| 摘要:安全软件就是用来防护用户免受恶意软件和其他在线威胁的侵害的。大多数普通用户总觉得如果电脑上不装上一套,就跟裸奔一样心惊胆颤。因此,防病毒软件几乎人手一份。 |
安全软件就是用来防护用户免受恶意软件和其他在线威胁的侵害的。大多数普通用户总觉得如果电脑上不装上一套,就跟裸奔一样心惊胆颤。因此,防病毒软件几乎人手一份。
道理是这个道理,但很可惜,大多数防病毒工具的实际表现是令人失望的。安全软件也是软件,所有计算机程序都无法避免漏洞或者其他缺陷,达不到其宣称的功能简直太正常不过,防病毒(AV)软件也不例外。
安全牛之前曾有过多次“安全产品不安全”的报道,几乎所有你能叫得出名字的大型AV厂商的产品都出过这样或那样的问题。甚至有人专门从事AV产品的漏洞挖掘研究,比如谷歌“零计划”(Project Zero)研究员塔维斯·奥曼迪。
他在职业生涯中披露了数十几此类问题。仅在今年2月,他就分别在Avast的SafeZone和Malwarebytes产品中发现了问题。前者是一个密码相关的漏洞,后者的中间人攻击漏洞也没逃过他的法眼。更甚者,他在最近发现Comodo远程桌面工具GeekBuddy竟然可以无需身份验证就能拥有完全管理权限。说直白点,就是任何人都能以“IP:端口”这样的简单形式连接用户的计算机。
实际上,AV产品或解决方案中的安全问题已经是整个防病毒行业的共性问题,但丝毫未妨碍通过一些权威的AV认证。
就拿Comodo来说吧,该公司的产品在被威瑞森认定为“信息安全测试中表现杰出”的时候,此产品经历着数百起关键内存崩溃的问题投诉。更不可理喻的是,Comodo的默认安装留下一个弱身份验证的虚拟网络计算(VNC)服务器,默认安装的浏览器禁用同源策略,扫描过程没开启随机地址空间布局(ASLR),而且其产品全部使用的是访问控制列表(ACLs)。
如此漏洞百出的AV解决方案,怎么还能“表现杰出”?是不是鉴定认证方法或标准出了问题?
威瑞森的鉴定方法,部分是建立在一套陈旧的诸如“带有启动和禁用恶意软件检测的管理功能”、“在按需测试中表现出恶意软件检测能力”等标准基础之上的。但这种测试标准有意义吗?
依据这套标准,防病毒厂商稍做努力几乎都会通过的。而且威瑞森的古董级鉴定方法还只是问题的一小部分,更大的问题在于,基于特征码的安全软件无法检测新兴恶意软件。实际上,在安全公司Damballa《2015感染态势报告》中,就已经揭示出:大多数著名防病毒解决方案都在第一小时内漏掉了70%的恶意软件。
正是此类对著名安全厂商的实际能力的披露,以及对个人工具一直存在漏洞的曝光,让一些人开始怀疑:依靠防病毒软件是否实际上在让用户变得不安全。如果防病毒行业想重振雄风,基于特征码的检测方式必须要改。一个可能的前进方向,是采用协议特定的深度数据包检测(DPI),来扫描用户电子邮件和其他数字通信中的威胁。还可以借鉴安全开发生命周期,包括动态分析、模糊测试、攻击面审查等,实际检验AV产品的认证申请人应对当今现实威胁的能力。
或许改善安全行业现状的第一步,就是确保这些鉴定、认证能真正检测出有价值的东西出来。
责任编辑:DJ编辑
评论表单加载中...
