2010.06_Fail test, czyli na ile antywirus jest skuteczny.pdf

PRAKTYKA

Fail test, czyli

URSZULA HOLIK

na ile antywirus

jest skuteczny

Proaktywna ochrona, zaawansowana heurystyka, doskonałe

wyniki w testach dynamicznych. To tylko kilka wskaźników,

które internauci traktują jako wyznacznik skuteczności

oprogramowania antywirusowego. Okazuje się jednak, że

w dobie rosnącej popularności polimorficznych zagrożeń,

nawet antywirus klasy Advanced + może okazać się

nieskuteczny.

Stopień trudności

uważana jest za najbardziej gorący

temat wśród użytkowników Internetu.

Z założenia stanowi ona skomplikowany proces

technologiczny, polegający na infekowaniu

systemu za pomocą próbek złośliwego

oprogramowania, rzeczywiście występującego

w Sieci. Baza malware na bieżąco

aktualizowana jest przez niezależne instytuty

badawcze, które za pomocą różnych narzędzi

dokonują symulacji potencjalnych ataków.

Próbki złośliwego oprogramowania jakie udaje

się pobrać na specjalnie stworzone w tym

celu skrzynki e-mail, czy wykryć za pomocą

multiskanerów, posiadają zdolność rekompilacji

kodu, nawet co kilkanaście minut. Oznacza to,

że w przypadku pojedynczego zagrożenia może

istnieć nawet kilka wektorów potencjalnej infekcji.

Metodyka sporządzania testów stosowana

przez różne organizacje i instytuty badawcze

różni się od siebie w niektórych aspektach.

W przypadku AV –Test, jakość oprogramowania

ocenia się za pomocą co najmniej

6 integralnych modułów, których celem

jest między innymi rozpoznanie zdolności

antywirusa do blokowania zainfekowanych

witryn WWW, wykrywania i neutralizowania

exploitów oraz dynamicznej ochrony za

pomocą firewall. Wraz z rozwojem technologii

Cloud Computing , coraz większego znaczenia

nabiera także ochrona statyczna, a więc

zdolność rozpoznawania i blokowania nowych,

nieznanych zagrożeń oraz szybkość aktualizacji

sygnatur blokujących między innymi rootkity.

Wszystkie wymienione wyżej parametry są

kluczowe w ocenie antywirusa pod względem

zapewnienia użytkownikowi proaktywnej

ochrony. Jeżeli w sytuacji pojawienia się w Sieci

nowego malware, dla którego nie zostały

jeszcze udostępnione bazy sygnatur, jeden

z modułów nie zadziała, to cały system okaże

się nieskuteczny.

W ocenie internautów wielokrotnie

padają zarzuty dotyczące samej jakości

polityki testowania. Wydawało się, że wszelkie

kontrowersje powstałe wokół tego tematu uda

się rozwiązać dzięki utworzeniu Anti-Malware

Testing Standards Organization (AMTSO),

mającej za zadanie ustalenie wspólnych

standardów i metodologii testów w zakresie

zwalczania szkodliwego oprogramowania.

Efekty prac tej instytucji stanowią główny punkt

zainteresowania nie tylko wśród producentów

antywirusów, ale także twórców szkodliwego

oprogramowania, którzy teraz skoncentrowani

są w szczególny sposób na znalezieniu

sposobów obejścia mechanizmów ochrony.

Chociaż narzędzia oraz próbki malware,

wykorzystywanego podczas sporządzania

rankingu, różnią się w poszczególnych

organizacjach, to jednak ogólna metodologia

przeprowadzania testów jest podobna.

Zarówno wśród producentów dostarczających

oprogramowanie antywirusowe, jak również

Z ARTYKUŁU

DOWIESZ SIĘ

na czym polega polityka

testowania oprogramowania

antywirusowego,

w jaki sposób wyniki

testów wykorzystywane są

przez twórców złośliwego

oprogramowania,

na ile wyniki rankingów

antywirusów są wiarygodne,

dlaczego antywirus nie

jest w stanie zabezpieczyć

komputera przed wszystkimi

zagrożeniami występującymi

w Sieci.

CO POWINIENEŚ

WIEDZIEĆ

jak samemu ocenić

skuteczność pakietu

antywirusowego,

w jaki sposób można obejść

mechanizmy ochrony

i wykrywania antywirusa,

jakie formy ataków dominują

obecnie na rynku online.

HAKIN9 6/2010

P olityka testowania już od dłuższego czasu

FAIL TEST, CZYLI NA ILE ANTYWIRUS JEST SKUTECZNY

członków instytutów badawczych, panuje

zgoda co do tego, że w przypadku

testów dynamicznych błędne jest

koncentrowanie się tylko i wyłącznie

na współczynnikach wykrywalności,

nie uwzględniając jednocześnie

mechanizmów bezpieczeństwa

antywirusa

Kryterium oceny poszczególnych

etapów skupia się na odsetku skutecznie

zablokowanych adresów URL oraz

powiązanych z nim plików, a także na

ustaleniu wartości procentowej wykrytych

i zneutralizowanych ataków w stosunku

do wszystkich poddanych badaniu

próbek wirusów. Testy dynamiczne,

opierając się między innymi na systemie

behawioralnym, wykorzystują w badaniu

najbardziej popularne formy ataku, jak na

przykład drive – by – download, phishing

czy rozsyłanie wiadomości SPAM. Pod

uwagę bierze się również tak zwane testy

retrospektywne, weryfikujące zdolność

ochrony przed nieznanymi atakami

( zero-day attack ) na niezaktualizowanym

produkcie. Test pozwala sprawdzić

skuteczność pakietów działających

w modelu cloud computing na podstawie

analizy rozpoznawalności wektorów

infekcji. Biorąc pod uwagę różnorodność

i wielość wykorzystywanych w badaniu

próbek, całkowicie naturalnym

zjawiskiem są niewielkie wahania

wyników poszczególnych programów

antywirusowych, które łatwo zauważyć

w czołówce rankingu.

ujawniane, co chociaż ogranicza

zasięg informacji na temat malware

przekazywanej cyberprzestępcom, to

również w prosty sposób przekłada się

na niewiedzę Internautów.

Rankingi oprogramowania

antywirusowego tworzone są na

podstawie długoterminowych testów,

biorących pod uwagę skuteczność

wszystkich zastosowanych w danym

produkcie mechanizmów ochrony.

Wiodące instytuty badawcze zajmujące

się testowaniem programów chroniących

system, jako jeden z podstawowych

wyznaczników w rankingach, biorą

pod uwagę funkcję blokowania

stron zainfekowanych złośliwym

oprogramowaniem. Wykorzystując znane

formy ataków, jak na przykład drive-

by dowload , badana jest skuteczność

antywirusa, mierzona za pomocą

odsetka zablokowanych ataków. Niewielu

internautów zdaje sobie jednak sprawę

z tego, że w tym przypadku liczy się

nie tylko prawidłowa identyfikacja

zagrożenia, ale również czas, w jakim

to nastąpi. Chociaż antywirus w testach

dynamicznych osiąga wysoki wynik, to

jednak stosunkowo łatwo obejść jego

mechanizm bezpieczeństwa. Dzieje

się tak dlatego, że oprogramowanie

rozpoznaje i blokuje malware dopiero

wtedy, gdy skompresowany plik został

już pobrany do sieci lokalnej. Co

więcej oprogramowanie nie usuwa

archiwum zawierającego już ściągnięte

wirusy. W przypadku polimorficznego

zagrożenia, którego kod ulega

rekompilacji co kilkanaście minut, a sam

proces instalacji rozłożony jest na kilka

z pozoru bezpiecznych etapów, nawet

ochrona za pomocą oprogramowania

klasy Advanced + może okazać się

nieskuteczna. Problem ten w szczególnym

stopniu dotyczy jednego ze znanych

w Polsce producentów antywirusów.

Wiele zarzutów podnoszonych jest

również wobec testów statycznych

– obiektywne zbadanie skuteczności

antywirusa, wymagałoby zainfekowania

systemu każdą pojedynczą próbką

szkodliwego kodu występującego w Sieci.

Nadal rzadko stosuje się również podział

próbek testowych na odpowiednie

podzestawy. Zaledwie niewielka część

instytutów badawczych tworzy osobne

rankingi potwierdzające skuteczność

antywirusa, zarówno w walce z robakami,

wirusami, jak również trojanami. Wynik

badania zawiera zbyt ogólne informacje,

by mogły one przyczynić się do

ulepszenia poszczególnych modułów

w oprogramowaniu antywirusowym.

Wyjątek od tej reguły stanowią testy

sprawdzające skuteczność wykrywania

przez oprogramowanie antywirusowe

polimorficznych zagrożeń.

Niewiarygodne testy

Wiele zarzutów można podnieść wobec

samej polityki testowania. Nie zawsze

oprogramowanie wysoko ocenione

w testach porównawczych, będzie

posiadało takie funkcje, jak spodziewaliby

się tego użytkownicy Internetu. Główny

problem polega na tym, że instytuty

badawcze stosują przestarzałe

narzędzia, które dziś nie przystają już do

rzeczywistości. Natomiast w przypadku

standardowych użytkowników Sieci,

rzadko kiedy mamy do czynienia

z sytuacją, gdy baza wirusów jest

aktualizowana co kilka minut. Jeżeli

oprogramowanie antywirusowe nie

opiera się na rozwiązaniach typu cloud ,

to nawet świetny wynik w testach nie

potwierdzi jego faktycznych możliwości.

100-procentowa wykrywalność nie

jest adekwatna do 100-procentowej

skuteczności. Idealny model ochrony

użytkowników zapewnia jedynie

połączenie mechanizmów ochrony

lokalnej z rozwiązaniami technologii

cloud , lecz tego typu system nie jest jak

na razie popularnym rozwiązaniem na

rynku antywirusów.

Równie niepokojące są wszelkie

informacje dotyczące manipulacji

w przeprowadzanych testach. Głośnym

echem odbiły się wydarzenia sprzed

2 miesięcy, kiedy to prezes firmy Alwil

Software, producenta oprogramowania

Avast, oskarżył Symantec, o kupowanie

testów. Zarzuty dotyczące nieuczciwych

praktyk rynkowych stosowanych przez

Symantec, podnosił również miesiąc

wcześniej producent oprogramowania

McAfee. Chociaż wysnute oskarżenia nie

zostały formalnie udowodnione, to jednak

takie informacje znacząco zwiększyły

Faktyczna skuteczność

antywirusa

Okazuje się, że wynikami testów

dynamicznych żywo zainteresowani są

nie tylko producenci oprogramowania

chroniącego system, ale także twórcy

szkodliwych programów. Ujawnienie

szczegółowych informacji na temat

zbioru wykorzystywanych w badaniu

próbek, w zestawieniu z końcową ocena

oprogramowania antywirusowego,

stanowi doskonałą informację zwrotną

na temat skuteczności nowego malware.

W przypadku największych organizacji

badawczych, jak na przykład AV-

Comparatives, AV-TEST, czy Virus Bulletin

nazwy szkodliwego oprogramowywania,

które brało udział w teście nie są

6/2010

HAKIN9

PRAKTYKA

sceptycyzm internautów w odniesieniu do

rzetelności i niezależności testów.

jest trywialnie proste – wyjaśnia Tomasz

Zamarlik z G Data Software.

W przypadku AV – Check wynik testu to

jednoznaczna odpowiedź na pytanie,

czy malware zostanie rozpoznane przez

najpopularniejsze mechanizmy ochrony

stosowane przez użytkowników Sieci.

Największe zagrożenie stanowią tu

skompresowane pliki zawierające próbki

trojanów, których proces instalacji składa

się z kilkunastu etapów. W przypadku

tak skonstruowanego zagrożenia ciężko

jest przewidzieć potencjalny mechanizm

infekcji systemu.

Kontrowersje wokół

proaktywnej ochrony

W dziedzinie bezpieczeństwa IT duże

nadzieje pokładano również w nowej

technologii opartej o rozwiązania Cloud

Computing , która jako jedyna miała mieć

zdolność blokowania nowych zagrożeń

w sytuacji, gdy dla nieznanego dotąd

malware nie zostały jeszcze udostępnione

bazy sygnatur. Oznacza to, że proaktywny

model ochrony powinien w idealnym

przypadku zadziałać jeszcze przed

pobraniem złośliwego oprogramowania,

na podstawie samej analizy

prawdopodobnych wektorów infekcji.

Jak się później okazało, sama struktura

systemu stanowiła główną barierę testów

antywirusów opartych na modelu ochrony

w chmurze. W przypadku Cloud Security

bazy sygnatur są stale aktualizowane,

w związku z czym niemożliwe staje się

przeprowadzenie weryfikowalnego testu

oceniającego skuteczność na nowe,

nieznane zagrożenia. Innymi słowy bazy

wirusów umieszczone na zewnętrznych

serwerach, co sekundę wzbogacają

się o kilka próbek skażonego kodu.

Problem w przypadku technologii Cloud

pojawia się w momencie, gdy komputer

będzie miał odcięty dostęp do Internetu,

a nowe zagrożenie zostanie przeniesione

za pomocą dysków zewnętrznych.

Inna możliwość skażenia systemu to

ściągnięcie wirusa, który zainfekuje

systemową bibliotekę DNS lub po prostu

podmieni wpisy do pliku hosts. Zważywszy

na to, że sam model Cloud Security

nie posiada mechanizmów lokalnej

ochrony, obejście systemu wykrywania

Jak przechytrzyć

antywirusa?

Do zbadania skuteczności własnego

wirusa, twórcy szkodliwego

oprogramowania mają cały repertuar

narzędzi. Największym powodzeniem już

od dłuższego czasu cieszą się tak zwane

multiskanery, działające w trybie online,

jak np. populany Virus Total. Podobne

możliwości daje av-check.com , który

sprawdza bezpieczeństwo pliku w oparciu

o rozwiązania stosowane przez 22

programy antywirusowe, takie jak Avast,

AVG, F-secure, Kasperski, NOD 23 oraz

Panda. Wykorzystując tego typu aplikacje,

cyberprzestępcy w łatwy i szybki sposób

uzyskują kompletną informację na temat

wykrywalności własnego malware.

Tak przeprowadzony test daje niemal

natychmiast jednoznaczną odpowiedź

na pytanie, czy nowy szkodnik potrafi

uniknąć wykrycia, a co za tym idzie

obejść mechanizm bezpieczeństwa

antywirusa. Wynik jest o tyle wiarygodny,

iż multiskanery wykorzystują maksymalne

możliwości mechanizmów identyfikacji

złośliwego oprogramowania, które

są stosowane w wielu popularnych

programach antywirusowych.

Reklamowa manipulacja

Należy pamiętać, że skuteczność

antywirusa może być oceniana tylko

w odniesieniu do wyników kilkunastu

współpracujących ze sobą modułów.

Szumnie promowana w ostatnich

miesiącach zaawansowana heurystyka,

to coś więcej niż wysoki odsetek

zablokowanych ataków. O rzeczywistej

skuteczności oprogramowania

decydowała będzie kompatybilna

współpraca wszystkich warstw antywirusa.

To właśnie drobne niuanse różniące

poszczególne pakiety mają krytyczne

znaczenie dla realnego bezpieczeństwa

użytkowników Internetu. Nic więc

dziwnego, że niewiedza internautów jest

od lat narzędziem manipulacji, skutecznie

wykorzystywanym przez twórców

Rysunek 1. Warning

Rysunek 2. Długoterminowy test VB

HAKIN9 6/2010

FAIL TEST, CZYLI NA ILE ANTYWIRUS JEST SKUTECZNY

oprogramowania antywirusowego.

Przykłady tego typu działań można

mnożyć. Najczęstszą formą jest tu

zastępowanie końcowych wyników

testów, wynikami z poszczególnych

modułów. W oficjalnych komunikatach

niejednokrotnie informuje się o 100-

procentowej skuteczności pakietu,

podczas gdy długoterminowe testy

wskazują na zupełnie inne wyniki.

Należy jednak pamiętać, że chociaż

skuteczność wykrywania zagrożeń np.

in – the – wild w odniesieniu do danego

programu jest wysoka, pakiet możne

uzyskać znacznie gorsze wyniki w testach

proaktywnych. Natomiast oficjalne

informacje, zamieszczone na stronie

producenta, rzadko kiedy wskazują, że

certyfikat Advanced + uzyskany w testach

porównawczych odnosił się zaledwie

do jednego modułu. Manipulacja

informacyjna w tym przypadku jest o tyle

łatwiejsza, że internauci najczęściej nie

znają metodologii przeprowadzania

testów, obranej przez niezależne instytuty

badawcze.

antywirusem jest skuteczną metodą

na uniknięcie zagrożenia. Wiele błędów

i luk, niemal codziennie wykrywanych

w popularnych aplikacjach internetowych,

rodzi poważne zagrożenie dla

użytkowników Sieci. Chociaż wszyscy

producenci między innymi przeglądarek,

za podstawowy czynnik budowania

swojej rynkowej pozycji uważają

jeden kluczowy parametr, jakim jest

bezpieczeństwo, to jednak coraz częściej

można usłyszeć o nowych, krytycznych

błędach. Korzystny efekt wywiera w tym

względzie wojna przeglądarek – walka

o zwiększenie udziałów w rynku, idzie

w parze z badaniami nad stabilnością

i udoskonalaniem poszczególnych

narzędzi. Wraz z tym, zwiększa się

również wybór możliwości dostosowania

oprogramowania do indywidualnych

wymagań i potrzeb internautów.

Poszczególne rozwiązania stosowane

w starych wersjach, które nie zdały

egzaminu ulegają ciągłym zmianom

i ulepszeniom. Nie da się jednak

zaprzeczyć, że wciąż wielu internautów

pracuje na niezaktualizowanym systemie,

dodatkowo wyłączając opcje skanowania

stron, które dostępne są w pakietach

antywirusowych. W tym przypadku,

kierowanie się wydajnością systemu jako

sprawą priorytetową oznacza rezygnację

z ochrony za pomocą jednego

z najważniejszych mechanizmów

bezpieczeństwa danego produktu.

Na znaczne niebezpieczeństwo

narażają użytkowników Internetu

także aplikacje wykorzystywane na

co dzień przez wielomilionowe grono

internautów. Systemy przechowujące

oraz przetwarzające prywatne danych

użytkowników, już od dłuższego

czasu są narzędziem chętnie

wykorzystywanym przez phiserów.

Rosnące zainteresowanie rodzą

zarówno portale społecznościowe,

jak na przykład Facebook, ale także

komunikatory. W przypadku Google ma

to kolosalne znaczenie, bowiem marka,

nazywana przez niektórych Wielkim

Bratem Internetu, przetwarza miliardy

terabajtów danych, wyszukiwanych

co dnia przez użytkowników Sieci. Jak

zauważa Eric Schmidt, CEO Google,

w jednym z swoich wywiadów, informacje

przechowywane w Internecie są

ogólnodostępne. Często to właśnie

one umożliwiają zidentyfikowanie

użytkownika, przez określenie jego

behawioralnego portretu, co niestety

coraz częściej wykorzystywane jest przez

cyberprzestępców.

Ryzyko w sieci

Jak wskazują obserwacje, dokonywane

między innymi przez CERT, nie zawsze

zabezpieczenie się odpowiednim

��

� ��

��

Rysunek 3. AV test – moduły

6/2010

HAKIN9

PRAKTYKA

(Nie) szkodliwe zagrożenia

Chociaż nie można zaprzeczyć, że

świadomość internautów jest coraz

większa, to jednak niepokojące jest

zjawisko, że nadal znaczny odsetek

użytkowników Sieci pada ofiarą

popularnych form ataku. Obecnie

do kradzieży cennych informacji

wykorzystywane są najczęściej konie

trojańskie, które przekazywane są

w formie pozornie nieszkodliwych plików

– dokumentów, animacji, wygaszaczy

ekranu, czy odpowiednio spreparowanych

programów antywirusowych. Podstawowy

błąd polega na mylnym przekonaniu, że

największe zagrożenie stanowią wirusy

komputerowe. Tymczasem coraz częściej

do infekowania systemu wykorzystywane

są aplikacje nowego typu, jak na przykład

skażone oprogramowanie, w tym miedzy

innymi fałszywe programy antywirusowe,

antyszpiegowskie lub antyadware.

Tego typu aplikacje wykorzystywane

są najczęściej do kradzieży informacji,

jak również przestępstw finansowych.

Precyzja twórców szkodliwego

oprogramowania jest w tym przypadku

zdumiewająca. Aplikacje typu rogueware

stanowią niemałe zagrożenie ze

względu na dwa podstawowe czynniki.

Po pierwsze oprogramowanie blokuje

niemal całkowicie dostęp do aplikacji

i dokumentów, by w ten sposób wymusić

na użytkowniku zakup fałszywej licencji, po

drugie internauta jest mylnie przekonany,

że jego system chroniony jest za pomocą

skutecznego programu antywirusowego.

Zarówno layout strony internetowej, jak

również elementy graficzne zamieszczone

na witrynie, z której pobrać można

zainfekowany plik, są do złudzenia

podobne, do tych znanych na przykład

z centrum zabezpieczeń systemu

Windows. Błędem jest również pokładanie

nadmiernego zaufania w bezpiecznych

technologiach. Chociaż znakomita

część zagrożeń dotyczy w szczególności

użytkowników systemu Windows, to jednak

na stale rosnące ryzyko narażeni są

również posiadacze systemu Linux czy

Mac.

pozwalający na przejęcie kontroli nad

komputerem, nie rozprzestrzeniłby

się tak szybko, gdyby administratorzy

sieci zadbali o aktualizację systemu

Windows. Wielu użytkowników skłonnych

jest również twierdzić, że sam fakt

posiadania antywirusa rozwiązuje

wszelkie problemy dotyczące ochrony

systemu. O ile w przypadku modeli

proaktywnych udało się wyeliminować

problem nieaktualnej bazy sygnatur,

to w przypadku klasycznych pakietów

internauta powinien co jakiś czas

aktualizować bazy wirusów. Pominiecie

tego obowiązku może skutkować

obniżeniem skuteczności rozpoznawania

i wykrywania zagrożeń, co w praktyce

czyni program bezużytecznym. Nie od

dziś wiadomo bowiem, że ulubionym

narzędziem cyberprzestępców

są niezałatane luki w popularnych

programach, a problem ten dotyczy

w takim samym stopniu systemów

operacyjnych oraz starszych wersji

przeglądarek internetowych. Wśród

twórców złośliwego oprogramowania

rosnącym zainteresowaniem

na przełomie 2009 i 2010 roku

cieszyły się produkty firmy Adobe.

Ku zaskoczeniu wielu okazało się, że

Podstawowe błędy, których

można było uniknąć

Większość błędów związanych

z bezpieczeństwem zarówno domowego

komputera, jak również firmy, to często

wynik prostych zaniedbań, których

stosunkowo łatwo można uniknąć.

Znany już dziś trojan conflicker ,

Tabela 1. Złośliwe oprogramowanie 2009

udział różnica 1 poł

2008 – 1 poł

2009

Konie trojańskie 221.610 33,60% 155.167 26.90% 52.087 16,40% 425,00%

udział 2 poł 2008

roku

udział 1poł 2008

roku

Oprogramowanie

typu backdoor

104.224 15,70% 125.086 21,70% 75.027 23,60% 139,00%

Programy

pobierające

147.942 22,10% 115.358 20,00% 64.482 20,30% 229,00%

Programy

szpiegowskie

97.011 14,60% 96.081 16.70% 58.872 18,50% 165,00%

Adware 34.813 5,30% 40.680 7,10% 32.068 10,10% 109,00%

Robaki 26.542 4,00% 17.504 3,00% 01.10.27 3,20% 260,00%

Virusy Tools 01.11.13 1,60% 01.07.27 1,30% 01.12.03 3,80% 94,00%

Rootkit 01.12.29 1,90% 01.06.59 1,20% 01.01.25 0,40% 858,00%

Exploity 01.02.79 0,30% 01.01.41 0,30% 01.01.13 0,50% 141,00%

Dialery 01.01.53 0,20% 01.01.13 0,20% 01.04.60 1,50% 24,00%

Virusy 143 0,00% 167 0,00% 327 0,10% 44,00%

Inne

01.04.93 0,70% 01.08.19 1,50% 01.05.70 1,60% 89,00%

Razem 663.952 100,00% 576.002 100,00% 318.248 100,00% 209,00%

HAKIN9 6/2010

Kategoria 1 poł 2009

roku

Plik z chomika:

Inne pliki z tego folderu:

Inne foldery tego chomika: