摘要:作为端点安全重要组成部分的Sophos有限责任公司的反病毒引擎,最近受到了一名安全研究人员的密切关注和审查,他在2011年黑帽大会上揭示了审查结果,结果对该产品不利。 |
Ormandy表示,他在分析中发现,Sophos软件建立和匹配病毒特征使用的是弱或过时的加密方式,过多的依赖于混乱的安全(relies on obfuscation for security too often),而且在其他问题中无法理解某些开发技术。
Ormandy在演讲开始时解释道,反病毒产品使用户不用再不得不对他们的安全作出信任决定(keep users from having to make trust decisions about their security);但代价是攻击面增加了。他承认这是一个适当的交易,因为病毒感染需要迅速采取行动。但供应商们不会公布在他们的防毒产品技术规格,为了防止攻击者利用他们的产品。
“我做该项目的意图是提供Sophos反病毒产品缺失的技术规格,从而帮助实现更彻底的反病毒评价,”Ormandy说道,“这样,用户在想要实施反病毒技术时,关于是否应该使用这种产品就可以作出明智的决定。”
为了分析该产品的设计和实施,Ormandy对该产品进行了逆向工程;在他的谈话中,他并没有谈到漏洞。他发现的设计问题是使用弱加密散列函数,CRC32,他说这会影响对已知病毒匹配的签名的质量。他发现一些校验是无法进行的,琐碎的或与代码无关的,且非自动生成的签名质量很差,因为签名方案通常比较弱。