I software antivirus non sempre usano DEP e ASLR per la sicurezza

I software antivirus non sempre usano DEP e ASLR per la sicurezza

Un'indagine di AV-TEST ha evidenziato che parecchi software antivirus e suite di sicurezza utilizzano solo parzialmente le tecnologie di protezione DEP e ASLR

di pubblicata il , alle 13:31 nel canale Sicurezza
 

Un software antivirus, o meglio ancora una suite per la sicurezza del PC, viene idealmente pensata come una soluzione sicura, realizzata con ogni accortezza utile a renderla inattaccabile dal malware stesso. È infatti altrettanto logico pensare che un malware avente come obiettivo un determinato PC identifichi nella suite di sicurezza installata uno dei principali ostacoli al proprio lavoro. Ma davvero questi prodotti sono così sicuri e realizzati mettendo in atto ogni possibile sforzo?

AV-TEST si è occupata del problema conducendo un'interessante lavoro di analisi. Attenzione: ci stiamo occupando della sicurezza intrinseca dei software antivirus e non della loro validità nel rilevare malware e minacce varie. AV-TEST ha preso in esame un campione rappresentativo composto da 32 software destinati al mondo consumer e a quello professionale, occupandosi in sessioni si analisi differenti delle release a 32 e 64bit.

L'attenzione di AV-TEST è stata rivolta a verificare le modalità di implementazione nei software di sicurezza delle tecnologie ASLR e DEP, tecnologie messe a punto da ormai dieci anni ma tuttora in grado di offrire un primo livello di protezione per specifici problemi. ASLR - acronimo di Address Space Layout Randomization - è una tecnologia che assegna alle differenti risorse le porzioni di memoria RAM da utilizzare: questa assegnazione avviene in modo random quindi è estremamente difficile a priori sapere quale codice possa essere presente in una precisa porzione di memoria. Questa caratteristica tende a impedire attacchi di tipo buffer overflow e ad evitare tutte le situazioni in cui l'accesso indiscriminato a predefinite aree di memoria possa divenire pericoloso.

DEP - Data Execution Prevention - è un insieme di tecnologie implementate da Intel e AMD utili alla protezione da exploit e problemi di buffer owerflow. DEP va a definire quali aree di memoria possano contenere codice eseguibile o meno quindi se ad esempio si cerca di eseguire del codice presente in una una porzione indicata come not- executable questa azione viene bloccata. Per ulteriore completezza segnaliamo anche che le tecnologie DEP sono state nel tempo migliorate e ottimizzate da parte dei principali brand IT.

Avendo ora chiaro come operano in linea di massima DEP e ASLR torniamo ora ad occuparci dello studio di AV-TEST. I dati rilevati hanno evidenziato che solo a 32 e a 64bit  Eset Smart Security 8 e Symantec Endpoint Protection utilizzano in maniera efficace DEP e ASLR. Nel caso invece di Avira, Norton, G Data, McAfee e AVG DEP e ASLR sono implemetati nelle sole versioni a 64 bit in una percentuale superiore al 90%.

L'analisi di AV-TEST ha riguardato i file .exe, .dll, .sys e .drv e proprio su questi elementi è stato verificato l'utilizzo di DEP e ASLR. Ecco quindi una tabella di sintesi in cui AV-TEST riporta i dati rilevati.

I risultati indicano che per circa la metà delle soluzioni di sicurezza analizzate DEP e ASLR sono utilizzate per oltre il 90% ma ci sono anche prodotti per i quali la percentuale di utilizzo delle tecnologie in oggetto è decisamente bassa. Il tasso di adozione varia anche in modo significativo confrontando le versioni a 32 o 64 bit della medesima soluzione software ma non ci sono elementi utili a giustificare questa correlazione.

I dati presenti in tabella e relativi a prodotti professionali mostrano una situazione migliore rispetto a quella osservabile per il comparto consumer. AV-TEST è però andata oltre nella propria analisi inviando i dati rilevati ai singoli produttori di software e chiedendo loro dettagli in merito alla mancata adozione di DEP e ASLR.

Da parte delle software house questi valori potenzialmente preoccupanti vengono giustificati in vario modo: viene in primo luogo indicata l'incompatibilità di DEP e ASLR con alcune librerie utilizzate, e viene indicata incompatibilità con queste tecnologie anche in merito a tecnologie di sicurezza di tipo proprietario.

Pare difficile valutare la consistenza di queste affermazioni e ci si trova di fronte a una situazione comune che più volte ha creato importanti discussioni: DEP e ASLR sono tecnologie consolidate e aperte che non vengono impiegate per scelta o per necessità in favore di soluzioni proprietarie. AV-TEST conclude la propria analisi sottolineando come ASLR e DEP debbano essere viste come ulteriori opzioni a disposizione, opzioni certo non infallibili ma comunque in grado di complicare ulteriormente la realizzazione di specifici attacchi.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

11 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
red5goahead26 Novembre 2014, 15:12 #1
Peccato non avere aggiunto alla prova anche il Windows Defender sotto Windows 8.1
X-ray guru26 Novembre 2014, 16:02 #2
Originariamente inviato da: red5goahead
Peccato non avere aggiunto alla prova anche il Windows Defender sotto Windows 8.1


Sarebbe stato come sparare sulla Croce Rossa.
nV 2526 Novembre 2014, 17:07 #3
Originariamente inviato da: red5goahead
Peccato non avere aggiunto alla prova anche il Windows Defender sotto Windows 8.1


Originariamente inviato da: X-ray guru
Sarebbe stato come sparare sulla Croce Rossa.


se dite che l'efficacia della soluzione MS non è in linea con i marchi più blasonati è un conto ma, in questo caso, l'oggetto del contendere è tutto un altro paio di maniche e difficilmente vedrei la MS stessa non rispondere alle proprie direttive visto il profondo lavoro che è stato portato avanti in particolare a partire da 8+ sotto questo punto di vista.
X-ray guru26 Novembre 2014, 17:19 #4
Originariamente inviato da: nV 25
se dite che l'efficacia della soluzione MS non è in linea con i marchi più blasonati è un conto ma, in questo caso, l'oggetto del contendere è tutto un altro paio di maniche e difficilmente vedrei la MS stessa non rispondere alle proprie direttive visto il profondo lavoro che è stato portato avanti in particolare a partire da 8+ sotto questo punto di vista.


Teoricamente sono d'accordo con te, ma ho visto in 35 anni di Microsoft fare porcate anche peggiori.
Sarebbe illogico fare sistemi operativi che implementano DEP e ASLR e poi mettere un antivirus che non li sfrutta, ma...
Flescio26 Novembre 2014, 19:11 #5
Ma Avira Free a 64 bit?
Vedo che manca
hexaae26 Novembre 2014, 23:26 #6
Ma cosa vuol dire misurati in %?
O gli AV usano DEP e ASLR o non li usano.
rockroll27 Novembre 2014, 01:13 #7
Originariamente inviato da: hexaae
Ma cosa vuol dire misurati in %?
O gli AV usano DEP e ASLR o non li usano.


Vuol dire utilizzo parziale, cioè non tutti i moduli componenti il software antivirus sono protetti da queste tecnologie.

Per mio conto uso AVG Free 64 e sono tranquillo senza sborsare soldi, ma posso dire che anche a 32 (protetto al 90%) usato da una vita è sempre stato perfetto.
djfix1327 Novembre 2014, 20:54 #8
dico solo che AVG free a 64bit fa il 100%....alla faccia di chi dice che i Free restano uno schifo rispetto ai commerciali...
red5goahead28 Novembre 2014, 15:38 #9
Originariamente inviato da: nV 25
se dite che l'efficacia della soluzione MS non è in linea con i marchi più blasonati è un conto ma, in questo caso, l'oggetto del contendere è tutto un altro paio di maniche e difficilmente vedrei la MS stessa non rispondere alle proprie direttive visto il profondo lavoro che è stato portato avanti in particolare a partire da 8+ sotto questo punto di vista.


si . esatto X-ray guru non ha capito un ca..

probabilmente avrebbe raggiunto il 100% e questo avrebbe destabilizzato la classifica mandando in crisi le convinzioni di molti.
X-ray guru28 Novembre 2014, 16:43 #10
Originariamente inviato da: red5goahead
si . esatto X-ray guru non ha capito un ca..

probabilmente avrebbe raggiunto il 100% e questo avrebbe destabilizzato la classifica mandando in crisi le convinzioni di molti.


Oppure avrebbe avuto lo 0%. Cosa ne sai tu se non lo hanno provato?

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^