科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道网络安全安全软件的危险:Sophos软件存在漏洞

安全软件的危险:Sophos软件存在漏洞

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

在上周的黑帽大会中,谷歌研究员Tavis Ormandy批评了Sophos杀毒软件一些领域的欠缺导致其易受攻击或被病毒避开。其他杀毒软件厂商的产品也可能有此问题,只是目前还没发现。

来源:赛迪网 2011年8月28日

关键字: 网络安全 黑客

  • 评论
  • 分享微博
  • 分享邮件

  在上周的黑帽大会中,谷歌研究员Tavis Ormandy批评了Sophos杀毒软件一些领域的欠缺导致其易受攻击或被病毒避开。其他杀毒软件厂商的产品也可能有此问题,只是目前还没发现。

  Ormandy声称其反向设计了该产品。此外,他还发现以下问题:

  1 用于加密数据的密钥是与数据一并存储,使之相对容易破译。

  2 其缓冲区溢出保护只能在Vista系统之前的Windows平台上运行。

  3 Sophos选用的以辨认病毒的数字签名非常脆弱,并且能够独立于Sophos产生,这可能使用户得到大量误报。

  就sophos而言,他们已经在Ormandy的批判之前,就与之进行了讨论。基于这些讨论,sophos也作出了相应调整。

  1 sophos正在逐步淘汰其脆弱的加密算法,该算法并未被用于加密产品中(从一开始也不是用于加密数据)。事实上,加密只是为了改变Sophos更新的代码,这样一旦发现真正的恶意软件模式,其他的安全产品就不会将Sopho的数据文件误认为是恶意文件了。

  2 sophos正在重新审视其脆弱的缓冲区溢出保护。由于Vista和之后的Windows操作系统自带了缓冲区溢出保护,sophos终止了其运作。

  sophos发言人Graham Cluely说道:“sophos考虑将Ormandy的批评作为编程审计的内容。”

  之前Cluely曾与Ormandy产生激烈冲突,因为Ormandy揭露了微软产品的一个漏洞,结果导致该漏洞在现实世界中被人利用。Cluely在博客中猛烈抨击了Ormandy。

  ormandy说,他对sophos反毒软件的分析和那次事件无关,他选择Sophos也是随性而为,因为Sophos容易获取到。其他杀毒软件也可能存在sophos相似的漏洞,只是不通过反向设计与全面分析不可能知道罢了。他说道:“我不会再做这些烦人的反向设计与分析了,我要做点儿有趣的事儿。”

  尽管ormandy任职谷歌,但他在业余时间独立完成了对sophos的研究。

  ormandy说道:“所有杀毒软件厂商的问题都出在:他们都不经过同行审查而秘密进行各自的工作,这就少了成为更坚实平台的重要一步。安全的基本原则是:先假定攻击者清楚你所有的防御措施,然后你加强防御,以此防止被攻破。公众审查可以帮助你发现缺点并进行修正,而不是任其成为漏洞。”

  “总体来讲,杀毒软件都是在病毒已经造成损害后才能将其发现,因而预防措施事实上更有效。杀毒软件太过复杂会增大终端用户机器被攻击的几率, 这会造成更多潜在的问题。”

  Cluely说道:“Ormandy的杀毒软件分析只检测了软件组件,而未从整体上分析软件的功用。他也未测试其终止恶意软件的能力,而只关心代码的质量。或许他是对的,我们可能应该做得更好。”

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章