Видео: ÐвеÑÐ½ÐµÐ½Ð½Ñ Ð¿Ñо ÑозпÑÑк ÐакаÑпаÑÑÑÐºÐ¾Ñ Ð¾Ð±Ð»Ñади (Ноември 2024)
Зависи от вашия антивирусен или защитен пакет, за да защитите вашите данни и вашите устройства, но колко добре се защитава? Софтуерът за сигурност е само софтуер и има недостатъци, като всеки друг тип програма. Кодерите могат да предприемат няколко прости стъпки, за да се уверят, че софтуерният недостатък не отваря програмата за експлоатация на атака. Най-новият доклад от германската лаборатория AV-Test Institute обаче показва широк спектър от това колко добре доставчиците на сигурност бронират своите продукти срещу директна атака.
Лесно решение
Докладът на AV-Test гласи, че най-добрите програми имат само една грешка във всеки 2000 реда код. Проблемът е, че голяма програма ще съдържа не хиляди, а милиони редове код. Това са много грешки. Не всяка грешка отваря програмата за атака от злонамерен софтуер, но някои го правят.
За да успее в атаката си, експлоатация трябва да принуди програмата на жертвата да изпълнява злонамерен код. Някои го правят, като пъхнат кода като данни и принудят жертвата да го изпълни. Други манипулират стека или купчината, области с памет, използвани от програми за временно съхранение. Засядането на повече данни в буфер, отколкото действителната памет позволява, е друг начин за въвеждане на произволен код в паметта на програмата на програмата.
Съществуват две зрели технологии, които могат да осуетят много подвизи. Защитата от изпълнение на данни (DEP) просто предотвратява изпълнението на код във всяка област от паметта, която е маркирана като задържане на данни. Само това заличава една входна точка за експлоатация.
Рандомизация на разположението на пространството на адреси (ASLR), както подсказва името, разбърква секторите памет, използвани от дадена програма, така че нападателят не може да предвиди къде да намери сектора, съдържащ уязвимия код. И двете техники се използват широко в самия Windows. За повечето съвременни компилатори прилагането на всяка от тези защитни технологии е толкова лесно, колкото превключване на превключвател.
Методика за изпитване
Изследователите на AV-Test събраха 24 продукта за защита на потребителите и осем продукта, насочени към бизнеса. За всеки продукт те извършиха просто преброяване. Те изброиха всеки изпълним файл, библиотека с динамична връзка, драйвер и.sys файл, свързани с приложението, и отбелязаха дали всеки модул реализира DEP, ASLR или и двете. Те оценяваха 32-битови и 64-битни продукти отделно.
Както споменах, резултатите обхващаха широк диапазон. ESET беше единственият потребителски продукт със 100% покритие; Symantec беше единственият бизнес продукт на това ниво. Avira, G Data, McAfee и AVG защитават напълно 64-битовите си продукти с DEP и ASLR. Въпреки това, покритието в техните 32-битови издания варира от 90 до не съвсем 100 процента.
В другия край на спектъра, eScan Internet Security Suite е средно едва 17, 5% покритие. Kingsoft Antivirus управлява средно 19 процента, но изобщо не използва DEP в своите 64-битови продукти.
Като се има предвид, че активирането на тези защитни механизми е само въпрос на превключване на превключвателя на компилатора, защо доставчиците биха ги игнорирали? AV-Test получи редица отговори. Някои доставчици използваха библиотеки на трети страни, които не бяха компилирани със защита. Някои съобщават, че използват собствена технология за сигурност, несъвместима с DEP и ASLR. И някои заявиха, че определени файлове не се използват активно от програмата, така че те нямат значение. (Така че защо да не ги премахнете?)
Защита, производителност, използваемост
Заедно с доклада за самозащита, AV-Test пусна и последния доклад за антивирусна защита, производителност и използваемост. Можете да видите подробности за тяхната методика за тестване онлайн. Пълните резултати от теста са достъпни и онлайн; Ще ударя високите точки тук.
Касперски отбеляза перфектните 18 точки, както миналия път, а Авира спечели 1, 5 точки за последния път, присъединявайки се към Касперски на върха. По склона на спускане и ZoneAlarm, и Vipre дойдоха с 3, 5 пункта по-ниско от миналия път. За ZoneAlarm всичко беше в теста за ефективност, където резултатът му спадна от перфектните 6 до 2.5. Vipre загуби точки и в трите области. Общият му резултат от 8, 5 точки е много под 10 точки, необходими за сертифициране.
Определено оценявам лаборатории като AV-Test, които разширяват оценките си в нови области, като проверка на продукти за сигурност за самозащита. Ако не друго, този конкретен доклад ще накара доставчиците на сигурност два пъти да мислят как да се справят без DEP и ASLR. Да, има валидни причини да ги пропуснете за конкретни файлове, но липсват тези причини, просто завъртете превключвателя!