Když i antivir je hrozbou

I dnes se budeme věnovat některým ožehavým otázkám souvisejícím s antiviry. Ukazuje se, že mohou představovat pro systém hrozbu kvůli vlastním rozsáhlým bezpečnostním chybám. Navíc velké procento nových infekcí není antiviry vůbec podchyceno.

Navážeme na předchozí článek Viry jsou jiné. Jsou antiviry jen vyhozenými penězi? a na hlavní myšlenky nadhozené některými odborníky na počítačovou bezpečnost, kteří volají po změně pojetí antivirů ― současný „blacklisting“ (zakazování spouštění určitého softwaru) by měl být nahrazen výlučně ochranou založenou na „whitelistingu“, na povolování známých aplikací. Důvodem je hlavně rapidně rostoucí počet škodlivých programů (virů, trojských koní, spywaru,…) a i stále větší sofistikovanost nákaz (příkladem budiž třeba nebezpečný ruský trojský kůň Gozi, více zde). Více v prvním, výše zmíněném článku.

Antiviry coby cesta nákazy

Možná pro někoho trochu bulvárněji laděný podnadpis, leč bohužel je pravdivý. Německá společnost n.runs odhalila, že v antivirových programech existuje nejméně 800 zranitelností. Jinými slovy, antiviry obsahují 800 děr, kterými může být napaden systém Windows.

Ve zprávě n.runs se na úvod píše následující:

„Během několika posledních měsíců specialisté z n.runs AG společně s dalšími experty objevili přibližně 800 zranitelností v antivirových produktech. Závěr: přes svou hlavní funkci tyto produkty otevírají dvířka útočníkům, umožňují jim proniknout do firemních sítí a ty infikovat destruktivními kódy. Antivirový software vystavuje centrální oblasti společností vysokým bezpečnostním rizikům. Testy provedené konzultační společností a vývojáři z n.runs ukazují, že každý virový scanner, který je v současnosti na trhu, obsahuje několik vysoce kritických zranitelností. Ty otevírají cestu útokům typu DoS (Denial of Service) a dovolují infiltraci destruktivním kódem. Vzhledem k těmto skutečnost antivirová řešení ve skutečnosti umožňují každou věc, před kterou by naopak měla chránit.“

(Celá zpráva zde.)

Jednou ze společností zabývajících se vývojem antivirových řešení, která záhy zareagovala na výsledky n.runs, byla McAfee. Podle dokumentu, který tato firma uveřejnila, jsou závěry n.runs „poněkud přehnané.“ Grafy a čísla, která se objevila v jednom článku na serveru ZDnet.com a která pocházela právě ze zprávy n.runs, mají podle MacAfee jen „vystrašit uživatele bezpečnostních produktů.“ Jedním z důvodu, proč tak n.runs činí, je podle McAfee to, že hlášení z výzkumu je reklamou na nový produkt APS-AV, který v n.runs vyvinuli. Nicméně McAfee zároveň lidem z n.runs děkuje: „[Výzkumníci z] n.runs opravdu nalezli mnoho zranitelností a za to si zaslouží uznání. S týmem n.runs jsme v minulosti už spolupracovali a víme, že to jsou velice odpovědní a inteligentní výzkumníci. Nechceme napadat legitimitu jimi nalezených zranitelností, ale chceme vyvolat debatu o závěrech, které z toho plynou pro stav bezpečnosti.“

McAfee nesouhlasí s tím, že by antiviry způsobovaly více škody než užitku. „Jedním ze závěrů, ke kterým tým z n.runs došel, je, že přítomnost antiviru v prostředí systému vás vystavuje větší bezpečnostní hrozbě, než když antivir nemáte. Taková představa je však krátkozraká. Je sice pravda, že jakýkoliv software přidaný do systému zvyšuje jeho složitost a často i možnosti napadení. Nicméně software pro boj s malwarem chrání každý den miliony strojů před tisíci unikátními a velice aktivními hrozbami. Mimochodem produkty McAfee jen za poslední týden zabránily více než 300 milionům infekcím. Navíc McAfee nevidělo jediný důkaz, že by jakákoliv zranitelnost nahlášená n.runs byla zneužita k útoku na naše produkty.“

McAfee dále zpochybňuje, že by oněch osm stovek bezpečnostních děr mohlo skutečně vést k reálnému ohrožení systémů uživatelů s nainstalovanými antivirovými programy. „Zatímco několik chyb, které pracovníci v n.runs nalezli a veřejně ohlásili, by mohlo vyústit ve vzdálené spuštění kódu nebo útok typu DoS, velké množství chyb jen sotva může umožnit, aby se útoky vyhnuly jistému typu detekce. Ony zranitelnosti umožňující obejít detekci představují mnohem nižší riziko.“

Avšak dále v textu McAfee přiznává, že situaci nechce přespříliš zlehčovat a že výsledkům n.runs určitou váhu přikládá: „Skutečnost, že v n.runs nalezli tolik zranitelností v softwaru, který má chránit před malwarem, je znepokojující. Ukazuje nám, že bezpečnostní průmysl musí své úsilí soustředit na psaní co možná nejbezpečnějších kódů.“

McAfee uživatelům doporučuje dodržovat pravidla bezpečnosti, hlavně onu „hloubkovou ochrannou strategii“ („defense-in-depth strategy“), o které jsme se bavili už v minulém dílu.

„Jestliže se budou dodržovat pravidla bezpečnosti a jsou-li ochranné prvky rozloženy do několika vrstev, tyto hrozby budou zablokovány, jakmile se na náležitě zabezpečených koncových bodech malware pokusí udělat cokoliv zákeřného.“

Reakce ze strany n.runs na tento dokument na sebe nenechala dlouho čekat. (Příslušný text ve formátu PDF si můžete stáhnout ze stránek nruns.com.) Z dokumentu však citovat nebudeme ― důvodů je několik. Tím hlavním je to, že jde spíše o žabomyší válku založenou na slovíčkaření: čí byl ten a ten graf, kdo vytvořil tamto či ono a co vlastně znamená ta nebo ona věta ― zde bychom mohli citovat bývalého amerického prezidenta Billa Clintona a říct, že „záleží na tom, jaký je význam slova ‚je‘“.

Kolik antiviry propustí malwaru?

V souvislosti s otázkou bezpečnosti samotných antimalwarových ochranných řešení se na světlo dostaly starší analýzy, které se zabývaly otázkou, nakolik jsou antiviry úspěšné v detekci nového malwaru. Na různých serverech a v časopisech se sice můžeme setkat se srovnávacími testy antivirových programů, ale ty se zakládají na testování se známými vzorky infekcí. Daleko důležitější je, jak rychle antiviroví výrobci dokážou zareagovat na nový typ malwaru. Už před dvěma lety se ukázalo, že tady leží zakopaný pes. Podle tehdejší studie AusCERT (Australia's National Computer Emergency Response Team) nejznámější antivirové aplikace na trhu nebyly s to podchytit 80 procent nového malwaru. Generální manažer AusCERT Graham Ingram tehdy veřejně prohlásil, že populární antivirové aplikace „nefungují“.

„Námi zjištěných 80 % není vyčíslením úspěšnosti zkoumaných antivirů, ale jejich neúspěšnosti. [...]Používáte-li takový software, 8 z 10 vzorků zákeřného kódu k vám do systému proklouzne,“ řekl Ingram.

Odmítl ale sdělit, o jaké výrobce antivirů se jednalo. Dále upozorňoval, že novější malware se učí, jak antivirové ochrany obcházet ― už jej tedy okatě nevypíná. Ještě doplnil, že u méně populárních antivirů činila míra selhání „jen“ 60 % ― přesto však taková čísla označil za „znepokojivá“.

1. 8. 2008

Autor: Oldřich Klimánek