חוקר אבטחה של גוגל: "יצרניות אנטי וירוס לא מסבירות מה בדיוק הן עושות, כך שאין דרך לבחון את הטענות שלהן"

טאביס אורמנדי, חוקר אבטחה בגוגל (Google), חשף במהלך כנס האבטחה בלאק האט (Black Hat) שנערך לאחרונה בלאס וגאס, את ליבת הפעולה של תוכנת האנטי וירוס שמציעה חברת האבטחה סופוס (Sophos). החוקר, שביצע את המחקר באופן עצמאי, ביצע תהליך של הנדסה לאחור במאמץ לחשוף פרטים על אופן הפעולה של המוצר, כשהוא משתמש בגרסה 9.5 של תוכנת האנטי וירוס לסביבת חלונות.

הנחת המחקר של אורמנדי הייתה שפרסום לא נכון של תכונות ומאפייני המוצר מצד יצרניות מוצרי אבטחה, או פרסום שאינו מספק לגבי הפרטים הנדרשים, למעשה מוליך את הלקוחות שולל.

"יצרניות אנטי וירוס לא מסבירות מה בדיוק הן עושות", אמר אורמנדי. "הן לא מפרסמות מפרטים טכניים, כך שאין כל דרך להבין באמת את הטענות שלהן, או בכלל לבחון אותן".

לפי החוקר, מאפיינים שאינם מיושמים היטב בתוכנת אנטי וירוס מרחיבים את משטח ההתקפה, וכדוגמה הוא הסביר כיצד החולשות הללו באות לידי ביטוי במנוע שכוללת סופוס במוצר שלה, תוך שהוא מציין שלא מדובר בפגיעות רגילה, אלא בדרך בה סופוס תכננה את הקוד ויישמה אותו כדי לקדם את התכונות שרצתה.

בין הבעיות בתכנון מנה אורמנדי את קובץ החתימות של המוצר ותיאר אותו כחלק שמסתמך יותר מדי על CRC32 (בדיקת יתירות מחזורית ב-32 סיביות לצורך איתור חריגות) וכן מגלה התאמות עם רצפי קוד לא רלוונטיים. בנוסף הוא בחן את מערכת ההגנה נגד הצפת החוצץ שמציעה סופוס כחלק מהמערכת למניעת חדירות למארח. הוא אמר שהבדיקה שלו העלתה שהיא עובדת רק בגרסאות של חלונות שקודמות לוויסטה ומיישמת הגנה חלשה בלבד נגד ניצול קבצי הרצה וכן תמיכה חלשה בלבד בהגנה מפני תוקפים.

בסופו של דבר, הוא סיכם, סופוס משתמשת בסכמת קידוד חלשה במוצריה, והיא מיושנת וניתנת כתוצאה מכך לפריצה. "סופוס ניסתה להסתיר את המפתח בתוך המוצר (עם סכמת הקידוד הזו)", הוא אמר. "פעולה הזו מפחיתה אותה לכדי סכמת האפלה. סופוס משתמש בהאפלה במקום בו קריפטוגרפיה אמיתית יכלה לעבוד".

בנוסף קבע אורמנדי שתוקף יכול לאתר או לעקוף את מנגנוני הדמיית הקוד הטבעי ושכן ניתן לחסום ולעקוף את השימוש ברשימה שחורה כחלק מהגנה מפני פישינג ותוכנות מרושעות.