安全軟件就是用來防護用戶免受惡意軟件和其他在線威脅的侵害的。大多數普通用戶總覺得如果電腦上不裝上一套,就跟裸奔一樣心驚膽顫。因此,防病毒軟件幾乎人手一份。
道理是這個道理,但很可惜,大多數防病毒工具的實際表現是令人失望的。安全軟件也是軟件,所有計算機程序都無法避免漏洞或者其他缺陷,達不到其宣稱的功能簡直太正常不過,防病毒(AV)軟件也不例外。
安全牛之前曾有過多次“安全產品不安全”的報道,幾乎所有你能叫得出名字的大型AV廠商的產品都出過這樣或那樣的問題。甚至有人專門從事AV產品的漏洞挖掘研究,比如谷歌“零計劃”(Project Zero)研究員塔維斯·奧曼迪。
他在職業生涯中披露了數十幾此類問題。僅在今年2月,他就分別在Avast的SafeZone和Malwarebytes產品中發現了問題。前者是一個密碼相關的漏洞,后者的中間人攻擊漏洞也沒逃過他的法眼。更甚者,他在最近發現Comodo遠程桌面工具GeekBuddy竟然可以無需身份驗證就能擁有完全管理權限。說直白點,就是任何人都能以“IP:端口”這樣的簡單形式連接用戶的計算機。
實際上,AV產品或解決方案中的安全問題已經是整個防病毒行業的共性問題,但絲毫未妨礙通過一些權威的AV認證。
就拿Comodo來說吧,該公司的產品在被威瑞森認定為“信息安全測試中表現杰出”的時候,此產品經歷著數百起關鍵內存崩潰的問題投訴。更不可理喻的是,Comodo的默認安裝留下一個弱身份驗證的虛擬網絡計算(VNC)服務器,默認安裝的瀏覽器禁用同源策略,掃描過程沒開啟隨機地址空間布局(ASLR),而且其產品全部使用的是訪問控制列表(ACLs)。
如此漏洞百出的AV解決方案,怎么還能“表現杰出”?是不是鑒定認證方法或標準出了問題?
威瑞森的鑒定方法,部分是建立在一套陳舊的諸如“帶有啟動和禁用惡意軟件檢測的管理功能”、“在按需測試中表現出惡意軟件檢測能力”等標準基礎之上的。但這種測試標準有意義嗎?
依據這套標準,防病毒廠商稍做努力幾乎都會通過的。而且威瑞森的古董級鑒定方法還只是問題的一小部分,更大的問題在于,基于特征碼的安全軟件無法檢測新興惡意軟件。實際上,在安全公司Damballa《2015感染態勢報告》中,就已經揭示出:大多數著名防病毒解決方案都在第一小時內漏掉了70%的惡意軟件。
正是此類對著名安全廠商的實際能力的披露,以及對個人工具一直存在漏洞的曝光,讓一些人開始懷疑:依靠防病毒軟件是否實際上在讓用戶變得不安全。如果防病毒行業想重振雄風,基于特征碼的檢測方式必須要改。一個可能的前進方向,是采用協議特定的深度數據包檢測(DPI),來掃描用戶電子郵件和其他數字通信中的威脅。還可以借鑒安全開發生命周期,包括動態分析、模糊測試、攻擊面審查等,實際檢驗AV產品的認證申請人應對當今現實威脅的能力。
或許改善安全行業現狀的第一步,就是確保這些鑒定、認證能真正檢測出有價值的東西出來。
京公網安備 11010502049343號