Estaba leyendo que Symantec sufrió una fuga de código fuente y me preguntaba qué tan mal está esto Un producto antivirus. ¿Estos productos dependen en gran medida de " (in) Security Through Obscurity " o realmente importa? ClamAV es de código abierto, ¿esto debilita la seguridad que puede proporcionar?
No estoy seguro de que esto sea necesariamente seguridad a través de la oscuridad por diseño. Symantec, al igual que muchas entidades corporativas antes que ellos, ve su código fuente como propiedad intelectual y no está necesariamente protegido por la única razón de proteger su producto de ataques dirigidos. (Tenga en cuenta que no está mal tener un poco de seguridad por oscuridad siempre que no sea su único medio de protección).
Sin embargo, dicho esto, tener su código fuente leído (antiguo) puede abrir nuevas vías para los exploits. Aunque tiene 5 años, es completamente posible (y generalmente probable) que partes del código fuente se hayan reutilizado en muchos de sus productos más recientes.
Personalmente, he revisado, como parte de mi trabajo, el código fuente de los productos que han estado en iteraciones durante los últimos 10 años o más. Las últimas ediciones casi siempre tienen al menos algo de código de sus versiones iniciales porque generalmente es el caso que el núcleo simplemente se aumenta en lugar de reescribirse.
Definitivamente es posible que sea más fácil evitar los algoritmos basados en heurística si sabes específicamente qué están verificando y hace que sea mucho menos una prueba de caja negra. Aparte de eso, dependiendo de lo que se filtró si ellos mismos obtuvieran las firmas, eso sería invaluable porque entonces sabría exactamente lo que buscaban y podría modificarlo en consecuencia.
Estaba pensando que podría ser posible descubrir y explotar vulnerabilidades en el propio AV, y crear virus que ataquen el AV directamente. Al ver que Symantec tiene un gran poder sobre el sistema operativo, poseer el AV sería bastante el rootkit.
El software antivirus y antivirus juega un elaborado juego de escondite; Lo han hecho al menos durante los últimos 20 años. Un antivirus intenta "mirar" todos los lugares donde un virus puede esconderse; Los nuevos virus intentan encontrar nuevos escondites, que el antivirus aún no conoce. La ingeniería inversa se realiza en ambos sentidos, y tener acceso al código fuente hace que la ingeniería inversa sea más fácil.
Aún así, el acceso al código fuente no debería ser fatal en esa dirección. La oscuridad es la única arma en el arsenal de virus; una vez que la ingeniería inversa, se vuelve evidente cómo el virus se replica a sí mismo, cómo detectarlo y cómo eliminarlo. Tener el código fuente de un virus lo mataría. Por otro lado, tener el código fuente completo de un antivirus no te dice cómo derrotarlo; solo te dice qué tipo de virus no lo escapará. Un desarrollador de virus aún tendría que encontrar una nueva ruta a través de la cual el virus puede ir y proliferar, en el que el desarrollador de antivirus no pensó. El desarrollador de virus podría recopilar la misma información a través de pruebas. Tener acceso al código fuente del antivirus hace que el desarrollo del virus sea cuantitativamente menos tedioso, pero no cualitativamente más fácil
Es deprimente que la mayoría de los programas antivirus detectan virus a través de las denominadas firmas (trozos de código que aparecen en algunos virus conocidos, pero probablemente no en "software normal") y la mayoría de los virus intentan escapar al antivirus simplemente con una nueva y distintiva firma. . Esto es deprimente porque significa que los desarrolladores de virus y antivirus aún están, básicamente, en la Edad de Piedra. Los desarrolladores de antivirus ganan al agregar nuevas firmas lo más rápido posible. Los desarrolladores de virus ganan al ser tan numerosos que los desarrolladores de antivirus están abrumados. No hay elegancia aquí, solo números en bruto. Sin embargo, significa que un antivirus es principalmente un gran motor grep ; La teoría de la implementación de tales sistemas ha sido conocida y magistralmente descrita durante décadas (desde 1973 para el volumen 3, específicamente). Por lo tanto, hay muy poco que aprender, para un desarrollador de virus, a partir del código fuente de un antivirus.
Para resumir, diría que el daño resultante de la filtración del código fuente del antivirus es principalmente un problema de relaciones públicas: como una "empresa de seguridad", deberían saberlo mejor que dejar que sus activos corporativos se filtren de esa manera. Pero no tiene mucho impacto en la seguridad real ofrecida por el producto en sí.
Lea otras preguntas en las etiquetas antivirus