تاویس اورماندی محقق گوگل با کشف حفره های عمده در ضد ویروس سوفوز(sophos) به کمپانی ها توصیه کرد تا سیستم های باارزش خود را به این ضد ویروس نسپارند.

این محقق در تحقیق 30 صفحه ای خود که به صورت پی دی اف روی اینترنت منتشر شده (از اینجا دانلود کنید) نسبت به پرخطر بودن ضد ویروس سوفوز(کمپانی ضد ویروس انگلیسی) هشدار داده و می گوید بسیاری از فایلهای حاوی بدافزار و ویروس توسط این ضد ویرس کنترل نمی شوند و بدون اعلام خطر روی سیستم قربانی اجرا می شود.
وی می گوید این تحقیق صرفا تحقیقی شخصی بوده و برای محل کار خود (گوگل) تنظیم نکرده است. در این مقاله 30 صفحه ای با آوردن مدارک مستدل نشان داده می شود که حفره های موجود روی سوفوز و کدهایی که مسوولیت ایجاد مانع از ورود ویروس و بدافزار هستند؛ عمل نکرده و کدهای آلوده مربوط به Vosual bacis 6, PDF,CAB و RAR را رد کرده، بدون اینکه اعلام خطر نماید.
برخی از این شکافهای موجود برای حمله از راه دور به حمله کننده اختیار تام می دهد. همچنین در این نوشته با مدرک ثابت می کند که یک اکسپلویت چگونه می تواند به صورن ورم یا کرم اینترنتی خود را روی سیستم قربانی و شبکه پخش کند. وی اکسپلویت خود را با نسخه مکینتاش ساخته اما می گوید لینوکس و ویندوز نیز در امان نیستند.
همچنین از طربق ایمیل آتلوک، در فرمت mail.app بدلیل اینکه سوفوز عملیات ورودی و خروجی را چک نمی کند یک پی دی اف آسیب پذیر آلودگی را به سادگی انجام می دهد.
به گفته وی سناریوی مشهور در این براه از طریق ایمیل انجام می شود و نیازبه باز شدن ایمیل هم ندارد چرا که به طور خودکار اجرا می شود.
 
باز کردن یک ایمیل، کلیک روی لینک از طریق مرورگر، جاسازی درون یک تصویر از طریق MIME و رجوع به وب میل کاربر نیز از دیگر روشهایی است که روی سیستم قربانی انجام شده بدون اینکه سوفوز بتواند جلوی آنها را بگیرد.
 
سوفوز همچنین با غیرفعال کردن address space layout randomization بوسیله الحاقی خود موسوم به BOPS کامپیوتر کاربران را در معرض خطر عمده قرار می دهد چرا که به صورت از پیش تعریف شده و دیفالت ASLR  در همه نسخه های ویندوز وجود دارد.
 
(ASLR  متد امنیتی برای چک کردن تصادفی فایل های کتابخانه ای و موقعیت سطوح دیتا و ... است تا به محض تشخیص غیرعادی بودن، اعلام خطر کند. گفتنی است سوفوز با غیر فعال کردن این متد موجود در ویندوز، الحاقی خود را جایگزین کرده که این کار نیز دور از منطق به نظر می رسد.
 
سوفوز همچنین الحاقیات خود برای ایجاد لیست سیاه سایتهای خطرناک را از حالت پیش تعریف مرورگر در آورده و برای خود را جایگزین می کند و بر این اساس یک سایت مخرب با لینک ایمیل و ... در دسترس می شود در حالی که در پالیسی های مایکروسافت و ... از این کار جلوگیری می شود.
کمپانی سوفوز در اولین واکنش خود اعلام کرده بسیاری از مشکلات مطرح شده تا 22 اکتبر حل شده است اما اورماندی می گوید هنوز مشکلات عمده وجود دارد.
یکی از این مشکلات که زیاد هم رسانه ای نشده (محقق با خود سوفوز مستقیم تماس گرفته) تست متد امنیتی موسوم به fuzzing است که نشان از ناامن بودن سوفوز دارد.
سوفوز همچنین اعلام کرده مسوولیت خطرات را در قبال مشتریان خود پذیرفته و در کمترین زمان ممکن آنها را رفع خواهد کرد.گراهام کلولی از مدیران ارشد سوفوز می گوید ضمن پشتیبانی از کاربران، در صدد رفع مشکلات بدون وقفه هستیم.
از آنجایی که بخشهایی از حکومت و سیستم های نظامی از سوفوز استفاده می کنند این گزارش باعث هراس آنها بخصوص در انگلیس شده است و البته کمپانی ضد ویرس سوفوز از آنها خواسته تا آرامش خود را حفظ کنند.
به همین خاطر محقق شاغل در گوگل از کاربران و کمپانی ها خواسته تا از سوفوز در سطوح پایین استفاده کنند و ماشین ها و سیستم های ارزشمند خود از لحاظ اطلاعاتی را در معرض خطر بالقوه و بالفعل قرار ندهند.
واقعیت این است که سوفوز آنقدر قدرت ندارد که در کمترین زمان ممکن بتواند این مشکلات ساختاری را حل کند و ممکن است بحران سراسر این کمپانی را دربرگیرد و البته همه اینها به واکنش مشتریان بزرگ و کوچک این کمپانی خواهد داشت.
56502
کد خبر 256474

برچسب‌ها

نظر شما

شما در حال پاسخ به نظر «» هستید.
7 + 6 =

نظرات

  • نظرات منتشر شده: 7
  • نظرات در صف انتشار: 0
  • نظرات غیرقابل انتشار: 0
  • mohammadreza IR ۱۲:۵۲ - ۱۳۹۱/۰۸/۱۸
    3 4
    لطفا خبرهای کارشناسی شده تری در زمینه فناوری اطلاعات در سایت قرار دهید. کمپانی سوفوس اولین تولید کننده مجموعه های محافظتی در دنیا می باشد. این گزارش که شمابه آن استناد کرده اید شاید مربوط به 10 سال پیش می باشد. زمانی که ورژن 6 این آنتی ویروس منتشر شده بود. در آن زمان کمپانی های کسپر و ... در حد چنین تولیداتی نبودند. زمانی که سوفوس تنها تولید کننده آنتی ویروس برای مکینتاش بود. عکس های گذاشته شده مربوط به کنسول انترپرایز 6 NAC می باشد. که هم اکنون سوفوس در حال فروش نسخه 11 می باشد که فوق العاده قدرتمند می باشد. اگر چنین بود که شما گزارشش را الان می دهید شرکت هایی مثل سیسکو، کوکاکولا، ماشین سازی فورد، توشیبا و صدها هولدینگ بزرگ اروپا و آمریکا جزو مشتریان این کمپانی نبودند.لطفا دقت فرمایید.
    • eset US ۰۰:۴۸ - ۱۳۹۱/۰۸/۱۹
      3 1
      این دو لینک مال دیروزه نه شش سال پیش: http://www.informationweek.com/security/vulnerabilities/sophos-av-teardown-reveals-critical-vuln/240062599 http://www.pcworld.com/article/2013580/researcher-finds-critical-vulnerabilities-in-sophos-antivirus-product.html == شما ایرانی چرا حرص خارجی رو می خورید؟ کاسه داغ تر از آش؟ اینهمه پتانسیل برای کج نویسی به صورت کامنت رو اگر صرف ساختن ضد ویروس کرده بودی الان یکی بهتر از سوفوز ساخته بودی.
    • mohammadreza IR ۱۰:۴۳ - ۱۳۹۱/۰۸/۲۰
      1 0
      http://www.sophos.com/en-us/medialibrary/PDFs/other/itprorankingendpointantivirusantimalware_3931043.pdf شما این پی دی اف رو ببین که مال خود informationweek هست که لینک ازش گذاشتی. تحلیلی که این تو این گزارش مورد بحث گذاشته شده مربوط به ورژن 6 کنسول شبکه سوفوس می باشد. شما هم یه کم این حس ناسیونالیستیتون رو بزارین کنار و تخصصی حرف بزنین. اگه بنا بر حرف جنابعالی باشه ما کلا باید رایانه ها و تلوزیونها و همه وسایل خارجیمون رو بزاریم کنار تا خودمون یکی دیگه بسازیم. ایشالا یه آنتی ویروس ایرانی که قابل رقابت با بقیه باشه حتما می نویسیم ولی کار خوب و محصول خوب رو باید ازش دفاع کرد.
  • سعید IR ۱۶:۳۷ - ۱۳۹۱/۰۸/۱۸
    4 2
    اگه این 2 تا آنتی ویروس ساخت ایران هم آنالیز کنند حتماً اعلام میکنند این خودش ویروسه :دی
    • بدون نام IR ۱۲:۵۷ - ۱۳۹۱/۰۸/۲۰
      3 1
      مگه ایران آنتی ویروس داره ؟؟؟؟؟ فقط ایمن هست که ظاهرآ همون بیت دفندر هستش . بقیه FAKE AV هستن دوست عزیز و نه آنتی ویروس معتبر .
  • بدون نام IR ۲۰:۱۸ - ۱۳۹۱/۰۸/۱۸
    1 3
    فقط eset
    • بدون نام IR ۱۲:۲۶ - ۱۳۹۱/۰۸/۲۰
      3 3
      چرا چرت میگی . فقط ای ست یعنی چی ؟ خبرآنلاین عزیز آخه چرا هر پرت و پلایی رو منتشر می کنی ؟ طرف برداشته گفته فقط ای ست . اصلا فقط ای ست - اخه ای ست سر امنیته یا ته امنیته ؟ کمی فکر کن بچه جان .