โปรแกรมป้องกันไวรัส 46 โปรแกรมล้มเหลวในการทดสอบ!
หากนักวิทยาศาสตร์คอมพิวเตอร์ที่เบื่อสามารถใช้เทคนิคง่ายๆ ในการเอาชนะแอนตี้ไวรัสที่เป็นที่รู้จักเกือบครึ่งร้อยตัวภายในเวลาไม่กี่ชั่วโมง ก็เป็นความกังวลเรื่องการปกป้องข้อมูล ถ้ามีผู้ผลิตที่เพียงแค่ขยิบตาในเรื่องนี้ก็น่ากลัวพอ
แม้ว่าผู้เชี่ยวชาญด้านไอทีส่วนใหญ่จะทราบดีว่าซอฟต์แวร์แอนตี้ไวรัสไม่สมบูรณ์แบบ แต่ขอบเขตที่สามารถใช้ประโยชน์ได้นั้นยังไม่ได้รับการตรวจสอบจริงๆ อย่างไรก็ตาม Attila Marosi ผู้เชี่ยวชาญด้านความปลอดภัยด้านไอทีสามารถเอาชนะแอนตี้ไวรัส 10 ตัวใน 12-46 ชั่วโมงโดยใช้เทคนิคง่ายๆ ที่หาพบได้ง่ายบนอินเทอร์เน็ต และไม่ต้องพูดถึงไฟร์วอลล์ และเขาจะนำเสนอทั้งหมดนี้ในการประชุม Ethical Hacking ที่ 9 พฤษภาคม
“ระหว่างการทดสอบ สิ่งที่เรียกว่า ฉันใช้ Metasploit shell_reverse_tcp ซึ่งให้การเข้าถึงระยะไกลแก่ผู้โจมตี นี่เป็นมัลแวร์ที่รู้จักกันดีในชุมชนความปลอดภัยด้านไอที และโปรแกรมป้องกันไวรัสจะเตือนอย่างสม่ำเสมอในการทดสอบ หากโปรแกรมที่มีชื่อเสียงดังกล่าวสามารถซ่อนได้ แสดงว่ามีปัญหาใหญ่ และโปรแกรมแอนตี้ไวรัส 46 รายการที่ทดสอบแล้วก็ไม่ส่งสัญญาณเตือน” อัตติลา มาโรซี วิทยากรของการประชุมอธิบาย
หลังจากนั้น ผู้เชี่ยวชาญได้ตรวจสอบเพิ่มเติมและทำการทดสอบรันโปรแกรมแอนตี้ไวรัสยอดนิยม 9 ตัว อย่างไรก็ตาม ผลลัพธ์ก็ไม่น่าเชื่อถือเหมือนกัน: มีแอนตี้ไวรัสเพียงสามตัวที่ส่งสัญญาณเตือน และมีเพียงสองตัวเท่านั้นที่บล็อกกิจกรรม
ตามที่ผู้เชี่ยวชาญกล่าว เหตุผลที่แอนตี้ไวรัสส่วนใหญ่สามารถข้ามได้ด้วยวิธีที่ง่ายที่สุดคือโปรแกรมป้องกันไวรัสไม่มีฟังก์ชันที่ผู้ผลิตอ้างหรือมี แต่ใช้งานได้เฉพาะกับ "ตำแหน่งดาวบางตำแหน่งเท่านั้น" จึงสามารถหลีกเลี่ยงได้ง่าย
"มีผู้ผลิตรายหนึ่งที่ฉันส่งโซลูชันไปให้ ซึ่งฉันเคยเลี่ยงการป้องกันไวรัสและไฟร์วอลล์ แต่คำตอบก็คือไม่ใช่ข้อบกพร่อง เพราะพวกเขาสามารถเขียนลายเซ็นลงไปได้ อย่างไรก็ตาม สิ่งนี้ไม่เป็นความจริง เนื่องจากรูปแบบนี้ใช้ได้จนกว่าฉันจะเปลี่ยนรหัส แน่นอนว่ายังมีผู้ผลิตที่ตกใจกับผลลัพธ์และพยายามกำจัดข้อผิดพลาด” ผู้เชี่ยวชาญด้านความปลอดภัยไอทีกล่าว
จากข้อมูลของ Attila Marosi ซึ่งจะนำเสนอวิธีการเลี่ยงผ่านโปรแกรมป้องกันไวรัสโดยละเอียดในการประชุม Ethical Hacking Conference ในวันที่ 9 พฤษภาคม การแก้ปัญหาอาจเป็นการแยกจากกันจริง ๆ และมีระบบปฏิบัติการอยู่แล้วซึ่งเรียกใช้แอปพลิเคชันจากแหล่งที่ไม่รู้จักหรือไม่มี สามารถปิดลายเซ็นได้ นอกจากนี้ นอกเหนือจากการจดจำตามลายเซ็นแล้ว ควรให้ความสนใจมากขึ้นกับการตรวจจับโปรแกรมที่เป็นอันตรายแบบเรียลไทม์ ซึ่งแอนตี้ไวรัสยังคงมีพื้นที่สำหรับการปรับปรุงอีกมาก ในขณะเดียวกัน การทดสอบต่างๆ ก็ควรไปในทิศทางนี้ด้วย "ในการทดสอบส่วนใหญ่ คุณลักษณะเช่นความเร็วได้รับความสนใจเป็นพิเศษ - Attila Marosi อธิบาย - อย่างไรก็ตาม หากมีแผนธุรกิจในคอมพิวเตอร์ การขโมยหมายถึงการสูญเสียเงินหลายล้าน มันก็คุ้มค่าที่จะคิดว่าความแตกต่างของความเร็วสองสามเปอร์เซ็นต์ระหว่างแอนติไวรัสนั้นสำคัญจริง ๆ หรือไม่..."
Antivirus ออกจากสีน้ำเงิน
ข้างต้นจะไม่ใช่การนำเสนอเพียงหัวข้อเดียวในหัวข้อนี้ในการประชุม Ethical Hacking Conference Buherátor: Antivirus from the Clear Sky หรือ Shadowy Sides of Cloud-Based Protection ที่สัญญาว่าจะน่าสนใจเช่นกัน การนำเสนอ ซึ่งผู้เชี่ยวชาญด้านความปลอดภัยไอทีของ Silent Signal สำรวจประเด็นสำคัญของการป้องกันปลายทางตามบริการ และแสดงตัวอย่างในทางปฏิบัติของผลที่ไม่พึงประสงค์จากความไว้วางใจที่มากเกินไปในผู้ผลิต
คอร์สทดลอง
ในระหว่างการทดสอบ Attila Marosi ได้ "บรรจุ" Metasploit shell_reverse_tcp โดยใช้วิธีการที่ค่อนข้างง่ายที่พร้อมใช้งานบนอินเทอร์เน็ตเพื่อซ่อนจากระบบป้องกันไวรัส หลังจากนั้น เขาทำการทดสอบการสแกนออนไลน์บน virustotal.com ซึ่งไม่มีโปรแกรมแอนตี้ไวรัสที่ทดสอบได้ 46 ตัวระบุถึงปัญหา
เขาทำการทดสอบแอนตี้ไวรัสที่ได้รับความนิยมสูงสุด 9 รายการซ้ำบนเครื่องเสมือนในสภาพแวดล้อมจริง โดยที่แม้แต่โปรแกรมที่เป็นอันตรายที่รันอยู่แล้ว มีเพียง XNUMX รายการเท่านั้นที่ระบุว่าตรวจพบพฤติกรรมที่น่าสงสัย แม้ว่าแอนตี้ไวรัสสองตัวจะบล็อกการทำงาน แต่ก็ไม่สามารถระบุได้ว่าโค้ดที่เป็นอันตรายคืออะไร
ด้วยวิธีแก้ปัญหาขั้นสุดท้าย เขายังสามารถเลี่ยงผ่านไฟร์วอลล์ได้ ซึ่งพิสูจน์ให้เห็นว่าแอปพลิเคชันเหล่านี้ไม่ได้รับการปกป้องจากผู้ผลิตส่วนใหญ่เมื่อเทียบกัน
