Molti utenti pensano che un antivirus aggiornato sia sufficiente per bloccare l’ingresso di malware nel proprio computer. Come è noto, questi software sono il primo bersaglio dei cybercriminali, ma non sempre includono sistemi di auto-protezione che impediscono un attacco contro i file delle applicazioni stesse. AV-Test ha esaminato 32 suite di sicurezza (24 consumer e 8 business), scoprendo che solo due prodotti usano al 100% le note tecniche DEP e ASLR.
Gli attacchi informatici sfruttano vulnerabilità presenti nelle applicazioni, attraverso le quali è possibile compiere diverse azioni, come guadagnare accesso al sistema operativo e prendere il controllo del computer da remoto. Tutti gli sviluppatori sanno che non esiste un software privo di errori e che la probabilità di trovare un bug cresce all’aumentare del numero di righe di codice. Per questo motivo, oltre 10 anni fa, sono stato sviluppati meccanismi di protezione, come DEP e ASLR, che devono essere attivati nel codice sorgente degli antivirus.
DEP (Data Execution Prevention) viene implementata a livello hardware. La tecnologia è presente nei processori AMD e Intel con i nomi EVP e XD-Bit. Il suo scopo è impedire l’esecuzione di istruzioni in determinate aree di memoria, mediante attacchi di tipo buffer overflow. ASLR (Address Space Layout Randomization), invece, cerca di bloccare l’esecuzione di codice in locazioni di memoria conosciute, allocando gli indirizzi in maniera casuale.
L’analisi di AV-Test ha esaminato i file PE (portable executable) a 32 e 64 bit delle suite di sicurezza, scoprendo che solo Eset Smart Security 8 e Symantec Endpoint Protection implementano DEP e ASLR al 100%. Le suite consumer prodotte da Avira, Norton, G Data, McAfee e AVG utilizzato queste protezioni solo per le versioni a 64 bit. Note software house, come Bitdefender, Panda e Trend Micro non raggiungono la media del 90%.
I produttori, contattati da AV-Test, hanno dichiarato che la mancata implementazione di DEP e ASLR è legata a vari fattori, tra cui l’uso di tecnologie di sicurezza proprietarie, tecnologie non compatibili con DEP e ASLR, e l’uso di librerie di terze parti che non usano DEP e ASLR.