBSD. Hr og fr Danmark skal altså istedet lære at vælge mere aktivt. Eksempelvis ved at vælge Mac OS X, det er nemt at finde ud af og de bruger deres CPU på programmerne ikke antivirus :-)

Jeg er sikker på at vi er enige om at ved at mindske angrebsfladen løser vi flere problemer :-)

Tja, nu kan man jo løse det på mange forskellige måder, hvor ms er mere eller mindre med tiul at styre, hvad der kommer ind.

En mulig løsning kunne være at programmet registrere en updatering url, hvor siden så sendte noget data, der beskrev den nyeste version, hvorefter brugeren, så kunne vælge om han vil opgradere...

Jeg ved ikke noget om det, men jeg tvivler meget stærkt. Prøv at overveje hvilket ansvar, MS ville pådrage sig, hvis de rullede en fejlbehæftet opdatering ud for tredjepart. Selvom de så rent juridisk havde fraskrevet sig ethvert ansvar, så ville det imagemæssigt være rigtig grimt.

Ja, just... som om det ALDRIG har sket :O)