SÄKERHET. Huvudsyftet med ett virusskyddsprogram STORT TEST



Relevanta dokument
Grattis till ett bra köp!

Antivirus Pro Snabbguide

3.2 1H[W*HQHUDWLRQ6HFXULW\ Användarmanual

Snabbstartguide för McAfee VirusScan Plus

Instruktion: Trådlöst nätverk för privata enheter

Instruktion: Trådlöst utbildningsnät orebro-utbildning

ESET NOD32 ANTIVIRUS 8

Din manual MCAFEE TOTAL PROTECTION

Norton Internet Security

Så bra är årets säkerhetspaket

del 12 SKYDDA DIN DATOR

F-Secure Anti-Virus for Mac 2015

TIS-Web startguide 3.6. TIS-Web Startguide

Panda. Antivirus Pro Snabbstartguide

Microsoft Windows 7 / Vista / XP / 2000 / Home Server / NT4 (SP6) Snabbstartsguide

ESET NOD32 ANTIVIRUS 6

Lathund Blanketthotell Komma igång

Installationsbeskrivning för CAB Service Platform med CABInstall

Skötselråd för datoransvarig Windows XP, Vista, 7

Antivirus: Identifierar och inaktiverar proaktivt mer känd och till och med okänd skadlig kod än många andra säkerhetsprodukter.

Din manual MCAFEE VIRUSSCAN PLUS

ESET NOD32 ANTIVIRUS 7

Global Protection 2011

Kapitel 1: Komma igång...3

Vid problem med programmet kontakta alltid C/W Cadware AB på telefon

Instruktion: Trådlöst nätverk för privata

DGC IT Manual Citrix Desktop - Fjärrskrivbord

F-Secure Mobile Security. Android

Internethistoria - Situation

FÖR MAC. Snabbstartsguide. Klicka här för att hämta den senaste versionen av detta dokument

En IT-säkerhetslösning för hela verksamheten PROTECTION SERVICE FOR BUSINESS

Så delar du filer. utan att bli övervakad LAJKA-GUIDE

SÄKRA DIN VERKSAMHET OAVSETT VAR DEN TAR DIG. Protection Service for Business

Installationsanvisningar. till IST Analys

Skapa ett eget programnu! NU! Komplett med programvara och konkreta exempel! Patrice Pelland. Swedish Language Edition published by Docendo Sverige AB




Win95/98 Nätverks Kompendium. av DRIFTGRUPPEN

SkeKraft Bredband Installationsguide

ESET NOD32 ANTIVIRUS 9

Beställnings- och installationsguide av Dubbelskydd

Snabbstartguide PC, Mac och Android

Mer information om snabbinstallation finns på baksidan.

Din manual F-SECURE PSB AND SERVER SECURITY

STYRKAN I ENKELHETEN. Business Suite

Det är riskabelt att ansluta

Blackboard learning system CE

tecken på att även de största tillverkarna har problem och att det är svårt att vara ett it-säkerhetsföretag

Att komma igång med ELDA

ADOBE FLASH PLAYER 10.3 Lokal inställningshanterare

Kaspersky. IS MD attach

Installation av WinPig Slakt

Benga s tekniska hörna. Så skapar du ett Vista-nätverk :16 - PC för Alla

Integration med Vitec Express

DATA CIRKEL VÅREN 2014

Installationsanvisning - Kopplingen mellan GK96 och golf.se -

ESET SMART SECURITY 6

Installationsanvisning. ADSLmodem: SpeedTouch 780WL. Bredband ADSL

Användarhantering Windows 7 I denna laboration kommer vi att skapa nya användare och grupper och titta på hur man hantera dessa.

Råd& Rön Eftertryck, helt eller delvis, är förbjudet.

Internet Security Snabbstartguide

Klientinstallation VSS Driftservice

Norton 360 Online Användarhandbok

Xerox Device Agent, XDA-Lite. Installationsguide

Installation/uppdatering av Hogia Personal fr.o.m. version 13.1


Installation av WinPig

Norton 360 Online Användarhandbok

1. Säkerhetskopiera den eller de byråer du har arbetat med via i Visma Klient.

Instruktioner för uppdatering från Ethiris 5.x till 6.0

F6 Exchange EC Utbildning AB

O365- Konfigurering av SmartPhone efter flytt till Office 365 alt ny installation

SNABBGUIDE TILL LÄRANÄRA

Så skapar du en privat nätdisk

1 Installationsinstruktioner

SÄKRA DIN AFFÄR VART DEN ÄN TAR DIG. Protection Service for Business

Säkra trådlösa nät - praktiska råd och erfarenheter

ESET CYBER SECURITY PRO för Mac Snabbstartsguide. Klicka här för att hämta den senaste versionen av detta dokument

Innehåll. McAfee Internet Security 3

Installationsanvisning för LUQSUS version 2.0

Felsökning av vanliga fel Kontrollera installera version Innehållsförteckning

Allmänt om programvaror och filer i Windows.

Kom igång med TIS-Office

Så får du Microsofts Office-paket gratis

Manuell installation av SQL Server 2008 R2 Express för SSF Timing

Installation av Android-mobiler

Foto: Björn Abelin, Plainpicture, Folio bildbyrå Illustrationer: Gandini Forma Tryck: Danagårds Grafiska, 2009

Tipsen är skrivna utifrån Windows 10. Det kan se lite annorlunda ut i Windows 7 och 8 men tipsen bör fungera för alla operativsystemen.

Introduktionsguide för

ESET SMART SECURITY 8

Anvisningar för inkoppling till Mikrodataåtkomst vid SCB

Symantec Endpoint Protection Small Business Edition 2013

ANVÄNDARHANDBOK. Advance Online

snabbmanual för installation av trådlöst bredband och telefoni

Så här hanterar du din OneDrive i Office 365

molntjänster Logga in med ett klick på alla dina LAJKA-GUIDE

Säkerhet Användarhandbok

Installationsguide ELCAD 7.10

Transkript:

Särtryck ur TechWorld 9/2011 SÄKERHET STORT TEST McAfee Trend Micro Kaspersky Panda F-secure Sophos Symantec Microsoft Simpel trojan lurar ditt virusskydd GRÖN IT Känner du dig trygg med ditt virusskydd? Glöm det. Vårt unika test visar att endast tre av åtta virusskyddsprogram hindrar en enkel trojan från att stjäla dina företagshemligheter. Text: Mikael Simovits och James Dickson Illustration: Jonas Englund Foto: Arthur Payne Scenario Huvudsyftet med ett virusskyddsprogram är att hindra skadlig kod från att ställa till med bekymmer och hota säkerheten för känsliga filer och dokument. Därför förväntar vi oss att ett virusskydd kan: 1. känna igen signaturer av och hindra tidigare kända skadliga koder från att exekvera 2. skydda datorn från att vanliga smittovägar är öppna för skadlig kod 3. känna igen ett skadligt beteende av ej tidigare kända hot och varna när detta upptäcks. Microsoft har i senare versioner av sitt operativsystem Windows tagit ett större grepp om säkerheten. Till exempel har man infört säkerhetsmekanismen UAC, User Account Control, från och med Windows Vista, som ger användaren varningar då program försöker utföra systemändringar. Även den uppdaterade UACversionen i Windows 7 är tänkt att skydda mot att program utför administratörsåtgärder. Men ett problem är att skadlig kod inte alltid behöver exekvera under administratörsbehörighet för att utföra farliga aktiviteter för användaren. Det kan till exempel vara så pass illa att en trojan skickar ut alla Worddokument den kommer åt till en server kontrollerad av en angripare utan att trojanen exekverar med högre behörigheter än normala användarbehörigheter. För att skydda mot det här sätter användarna sin tilltro till sina virusskyddssystem. Duktiga på tester Det finns många tester av virusskyddsprogram som utvärderar hur många redan kända virus och trojaner som upptäcks av produkten. Det här har lett till att virusskyddsprogram är väldigt duktiga på just detta. Men ett problem som växer i dag är riktade attacker och specialskriven Ett företag vill skydda sina data från hackare. De har skaffat ett virusskyddssystem och tror att detta tillsammans med säkerhetsfunktionerna i Windows innebär att man är utom fara. Men en angripare skräddarsyr en trojan för att genom en riktad attack komma åt företagets skyddsvärda information. Trojanen läggs på en cd-skiva som man ser till att komma i händerna på en av företagets mindre säkerhetsmedvetna anställda. När cd-skivan sätts in i en av företagets datorer installerar sig trojanen och söker genom systemet efter intressanta Word-dokument. Filerna skickas med hjälp av webbläsaren Internet Explorer ut på nätet till angriparens server. 18 Techworld Särtryck ur nr 9 l 2011 techworld.se

SÄKERHET Testerna i vår artikel utgår utifrån en lite annorlunda metod. skadlig kod. Virusskyddstillverkarna har därför naturligtvis börjat inkorporera skydd även mot okända hot. Många virusskyddstillverkare pratar numera hellre om host based intrusion prevention systems, hips, än virusskyddsprogram. Det här vittnar också om att tillverkare nu tar ett större grepp kring säkerhetsproblematiken. Genom att låta virusskyddet övervaka processer för att se huruvida dessa uppför sig misstänkt ska programmet upptäcka nya, tidigare okända hot. Det kan vara en ovärderlig funktionalitet vid till exempel riktade trojan-angrepp. Samtidigt ställer användarna krav på att användarvänligheten inte ska försämras i och med att ett skyddsprogram installeras. I den här artikeln går vi genom virusskyddssystem rekommenderade till segmentet hemanvändare upp till små eller medelstora företag. Samtliga program som ingår i utvärderingen är testade både som fristående system och företagsanpassade system. Skillnad på versionerna? Många virusskyddstillverkare påpekar att dess avancerade funktioner endast levereras i de versioner av systemen som kallas företagsanpassade. Ur testsynvinkel var det därför även intressant att se eventuella skillnader mellan hemanvändarversionen och företagsversionen. Virusskyddstester utförs ofta ge- nom att låta skyddsprogrammen upptäcka redan kända virus och känd skadlig kod. Testerna i vår artikel utgår utifrån en lite annorlunda metod. Vi har på förhand valt ut de enklaste och vanligaste angreppsmetoder som trojaner och annan skadlig kod använder för att infektera, utföra skadlig handling och slutligen installeras i autostart-läge. Testet beskriver en situation där virusskyddsprogrammet måste hantera en riktad trojan-attack snarare än ett välspritt virus. Särskilt för den här artikeln skapades en liten trojan med möjlighet att exekvera tänkbara angrepp på olika nivåer. Trojanen användes för att utvärdera hur virusskydden reagerar på trojanens beteende. Tanken var att kunna se hur en trojan vars signatur inte känns igen av skyddsprogrammen kan undkomma att upptäckas av dem. Sprids via cd-läsaren Vi tänker oss att en oförsiktig användare placerar en cd-skiva med en trojan i datorns cd-läsare. Trojanen söker igenom dokumentmappar efter Techworld Särtryck ur nr 9 l 2011 techworld.se 19

Vårt egentillverkade trojanprogram kopierar sig själv automatiskt till C:\users\ public\documents. Därifrån exekveras det sedan. Trend Micro och flera andra virusskyddsprogram kontrollerar internetlänkar och visar användaren om det går att lita på länken eller om den går till en farlig sida. UAC introducerades i Windows Vista men fick mycket kritik. Användaren tillfrågas i dialogrutor om varje administratörsändring, till exempel som här, när vi försöker starta Registereditorn i Windows. McAfee Total Protection riktar sig till hemanvändare och har minst sagt sparsmakad funktionalitet, medan proffssystemet Epolicy Orchestrator har en mängd avancerade inställningar för säkerheten. Word-dokument, och ansluter sig sedan mot en server ute på internet som kontrolleras av angriparen. Trojanen skickar upp den insamlade information till servern, och aktiveras sedan vid varje inloggningstillfälle, så att den kontinuerligt kan samla in känslig information från användarens hårddisk och skicka den vidare ut på internet. Vi valde att i testet placera trojanen på en cd-skiva eftersom en standardinställning i Windows 7 nekar autorun från usb-minnen. Trojanen kan därmed exekveras utan att Windows egen säkerhetskontroll varnar eller försöker hindra den. Efter exekvering söker trojanen igenom dokumentmappar och läser in alla Word-dokument som hittas. I sista steget ansluter trojanen mot internet genom att starta Internet Explorer och bifoga information i url-parametern, så att den undviker att upptäckas av den lokala brandväggen. För att starta upp trojanen då användaren loggar in tänker vi oss att trojanen lägger till sin sökväg under registernyckeln HKEY_CUR- RENT_USER\Software\Microsoft\ Kaspersky Pure erbjuder överlag goda inställningsmöjligheter och funktioner. Översättningen till svenska är inte perfekt i alla dialoger, men oftast förstår man av sammanhanget vad som faktiskt menas. Riktad attack med skadlig kod Panda Antivirus kallar sitt hips-system för Trueprevent. Det erbjuder skydd även för okända hot. Windows\Current Version\Run. Det här är inget särskilt sofistikerat sätt för en trojan att hålla sig levande i systemet efter en omstart, men det fungerar. För att undvika diskussioner om felkonfigurationer och balans i säkerhetsnivåer var vi noga med att höja säkerhetsnivån till max på alla virusskyddsprogram som ingick i utvärderingen, trots att detta oftast inte är att föredra eftersom det kan göra datorn oanvändbar och trög. Vi försökte även föra en dialog med samtliga leverantörer om hur konfigurationen skulle utföras på bästa sätt. Fokus på beteende De virusskyddsprogram som får vara med i testerna är utvalda med fokus på deras hips-funktionalitet. Vissa skyddsprogram använder samma hips-funktioner i sin företagsvariant som i sin hemanvändarvariant. Vi utvärderar både hemanvändarvarianten och företagsvarianten för att kunna notera skillnader mellan de båda. Steg 1 Infektion: Vår trojan placeras på en cd-skiva och stoppas in i cd-läsaren. Autorun av cd-skivor är aktiverat och vår autorun.inf-fil på cd-skivan pekar ut sökvägen till trojanen. Inget av de åtta testade virusskyddsprogrammen ser något konstigt med att trojanen exekveras direkt av Windows 7 och kopierar sig själv till en lämplig mapp på hårddisken. Trojanens första delmål är uppnått. Steg 2 Insamling av data: Efter lyckad installation letar vår trojan genom hårddisken efter Worddokument. Det här tillåts av samtliga virusskyddsprogram utan protester. Trojanen har därmed även uppnått sitt andra delmål. Steg 3 Skicka data till angripare: För att undvika brandväggsproblem startar trojanen upp Internet Explorer och bifogar insamlad information som url-parameter. På det sättet undviker trojanen att själv öppna tcp-anslutning mot internet. Steg 4 Kopiering till system-mapp: Trojanen kopierar sig själv till c:\windows\system32\simovitstrojan1\calc.exe genom att först starta explorer.exe och därefter injicera sin egen tråd i den processen. På så sätt undviks UAC. 20 Techworld Särtryck ur nr 9 l 2011 techworld.se

Sophos Anti-Virus upptäcker direkt att vår trojan försöker ansluta till en internetserver och sätter den i karantän. Trend Micro och flera andra virusskyddsprogram kontrollerar internetlänkar och visar användaren om det går att lita på länken eller om den går till en farlig sida. F-secures gränssnitt är mycket användarvänligt det är enkelt att förstå hur man ställer in brandväggen. Norton 360 upptäcker att vår hemmasnickrade trojan försöker använda sig av webbläsaren Internet Explorer. Symantec SEP detekterar test-trojanens fulla händelsekedja, alltså kombinationer av händelser, men inte varje enskild händelse. Kasperskys verktyg för centralstyrning ger en bra översikt över skyddssystemet och vilka datorer som konfigurerats. tmcafee McAfee Total Protection är ett enkelt program att använda avancerade funktioner och rapportverktyg har gömts undan. Det är ofta smidigt och bra, men vid avancerad användning och felsökning hänvisas man till textloggfiler som sparats på disken. McAfees produkter inriktar sig mer åt säkerhetslösningar till större företag där varje enskild dator har en agent-mjukvara som ansluter sig mot centrala servrar för uppdateringar och säkerhetspolicys. McAfees fristående konsumentsystem Total Protection har inte möjlighet att utnyttja hips-funktionalitet, så den kan inte hanterar våra trojantester eftersom de bygger på att en beteendeanalysfunktion finns aktiverad. Vi utvärderade därför även McAfees företagsvariant McAfee Epolicy Orchestrator med hips-modulen aktiverad, den har fler konfigurationsalternativ och ger bättre resultat i våra tester. ttrend Micro Titan Maximum 2011 är anpassat för hemanvändare. Inställningsdialogerna är sparsmakade och rapportfunktionaliteten erbjuder ingen detaljerad information. En intressant funktion är System Tuner. Det kan användas för att automatiskt rensa bort ogiltiga registernycklar, cookies, webbhistorik och sådant som kan tänkas påverka pc-prestandan negativt eller vara en källa till informationsläckage. Office Scan är företagsvarianten från Trend Micro och erbjuder en mängd avancerade säkerhetsinställningar. tkaspersky Kaspersky Pure och Kaspersky Workspace Security är produkter från det ryska företaget Kaspersky Labs. Kaspersky Pure är tänkt att vara en fristående installation på pc-maskiner, avsedd för hemanvändare utan tillgång till centrala servrar. Trots det får man en stor mängd säkerhetsfunktioner och rapportering. En behändig funktion är Virtuellt tangentbord vilken gör det möjligt för för användare att skriva med muspekaren. Ett problem med Pure är att det har en dålig svensk översättning. Det innebär att vissa dialoger ibland blir svåra att förstå. Kaspersky Workspace Security är företagsvarianten av Kasperskys virusskyddsskydd och erbjuder central styrning av virusskyddssystemet. tpanda Panda utlovar med Global Protection 2012 och Security for Desktops skydd mot den digitala världens alla hot, både kända och okända, inklusive till exempel beteendeanalys och identifiering av spam. Installationen av virusskyddssystemet går snabbt och enkelt. En intressant funktion, som levereras separat utan kostnad, är USB Vaccine vilket används för att förhindra autorun från usb och cd-skivor, alltså utöver det skydd som finns i Windows 7. Rapportfunktionaliteten är väl utformad och lätt att läsa och förstå. tf-secure F-secure lovar heltäckande skydd mot virus och spionprogram med produkterna Internet Protection 2011 och Workstation. Techworld Särtryck ur nr 9 l 2011 techworld.se 21

Hemanvändarprodukter Produkt F-secure Internet Security 2011 Kaspersky PURE Version 10.51 9.1.0.124 11.0 Cirkapris (normaliserat till svenska kronor) 516 kr 503 kr 479 kr Stoppar autorun från cd (om aktiverad i os) Nej Nej Nej Hindrar att trojan startar Internet Explorer Nej Nej Nej med url som argument Stoppar UAC bypass genom Ja Ja Nej CreateRemoteThread Detekterar register-run-nyckeländring Ja Nej Nej Detekterar en kombo av [1->2->3] Stoppar 3 separat Stoppar 3 separat Nej Betyg Installation 15 av 20 15 av 20 15 av 20 Beteendeanalys 25 av 40 15 av 40 0 av 40 Konfigurationsmöjligheter 15 av 20 15 av 20 5 av 20 Användarvänlighet i konfig-gränssnitt 15 av 20 10 av 20 10 av 20 Totalt McAfee Total Protection 70 30 AV 100 AV 100 AV 100 GRÖN IT En märklig detalj i gränssnittet för Internet Protection 2011 är frågan om vilken åtgärd som ska vidtas vid ett upptäckt hot. Om man väljer att blockera hotet, som är standardalternativet, dyker rutan upp varje gång F-secure noterar att hotet finns. Detta kan bli väldigt irriterande eftersom det kan rendera i många popuprutor. I övrigt upptäcker F-secures produkter vanliga Trojan-beteenden såsom skrivning till vissa registernycklar. tsophos Från Sophos har vi valt att testa produkterna Anti-Virus och Endpoint Security and Data Protection. Företaget använder sig, likt flera av konkurrenterna, av begreppet hips man vill genom att kontrollera programbeteenden kunna detektera okända hot, till exempel trojaner. Sophos Anti-Virus kan även upptäcka buffertöverskridning om inte den förmågan redan finns hos operativsystemet. Likt F-secure hanterar beteendeanalysen skrivning av vissa registernycklar. Rapportering av virusskyddsloggar ger välstrukturerad information till användaren. tsymantec Norton 360 är den dyraste produkten i vårt test. Den ger dock intrycket av att vara mer påkostad och erbjuda en bättre beteendeanalys än övriga virusskyddsprogram utifrån de tester som utfördes i samband med denna artikel. Produkten detekterar både situationer där en trojan utnyttjar designbrister i Windows 7 UAC och situationer då en trojan startar ett tillförlitligt program, till exempel Internet Explorer. Det här tror vi åstadkommer ett nödvändigt skydd mot ännu okända trojan-hot. Installationsförfarandet imponerar stort systemet tar endast ett par minuter att få igång utan att man behöver klicka sig genom en guide. Symantecs mer kraftfulla produkt för företagsmarknaden; Symantec Endpoint Protect har precis som de övriga produkterna central styrning av virusskyddssystemet, men ska, enligt Symantec, i övrigt använda sig av samma detektering som hemanvändarvarianten. tmicrosoft Microsofts egna virusskyddssystem för hemanvändare respektive företagskunder förlitar sig naturligtvis mycket på Windows egna inbyggda säkerhetsfunktioner såsom Windows Firewall. Installationen är enkel och känns igen från andra Microsoft-program. Olika paket och funktioner De olika tillverkarna har flera olika paketeringar av sin virusskyddsprodukt. Vissa paket innehåller helhetslösningar och andra paket är en renodlad virusskanner. Vissa tillverkare anger inte prisuppgifter på hemsidan. Microsoft ger bort Microsoft Security Essentials 22 Techworld Särtryck ur nr 9 l 2011 techworld.se

Microsoft Security Essentials Panda Global protection 2012 Sophos Anti-Virus Symantec Norton 360 Trend Titan Maximum 2.1.1116.0 5.00 9.7.3 5.0 3.1.1109 0 kr (10 installationer) 639 kr 230 kr (vid köp av 50 719 kr 479 kr Nej Ja Nej Nej Nej Nej Nej Nej Ja Nej Nej Nej Nej Ja Nej N Nej Nej Ja Nej Nej Nej Stoppar 1 separat Nej Stoppar 2+3 separat Nej 15 av 20 15 av 20 15 av 20 20 av 20 15 av 20 0 av 40 15 av 40 10 av 40 25 av 40 0 av 40 5 av 20 15 av 20 15 av 20 15 av 20 10 av 20 10 av 20 15 av 20 15 av 20 15 av 20 10 av 20 30 60 75 35 AV 100 AV 100 AV 100 AV 100 AV 100 utan kostnad för upp till tio enheter. För centralt styrda företagsanpassade produkterna Microsoft Forefront Endpoint Protection krävs licenser på andra Microsoft-produkter. Detta gör att kostnaderna i slutändan kan bli olika beroende på vilken återförsäljare, licensmodell och produkt som används. Installationen av virusskyddsprogrammet är viktigt eftersom en enkel installation ger mer tid till att konfigurera applikationen korrekt. Norton 360 utmärkte sig här, ett väldigt smidigt program att installera. Det tog efter att filen laddats ned knappt två minuter innan allt var färdigt. Inga menyer eller val behövdes under installationen. Dock krävdes vissa avancerade inställningar i efterhand för att få Norton 360 att hålla den högsta säkerhetsnivån. I de centralt styrda systemen var det väldigt smidigt att Hips analyserar beteenden trycka ut klientprogrammen och deras policies när väl servernoden konfigurerats korrekt. Samtliga program som vi utvärderade innehåller någon typ av brandväggsskydd. Vissa program litar på Windows eget brandväggsskydd medan andra har sin egen brandvägg. F-secure utmärker sig I samtliga fall antar vi att den lokala brandväggen som används för att understödja operativsystemets säkerhet håller hög standard, så att den förhindrar skadlig kod från att direkt ansluta mot internet eller resurser i det lokala nätverket under förutsättning att brandväggen är enkel att konfigurera. I vårt test utmärkte sig F-secure Internet Security 2011 som ett väl avvägt gränssnitt som var enkelt att överblicka och förstå. Under användning noterade vi olika skillnader mellan de testade Hips, host based intrusion prevention system, är en term som används flitigt i virusskyddssammanhang. Det finns en relativt stor variation på vad begreppet innebär i praktiken för de olika skyddsprogrammen. Grundtanken är dock att hips ska skydda mot okända hot genom att analysera nätverkstrafik, hur applikationer beter sig eller en kombination av det. Indikationer på att ett program beter sig misstänkt kan exempelvis vara att det använder sig av speciella systemanrop, filer eller registernycklar. Exakt hur en sådan beteendeanalys utförs i de olika skyddsprogrammen uppges oftast inte av tillverkarna, eftersom det då kan underlätta för den som vill skapa ett virus. Brittisk-amerikanska Sophos avslöjar dock att de använder fyra lager av detektering av skadlig kod för sitt hipssystem, och andra tillverkare har liknande struktur: 1. Genotyp-skydd, alltså att systemet detekterar varianter av redan kända virus. Innan en kod exekveras undersöks den av skyddssystemet som kontrollerar om dess funktion liknar tidigare kända skadliga koder. 2. Systemet upptäcker vanliga beteenden före exekvering för skadlig kod och flaggar misstänkta filer. 3. Misstänkta redan exekverande filer detekteras genom att systemet kontrollerar levande processer. 4. Buffertöverskridningsattacker kan detekteras. Techworld Särtryck ur nr 9 l 2011 techworld.se 23

Företagsprodukter Produkt F-secure Workstation Kaspersky Workspace McAfee epo (med hips) Security Version 10.00.36754 6.0.4.1424 8.8.0.777 Cirkapris (normaliserat till svenska kronor) 165 kr (vid köp av 50 121 kr (vid köp av 50 Stoppar autorun från cd (om aktiverad i os) Nej Ja Nej Hindrar att trojan startar Internet Explorer Nej Nej Nej med url som argument Stoppar UAC bypass genom Ja Ja Nej CreateRemoteThread Detekterar register-run-nyckeländring Nej Nej Ja Detekterar en kombo av [1->2->3] Stoppar 3 separat Stoppar 1+3 separat Nej Betyg Installation 10 av 20 15 av 20 10 av 20 Beteendeanalysen 15 av 40 25 av 40 8 av 40 Konfigurationsmöjligheter 15 av 20 15 av 20 15 av 20 Användarvänlighet i konfig-gränssnitt 15 av 20 15 av 20 15 av 20 Totalt 547 kr (vid köp av 50 70 48 AV 100 AV 100 AV 100 GRÖN IT programmen. En betydande sådan är att vissa hade sparsmakad rapportfunktionalitet vilket gjorde det svårt att förstå hur programmet verkligen fungerade. Dåliga rapporter Både Microsoft Security Essentials och McAfee Total Protection tycker vi brister i rapporthänseende. Produkterna vänder sig främst till hemanvändare, så vi antar att det är förklaringen till att avancerade funktioner döljs. Vad gäller den skyddsnivå som erbjuds av de olika virusskyddsprogrammen noterade vi vissa skillnader UAC i Windows 7 som vi tror kan vara avgörande för säkerheten. Norton 360 kunde konfigureras att inte tillåta vår trojan att exekvera och kontrollera Internet Explorer. Detta, tillsammans med en korrekt konfigurerad lokal brandvägg, hindrade vår trojan från att kommunicera med servrar på internet. Kaspersky Pure upptäckte när trojanen försökte komma åt mellanlagrade lösenord och andra skyddade systemegenskaper genom att systemet kontrollerade Internet Explorer. Dock ansåg inte Kasperskys virusskyddsprogram att internetkommunikation initierad av trojanen var Microsoft introducerade UAC i Windows Vista för att höja säkerheten. Varje gång en administrationsåtgärd ska genomföras frågar operativsystemet om ditt godkännande. Det här fick mycket kritik eftersom det blev väldigt många störande dialoger. Som ett svar mot kritiken införde Microsoft olika nivåer av UAC i Windows 7. Standardnivån innebär att du endast tillfrågas om det är ett program som utför en administratörsåtgärd, inte om du själv initierat åtgärden. Det här tystade kritiken avseende dess användarvänlighet, men i stället har UAC i Windows 7 fått kritik för säkerheten den anses, som standard, vara lägre än i Windows Vista. Det beror delvis på att UAC i Windows 7 använder så kallad auto-elevation för program som tillåts utföra administratörsåtgärder utan UAC-dialog. Ett program märkt med auto-elevation-flaggan är säkerhetskontrollerat av Microsoft. Ett av säkerhetsproblemen med UAC i Windows 7 är att ett Windowsprogram kan injicera sig själv i en annan process genom systemanropet CreateRemoteThread. Det här innebär att skadlig kod kan injicera sin kod i ett program på UAC-vitlistan för auto-elevation, till exempel explorer.exe. Då dyker ingen en UAC-varning upp när koden utför en administratörsåtgärd om inte nivån för varningarna justerats till den högsta. farlig nog att stoppas. Microsoft hoppade av Vad gäller Microsofts produkter detekterade de inte trojanen på något sätt, trots att vi konfigurerat produkterna till högsta säkerhetsnivån. Vi kontaktade därför Microsofts support för att ta reda på om Microsoft Forefront Endpoint Protection kunde konfigureras till en högre säkerhetsnivå. Vi fick vänta ett par veckor på svar från Microsofts supportavdelning, som då man väl fann tid att svara hänvisade oss till pr-avdelningen. Där berättade man att man inte tyckte att våra tester var vetenskapligt utförda trots att man ännu inte visste exakt hur vi utfört testerna. Vidare menar Microsoft att deras produkter redan har utvärderats i andra tester, utförda enligt andra metoder, och fått utmärkta resultat. De ansåg därför att vi i stället borde utföra våra tester på liknande sätt och ville inte ge oss någon support eller på annat sätt bekräfta våra testresultat. Eftersom Microsoft inte ville bidra med support eller på annat sätt bekräfta vår konfiguration kan vi inte vara helt säkra på om testet av deras produkter är rättvisande. Det var endast virusskyddsprogrammen från Trend Micro, McAfee (Epolicy Orchestrator), F-secure och Sophos som detekterade och hindra- 24 Techworld Särtryck ur nr 9 l 2011 techworld.se

MS Forefront Endpoint Protection (Client install) Panda Security for Desktops Sophos Endpoint Security and Data Protection Symantec SEP FEP 2010 4.05.15 9.7.3 12.1.671.4971 10.5.1083 83 kr 440 kr (vid köp av 25 230 kr (vid köp av 50 257 kr (vid köp av 10 Trend Micro Office Scan 600 kr (av leverantör rekommenderat pris, agentur kan ge andra priser) Nej Ja Nej Nej Ja (via devicecontrol) Nej Nej Nej Nej Ja Nej Nej Nej Nej Ja Nej Nej Ja Nej Ja Nej Stoppar 1 separat Nej Ja Stoppar 1+2+3 separat 15 av 20 10 av 20 15 av 20 15 av 20 10 av 20 0 av 40 15 av 40 10 av 40 10 av 40 40 av 40 5 av 20 15 av 20 15 av 20 15 av 20 15 av 20 10 av 20 15 av 20 15 av 20 15 av 20 10 av 20 30 75 AV 100 AV 100 AV 100 AV 100 AV 100 de vår trojan från att skriva information i autostart-registernyckeln. Endast Panda (med tilläggsfunktionen USB-Vaccine), Kaspersky Workspace Security och Trend Micro Office Scan (genom valet Device control ) stoppade autorun av cd-skivor. Vi hade förväntat oss att virusskyddsprogrammen skulle detektera och varna när vår trojan kopierade sig själv till hårddisken genom autorun-funktionen. Även om man själv kan stänga av autorun för alla enheter bör ett virusskydd med beteendeanalys misstänkliggöra program som använder den funktionen. Andra virusskyddsprogram, i vårt test tydligast Norton 360, lärde sig efter hand att trojanen var skadlig kod då den exekverade från cd-skivan. Men hur den inlärningen gick till är vi inte säkra på, och den verkade inte fungera direkt efter att vi kompilerat om trojanen. För många falsklarm Så varför upptäcker inte skydden en cd-skiva-autorun-trojan? Vi frågade leverantörerna, och de svarade att en allmän blockering av autorun för cdskivor skulle leda till för många falsklarm, och att de flesta trojaner i dag ändå sprids via usb-stickor. En skadlig kod kan ha stor nytta av att utföra administratörsåtgärder. Exempelvis kan en trojan vilja skriva över filer i systemkataloger som nor- malt är skyddade genom ett extra säkerhetslager i form av UAC. I Windows 7 har säkerhetsnivån för UAC i sin standardinställning sänkts och luckor i dess design kan utnyttjas av skadlig kod för att gå runt UAC-funktionen. Vi tycker att ett virusskyddsprogram med beteendeanalys borde sköta om UAC så att inte dessa luckor utnyttjas utan att användaren blir informerad. Under våra tester upptäcker och förhindrar endast virusskyddssystemen från Symantec, Kaspersky, Trend Micro och F-secure när vår trojan försökte utnyttja en välkänd UAC-lucka. Microsofts virusskyddsprodukter klassificerar proof-of-concept-programmet Windows7Elevate. exe som ett hackerverktyg. När vi kompilerar om Windows7Elevate. exe märker dock inte Microsofts produkter vare sig programmet eller då det går förbi UAC för att utföra administrationsåtgärder. Vi blev besvikna Våra förväntningar var över lag höga på de produkter som ingick i testet. Alla har någon slags valbar nivå av säkerhet, vilken vi medvetet justerade till den högsta möjliga. Det är en åt- Techworld Särtryck ur nr 9 l 2011 techworld.se 25

gärd i de flesta fall göra datorn seg och svåranvänd, och därför förväntade vi oss också att hips-skyddet ska vara nära nog hundraprocentigt. Trots samtal med leverantörernas supportavdelningar var vi dock tvungna att konstatera att de flesta virusskyddsprogram som ingick i vår utvärdering inte kunde detekterat vår egentillverkade trojan vid första infektionen. Både F-secure och Sophos supportavdelningar påpekar att vår trojan inte är tillräckligt lik signaturen för de vanligt förekommande trojanerna. Det gäller möjligen även för vissa övriga testdeltagare. Hips-systemet kan inte stoppa alla program med trojanliknande beteenden eftersom det skulle generera för många falsklarm, och det skulle i sin tur leda till att användarna skulle deaktivera hipsfunktionen. Genom att hips-funktio- För- och nackdelar McAfee Total Protection Lätt att konfigurera. Rapportverktyg saknas för avancerade användare. McAfee Epolicy Orchestrator (inklusive hips-modul) Avancerade inställningsmöjligheter. Svårt att veta vilka komponenter som krävs för en fungerande installation. Trend Micro Titan Maximum Bra gränssnitt för att visa status på webblänkar. Klarar trojantestet dåligt. Trend Micro Office Scan Klarar alla moment i vårt beteendeanalystest. Gränssnittet är lite rörigt. Kaspersky Pure Hanterar vissa av de situationer där trojaner kontrollerar godkända program. Bra konfigurationsmöjligheter. Svensk översättning av gränssnittet inte helt perfekt. Kaspersky Workspace Security Hanterar vissa av de situationer där trojaner kontrollerar godkända program. Bra konfigurationsmöjligheter. Svensk översättning av gränssnittet inte helt perfekt. Panda Global Protection 2012 USB Vaccine blockerar autorun för cd-skiva det verktyget är dessutom fristående och gratis. Klarar trojantestet dåligt. Panda Security For Desktops USB Vaccine blockerar autorun för cd-skiva det verktyget är dessutom fristående och gratis. Klarar trojantestet dåligt. F-secure Internet Security 2011 Bra gränssnitt till brandväggen. Detekterar skrivning till run-registernyckeln. Massor av efterhängsna varningsrutor då ett hot detekterats. F-secure Workstation Bra gränssnitt till brandväggen. Bra pris. Massor av efterhängsna varningsrutor då ett hot detekterats. nen gör en sannolikhetsbedömning ska virusskyddsprogrammet kunna upptäcka de allra mest sannolika hotbilderna, samtidigt som det inte larmar i onödan. Sophos Antivirus Detekterar skrivning till Run-registernyckeln. Klarar trojantestet generellt dåligt. Sophos Data and Endpoint Protection Detekterar skrivning till Run-registernyckeln. Klarar trojantestet generellt dåligt. Symantec Norton 360 Enkel att installera. Hanterar situationer där trojaner kontrollerar godkända program för internetkommunikation. Dyr för att vara ett program i hemanvändarsegmentet. Symantec Endpoint Protection Enkel att installera. Verkar ha en lägre säkerhetsnivå än sin motsvarighet i hemanvändarsegmentet. Microsoft Security Essentials och Forefront Endpoint Protection För- och nackdelar ej tillämpbart. Microsoft ville inte medverka i testet. TechWorlds slutsats Testet visar att det dyraste virusskyddsprogrammet för hemanvändare, Norton 360, också är det mest effektiva. Produkten lyckades stoppa flest av de överträdelser som vårt trojanprogram gjorde. Det verkar inte heller som att den inbyggda beteendeanalysen av kombinerade händelser behövde kopplas in för att hindra trojanen. Som företagssystem utmärkte sig Trend Micro Office Scan det kunde konfigureras på ett sätt som oskadliggjorde trojanen på alla utvalda punkter. Vårt trojanliknande program är inte sofistikerat på något sätt, och möjligen kan det också innebära till att det inte heller liknar tidigare kända hot tillräckligt mycket för att virusskyddsprogrammen skulle klassificera det som en trojan. Det tyder i så fall på att hips-funktionerna i virusskyddsprogrammen kan ha svårt att upptäcka riktade attacker även i en skarp situation. Trots att vår trojan inte hindrades tillfredställande av de flesta beteendeanalyserande virusskydden anser vi fortfarande att beteendeanalysen är en viktig egenskap hos ett virusskyddsprogram. Därför efterlyser vi mer avancerade inställningar så att företagens it-säkerhetsansvariga kan justera beteendeanalysen till en högre nivå och göra detaljkonfigurationen av virusskyddsprogrammet, en naturlig del av datorns härdning anpassat till det egna företagets säkerhetskrav. Mikael Simovits och James Dickson är experter på it- och informationssäkerhet. Du kan nå dem via mikael.simovits@techworld.se 26 Techworld Särtryck ur nr 9 l 2011 techworld.se

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss