16.08.2012 | 21:05

Adam Haertle

Czy Twój antywirus radzi sobie z protokołem HTTPS?

Kiedyś wirusy rozmnażały się przez dyskietki. Potem nadszedł czas otwartych portów i podatnych usług. Dzisiaj większość ataków następuje poprzez zainfekowane strony www, tymczasem spora część antywirusów nie radzi sobie z analizą ruchu HTTPS.

Chyba wszystkie popularne pakiety antywirusowe posiadają funkcjonalność monitorowania ruchu www pod kątem możliwych ataków wirusowych. Jak wykazali jednak badacze z firmy NSS Labs, wykrywanie wirusów w protokole HTTP nie zawsze oznacza, ze ten sam antywirus zauważy próbę infekcji przesłaną protokołem HTTPS. Na 13 przetestowanych antywirusów, 7 miało poważny problem z rozpoznawaniem części prób infekcji.

Weźmy 4 nowe exploity…

Badacze NSS Labs zaczęli od przygotowania czterech nowych exploitów. Dwa z nich oparte były o błąd CVE-2012-1875 (nieprawidłowa obsługa obiektów w IE8) a dwa o CVE-2012-1889 (błędy w XML Core Services). Z każdej pary exploitów jeden uruchamiał kalkulator w zaatakowanym systemie, a drugi otwierał zwrotne połączenie z dostępem do powłoki. Badacze nie użyli istniejących exploitów, lecz stworzyli własne, by lepiej zweryfikować możliwość prawidłowej identyfikacji zagrożeń przez programy antywirusowe.

I odwiedźmy je przez HTTP

Z 13 programów antywirusowych 8 rozpoznało wszystkie 4 exploity przesłane po HTTP: Avast, Kaspersky, McAfee, Trend, ESET, Norton, AVG i Avira. Z kolei F-Secure, Microsoft Security Essentials oraz CA rozpoznały połowę exploitów, a Norman i Panda jedynie po jednym.

A jeżeli przejdziemy na HTTPS…

Kiedy jednak badacze zaatakowali te same systemy z użyciem protkołu HTTPS, okazało się, że tylko cztery antywirusy rozpoznały wszystkie cztery exploity. Prawidłowo zadziałały Avast, Kaspersky, McAfee i Trend.

Najciekawsze jednak były wyniki AVG, Aviry, F-Secure, Microsoft Security Essentials oraz CA, które po przejściu na HTTPS nie wykryły żadnego z exploitów wcześniej wykrywanych w protokole HTTP. Dodatkowo mniej exploitów wykryły ESET i Norton – połowa wykrytych w HTTP zniknęła z ich pola widzenia po zmianie protokołu. Norman i Panda nie miały problemów z HTTPS, jednak dalej wykrywały tylko po jednym exploicie.

Poniżej zamieszczamy podsumowanie wyników w formie graficznej.

Wyniki testów antywirusów (źródło: NSS Labs)

Podsumowanie

Okazuje się zatem, że na próbce testowej jedynie 4 z 13 testowanych antywirusów wykazały się 100% skutecznością. Co prawda autorzy badania podkreślają, że otrzymane wyniki wymagają dalszej analizy z użyciem większej ilości exploitów dla potwierdzenia zaobserwowanego trendu, lecz już dzisiaj użytkownicy innych programów niż zwycięskie Avast, Kaspersky, McAfee i Trend mogą podjąć działania zapewniające im większy poziom ochrony. Oprócz zmiany antywirusa, mogą zadbać o aktualność swoich przeglądarek i ich wtyczek a w środowiskach korporacyjnych zalecane jest dodatkowe stosowanie wielopoziomowej ochrony, opartej o więcej rozwiązań niż tylko platforma antywirusowa.

Powrót

Komentarze

Zostaw odpowiedź do Tom

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Czy Twój antywirus radzi sobie z protokołem HTTPS?

Komentarze