46 antivirových programů neprošlo testem!
Pokud znuděný IT profesionál dokáže během několika hodin jednoduchými technikami obejít téměř půl stovky známých antivirových programů, je to starost o soukromí. Pokud existuje výrobce, který jen mrká, je to už docela děsivé.
Ačkoli si většina odborníků v oblasti IT uvědomuje, že antivirový software není dokonalý, ale s tím, kolik energie dokáže odehrát, nebyl doposud skutečně studován. Attila Marosi, odborník na IT bezpečnost, však pomocí jednoduchých technik, které lze snadno najít na internetu, obešel 10 antivirů a firewallů za 12–46 hodin, všechny budou představeny na konferenci Ethical Hacking 9. května.
"Během testování, tzv Použil jsem Metasploit shell_reverse_tcp, který poskytuje vzdálený přístup k útočníkovi. Toto je malware dobře známý komunitě zabezpečení IT, který antivirový program pravidelně upozorňuje na testy. Pokud lze takto známý program skrýt, je to velký problém a 46 zkoumaných antivirových programů není znepokojeno, “vysvětlil Attila Marosi, mluvčí konference.
Specialista poté pokračoval ve zkoumání a spuštění testu 9 nejpopulárnějších antivirových produktů. Výsledky však ani zde nebyly zrovna přesvědčivé: upozornily pouze tři antiviry a aktivitu zablokovaly pouze dva z nich.
Podle odborníka je nejjednodušším způsobem, jak obejít většinu antivirových programů, že antivirové programy neobsahují funkce, které výrobci tvrdí nebo mají, ale fungují pouze pod „určitou hvězdnou pozicí“, takže je lze snadno obejit ..
"Byl tam výrobce, kterému jsem poslal řešení obejít jejich antivirus a firewall, ale odpověď byla, že to nebyla chyba, protože na to mohli napsat podpis." To však není pravda, protože tento vzor funguje pouze do doby, než změním kód. Samozřejmě tu byl také výrobce, který byl z výsledku šokován a snaží se chyby odstranit, “uvedl specialista na IT bezpečnost.
Podle Attily Marosiho, který způsob obcházení antiviru podrobně představí na konferenci Ethical Hacking 9. května, může být řešením skutečné oddělení a již existuje operační systém, který dokáže vypnout běžící aplikace z neznámých zdrojů nebo bez podpisů . Kromě detekce založené na podpisu by měla být ještě větší pozornost věnována detekci malwaru v reálném čase, ve které má antivirový software ještě dlouhou cestu. Tímto směrem by se ale měly ubírat i různé testy. "Ve většině testů jsou zvýrazněny atributy jako rychlost," vysvětlil Attila Marosi. „Pokud však máte na počítači podnikatelský plán, který by krádeží mohl stát miliony, je dobré se zamyslet nad tím, zda je ten pár procentní rozdíl rychlosti mezi antivirovým softwarem opravdu tak důležitý.“
Vymazat antivirus
Na konferenci o etickém hackingu nebude výše uvedené jedinou prezentací na toto téma, slibuje také, že bude zajímavá. prezentace odborníka na IT zabezpečení Silent Signal, který zkoumá klíčové problémy v ochraně koncových bodů založené na službách a poskytuje praktické příklady nepříjemných důsledků nadměrné závislosti na prodejcích.
Proces testování
Během testování Attila Marosi „zabalil“ Metasploit shell_reverse_tcp pomocí relativně jednoduchých metod snadno dostupných na internetu, aby jej skryl před antivirovými systémy. Poté provedl online skenovací test na virustotal.com, ve kterém žádný ze 46 antivirů, které bylo možné testovat, nenaznačoval problém.
Zopakoval testy 9 nejpopulárnějších antivirových programů na virtuálních strojích, a to i v reálném světě, kde pouze tři z již spuštěného malwaru naznačovaly podezřelé chování. Přestože dva antiviry blokují běh, nedokázaly určit, o jaký škodlivý kód jde.
Konečnému řešení se navíc podařilo obejít brány firewall, což dokazuje, že tyto aplikace nejsou ve srovnání s ostatními chráněny většinou výrobců.
