На конференции по информационной безопасности SysScan 360, состоявшейся в июле текущего года, исследователь Джоксеан Корет из сингапурской компании COSEINC представил данные, полученные им и его коллегами в результате анализа наиболее популярных в мире антивирусных продуктов.
Как утверждает Корет, в четырнадцати из проанализированных антивирусов исследователи обнаружили по нескольку уязвимостей, допускающих удаленное или локальное несанкционированное использование системы и потенциальную возможность нарушения работы систем разной степени тяжести — от отказа в обслуживании до получения привилегированных прав управления системой и выполнения сторонних кодов.
Отталкиваясь от полученных результатов, Джоксеан Корет заключает, что антивирусы, не отличаясь по сути от других устанавливаемых на клиентской стороне программных приложений, но обладая при этом высокими системными привилегиями и глубоко встраиваясь в вычислительную систему, не всегда имеют специальные механизмы самозащиты и не всегда используют технологии борьбы с эксплойтами в операционных системах, такими, например, как Address space layout randomization (случайное распределение адресного пространства, ASLR) и Data Execution Prevention (предотвращение выполнения данных, DEP), а порой даже специально отключают их. Некоторые из исследованных антивирусов не имеют цифровых подписей обновлений и не применяют при их скачивании криптопротокол HTTPS, что допускает применение атаки «человек посередине».
В своем выступлении на конференции SysScan Джоксеан Корет подверг критике безопасность продуктов таких вендоров, как Panda Security, Bitdefender, «Лаборатория Касперского», ESET, Sophos, Comodo, AVG, IKARUS Security Software, Doctor Web, MicroWorld Technologies, BKAV, Fortinet, ClamAV и др.
Журналист Люциан Константин опубликовал на ресурсе techworld.com ответы представителей некоторых из упомянутых компаний-разработчиков антивирусных продуктов на критику Джоксеана Корета. Согласно их ответам, на часть замечаний исследователя вендоры оперативно отреагировали сразу же после его обращения к ним, с некоторыми из замечаний они согласны не вполне, ну а некоторых объявленных г-ном Корретом уязвимостей в своих продуктах они просто не наблюдают...
В целом же общую реакцию поставщиков антивирусного ПО можно охарактеризовать как признание того факта, что при всех принимаемых разработчиками мерах для избавления своих продуктов от уязвимостей программное обеспечение (и антивирусы в том числе) не может быть идеальным. Поэтому они приветствуют работу аналитиков, занимающихся независимым поиском и опубликованием ошибок и ИБ-проблем в ПО.
Нам же, пользователем ПО, не стоит забывать о том, что антивирусное ПО — это лишь один из элементов обеспечения информационной безопасности, необходимый, но не всегда достаточный.