Home > Notícias

Testes indicam que softwares de segurança têm baixo poder de proteção

Análise revela baixo desempenho de softwares de segurança em detectar quando o PC está sendo atacado em alguma vulnerabilidade.

IDG News Service/Reino Unido

13/10/2008 às 16h48

Foto:

Softwares de segurança estão fazendo um trabalho pobre na hora de detectar quando um software do PC está sendo atacado, de acordo com o fornecedor de segurança dinamarquês Secunia.

A Secunia testou como aproximadamente uma dúzia de pacotes de aplicativos de segurança identificariam quando uma vulnerabilidade de software estivesse sendo explorada.

Esta é uma abordagem diferente de como os programas funcionam atualmente. Softwares de segurança são focados em detecção de programas maliciosos que vão para o PC depois que uma vulnerabilidade é explorada. O software é atualizado com novas assinaturas ou arquivos de dados que reconhecem certos programas maliciosos que são instalados no PC após uma vulnerabilidade de algum software ser explorada.

Há uma nítida vantagem em focar na detecção de explorações em vez de se defender contra os inúmeros programas que são baixados e instalados, disse Thomas Kristensen, CTO da Secunia. A vulnerabilidade em si não muda e precisa ser utilizada sempre da mesma forma para que o PC seja invadido.

Grande número de payloads - os programas maliciosos que são instalados no PC - poderiam ser desenvolvidos durante um ataque sobre a vulnerabilidade.

Indentificar um ataque, no entanto, não é fácil, disse Kristensen. Versões do programa afetadas pela vulnerabilidade podem ser analisadas antes e depois que uma correção é aplicada para descobrir como a exploração funciona.

Para o teste, a Secunia desenvolveu sua própria exploração que funcionasse em vulnerabilidades conhecidas. Dessas explorações, 144 foram com arquivos maliciosos, como arquivos multimídia e documentos do Office. Os demais 156 foram explorações incorporadas em páginas maliciosas da web que procuram por navegadores com vulnerabilidades no ActiveX, dentre outras.

O pacote da Symantec ficou em primeiro lugar, mas seus resultados não foram tão bons assim: seu Internet Security Suite 2009 detectou 64 das 300 explorações. Ou seja, 21,33% da mostra.

Depois os resultados ficaram piores. O Internet Security Suite 2009, da BitDefender, detectou 2,33% das explorações. O Internet Security 2008, da Trend Micro empatou em segundo lugar, tendo o mesmo desempenho do software da BitDefender. O Internet Security Suite 2009 da McAfee ficou em terceiro, detectando apenas 2% das explorações.

Kristensen alertou que a maioria dos fornecedores não estão focados em detectar explorações. Mas isso beneficiaria fornecedores a começar a criar assinaturas para explorações ao invés de meramente payloads, desde que isso economizasse o tempo deles. Há bem menos explorações que payloads, disse ele.

Fornecedores como a Symantec parecem estar se movendo nesta direção, ao criar assinaturas para explorações, disse Kristensen. "Não vemos nenhum outro fornecedor fazendo nada parecido com isso", acrescentou.

Enquanto isso, usuários poderiam usar as correções de software assim que fossem lançadas. Se houvesse um atraso entre o momento em que a exploração se torna pública e o lançamento da correção, usuários podem simplesmente evitar de usar aquele programa em particular.

"Muitas pessoas pensam que não precisam se preocupar se têm um software antivírus. Infelizmente, não é o caso", completou Kristensen.

Tags

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail