I software antivirus non sempre usano DEP e ASLR per la sicurezza

Un software antivirus, o meglio ancora una suite per la sicurezza del PC, viene idealmente pensata come una soluzione sicura, realizzata con ogni accortezza utile a renderla inattaccabile dal malware stesso. È infatti altrettanto logico pensare che un malware avente come obiettivo un determinato PC identifichi nella suite di sicurezza installata uno dei principali ostacoli al proprio lavoro. Ma davvero questi prodotti sono così sicuri e realizzati mettendo in atto ogni possibile sforzo?

AV-TEST si è occupata del problema conducendo un'interessante lavoro di analisi. Attenzione: ci stiamo occupando della sicurezza intrinseca dei software antivirus e non della loro validità nel rilevare malware e minacce varie. AV-TEST ha preso in esame un campione rappresentativo composto da 32 software destinati al mondo consumer e a quello professionale, occupandosi in sessioni si analisi differenti delle release a 32 e 64bit.

L'attenzione di AV-TEST è stata rivolta a verificare le modalità di implementazione nei software di sicurezza delle tecnologie ASLR e DEP, tecnologie messe a punto da ormai dieci anni ma tuttora in grado di offrire un primo livello di protezione per specifici problemi. ASLR - acronimo di Address Space Layout Randomization - è una tecnologia che assegna alle differenti risorse le porzioni di memoria RAM da utilizzare: questa assegnazione avviene in modo random quindi è estremamente difficile a priori sapere quale codice possa essere presente in una precisa porzione di memoria. Questa caratteristica tende a impedire attacchi di tipo buffer overflow e ad evitare tutte le situazioni in cui l'accesso indiscriminato a predefinite aree di memoria possa divenire pericoloso.

DEP - Data Execution Prevention - è un insieme di tecnologie implementate da Intel e AMD utili alla protezione da exploit e problemi di buffer owerflow. DEP va a definire quali aree di memoria possano contenere codice eseguibile o meno quindi se ad esempio si cerca di eseguire del codice presente in una una porzione indicata come not- executable questa azione viene bloccata. Per ulteriore completezza segnaliamo anche che le tecnologie DEP sono state nel tempo migliorate e ottimizzate da parte dei principali brand IT.

Avendo ora chiaro come operano in linea di massima DEP e ASLR torniamo ora ad occuparci dello studio di AV-TEST. I dati rilevati hanno evidenziato che solo a 32 e a 64bit  Eset Smart Security 8 e Symantec Endpoint Protection utilizzano in maniera efficace DEP e ASLR. Nel caso invece di Avira, Norton, G Data, McAfee e AVG DEP e ASLR sono implemetati nelle sole versioni a 64 bit in una percentuale superiore al 90%.

L'analisi di AV-TEST ha riguardato i file .exe, .dll, .sys e .drv e proprio su questi elementi è stato verificato l'utilizzo di DEP e ASLR. Ecco quindi una tabella di sintesi in cui AV-TEST riporta i dati rilevati.

I risultati indicano che per circa la metà delle soluzioni di sicurezza analizzate DEP e ASLR sono utilizzate per oltre il 90% ma ci sono anche prodotti per i quali la percentuale di utilizzo delle tecnologie in oggetto è decisamente bassa. Il tasso di adozione varia anche in modo significativo confrontando le versioni a 32 o 64 bit della medesima soluzione software ma non ci sono elementi utili a giustificare questa correlazione.

I dati presenti in tabella e relativi a prodotti professionali mostrano una situazione migliore rispetto a quella osservabile per il comparto consumer. AV-TEST è però andata oltre nella propria analisi inviando i dati rilevati ai singoli produttori di software e chiedendo loro dettagli in merito alla mancata adozione di DEP e ASLR.

Da parte delle software house questi valori potenzialmente preoccupanti vengono giustificati in vario modo: viene in primo luogo indicata l'incompatibilità di DEP e ASLR con alcune librerie utilizzate, e viene indicata incompatibilità con queste tecnologie anche in merito a tecnologie di sicurezza di tipo proprietario.

Pare difficile valutare la consistenza di queste affermazioni e ci si trova di fronte a una situazione comune che più volte ha creato importanti discussioni: DEP e ASLR sono tecnologie consolidate e aperte che non vengono impiegate per scelta o per necessità in favore di soluzioni proprietarie. AV-TEST conclude la propria analisi sottolineando come ASLR e DEP debbano essere viste come ulteriori opzioni a disposizione, opzioni certo non infallibili ma comunque in grado di complicare ulteriormente la realizzazione di specifici attacchi.