`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Игорь Дериев

Все защитное ПО уязвимо?

+810
голосов

О безопасности сегодня не пишет только ленивый. А мы могли бы поддерживать нашу ленту новостей почти исключительно за счет компаний-разработчиков антивирусов. Но есть такие события, о которых действительно нужно трубить на каждом углу.

Несколько лет назад я лично видел случаи, когда какое-то злоумышленное ПО отключало защитные механизмы антивируса, и тем самым не только могло преспокойно исполняться, но и максимально затрудняло последующее лечение системы. Затем в моду вошла «самозащита» антивирусов, методы HIPS, поведенческий контроль и пр., и проблема вроде бы сошла на нет. Однако участники проекта matousec.com утверждают обратное, более того, по их мнению, практически все современное защитное ПО уязвимо к специфическим атакам.

Генеральная идея основывается на возможности подмены определенных параметров злоумышленного ПО (причем, непривилегированного, выполняющегося в пользовательском режиме) в моменты приостановки проверяющей процедуры, до того, как управление будет передано стандартному системному обработчику – за счет этого, к примеру, все же удается загрузить опасный драйвер или остановить нужный процесс, далее дело только за фантазией. Подробности – в первоисточнике.

Даже из этого краткого описания понятно, что предложенный метод не дает гарантированных результатов (из-за слабо предсказуемой последовательности действий системного планировщика), хотя вероятность его срабатывания существенно повышается при использовании многоядерных процессоров, где программные процессы действительно выполняются параллельно. Тем не менее, в тесте, проведенном matousec.com, многое ПО «ломалось» буквально с первой попытки. А ведь это были современные комплексные пакеты! Их список можно найти по указанной выше ссылке, однако отсутствие в нем конкретного ПО вовсе не свидетельствует о его надежности, скорее всего, исследователи до него просто не добрались.

Конечно, свое слово еще должны сказать эксперты, лучше меня разбирающиеся в системном программировании для Windows, но пока что все выглядит очень правдоподобно, да и нет повода не доверять matousec.com – все их прежние результаты (в первую очередь, в области тестов-утечек для персональных брандмауэров) и открытия соответствовали действительности. Во всяком случае, дыма без огня не бывает, и теперь важно понять, что случится первым: массовое обновление пользовательского защитного ПО или появление нового класса злоумышленных программ.

+810
голосов

Напечатать Отправить другу

Читайте также

Конечно уязвимо и для обеспечения более менее высокого уровня безопасности в современных услових приходиться пользоваться теми ОС, в которых развитие вирусов затруднено + еще возможно иметь не стандартный процессор, для которого программы надо перекомпилировать, вот тогда точно можно быть уверенным что вирусы не пройдут. А защитное ПО, похоже на средство самоуспокоения...

Даже не ясно, радоваться или нет: в списке используемого мною антивируса от Microsoft нет. То ли не тестировали, то ли не смогли поламать...

насколько я понял, проверяются пакеты, заведомо обладающие какой-то самозащитой или механизмами HIPS. к Windows Security Essentials это не относится, его процессы (сначала GUI, потом движок) могут быть выгружены из памяти без всякого оповещения пользователя. только что специально это проверил с помощью банального bat-файла. правда, для выгрузки движка требуются административные полномочия, но авторы исследования утверждают, что умеют обходить защиту от имени непривилегированной учетной записи :(

Игорь, вот официальный ответ Microsoft насчет угроз:

• Microsoft Security Essentials and Forefront Client Security do not rely on SSDT hooking or Kernel tampering and are not susceptible to the issue described by researchers at Matousec.
• Microsoft’s real-time protection is built using the file system’s mini-filter driver model which properly validates user mode parameters, synchronizes scanning, and allows us to ensure we are examining the actual content that is being loaded for execution.

и обойти защиту без админских прав (т.е. если ты заботаешь именно как юзер с включенным UAC) не получится.

буду только рад, если так оно и есть :)

и кстати, GUI-то ведь выгружается не-админом.
интересно понять, как себя ведет в этом случае движок, ожидая реакции пользователя?

На самом деле мне интересно другое. Игорь, неужели люди не могут понять, что в списке мер по защите от вирусов, антивирусное ПО давно уже занимает не первое место? Давно пора понимать, что должно быть следующее:
1. Настроены обновления не только ОС, но и прикладного ПО
2. Пользователи должны выполняь ряд простейших мер, уже неоднократно описанных
3. Браузер настроен соответствующим образом
4. Ну и, естественно, работать без прав администратора.
На самом деле список этот можно продолжать и продолжать! А уж потом, где-то в качестве одной из мер, и, еще раз повторю, далеко не самой важной, должен быть антивирус!

Microsoft Security Trusted Adviser
MVP Consumer Security

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT