Stavo leggendo che Symantec ha subito perdite di codice sorgente e mi stavo chiedendo quanto sia grave un prodotto anti-virus. Questi prodotti fanno molto affidamento su " (in) Sicurezza attraverso l'oscurità " o è davvero importante? ClamAV è open source, questo indebolisce la sicurezza che può fornire?
Non sono sicuro che questa sia necessariamente la sicurezza attraverso l'oscurità del design. Symantec, come molte altre entità aziendali prima di loro, vede il proprio codice sorgente come proprietà intellettuale e non necessariamente custodito per la sola ragione di proteggere il proprio prodotto dagli attacchi diretti. (Nota che non fa male avere un po 'di sicurezza per oscurità finché non è il tuo unico mezzo di protezione.)
Tuttavia, con ciò detto, avere il loro (vecchio) codice sorgente letto può aprire nuove strade agli exploit. Sebbene abbia 5 anni, è del tutto possibile (e generalmente probabile) che parti del codice sorgente siano state riutilizzate in molti dei loro prodotti più recenti.
Personalmente, ho esaminato - come parte del mio lavoro - il codice sorgente di prodotti che sono stati in iterazioni negli ultimi 10 anni o più. Le ultime edizioni hanno quasi sempre almeno un codice dalle loro versioni iniziali perché di solito il core viene semplicemente aumentato piuttosto che riscritto.
È sicuramente possibile che sarà più facile evitare algoritmi basati su euristica se si conosce in modo specifico ciò che si sta verificando e lo rende molto meno di un test della scatola nera. Oltre a ciò, a seconda di ciò che è trapelato se avessero ricevuto le firme stesse sarebbe stato inestimabile perché avresti saputo esattamente cosa stavano cercando e saresti stato in grado di modificare di conseguenza.
Stavo pensando che potrebbe essere possibile scoprire e sfruttare vulnerabilità nell'AV stesso e creare virus che attaccano direttamente l'AV. Visto che Symantec ha molto potere sul sistema operativo, possedere l'AV sarebbe piuttosto il rootkit.
I software antivirus e antivirus svolgono un elaborato gioco a nascondino; lo hanno fatto negli ultimi 20 anni almeno. Un antivirus cerca di "guardare" tutti i posti in cui un virus può nascondersi; nuovo virus cerca di trovare nuovi nascondigli, che l'antivirus non conosce ancora. Il reverse engineering è eseguito in entrambi i modi e l'accesso al codice sorgente rende più semplice il reverse engineering.
Ancora, l'accesso al codice sorgente non dovrebbe essere fatale in quella direzione. L'oscurità è l'unica arma nell'arsenale del virus; una volta decodificato, diventa ovvio come il virus si replica, come rilevarlo e come rimuoverlo. Avere il codice sorgente di un virus lo ucciderebbe. D'altra parte, avere il codice sorgente completo di un antivirus non ti dice come sconfiggerlo; ti dice solo che tipo di virus non lo sfuggirà. Uno sviluppatore di virus dovrebbe comunque trovare un nuovo percorso attraverso il quale il virus possa andare e proliferare, a cui lo sviluppatore antivirus non ha pensato. Lo sviluppatore di virus potrebbe raccogliere le stesse informazioni tramite test. Avere accesso al codice sorgente antivirus rende quindi lo sviluppo dei virus quantitativamente meno faticoso, ma non qualitativamente più facile.
In modo deprimente, la maggior parte dei software antivirus rileva principalmente i virus attraverso le cosiddette firme (blocchi di codice che appaiono in alcuni virus noti ma probabilmente non in "software normale") e la maggior parte dei virus tenta di sfuggire all'antivirus semplicemente con una nuova firma distinta . Questo è deprimente perché significa che entrambi gli sviluppatori di virus e antivirus sono ancora, fondamentalmente, nell'età della pietra. Gli sviluppatori antivirus vincono aggiungendo nuove firme il più velocemente possibile. Gli sviluppatori di virus vincono essendo così numerosi che gli sviluppatori di antivirus sono sopraffatti. Non c'è eleganza qui, solo numeri grezzi. Tuttavia, ciò significa che un antivirus è principalmente un grande grep motore; la teoria dell'implementazione di tali sistemi è stata conosciuta e descritta magistralmente per decenni (dal 1973 per il volume 3, in particolare). Quindi, c'è molto poco da imparare, per uno sviluppatore di virus, dal codice sorgente di un antivirus.
Per riassumere, direi che il danno derivante dalla perdita di codice sorgente antivirus è principalmente un problema di pubbliche relazioni: come "società di sicurezza", dovrebbero sapere meglio che lasciare che le loro risorse aziendali perdano in quel modo. Ma non ha molto impatto sulla sicurezza effettiva offerta dal prodotto stesso.
Leggi altre domande sui tag antivirus