A central de whitepapers de tecnologia da COMPUTERWORLD
Segurança
Softwares de segurança falham em detectar vulnerabilidades
Teste apontou baixo desempenho de softwares de segurança em detectar quando o PC está sendo atacado em alguma vulnerabilidade.
IDG News Service, Reino Unido
Softwares de segurança estão fazendo um trabalho ruim para detectar softwares que podem ser atacados, de acordo com o fornecedor de segurança dinamarquês Secunia.
A Secunia testou como aproximadamente uma dúzia de pacotes de aplicativos de segurança identificariam quando uma vulnerabilidade de software estivesse sendo explorada.
Esta é uma abordagem diferente de como os programas funcionam atualmente. Softwares de segurança são focados em detecção de programas maliciosos que vão para o PC depois que uma vulnerabilidade é explorada. O software é atualizado com novas assinaturas ou arquivos de dados que reconhecem certos programas maliciosos que são instalados no PC após uma vulnerabilidade de algum software ser explorada.
Há uma nítida vantagem em focar na detecção de explorações em vez de se defender contra os inúmeros programas que são baixados e instalados, disse Thomas Kristensen, CTO da Secunia. A vulnerabilidade em si não muda e precisa ser utilizada sempre da mesma forma para que o PC seja invadido.
Grande número de payloads - os programas maliciosos que são instalados no PC - poderiam ser desenvolvidos durante um ataque sobre a vulnerabilidade.
Indentificar um ataque, no entanto, não é fácil, disse Kristensen. Versões do programa afetadas pela vulnerabilidade podem ser analisadas antes e depois que uma correção é aplicada para descobrir como a exploração funciona.
Para o teste, a Secunia desenvolveu sua própria exploração que funcionasse em vulnerabilidades conhecidas. Dessas explorações, 144 foram com arquivos maliciosos, como arquivos multimídia e documentos do office. Os demais 156 foram explorações incorporadas em páginas maliciosas da web que procuram por navegadores com vulnerabilidades no ActiveX, dentre outras.
O pacote da Symantec ficou em primeiro lugar, mas seus resultados não foram tão bons assim: seu Internet Security Suite 2009 detectou 64 das 300 explorações. Ou seja, 21,33% da mostra.
Depois os resultados ficaram piores. O Internet Security Suite 2009, da BitDefender, detectou 2,33% das explorações. O Internet Security 2008, da Trend Micro empatou em segundo lugar, tendo o mesmo desempenho do software da BitDefender. O Internet Security Suite 2009 da McAfee ficou em terceiro, detectando apenas 2% das explorações.
Kristensen alertou que a maioria dos fornecedores não estão focados em detectar explorações. Mas isso beneficiaria fornecedores a começar a criar assinaturas para explorações ao invés de meramente payloads, desde que isso economizasse o tempo deles. Há bem menos explorações que payloads, disse ele.
Fornecedores como a Symantec parecem estar se movendo nesta direção, ao criar assinaturas para explorações, disse Kristensen. "Não vemos nenhum outro fornecedor fazendo nada parecido com isso", acrescentou.
Enquanto isso, usuários poderiam usar as correções de software assim que fossem lançadas. Se houvesse um atraso entre o momento em que a exploração se torna pública e o lançamento da correção, usuários podem simplesmente evitar de usar aquele programa em particular.
"Muitas pessoas pensam que não precisam se preocupar se têm um software antivírus. Infelizmente, não é o caso", completou Kristensen.
Cloud computing é difícil?
O ITBOARD materializa a nova plataforma de conversas do Século XXI. Concentra o diálogo sobre tecnologia e inovação movido a tweets de quem está imerso nesses assuntos. ENTRE NA CONVERSA
