وقتی نوبت به این پرسش میرسد که راه های امنیتی چقدر میتوانند از خودشان محافظت کنند، لابراتوار AV-TEST بسیار سختگیر می‌شود. به همین دلیل کارشناسان ۳۲ پکیج محافظتی را امتحان کرده اند برای اینکه بفهمند هرکدام چقدر تکنولوژی‌های حفاظت از خود از جمله ASLRو DEPرا گسترش میدهند. همچنین آزمایشگرها نگاهی به کانال های پخش و دیگر اهداف محافظتی داشته اند.
حالا برای سومین بار، کارشناسان AV-TEST شمار زیادی از اپلیکیشن‌های امنیتی موجود در بازار را در ارتباط با حفاظت از خود تِست کرده‌اند. تمرکز این آزمایش‌ها بر روی محافظت از فایل‌ها با ASLRو DEP بوده است. برنامه نویس‌ها می‌توانند به آسانی از این تکنولوژی‌های حفاظتی استفاده کنند و یا اینکه با بی پروایی فراموششان کنند. کانال‌های ایمن توزیعِ نسخه‌های آزمایشی، مورد دیگری بود که آزمایش شد تا بررسی شود آیا مهاجمان می‌توانند پکیج نرم افزار دستکاری شده‌ای را پخش کنند و یا نه. تکنولوژی بررسی اجباری و یکپارچه فایل‌ها، می‌تواند توسط گواهی‌ها از فایل‌های قابل اجرا محافظت کند. در این آزمایش، این معیار به خوبی ارزیابی شده است.

بسیاری از سازندگان، به سرعت یاد می‌گیرند
در نوامبر ۲۰۱۴، شوکی جدی به تولیدکنندگان وارد شد؛ در آن زمان یافته‌های اولیه بر اساس محافظت از خود آنتی ویروس‌ها با ASLR و DEP ارائه شد. نتایج به دست آمده برای برخی تولید کنندگان اصلا قابل قبول نبود. با این وجود تنها مورد آزمایش شده این بود که آیا تکنولوژی ASLRو DEP برای محافظت از فایل‌های اجرایی انتقال پذیر (PE)در ویندوزهای ۳۲ و ۶۴ بیتی مورد استفاده قرار می‌گیرد یا نه. این دو تکنولوژی رایگان و در دسترس، برای سازندگان آسان و به صرفه است و بر روی کارایی نرم افزار تاثیری ندارد. در سال۲۰۱۴ تنها ۲ سازنده این تکنولوژی ها را به طور ۱۰۰ درصدی توسعه داده بودند و کمترین مقدار در آن زمان، زیر ۲۰% بود. این آزمایش شوک آور، تاثیر داشت. زمانی که این تست در سال ۲۰۱۵ تکرار شد، آمارها به طرز قابل توجهی بهتر بود. زیرا در ۲۰۱۴ کمترین رقم که ۱۸.۷% بود و در انتهای جدول قرار داشت، در ۲۰۱۵ به طور ناگهانی به بالای ۹۵% رسیده بود.
آزمایش کنونی شمال ۱۹ پکیج امنیتی برای کاربران شخصی و ۱۳ راه برای کاربران شرکت های بزرگ می‌باشد.به طور کلی، ۱۶ مورد ۱۰۰% با ASLRو DEP از خودشان محافظت میکنند. سازندگان همچنین به سرعت یاد می‌گیرند. کارشناسان در مورد محصولات شخصی حتی انتظار پیشرفت بیشتری داشتند. این بار کمترین مقدار استفاده از ASLRو DEP برای محصولات انتهای جدول، ۳۶.۳% بود.
برخی کارپردازها پس از آخرین آزمایش‌ها به کارشناسان لابراتوار اطلاع دادند که فایل های تست شده محصولاتشان هرگز به ۱۰۰% نخواهد رسید زیرا آنها از تکنولوژی‌های محافظتی دیگری استفاده می‌کنند که با ASLRوDEP سازگار نمی‌باشند. این سازندگان هنوز نمیخواهند فاش کنند چه تکنولوژی هایی در اختیار دارند.

۱. تست امنیتی:

۱۶ مورد از ۳۲ راه امنیتی به طور ۱۰۰% از ASLRوDEP استفاده می‌کنند.
همانطور که گفته شد بسیاری از محصولات برای فایل‌های برنامه‌شان در ورژن‌های ۳۲ بیتی و ۶۴ بیتی از تکنولوژی
ASLR و DEP استفاده می‌کنند. در اینجا تفکیک دقیقی از محصولات کاربران شخصی و کاربران شرکت‌ها انجام شده است.
۱۹ راه امنیتی برای کاربران شخصی
پکیج های Avira، Bitdefender، ESET، F-Secure، Kaspersky Lab، MicroWorld، Symantecو Trend Micro بدون استثناء از تکنولوژی حفاظتی ASLRو DEPاستفاده می‌کنند. همچنین مواردی که تقریبا امتیاز کامل را به دست آورده اند عبارتند از:
BullGuard 99.6% ،G Data %98.8 ، AVG %97.2 و سازندگان دیگر از جمله Comodo، Emsisoft، Avast، McAfee، ThreatTrack، Quick Heal و K7به اندازه کافی از این تکنولوژی استفاده نمی‌کنند و میزان مصرفشان بین ۹۲.۲% تا ۵۸.۵% متفاوت است. Ahnlab با کمترین درصد توسعه دهندگی یعنی ۳۶.۳% باید به سرعت تلاش کند تا شرایط را جبران کند.

۱۳ راه امنیتی برای شرکت‌ها
در محصولاتی که منحصر به کاربران شرکتی است، سازندگان در استفاده از دو تکنولوژی ASLRو DEP بسیار ثابت قدم بوده اند. محصولات شرکت‌های AVG، Bitdefender، ESET، F-Secure، Kaspersky Lab و Symantec این تکنولوژی را به طور ۱۰۰% به کار می‌برند.
شرکت هایِ Trend Micro، McAfee، G Data و Sophosهمچنان باید محصولاتشان را بهبود و ارتقا ببخشند زیرا رقم آنها بین ۹۸.۱% تا ۹۹% است. توسعه دهندگانِ Seqrite جدا باید به سرعت خود را بالا بکشند و پیشرفت کنند چون درصد توسعه دهندگی اش ۷۷.۱% است که خیلی کم می‌باشد.

۲. تست امنیتی: آیا فایل های برنامه ای، امضا شده(تایید شده) هستند؟
تایید کردن فایل‌ها توسط گواهی، شاید برای برنامه نویسان روشی قدیمی و پیش پا افتاده باشد اما بسیار امن است. امضاها و گواهی‌ها برای فایل‌ها بسیار پر اهمیت می‌باشند چرا که به شناسایی سازندگان کمک به سزایی می‌کنند. فایل های امضا نشده همیشه شکاف‌های امنیتی بالقوه هستند زیرا یک نرم افزار به منظور حفاظت از خودش باید بتواند معتبر بودن و بی نقص بودن فایل هایش را بررسی کند. امضاهای دیجیتالی به همراه گواهی‌های معتبر و مقادیر هَش به این امر کمک می‌کنند. برای همین است که لابراتوار استفاده از گواهی‌ها و اعتبارشان را بر روی فایل‌های اجرایی انتقال پذیر تمام کاربران ۳۲ و ۶۴ بیتی مورد آزمایش قرار داده است. در این آزمایش‌ها روشن شد در مقابل برخی سازندگان که بسیار دقیق عمل می‌کنند، دیگران نیاز دارند تا گواهی فایل‌هایشان را مورد آزمون قرار بدهند.

گواهی‌های نرم افزار برای کاربران شخصی
سازندگان Bitdefender، Comodo، Emsisoft، ESET، G Data، Kaspersky Lab، McAfee و Symantec برای تمام فایل های اجرایی انتقال پذیر (PE) در ورژن های ۳۲ و ۶۴ بیتی،بدون استثنا از گواهی های معتبر استفاده می‌کنند. بسیاری از این سازندگان از همان دسته می‌باشند که از ASLR و DEP به طور ۱۰۰% بهره می‌برند. شرکت های Avira، F-Secure، BullGuard، MicroWorld، Ahnlab و AVG 1تا ۵ فایل امضا نشده دارند. برای شرکت های Trend Micro و Avastبه ترتیب ۶ و ۸ فایل امضا نشده در حال حاضر وجود دارد. محصولاتِ ThreatTrack و Quick Heal به ترتیب ۱۳ و حتی ۴۰ فایل آسیب پذیر در پکیج خود دارند.

گواهی‌های نرم افزار برای کاربران شرکت‌های بزرگ
زمانی که نوبت به راه‌های امنیتی تشکیلاتی می‌رسد، سطح تلاش برای فایل‌های امضا شده باید بیشتر باشد. از ۱۳ محصول ارزیابی شده، ۸ مورد فایل‌هایشان را به طور کامل امضا کرده بودن که عبارتند از:
در مورد Sophos، AVG، TrendMicro، Symantec، Kaspersky Lab، G Data، F-Secure، ESET و Bitdefender هنوز یک فایل امضا نشده باقی مانده است. در McAfee 4 فایل امضا نشده است و در Seqrite از ۲۵۶ فایل اجرایی انتقال پذیر، ۴۲ مورد امضا نشده است؛ یعنی ۱۶%.

۳. تست امنیتی: توزیع نرم افزار از طریق کانال های امن
زمانی که نرم افزارها از طریق وبسایت‌های سازنده توزیع میشوند، باید از پروتکل امن وب یعنی HTTPS استفاده کنند. حتی اگر از پروتکل امنی استفاده نشود، مرورگرهایی مثل کروم با فونت قرمز در نوار URL به کاربران هشدار می‌دهند. زیرا این تنها راه تضمین کردن یک ارتباط امن با سرور می‌باشد.
HTTP امکان حمله‌ی مرد میانی را مهیا می‌کند و به این ترتیب حتی دانلودها دستکاری می‌شود و ممکن است یک فایل نصب جعلی بر روی وبسایت بازدید کننده اجرا شود. اغلب کاربران به این مورد توجه نمی‌کنند. اگر کاربران فایل دستکاری شده را اجرا کنند، فایل امضا شده نیست و ویندوز آن را نشان می‌دهد اما چه کسی ممکن است به نصب اپلیکیشن امنیتی شک کند؟

درحالیکه به ندرت دانلود مستقیم برای راه‌های امنیتی وجود دارد، تقریبا همه سازندگان نسخه‌های آزمایشی را برای کاربران شخصی عرضه می‌کنند. نتیجه‌ی این ارزیابی ها هوشیار کننده است: ۱۳ مورد از ۱۹ سازنده، نسخه ی آزمایشی را از طریق پروتکل نا امن HTTP عرضه می‌کنند. فقط Avira، Bitdefender، ESET، F-Secure، G Data و Kaspersky Lab از پروتکل امن HTTPS استفاده می‌کنند.

الگوها باید نمونه ی بهتری ایجاد کنند
در تمام کمپانی‌ها، سازندگان نرم افزارهای امنیتی باید تمام فرصت‌ها را به کار بگیرند تا محصولاتشان را ایمن کنند. آن ها نقش الگو را در این صنعت ایفا می‌کنند. برخی حقیقتا به این کارآمدی هستند که از تکنولوژی ASLR & DEP به طور ۱۰۰% استفاده می‌کنند و تمام فایل های اجرایی انتقال پذیر را با گواهی های معتبر امضا می‌کنند و دانلودی امن را عرضه می‌کنند.
برای بسیاری دیگر فقط یک بیت تلاش بیشتر نیاز است تا به بهترین شکل عمل کنند. این نباید برای آنها سخت باشد و قطعا نیست.
AV-TEST به زودی این موارد را دوباره ارزیابی خواهد کرد.

آیا نرم افزارهای امنیتی، کامپیوترهای شخصی را ناامن می کنند؟
آزمایشها نشان میدهد که برخی سازندگان با رضایت نرم افزار خود را در جهت شکافهای امنیتی بالقوه ضعیف میکنند. اما قرار دادن این امر به عنوان دلیلی برای استفاده نکردن از تمام حفاظتها پیامدهایی جدی به دنبال دارد.
یافتهها این اظهار کارشناسان را تصدیق میکنند که گفته اند آنتی ویروسها خودشان شکافهای امنیتی بالقوه ای دارند. گرچه این کارشناسان گاهی آنقد ادامه می‌دهند تا به این می‌رسند که ممکن است به راحتی هر نرم افزار امنیتی را نادیده بگیرند و البته این یاوه گوییِ محض است.
مسلما به بعضی سازندگان انتقاد وارد است که چرا توانایی استفاده از اساسی ترین مکانیسم حفاظتی یعنی ASLR & DEP را ندارند. در صدر همه‌شان، کمپانی هایی از جمله Comodo، Emsisoft، Avast، McAfee، ThreatTrack Quick Heal، K7، Ahnlab Seqrite قرار دارد. استفاده از این راه های حفاظتی واقعا ساده است و همانطور که آزمایش ها نشان دادند، رقبا حقیقتا به خوبی از آن استفاده می‌کنند. همچنین بسیاری از کمپانی‌های فوق الذکر، وقتی نوبت به دومین گام اساسی در محافظت یعنی امضا کردن فایل ها می‌رسد،شکست می‌خورند. اینکه فایل های معینی امضا نشده اند و یا با گواهی نامعتبر امضا شده اند گیج کننده است اما در حقیقت اکثر آنان امضا شده اند. ممکن است این امر بیخیالی نامیده شود. این حقیقت که بسیاری از سازندگان، ورژن‌های آزمایشی را از طریق پروتکل ناامن وب یعنی HTTP عرضه می‌کنند مزید بر علت می‌شود و باعث می‌شود که منتقدان مخالفت‌های بیشتری در مقابل نرم افزارهای امنیتی نشان بدهند.
همانطور که آزمایش‌های مداوم در ارتباط با سودمندی حفاظت، ثابت می‌کنند، سازندگان بر شغل حقیقی خودشان تسلط دارند و کارشان را به خوبی انجام می‌دهند. پکیج‌های امنیتی به خوبی کار می‌کنند و بیشترشان امتیاز بالایی در شناسایی خطر دارند و تنها درصد بسیار کمی از تهدیدات را از دست می‌دهند. اما این کافی نیست. لفظِ “پکیج امنیتی” به معنای صرفا عرضه کردن تعداد زیادی ماژول در محصول نیست. برخی سازندگان هنوز درک نکرده اند که یک پکیج امنیتی باید چندجانبه باشد؛ یعنی بهترین امنیت برای کاربر از طریق حفاظت بی وقفه. و این مورد مدتی است که با دانلود کردن نسخه‌های آزمایشی از سرور های امن آغاز شده است.

 

محافظت از خود از طریق ASLR & DEP در نر افزار کاربران شخصی: بیشتر سازندگان موفق شده اند که بهتر از فایل‌های خودشان محافظت کنند؛ اما نه همه آنها.

 

 

محافظت از خود از طریق ASLR & DEP در نرم افزار های شرکتی: فقط Seqrite بهانه به دست منتقدان داده است. دیگر سازندگان به خوبی محافظت شده اند.

 

ارقام مجزا و مقایسه تطبیقی در پکیج های کاربران شخصی: در مقایسه بین سال های ۲۰۱۴و۲۰۱۵ و ۲۰۱۷ ارتقایی کلی مشهود است.

 

ارقام مجزا و مقایسه تطبیقی در پکیج های کاربران شرکتی: اغلب سازندگان عملکرد عالی داشتند. فقط Seqrite باید به سرعت جبران کند و خودش را بالا بکشد.

 

فایل های امضا شده در نرم افزار کاربران شخصی: بسیاری از فایلهای امنیتی، خطرات امنیتی هستند اما به ندرت وجود دارند به جز در نرم افزارِ Quick Heal

 

فایل های امضا شده در نرم افزار کاربران شرکتی: فایل های امضا نشده تقریبا دیگر پیدا نمیشوند به جز در Seqrite که استثناء است.

 

چه کسی دانلود های امن عرضه میکند: بسیار قابل تامل است که بسیاری از شرکت ها، نسخه آزمایشی را به جای HTTPS، از طریق پروتکل ناامنِ HTTP عرضه میکنند.

 

 

منبع: https://www.av-test.org/en/news/news-single-view/32-products-put-to-the-test-how-good-is-antivirus-software-at-protecting-itself

0 پاسخ

دیدگاه خود را ثبت کنید

تمایل دارید در گفتگوها شرکت کنید؟
در گفتگو ها شرکت کنید.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *