Sikkerhedssoftwaren udfører dårligt i udnyttelsestest

Secunia har testet, hvor godt et dusin Internet Security-suiter kunne identificere, når en software sårbarhed blev udnyttet, og det var et dårligt arbejde at finde ud af, hvornår en computers software er under angreb. sagde Thomas Kristensen, Secunia's CTO.

Det er en anden tilgang fra, hvordan programmerne er bygget i dag. Sikkerhedssoftwaren har tendens til at fokusere på påvisning af ondsindet software, der ender på en pc, efter at en sårbarhed er udnyttet. Softwaren er opdateret med signaturer eller datafiler, der genkender visse ondsindede nyttelaster, der leveres til pc'ens udnyttelse.

[Yderligere læsning: Sådan fjernes malware fra din Windows-pc]

Der er en klar fordel ved fokusering på opdagelse af en udnyttelse i stedet for at forsvare sig mod utallige nyttelast, siger Kristensen. Udnyttelsen selv ændrer sig ikke og skal udnyttes på samme måde, at pc'en kan hackes.

Et utalligt antal nyttelast - lige fra tastetryk logger til botnet software - kunne implementeres under et angreb mod en sårbarhed.

Identifikation af udnyttelsen er ikke let arbejde, men Kristensen sagde. Versioner af programmet, der berøres af sårbarheden, skal analyseres før og efter en patch anvendes for at finde ud af, hvordan udnyttelsen virker.

For sin test udviklede Secunia sine egne arbejdsudnyttelser for kendte softwareproblemer. Af disse udnyttelser var 144 skadelige filer, såsom multimediefiler og kontorsdokumenter. De resterende 156 blev udnyttet i skadelige websider, der kigger efter browser og ActiveX sårbarheder, blandt andre.

Symantec kom ud på toppen, men selv da var resultaterne ikke fantastiske: selskabets Internet Security Suite 2009 opdagede 64 ud af 300 udnyttelser, eller 21,33 procent af prøvesættet.

Resultaterne blev så meget værre. BitDefenders Internet Security Suite 2009 build 12.0.10 kom i anden og opdagede 2,33 procent af prøvesættet. Trend Micros Internet Security 2008 havde samme detekteringshastighed som BitDefender, efterfulgt af McAfee's Internet Security Suite 2009 i tredje på 2 procent.

Kristensen advarede, at Secunia var klar over, at de fleste leverandører ikke er fokuseret på at opdage udnyttelser. Men det ville gavne sælgerne at begynde at skabe underskrifter til udnyttelse frem for blot nyttelast, da det kunne spare dem mere tid. Der er langt færre udbytter end nyttelast, siger han.

Leverandører som Symantec ser ud til at bevæge sig i den retning, da det har skabt signaturer til Microsoft-relaterede udbytter, siger Kristensen. "Vi ser ikke noget af de andre leverandører har noget der ligner det, "siger Kristensen.

I mellemtiden skal brugerne anvende software patches, så snart disse patches udgives. Hvis der er en forsinkelse mellem, hvornår en udnyttelse er offentlig og en patch udgivet, kan brugerne simpelthen undgå at bruge det pågældende program.

"For mange mennesker tror, ​​at de ikke har noget at bekymre sig om, hvis de kun har [antivirus software] Kristensen sagde. "Desværre er det bestemt ikke tilfældet."