ضد ویروس سوفوز ناامن اعلام شد/ مراقب کمپانی خود باشید

 تاویس اورماندی محقق گوگل با کشف حفره های عمده در ضد ویروس سوفوز(sophos) به کمپانی ها توصیه کرد تا سیستم های باارزش خود را به این ضد ویروس نسپارند. 

این محقق در تحقیق 30 صفحه ای خود که به صورت پی دی اف روی اینترنت منتشر شده (از اینجا دانلود کنید) نسبت به پرخطر بودن ضد ویروس سوفوز(کمپانی ضد ویروس انگلیسی) هشدار داده و می گوید بسیاری از فایلهای حاوی بدافزار و ویروس توسط این ضد ویرس کنترل نمی شوند و بدون اعلام خطر روی سیستم قربانی اجرا می شود.

وی می گوید این تحقیق صرفا تحقیقی شخصی بوده و برای محل کار خود (گوگل) تنظیم نکرده است. در این مقاله 30 صفحه ای با آوردن مدارک مستدل نشان داده می شود که حفره های موجود روی سوفوز و کدهایی که مسوولیت ایجاد مانع از ورود ویروس و بدافزار هستند؛ عمل نکرده و کدهای آلوده مربوط به Vosual bacis 6, PDF,CAB و RAR را رد کرده، بدون اینکه اعلام خطر نماید.

برخی از این شکافهای موجود برای حمله از راه دور به حمله کننده اختیار تام می دهد. همچنین در این نوشته با مدرک ثابت می کند که یک اکسپلویت چگونه می تواند به صورن ورم یا کرم اینترنتی خود را روی سیستم قربانی و شبکه پخش کند. وی اکسپلویت خود را با نسخه مکینتاش ساخته اما می گوید لینوکس و ویندوز نیز در امان نیستند.

همچنین از طربق ایمیل آتلوک، در فرمت mail.app بدلیل اینکه سوفوز عملیات ورودی و خروجی را چک نمی کند یک پی دی اف آسیب پذیر آلودگی را به سادگی انجام می دهد.

به گفته وی سناریوی مشهور در این براه از طریق ایمیل انجام می شود و نیازبه باز شدن ایمیل هم ندارد چرا که به طور خودکار اجرا می شود.

باز کردن یک ایمیل، کلیک روی لینک از طریق مرورگر، جاسازی درون یک تصویر از طریق MIME و رجوع به وب میل کاربر نیز از دیگر روشهایی است که روی سیستم قربانی انجام شده بدون اینکه سوفوز بتواند جلوی آنها را بگیرد.

سوفوز همچنین با غیرفعال کردن address space layout randomization بوسیله الحاقی خود موسوم به BOPS کامپیوتر کاربران را در معرض خطر عمده قرار می دهد چرا که به صورت از پیش تعریف شده و دیفالت ASLR  در همه نسخه های ویندوز وجود دارد.

(ASLR )  متد امنیتی برای چک کردن تصادفی فایل های کتابخانه ای و موقعیت سطوح دیتا و ... است تا به محض تشخیص غیرعادی بودن، اعلام خطر کند. گفتنی است سوفوز با غیر فعال کردن این متد موجود در ویندوز، الحاقی خود را جایگزین کرده که این کار نیز دور از منطق به نظر می رسد.

سوفوز همچنین الحاقیات خود برای ایجاد لیست سیاه سایتهای خطرناک را از حالت پیش تعریف مرورگر در آورده و برای خود را جایگزین می کند و بر این اساس یک سایت مخرب با لینک ایمیل و ... در دسترس می شود در حالی که در پالیسی های مایکروسافت و ... از این کار جلوگیری می شود.

کمپانی سوفوز در اولین واکنش خود اعلام کرده بسیاری از مشکلات مطرح شده تا 22 اکتبر حل شده است اما اورماندی می گوید هنوز مشکلات عمده وجود دارد.

یکی از این مشکلات که زیاد هم رسانه ای نشده (محقق با خود سوفوز مستقیم تماس گرفته) تست متد امنیتی موسوم به fuzzing است که نشان از ناامن بودن سوفوز دارد.

سوفوز همچنین اعلام کرده مسوولیت خطرات را در قبال مشتریان خود پذیرفته و در کمترین زمان ممکن آنها را رفع خواهد کرد.گراهام کلولی از مدیران ارشد سوفوز می گوید ضمن پشتیبانی از کاربران، در صدد رفع مشکلات بدون وقفه هستیم.

از آنجایی که بخشهایی از حکومت و سیستم های نظامی از سوفوز استفاده می کنند این گزارش باعث هراس آنها بخصوص در انگلیس شده است و البته کمپانی ضد ویرس سوفوز از آنها خواسته تا آرامش خود را حفظ کنند.

به همین خاطر محقق شاغل در گوگل از کاربران و کمپانی ها خواسته تا از سوفوز در سطوح پایین استفاده کنند و ماشین ها و سیستم های ارزشمند خود از لحاظ اطلاعاتی را در معرض خطر بالقوه و بالفعل قرار ندهند.

واقعیت این است که سوفوز آنقدر قدرت ندارد که در کمترین زمان ممکن بتواند این مشکلات ساختاری را حل کند و ممکن است بحران سراسر این کمپانی را دربرگیرد و البته همه اینها به واکنش مشتریان بزرگ و کوچک این کمپانی خواهد داشت.