Немного об исследованиях, экплойтах и независимости - 27 Октября 2008 - tHR

Меню

Календарь

Статистика
	Ваш IP: 216.73.217.104 Вы используете: v Сейчас на сайте: Тех поддержка ->

Облако тэгов

ОС своя ОС своя операционная система видио сторона Обратная Tor антенна php эксплоит Windows Server 2008 QIP Virtual Limit chroot kernel proc Tune sysctl freeBSD mrtg Slackware Disk Bluetooth GEO game emulator Python Shell phpinfo Open vSwitch червь Conficker вирус троян лаборатория касперского пиратство Apple iPhone Microsoft twitter социальная сеть анонимность лицензия Open Source уязвимость MySQL база данных Закон Франция Пират Skype мобильный хакер trend micro кибератака Германия робот Персональные данные Ноутбук Интернет китай цензура windows vista Linux патент браузер Firefox Internet Explorer Opera Safari Intel Motorola патч Oracle Банкомат IBM США Dell контроль кибербезопасность приговор Mozilla Chrome безопасность Госдума СМИ Windows 8 взлом Пентагон Украина Facebook Cisco Windows XP нетбук торрент музыка Биометрический Nokia ФБР IP-адрес sms RSA java Google Captcha Symantec Спам Антивирус тест Windows 7 операционная система windows провайдер авторское право rapidshare UNIX свиной грипп шантаж Дети копирайт McAfee HTTPS icann студент Норвегия New York Times YouTube Warner Music КНДР БД Ubuntu ATI касперский Россия РФ сервер хостинг Wi-Fi суд пароль блог фишинг одноклассники Медведев контрафакт мошенник sony Universal Gps по Росгосстрах JavaScript Хакеры Yahoo фас компьютер софт Минкомсвязи Сбой Toshiba мошенничество Доктор ВЕб Вконтакте исходный код Прослушка МВД фильтр порнография свобода слова казахстан сисадмин Autodesk Gmail кредитная карта сомали LiveJournal шифрование банк Нанотехнологии wikipedia выборы DNS Android атака Mac OS X клик домен ФСБ прокуратура уголовное дело ICQ Visual Basic Sophos ошибка военные DARPA сайт турция конференция спамер Полиция Koobface Великобритания белоруссия Лукашенко Грузия Европа Билл Гейтс спецслужбы Royal Bank of Scotland смартфон F-Secure Symbian MSN трафик фильм Ватикан Новая Зеландия Дата-центр Adobe Австралия IDC Рамблер новости Internet Explorer 9 iPad VDI Ирландия поиск МТС Реклама слежка Office 2010 Zeus личные данные eset Будущее защита виртуализация dll Черный список BlackBerry льготы индия латвия Москва Голосование социальные сети flash player paypal BitDefender Winamp сертификат Молдавия Anonymous QIWI технологии наркотик OpenOffice облачный сервис Ассанж Северная Корея передача данных Оптоволокно арест Siemens Samsung Иск акция учетная запись XBOX LIVE Телевидение Президент исследование Cert Санкт-Петербург SOPA PIPA кража исправление тендер Megaupload Мобильный телефон hotfile отчет RIM приложение паспорт законодательство соглашение Инвестиции олимпийские игры платформа версия товарный знак роскомнадзор платежная система кабель sea

Главная » » Немного об исследованиях, экплойтах и независимости

10:10

Немного об исследованиях, экплойтах и независимости

Компания Secunia в погоне за клиентами своего сервиса анализа уязвимостей опубликовала очень интересный документ.

Суть исследования, призванного проанализировать насколько хорошо современные анти вирусные системы (точнее комплекты Internet Security, включающие Antivirus, Personal Firewall и Host Intrusion Prevention System) хорошо справляются с противодействием эксплуатации клиентских уязвимостей (client-side exploits).

Результаты показывают, что даже лучший продукт обнаружил только 21% экплойтов, в то время как следующий за ним продукт - менее трех.

Но не спешите делать выводы. Давайте вчитаемся в исследование внимательней.

В ходе сравнения использовались как "боевые" экплойты, так и код типа POC (proof-of-concept), не вызвавшие реального перехвата управления. Причем исследователи заявляют, что:

"However, if a security product can not detect a PoC it
also can not detect an exploit reliably."

Очень, очень спорное утверждение. Сигнатурный анализ (что зловредов, что экплойтов) это мертвое направление. Гораздо более эффективный метод, на который направлены современные технологии - поиск и предотвращение техник
и последствий эксплуатации, которых гораздо меньше. Что многие современные HIPS делают достаточно эффективно.
Еще один интересный момент - около половины экплойтов анализировались в статике.

Цитирую:

"1. The first group consisted of 144 malicious files (e.g. .gif, .bmp, .mov, and office documents).
....
1. The malicious files were first tested by unpacking a ZIP archive containing the files in order to test
the efficiency of real-time access scanning.
2. Then the folder was scanned manually to ensure that all files were scanned, regardless of any policy
limitations on the real-time scanning."

Т.е. реальной эксплуатации для половины тестов не проводилось. Экплойт не запускался. Это значит, что тестировались сигнатурные возможности. А распространенные техники защиты от эксплуатации уязвимостей, такие как ret-control, маркирование и контроль системных функций средствами защиты не были задействованы в половине случаев (144 из 156).

Таким образом, этот тест можно назвать тестом сигнатур по обнаружению экслойтов, но никак не тестом современных AV/HIPS по противодействию эксплуатации клиентских уязвимостей.

Адекватное тестирование подобного рода должно основываться на боевых экплойтах (причем для одной уязвимости желательно использовать несколько методов экплуатации, если возможно), и подтверждением срабатывания/несрабатывания должна являться только успешная/не успешная эксплуатация. Запустился файл - calc.exe - значит пропустили. В обратном случае - извините.

По нашему опыту тестов на проникновение, до 60% новых экплойтов блокируются системами типа Internet Security. Даже при использовании специальных методов обхода этих средств, ориентированных на конкретную реализацию системы защиты. Причем зачастую просто не существует возможности изменить подход к эксплуатации, поскольку он тесно связан с природой уязвимости.

Естественно, каждую защиту можно обойти, но не так просто. И не всегда.

Оригинал исследования:
http://secunia.com/gfx/Secunia_Exploit-vs-AV_test-Oct-2008.pdf