Úvod > Články > Když i antivir je hrozbou

Když i antivir je hrozbou

I dnes se budeme věnovat některým ožehavým otázkám souvisejícím s antiviry. Ukazuje se, že mohou představovat pro systém hrozbu kvůli vlastním rozsáhlým bezpečnostním chybám. Navíc velké procento nových infekcí není antiviry vůbec podchyceno.

Navážeme na předchozí článek Viry jsou jiné. Jsou antiviry jen vyhozenými penězi? a na hlavní myšlenky nadhozené některými odborníky na počítačovou bezpečnost, kteří volají po změně pojetí antivirů ― současný „blacklisting“ (zakazování spouštění určitého softwaru) by měl být nahrazen výlučně ochranou založenou na „whitelistingu“, na povolování známých aplikací. Důvodem je hlavně rapidně rostoucí počet škodlivých programů (virů, trojských koní, spywaru,…) a i stále větší sofistikovanost nákaz (příkladem budiž třeba nebezpečný ruský trojský kůň Gozi, více zde). Více v prvním, výše zmíněném článku.

Antiviry coby cesta nákazy

Možná pro někoho trochu bulvárněji laděný podnadpis, leč bohužel je pravdivý. Německá společnost n.runs odhalila, že v antivirových programech existuje nejméně 800 zranitelností. Jinými slovy, antiviry obsahují 800 děr, kterými může být napaden systém Windows.

Ve zprávě n.runs se na úvod píše následující:

„Během několika posledních měsíců specialisté z n.runs AG společně s dalšími experty objevili přibližně 800 zranitelností v antivirových produktech. Závěr: přes svou hlavní funkci tyto produkty otevírají dvířka útočníkům, umožňují jim proniknout do firemních sítí a ty infikovat destruktivními kódy. Antivirový software vystavuje centrální oblasti společností vysokým bezpečnostním rizikům. Testy provedené konzultační společností a vývojáři z n.runs ukazují, že každý virový scanner, který je v současnosti na trhu, obsahuje několik vysoce kritických zranitelností. Ty otevírají cestu útokům typu DoS (Denial of Service) a dovolují infiltraci destruktivním kódem. Vzhledem k těmto skutečnost antivirová řešení ve skutečnosti umožňují každou věc, před kterou by naopak měla chránit.“

(Celá zpráva zde.)

Jednou ze společností zabývajících se vývojem antivirových řešení, která záhy zareagovala na výsledky n.runs, byla McAfee. Podle dokumentu, který tato firma uveřejnila, jsou závěry n.runs „poněkud přehnané.“ Grafy a čísla, která se objevila v jednom článku na serveru ZDnet.com a která pocházela právě ze zprávy n.runs, mají podle MacAfee jen „vystrašit uživatele bezpečnostních produktů.“ Jedním z důvodu, proč tak n.runs činí, je podle McAfee to, že hlášení z výzkumu je reklamou na nový produkt APS-AV, který v n.runs vyvinuli. Nicméně McAfee zároveň lidem z n.runs děkuje: „[Výzkumníci z] n.runs opravdu nalezli mnoho zranitelností a za to si zaslouží uznání. S týmem n.runs jsme v minulosti už spolupracovali a víme, že to jsou velice odpovědní a inteligentní výzkumníci. Nechceme napadat legitimitu jimi nalezených zranitelností, ale chceme vyvolat debatu o závěrech, které z toho plynou pro stav bezpečnosti.“

McAfee nesouhlasí s tím, že by antiviry způsobovaly více škody než užitku. „Jedním ze závěrů, ke kterým tým z n.runs došel, je, že přítomnost antiviru v prostředí systému vás vystavuje větší bezpečnostní hrozbě, než když antivir nemáte. Taková představa je však krátkozraká. Je sice pravda, že jakýkoliv software přidaný do systému zvyšuje jeho složitost a často i možnosti napadení. Nicméně software pro boj s malwarem chrání každý den miliony strojů před tisíci unikátními a velice aktivními hrozbami. Mimochodem produkty McAfee jen za poslední týden zabránily více než 300 milionům infekcím. Navíc McAfee nevidělo jediný důkaz, že by jakákoliv zranitelnost nahlášená n.runs byla zneužita k útoku na naše produkty.“

McAfee dále zpochybňuje, že by oněch osm stovek bezpečnostních děr mohlo skutečně vést k reálnému ohrožení systémů uživatelů s nainstalovanými antivirovými programy. „Zatímco několik chyb, které pracovníci v n.runs nalezli a veřejně ohlásili, by mohlo vyústit ve vzdálené spuštění kódu nebo útok typu DoS, velké množství chyb jen sotva může umožnit, aby se útoky vyhnuly jistému typu detekce. Ony zranitelnosti umožňující obejít detekci představují mnohem nižší riziko.“

Avšak dále v textu McAfee přiznává, že situaci nechce přespříliš zlehčovat a že výsledkům n.runs určitou váhu přikládá: „Skutečnost, že v n.runs nalezli tolik zranitelností v softwaru, který má chránit před malwarem, je znepokojující. Ukazuje nám, že bezpečnostní průmysl musí své úsilí soustředit na psaní co možná nejbezpečnějších kódů.“

McAfee uživatelům doporučuje dodržovat pravidla bezpečnosti, hlavně onu „hloubkovou ochrannou strategii“ („defense-in-depth strategy“), o které jsme se bavili už v minulém dílu.

„Jestliže se budou dodržovat pravidla bezpečnosti a jsou-li ochranné prvky rozloženy do několika vrstev, tyto hrozby budou zablokovány, jakmile se na náležitě zabezpečených koncových bodech malware pokusí udělat cokoliv zákeřného.“

Reakce ze strany n.runs na tento dokument na sebe nenechala dlouho čekat. (Příslušný text ve formátu PDF si můžete stáhnout ze stránek nruns.com.) Z dokumentu však citovat nebudeme ― důvodů je několik. Tím hlavním je to, že jde spíše o žabomyší válku založenou na slovíčkaření: čí byl ten a ten graf, kdo vytvořil tamto či ono a co vlastně znamená ta nebo ona věta ― zde bychom mohli citovat bývalého amerického prezidenta Billa Clintona a říct, že „záleží na tom, jaký je význam slova ‚je‘“.

Kolik antiviry propustí malwaru?

V souvislosti s otázkou bezpečnosti samotných antimalwarových ochranných řešení se na světlo dostaly starší analýzy, které se zabývaly otázkou, nakolik jsou antiviry úspěšné v detekci nového malwaru. Na různých serverech a v časopisech se sice můžeme setkat se srovnávacími testy antivirových programů, ale ty se zakládají na testování se známými vzorky infekcí. Daleko důležitější je, jak rychle antiviroví výrobci dokážou zareagovat na nový typ malwaru. Už před dvěma lety se ukázalo, že tady leží zakopaný pes. Podle tehdejší studie AusCERT (Australia's National Computer Emergency Response Team) nejznámější antivirové aplikace na trhu nebyly s to podchytit 80 procent nového malwaru. Generální manažer AusCERT Graham Ingram tehdy veřejně prohlásil, že populární antivirové aplikace „nefungují“.

„Námi zjištěných 80 % není vyčíslením úspěšnosti zkoumaných antivirů, ale jejich neúspěšnosti. [...]Používáte-li takový software, 8 z 10 vzorků zákeřného kódu k vám do systému proklouzne,“ řekl Ingram.

Odmítl ale sdělit, o jaké výrobce antivirů se jednalo. Dále upozorňoval, že novější malware se učí, jak antivirové ochrany obcházet ― už jej tedy okatě nevypíná. Ještě doplnil, že u méně populárních antivirů činila míra selhání „jen“ 60 % ― přesto však taková čísla označil za „znepokojivá“.

1. 8. 2008

Autor: Oldřich Klimánek

Témata

telekomunikace

Sdílejte

Přečtěte si také

 

T-Mobile testuje videohovory v LTE

Po hlasových hovorech v LTE síti začal T-Mobile testovat Video over LTE. Technologie umožní kvalitní videohovory...

 

O2 vyplatí dividendu za rok 2015, 16 korun za akcii

Akcionáři schválili dividendu 16 korun na akcii před zdaněním. Celkem tak bude na dividendách za loňský rok...

 

O2 spouští novou kampaň na O2 TV

O2 přichází s novu kampaní na populární O2 TV. Novým zákazníkům chce ukázat všechny unikátní funkce své digitální...

Nejčtenější články

Víme, kde v říjnu došlo ke zrychlení DSL připojení!

 

CETIN v posledních měsících intenzivně zrychluje DSL připojení. Přinášíme vám seznam 30 obcí, kde se v říjnu...

Proč se na pořádný fotbal nepodíváte ani na ČT?

 

Britskou Premier League, Sky Bet Championship a španělskou ligu mohou čeští diváci sledovat pouze na Nové Digi TV a...

Naměřené rychlosti internetu na DSL.cz v říjnu 2016

 

Rychlost mobilního LTE internetu byla v říjnu nejvyšší u operátora O2. V síti 3G je nejrychlejší T-Mobile. Co se...