Il software di sicurezza esegue scarsamente il test di exploit

Le suite software di sicurezza stanno facendo uno scarso lavoro di rilevamento quando il software di un PC è sotto attacco, secondo il rivenditore danese Secunia.

Secunia ha testato la possibilità di identificare una dozzina di suite di sicurezza Internet quando veniva sfruttata una vulnerabilità del software, ha detto Thomas Kristensen, CTO di Secunia.

Questo è un approccio diverso rispetto a come i programmi sono progettati oggi. Il software di sicurezza tende a concentrarsi sulla rilevazione di software dannoso che finisce su un PC dopo che una vulnerabilità è stata sfruttata. Il software viene aggiornato con firme, o file di dati, che riconoscono determinati payload dannosi che vengono consegnati al PC dopo l'exploit.

[Ulteriori letture: Come rimuovere malware dal PC Windows]

C'è un netto vantaggio nella messa a fuoco sulla rilevazione di un exploit piuttosto che sulla difesa da innumerevoli payload, ha detto Kristensen. L'exploit in sé non cambia e deve essere utilizzato allo stesso modo per hackerare il PC.

Un numero innumerevole di payload, che vanno dai logger di battitura a software botnet, potrebbe essere implementato durante un attacco contro una vulnerabilità.

Identificare l'exploit non è un lavoro facile, tuttavia, ha detto Kristensen. Le versioni del programma interessate dalla vulnerabilità devono essere analizzate prima e dopo l'applicazione di una patch per capire come funziona l'exploit.

Per il suo test, Secunia ha sviluppato i propri exploit di lavoro per vulnerabilità note del software. Di quegli exploit, 144 erano file dannosi, come file multimediali e documenti d'ufficio. I rimanenti 156 erano exploit incorporati in pagine Web dannose che cercavano, tra le altre, vulnerabilità del browser e di ActiveX.

Symantec era al top, ma anche in quel momento i suoi risultati non erano stellari: la Internet Security Suite 2009 della società rilevava 64 300 exploit, ovvero il 21,33% dell'insieme di campioni.

I risultati sono poi peggiorati. La versione 12.0.10 di Internet Security Suite 2009 di BitDefender è arrivata al secondo, rilevando il 2,33% del set di esempio. Internet Security 2008 di Trend Micro ha avuto lo stesso tasso di rilevamento di BitDefender, seguito da Internet Security Suite 2009 di McAfee al terzo al 2%.

Kristensen ha avvertito che Secunia era consapevole che la maggior parte dei fornitori non si concentra sul rilevamento degli exploit. Ma sarebbe vantaggioso per i produttori iniziare a creare firme per exploit piuttosto che semplici payload, dal momento che potrebbe risparmiare più tempo. Ci sono molti meno exploit rispetto ai payload, ha detto.

I fornitori come Symantec sembrano muoversi in quella direzione, dato che ha creato firme per exploit legati a Microsoft, ha detto Kristensen.

"Non stiamo vedendo nessuno dei gli altri vendor hanno qualcosa di simile a questo ", ha detto Kristensen.

Nel frattempo, gli utenti dovrebbero applicare patch software non appena queste patch vengono rilasciate. Se c'è un ritardo tra quando un exploit è pubblico e una patch rilasciata, gli utenti possono anche semplicemente evitare di utilizzare il particolare programma.

"Troppe persone pensano di non avere nulla di cui preoccuparsi se hanno solo [software antivirus]," Kristensen ha detto. "Sfortunatamente, questo non è assolutamente il caso."