La società danese silura i software evidenziando gli scarsi risultati raggiunti nella rilevazione degli exploit. La replica di Panda: “sarebbe come dire di voler provare l’ABS di un’autovettura gettandola da un precipizio di 200 metri”.
Secunia ha analizzato dodici suite per la sicurezza con lo scopo di verificarne le abilità nell’individuazione di codici exploit in grado di sfruttare vulnerabilità conosciute del sistema operativo e di molte applicazioni note. I software “antivirus” hanno da sempre evidenziato, secondo Secunia, scarsi risultati in fase di rilevamento di attacchi exploit. Il comportamento è in un certo senso da considerarsi giustificato in quanto l’appellativo “antivirus” pone un limite ben definito al tipo di difesa che viene garantito. E’ per questo, come spiegano da Secunia, che si è deciso di mettere sotto esame le più complete suite per la sicurezza oggi disponibili sul mercato.
La metodologia di test
Il test di Secunia è stato condotto su un sistema Windows XP SP2 sprovvisto di alcune patch di sicurezza e sul quale sono state installate versioni vulnerabili, quindi non aggiornate, di alcune applicazioni. La sola suite ZoneAlarm è stata installata su un sistema Windows XP SP3 a causa di problemi di compatibilità con il precedente Service Pack.
La prova pratica è stata suddivisa in due fasi distinte: nella prima, si è tentato di aprire file 144 “maligni” nei formati più comuni (documenti ed immagini); nella seconda i tecnici di Secunia hanno visitato 156 pagine web dannose in grado di sfruttare vulnerabilità conclamate del browser o di componenti ActiveX.
I risultati sono stati globalmente molto negativi. Stando alle conclusioni del test di Secunia, i vari produttori di suite per la sicurezza ancora non avrebbero seriamente preso a cuore il problema delle vulnerabilità software. La cattiva abitudine degli utenti di non installare tempestivamente gli aggiornamenti di sicurezza rilasciati dai vari produttori software combinata con la scarsa abilità delle suite per la sicurezza nel rilevare simili problematiche, può esporre l’utente – sempre secondo la società danese – a gravi rischi.
E’ apprezzabile lo sforzo di alcuni produttori nell’inserire, nei propri prodotti, strumenti che si occupano di effettuare una scansione dell’intero sistema alla ricerca di applicazioni non aggiornate e quindi vulnerabili (similmente a quanto fa Secunia PSI). Purtuttavia, secondo Secunia, quest’approccio non sarebbe sufficiente.
Per la cronaca, la prova comparativa di Secunia ha riguardato le seguenti suite per la sicurezza: McAfee Internet Security Suite 2009, Norton Internet Security 2009, Windows Live OneCare, ZoneAlarm Security Suite 8, AVG Internet Security 8.0, CA Internet Security Suite 2008, F-secure Internet Security 2009, TrendMicro Internet Security 2008, BitDefender Internet Security Suite 2009, Panda Internet Security 2009, Kaspersky Internet Security 2009 e Norman Security Suite 7.10. La soluzione di Symantec – Norton Internet Security 2009 – ha guadagnato la palma d’oro con un risultato però che Secunia definisce molto modesto (individuati solamente 64 su 300 exploit).
Le critiche e le osservazioni
Ovviamente, non sono mancate le critiche alla metodologia usata da Secunia. In particolare, Pedro Bustamante di Panda commenta sul blog aziendale il risultato della prova con riflessioni taglienti
“Quando si effettua un test con gli exploit uno degli aspetti molto importanti da tenere presente è che le suite per la sicurezza non si affidano esclusivamente all’uso delle “tradizionali” firme virali“, ha osservato Bustamante che continua: “il test di Secunia ha preso in considerazione solamente la scansione manuale di 144 codici exploit inattivi.” Ed è proprio sul termine “inattivi” che Bustamante si sofferma: “sarebbe come dire di voler provare l’ABS di un’autovettura gettandola da un precipizio di 200 metri.”
E chiarisce che se viene testato soltanto il comportamento di un’unica difesa di un prodotto software contro i codici exploit – difesa che per inciso non è espressamente concepita per contrastare gli exploit – è altamente probabile che i risultati ottenuti siano fuorvianti.
Sopratutto, spiega Bustamante, se il test non prende in considerazione le altre difese concepite invece per contrastare gli attacchi da codice exploit.
Secondo Bustamante, inoltre, Secunia avrebbe completamente tralasciato di testare le funzionalità di analisi comportamentale, euristica, policy di sicurezza, rilevamento delle vulnerabilità software che molti prodotti presi in esame invece integrano.
Bustamante allega alle sue riflessioni una lunga lista di exploit che Panda è risultato perfettamente in grado di rilevare mentre invece Secunia ne aveva riportato la mancata individuazione.
Abbiamo chiesto anche il parere di Marco Giuliani, Prevx Malware Analyst, in merito al test condotto da Secunia.”Se, concettualmente parlando, il test svolto da Secunia è particolarmente interessante e pone l’accento su quesiti importanti, le procedure di svolgimento della prova lasciano parecchi dubbi“, ha dichiarato Giuliani. “Ciò che Secunia ha tentato di dimostrare è che la maggior parte dei software di sicurezza non previene exploit individuandoli attraverso signature, ma questo è sbagliato. Individuare un exploit per mezzo di firme virali è in molti casi senza senso, oneroso in termini di utilizzo di risorse di sistema e impreciso.“
Giuliani spiega come, in realtà, l’individuazione di nuovi exploit riesca molto più facilmente attraverso un’analisi dinamica che permetta di isolare l’eventuale codice malevolo in maniera più chiara.
Com’è noto, gli exploit spesso sfruttano una vulnerabilità di un prodotto.
Ad esempio, un exploit per Microsoft Word potrebbe sfruttare una vulnerabilità nella gestione di alcuni parametri di un documento Word. “Ma individuare la vulnerabilità semplicemente attraverso firme virali potrebbe causare un numero di falsi positivi a causa di documenti corrotti o malformati senza volontà di essere nocivi“, sottolinea Giuliani. “Di fatto, basare la prevenzione e l’individuazione di exploit solo su firme virali può essere altamente rischioso, non che come già detto inutile“.
