Sophos: UAC не защитит вас от вредоносного ПО

[Danilka 678]

Запись в блоге, сделанная старшим инженером по безопасности компании Sophos, Честером Вишниевски (Chester Wisniewski), гласит, что недавние тесты Sophos показали, что функция User Account Control, которая запрашивает у пользователя разрешение для предоставления повышенных привилегий, является неэффективной в деле предотвращения выполнения образцов вредоносного ПО на компьютере под управлением Windows 7, если на нем нет антивируса.

В то время, как два из десяти выбранных образцов вредоносных программ вовсе не могли запуститься в Win7, всего один образец (червь с низким показателем распространения под названием W32/Autorun-ATK) был остановлен UAC. Остальные семь легко запустились.

Среди тех вредоносных объектов, которые беспрепятственно запустились на тестовом компьютере, следует отметить Troj/FakeAV-AFY и Troj/FakeAV-AFX, два трояна с низким уровнем опасности, которые видны даже при проверке бесплатным антивирусом; Mal/EncPk-KY и Mal/EncPk-KP, два средненьких спам-вируса; Troj/Agent-LIW, троян, который управляет поведением Internet Explorer; Troj/Zbot-JN, троян, который пытается украсть банковские данные, маскируясь под анонимный e-mail-запрос, и W32/Autorun-ATC, червь, изменяющий сценарий запуска.

"UAC заблокировал лишь один образец, однако, его неспособность блокировать все остальные лишь подтверждает мое предупреждение касаемо Windows 7, что конфигурация UAC по умолчанию не является эффективным средством защиты ПК от современных вредоносных программ" - пишет Вишниевски.

Конфигурация по умолчанию изменилась в Windows 7, став на один уровень ниже (при этом перестала раздражать некоторых пользователей), чем в Vista. В процессе тестирования в начале этого года, это решение Microsoft стало причиной серьезных разногласий касаемо эффективности решения и, в частности, возникновения привилегии самоуправляемых привилегией, которую все сочли подарком для авторов эксплойтов.

Как рассказал Вишниевски нашему изданию, в его намерения не входило доказательство неэффективности UAC, однако, он хотел показать, что Windows 7 может быть уязвима в такой конфигурации.

"Это был небольшой тест, чтобы определить эффективность административных прав посредством использования только UAC, чтобы обеспечить защиту от вредоносных программ компьютера под управлением Windows 7" - объяснил Вишниевски. "Я не проверял, как будет вести себя Windows 7 в случае, когда UAC работает в режиме Vista".

Но если решением проблемы является антивирус (а Sophos, конечно же, является разработчиком антивирусного ПО), то какой толк в UAC?

"Я сделал несколько последующих тестов, хотя, как и в случае с вредоносным программным обеспечением, для этого все же надо немного времени, чтобы безопасно выполнять эти тесты. У меня появились кое-какие данные и результаты, на основании которых я поделился своими рекомендациями касаемо UAC " - он ответил. "Я просто хотел предупредить пользователей, что UAC не может эффективно защищать компьютеры от вредоносных программ. Я думаю, Microsoft признает это, что отражается в их усилиях по увеличению безопасности в Microsoft Forefront и Essentials". Но в целом Sophos считает, что UAC неэффективен против вредоносного ПО, работа которого основана на увеличении уровня привилегий, даже если это ПО не входит в число самых опасных вирусов.

"Мы не выбирали конкретные образцы, взяв лишь десять наиболее свежих и наиболее распространенных. Большинство из них были относились к типу 'Fake AV', даже если в названии образца это не указано. У нас есть общие средства для обнаружения вредоносного ПО, их групп и других подобных гадостей. С надлежащей защитой от вредоносных программ Windows 7 намного безопаснее" - признали инженеры по безопасности Sophos.

"UAC лишь представляет собой дополнительный уровень защиты, который поможет в случае, если вашему антивирусу не удалось обнаружить новой образец. Правда, на моем опыте подобных случаев не было".

Источник: http://www.betanews.com

[dr_dizel 385]

Какой бред. UAC - это триггер скачкообразного повышения привилегий. Каким образом он должен был предотвращать запуск не требующих этих привилегий сэмплов? И вообще не факт, что отработавший сэмпл достигнет своих целей. И не ясно была ли это x64 или x32 винда. И пр. и пр.

Похоже им нужна была статья с N-м количеством знаков т.к. пришло время что-то написать.

[Danilka 678]

dr_dizel

Может они что то не знают?

[dr_dizel 385]

Может они что то не знают?

Да - что спят. А во сне можно такого понаписать...

[Burbulator 146]

Какой бред. UAC - это триггер скачкообразного повышения привилегий. Каким образом он должен был предотвращать запуск не требующих этих привилегий сэмплов? И вообще не факт, что отработавший сэмпл достигнет своих целей. И не ясно была ли это x64 или x32 винда. И пр. и пр.

Похоже им нужна была статья с N-м количеством знаков т.к. пришло время что-то написать.

Sophos всего лишь озвучил официальную позицию Microsoft, которой уже несколько лет

To help prevent malicious software from silently installing and causing computer-wide infection, Microsoft developed the UAC feature.

[dr_dizel 385]

Sophos всего лишь озвучил официальную позицию Microsoft, которой уже несколько лет

А мне показалось, что они открыли для себя большую тайну - UAC не является антивирусом.

Само проведение такого теста показывает, что автор ничего не понимает ни в UAC ни в безопасности W7, а только услышал/прочитал пару знакомых слов о семёрке.

[Danilka 678]

А вот и ответ MS:

После скандальной публикации сотрудником компании Sophos, которую многие читатели сочли лишь за попытку черного пиара с помощью заголовков наподобие "Windows 7 беззащитна против 80% вредоносного ПО", Microsoft, наконец-то, открыла ответный огонь. В своем блоге Пол Кук (Paul Cooke), директор Windows Enterprise Client Security, пояснил, что претензии Sophos являются, мягко говоря, необоснованными.

"Я не фанат компаний, делающих сенсационные заявления о Windows 7, чтобы продать побольше своего собственного программного обеспечения" - написал он. "Этот тест лишь показывает, что большинство людей намеренно запускают известные вредоносные программы на своих компьютерах. Вредоносные программы обычно проникают в систему другими путями, будь то браузер или почтовая программа. Таким образом, хотя я и совершенно согласен, что антивирусное программное обеспечение имеет важное значение для защиты вашего ПК, есть и другие необходимые средства защиты".

Тесты компании Sophos были выполнены совершенно некорректно, потому что вредоносное ПО запускалось на никоим образом незащищенных системах, на которых не было установленного антивирусного программного обеспечения. Microsoft всегда рекомендует клиентам устанавливать антивирусное ПО, тем более, что ранее в этом году Microsoft выпустила бесплатное антивирусное решение - Microsoft Security Essentials, - которое доступно в том числе и для Windows 7. Microsoft никогда не утверждала, что для Windows 7 не требуется антивирусное программное обеспечение.

"Я согласен с Sophos в том, что вам все равно придется установить антивирусное решение, чтобы защитить компьютер под управлением Windows 7" - отметил Кук. "Но также не менее важно держать все программное обеспечение в актуальном состоянии через службы автоматического обновления, например, через службу Windows Update. Настроив свой компьютер для автоматической загрузки и установки обновлений, вам будет обеспечен высочайший уровень защиты от вредоносных программ и других уязвимостей ".

"Windows 7 построена на платформе безопасности Windows Vista, в которой применяется серьезнейший подход к защите пользователей от вредоносного ПО" - объясняет он. "В результате при разработке Windows 7 применялись усовершенствованные технологии, которые сделали Windows Vista одной из менее уязвимых ОС на рынке.

Настоящая проблема заключается в том, что предоставляя своим клиентам бесплатные антивирусные программы, Microsoft переходит дорогу другим компаниям, выпускающим антивирусы, таким как Sophos. Эти компании создали богатый бизнес, в котором их продукция прекращает обновляться после того, как срок действия ключей заканчивается, оставляя своих пользователей уязвимыми. Microsoft сначала попытались создать свою собственный недорогой продукт для обеспечения безопасности, OneCare, но затем компания приняла решение заменить его бесплатным Microsoft Security Essentials, который не оставит пользователей незащищенными.

Таким образом, Sophos своей публикацией лишь подтвердила, что компании нельзя доверять.

Источник:

http://www.windowsitpro.com