Todos nós estamos utilizando programas antivírus para proteger nossos dispositivos e os dados que eles têm. Contudo, são esses antivírus produtos protegidos? Quais são os produtos antivírus que são melhores a garantir sua própria proteção? Depois de todo o software de segurança também está sujeito a falhas. O Instituto laboratório alemão AV-Test apresentou recentemente um relatório mostrando como os fornecedores de produtos de segurança são, na verdade, protegendo-.
O que foi encontrado?
De acordo com o relatório de ensaio de AV-Test Institute, os melhores programas antivírus tem um erro em cada 2000 linhas de código. Contudo, um programa principal contém milhões de linhas de código, o que significa que a abundância de erros. Naturalmente, nem todo erro faz com que o programa antivírus vulnerável a malware, ainda alguns erros pode fazer isso.
Para o ataque para ter sucesso, programa da vítima deve executar o código malicioso. I alguns casos, os cibercriminosos deslizar o código no mascarando-o como dados, tornando a vítima para executá-lo. Em outros casos, os cibercriminosos manipular a pilha e as áreas de memória que são utilizados pelos programas de zonas como armazenamento temporário. Ainda noutras situações, eles atolar mais dados na zona de amortecimento do que a memória permite e, desta forma, obter um código arbitrário no espaço de memória do programa.
Tecnologias maduras
Os usuários podem aplicar duas tecnologias maduras que podem impedir que o malware de entrar no programa antivírus. A primeira é a Proteção de Execução de Dados, o que pode impedir a execução de código na área de memória marcada como a exploração dos dados. O segundo é o Address Space Layout Randomization, que embaralha todos os setores de memória que são usadas pelo programa. Desta forma, é impossível para o cibercriminoso para descobrir o sector que tem o código vulnerável.
Estes dois tecnologias maduras são usados pelo Windows e sua aplicação é muito fácil.
Metodologia de ensaio
Os pesquisadores do Instituto AV-Test fez um teste com base no 8 produtos orientados para negócios e 24 produtos de segurança orientadas para o consumidor. Para cada um dos produtos que eles enumeraram o arquivo executável, o controlador, o arquivo .sys, a biblioteca de vínculo dinâmico. Em seguida, eles se observou cada um dos módulos implementados Data Execution Protection, Address Space Layout Randomization, ou ambas as tecnologias. Os pesquisadores também avaliaram os produtos de 32 bits e os produtos de 64 bits separadamente.
Os resultados
Os resultados destes ensaios foram de uma vasta gama:
- O único produto de consumo que mostraram 100 % cobertura foi ESET, com Symantec sendo o único produto de negócios do mesmo nível.
- McAfee, Avira, G Data e AVG ofereceu proteção total em seus produtos de 64 bits usando ASLR e DEP. Ao mesmo tempo, os seus produtos de 32 bits mostrou 90 para 100 % proteção.
- eScan Internet Security Suite oferecido apenas 17.5 % proteção.
- Kingsoft Antivirus fornecida 19 % proteção, mas não se aplicava DEP em todos os seus produtos de 64 bits.
Os investigadores confirmar que, para que os mecanismos de protecção para ser ativado, o usuário tem que ligar o complier. Assim, surge uma questão - por que os fornecedores de ignorar a proteção? Descobriu-se que alguns dos vendedores estão usando bibliotecas de terceiros que não são cumpridas de segurança em. Outros usam a tecnologia de segurança proprietária que não é compatível com ASLR e DEP.
Proteção antivírus
Juntamente com o relatório de auto-protecção, Instituto AV-Test lançou o último relatório sobre, desempenho e também a usabilidade. De acordo com o relatório, Kaspersky mostrou os melhores resultados de 18 pontos, nenhuma mudança em relação ao último relatório. Ao mesmo tempo tem uma Avira 1.5 aumento de um ponto a partir do último relatório. Abaixo da tabela são ZoneAlarm e Vipre com 2.5 e pontos 8.5 pontos. Os pontos necessários para a certificação são 10.
Verificando os produtos de segurança para a sua auto-proteção foi importante, como a segurança vendedores tinham que entender que não pode operar sem DEP e ASLR.