ビデオ: 相対性理論/おはようオーパーツ カバー (十一月 2024)
データとデバイスを保護するためにウイルス対策またはセキュリティスイートに依存していますが、それ自体をどの程度保護していますか? セキュリティソフトウェアは単なるソフトウェアであり、他の種類のプログラムと同様に欠陥があります。 コーダーは、ソフトウェアの欠陥が攻撃を悪用するためにプログラムを開かないことを確認するために、いくつかの簡単な手順を踏むことができます。 ただし、ドイツのラボAV-Test Instituteからの最新のレポートは、セキュリティベンダーが製品を直接攻撃に対してどれだけ適切に装甲しているかを示しています。
簡単なソリューション
AV-Testのレポートによると、最高のプログラムでは2, 000行のコードごとに1つのエラーしかありません。 問題は、主要なプログラムには数千行ではなく数百万行のコードが含まれることです。 それは多くのエラーです。 すべてのエラーがプログラムを開いてマルウェアに攻撃するわけではありませんが、一部のエラーは攻撃します。
攻撃に成功するには、悪用により被害者プログラムに悪意のあるコードを実行させる必要があります。 これを行うには、コードをデータとしてスリップし、被害者に強制的に実行させます。 他のプログラムは、一時的な保存のためにプログラムが使用するメモリ領域であるスタックまたはヒープを操作します。 実際のメモリが許容するよりも多くのデータをバッファに詰め込むことは、プログラムのメモリ空間に任意のコードを取り込む別の方法です。
多くのエクスプロイトを阻止できる2つの成熟したテクノロジーが存在します。 データ実行保護(DEP)は、データを保持しているとマークされているメモリ領域でのコード実行を単に防止します。 それだけで、エクスプロイトのエントリポイントが1つ削除されます。
名前が示すとおり、アドレス空間レイアウトランダム化(ASLR)は、プログラムが使用するメモリセクターをシャッフルするため、攻撃者は脆弱なコードを保持しているセクターの場所を予測できません。 どちらの手法もWindows自体で広く使用されています。 最近のほとんどのコンパイラでは、これらの保護技術のそれぞれを実装することは、スイッチを切り替えるのと同じくらい簡単です。
試験方法
AV-Testの研究者は、24の消費者側セキュリティ製品と8つのビジネス向け製品を収集しました。 各製品について、彼らは簡単な国勢調査を実施しました。 彼らは、アプリケーションに関連付けられたすべての実行可能ファイル、ダイナミックリンクライブラリ、ドライバー、および.sysファイルを列挙し、各モジュールがDEP、ASLR、またはその両方を実装しているかどうかを記録しました。 32ビット製品と64ビット製品を別々に評価しました。
私が述べたように、結果は広範囲をカバーしました。 ESETは、100%のカバレッジを持つ唯一の消費者向け製品でした。 シマンテックは、そのレベルで唯一のビジネス製品でした。 Avira、G Data、McAfee、およびAVGは、64ビット製品をDEPおよびASLRで完全に保護します。 ただし、32ビット版のカバレッジは90パーセントから100パーセントの範囲でした。
スペクトルのもう一方の端では、eScan Internet Security Suiteの平均カバレッジはわずか17.5%でした。 Kingsoft Antivirusは平均19パーセントを管理しましたが、64ビット製品ではDEPをまったく使用しませんでした。
これらの保護メカニズムを有効にすることはコンパイラスイッチを切り替えるだけの問題であるため、ベンダーはなぜそれらを無視するのでしょうか? AV-Testは多くの回答を得ました。 一部のベンダーは、セキュリティをオンにしてコンパイルされていないサードパーティのライブラリを使用しました。 DEPおよびASLRと互換性のない独自のセキュリティテクノロジーを使用しているとの報告もありました。 また、一部のファイルはプログラムで積極的に使用されていないため、問題ではないと述べています。 (なぜそれらを削除しないのですか?)
保護、パフォーマンス、使いやすさ
AV-Testは、自己保護レポートとともに、ウイルス対策保護、パフォーマンス、および使いやすさに関する最新のレポートをリリースしました。 テスト方法の詳細をオンラインで表示できます。 完全なテスト結果もオンラインで入手できます。 私はここで高いポイントをヒットします。
カスペルスキーは前回のように完璧な18ポイントを獲得し、Aviraは前回より1.5ポイントを獲得し、カスペルスキーがトップに加わりました。 下り坂では、ZoneAlarmとVipreの両方が前回より3.5ポイント低くなりました。 ZoneAlarmの場合、すべてパフォーマンステストで行われ、スコアは完全な6から2.5に低下しました。 Vipreは3つのエリアすべてでポイントを失いました。 8.5ポイントの合計スコアは、認定に必要な10ポイントを大きく下回っています。
セキュリティ製品の自己保護をチェックするなど、AV-Testのようなラボが評価を新しい分野に拡張することは間違いなく感謝しています。 何もしなければ、この特定のレポートにより、セキュリティベンダーはDEPとASLRなしで行うことについて再考します。 はい、特定のファイルでそれらを省略する正当な理由がありますが、それらの理由がなければ、スイッチを入れてください!