1. тестовані антивіруси
2. Методологія
3. тестові випадки
4. Результати тестування
5. Всі модулі захисту відключені
6. Антивірусний захист з настройками за замовчуванням
7. Рекомендовані антивіруси

Лабораторія AVLab провела тестування антивірусів, які мають модуль захисту онлайн-платежів або "захищений браузер", проти різних видів загроз і атак при здійсненні фінансових операцій в Інтернеті

У січні і лютому 2017 року експерти AVLab провели тестування декількох антивірусних продуктів, які мають модуль захисту онлайн-платежів. Багато інструменти захисту інтегровані безпосередньо в тестовані програми. Єдиним винятком є ​​автономний модуль "Bitdefender Safepay" - компонент можна використовувати як окремий продукт, спільно з іншим антивірусом.

• перехоплення і зміни даних в буфері обміну системи
• перехоплення клавіатурних натискань
• ін'єкції шкідливих DLL бібліотек в процеси
• вилучення конфіденційної інформації з ОЗУ (паролі, логіни, реквізити банківських карт)
• перехоплення облікових даних з HTTPS сайтів

тестовані антивіруси

Загальна інформація

Основна мета випробування полягала в перевірці ефективності захисту так званих "захищених браузерів" проти різних видів загроз і атак при здійсненні фінансових операцій в Інтернеті, а також при відвідуванні сайтів, захищених сертифікатом SSL.

Тест проходить в 2 основних етапи:

1. На першому етапі експерти лабораторії перевіряли ефективність захисту платежів при відключеною антивірусного захисту. Даний тест повинен був підтвердити важливість використання всіх доступних функцій безпеки при проведенні електронних платежів.
2. На другому етапі (стандартні настройки) в тестованих антивірусних продуктах були включені всі захисні механізми. Таким чином, експерти могли порівняти ефективність захисту онлайн-платежів у випадках з включеними і відключеними компонентами.

У тесті брали участь антивіруси Arcabit, Avast, Bitdefender, Comodo, Eset, F-Secure, G Data, "Лабораторії Касперського" і Qihoo. За результатами тестування AVLab може рекомендувати для захисту тільки рішення від Arcabit, Comodo і "Лабораторії Касперського".

У тесті експерти AVLab застосовували інтерпретатор системних команд PowerShell і шкідливі скрипти, написані на мові Python. Ці тестові інструменти використовувалися для перевірки ефективності вбудованих механізмів безпеки "захищених браузерів" і "віртуальних середовищ" проти кейлогерів, перехоплення даних буфера обміну, вилучення важливих даних з пам'яті, редагування файлу HOSTS і MITM-атак.

Методологія

У тесті використовувалися шкідливі програми, що працюють в системах Windows.

Процедура тестування:

1. Установка тестованого продукту на підготовлену систему Windows 10 x64 .
2. Послідовний запуск перевірочних процедур: Тест 1, Тест 2, Тест 3, ... Тест 14.
3. Збереження результатів і повернення до 1 кроці.

Щоб дотримати принцип рівності, експерти AVLab вирішили перевіряти всі інтегровані з антивірусами браузери в ідентичній тестової середовищі. Єдиним винятком є ​​Bitdefender Safepay, тому що даний продукт може працювати з будь-яким стороннім антивірусом.

Дотримуючись цього принципу, всі рішення були протестовані в однакових умовах відповідно до однаковим алгоритмом проведення процедури.

У тесті експерти AVLab використовували скрипти, написані на мові Python, інтерпретатор системних команд PowerShell і поширені інструменти для Linux. Всі тестові шкідливі скрипти, які використовувалися для перевірки, не виявлялися за допомогою сигнатурної системи виявлення. Таким чином, можна стверджувати, що антивіруси не могли виявити тестові зразки.

тестові випадки

Тест 1: в даному тесті перевірялася можливість перехоплення вмісту буфера обміну при переміщенні скопійованих даних з буфера в "захищений браузер" або в "віртуальне середовище".

Тест 2: в даному тесті перевірялася можливість перехоплення вмісту буфера обміну при переміщенні скопійованих даних з "захищеного браузера" або з "віртуального середовища" в систему Windows.

Тест 3: в даному тесті перевірялася можливість перехоплення вмісту буфера обміну вірусом, що працюють в системі Windows, при копіюванні даних з буфера у вкладки "захищеного браузера" або в "віртуальне середовище".

Тест 4: в даному тесті перевірялася можливість підміни номера банківського аккаунта в буфері обміну при копіюванні інформації з месенджера, повідомлення електронної пошти, рахунки в вигляді PDF файлу або з сайту в "захищений браузер" або в "віртуальне середовище".

Тест 5: в даному тесті перевірялася можливість реєстрації клавіатурних натискань шкідливою програмою при авторизації на сайті інтернет-банкінгу.

Тест 6: в даному тесті перевірялася можливість зняття скріншотів шкідливою програмою при авторизації на сайті інтернет-банкінгу.

Тест 7: в даному тесті перевірялася можливість вилучення конфіденційної інформації з пам'яті ОЗУ, наприклад, реквізитів кредитних карт, паролів і ін. При відвідуванні HTTPS сайтів.

Тест 8: в даному тесті перевірялася можливість ін'єкції шкідливих бібліотек DLL в процеси "захищеного браузера" або "віртуального середовища" при відвідуванні HTTPS сайтів.

Тест 9: в даному тесті перевірялася можливість ін'єкції коду HTML і JavaScript у веб-сайти HTTP при їх відвідуванні.

Тест 10: в даному тесті перевірялася можливість зміни вихідного коду відображуваного веб-сайту при відвідуванні HTTP сайтів.

Тест 11: в даному тесті перевірялася можливість перенаправлення (редиректу) користувача на інший IP-адреса при відвідуванні HTTPS сайтів.

Тест 12: в даному тесті перевірялася можливість перехоплення конфіденційної інформації з HTTPS сайтів з підтвердженими сертифікатами SSL.

Тест 13: в даному тесті перевірялася можливість організації віддаленого підключення під час активної сеансу відвідування банківського сайту в "захищеному браузері" або в "віртуальному середовищі".

Тест 14: в даному тесті перевірялася можливість зміни вмісту файлу HOSTS при використанні в "захищеного браузера" або в "віртуального середовища".

Результати тестування

При здійсненні онлайн-платежів користувачі особливо схильні до крадіжці конфіденційних даних третіми особами і шкідливими програмами. Протестовані AVLab рішення не захищають від MITM-атак. Винятками стали Arcabit Internet Security, Kaspersky Total Security і ESET NOD32 Smart Security 10, які при перевірці захисту від модифікації таблиць ARP, змогли запобігти завантаження даних між тестовим комп'ютером з некоректним MAC-адресою і маршрутизатором. У цих випадках для успішної організації атаки зловмисник або шкідлива програма повинні бути посередниками між комп'ютером жертви і цільовим джерелом, наприклад, інтернет-банкінгом або комп'ютером. Дані атаки можуть бути дуже ефективні, а виявити їх дійсно складно.

Більшість протестованих рішень не захищають сеанси онлайн транзакцій від потенційних хакерських атак і шкідливих програм в соціальних мережах, які розпізнаються модулями захисту реального часу і поведінкової захисту.

Всі модулі захисту відключені

На першому етапі експерти лабораторії перевіряли ефективність захисту платежів при відключеною антивірусного захисту. Даний тест повинен був підтвердити важливість використання всіх доступних функцій безпеки при проведенні електронних платежів

Антивірусний захист з настройками за замовчуванням

На другому етапі (стандартні настройки) в тестованих антивірусних продуктах були включені всі захисні механізми. Таким чином, експерти могли порівняти ефективність захисту онлайн-платежів у випадках з включеними і відключеними компонентами

Рекомендовані антивіруси

Виявляється, що евристичний або поведінковий аналіз, який перевіряє підозрілі активності за допомогою емулятора процесів, перевіряє API виклики і їх контрольні суми, не гарантує максимальний захист. Хоча жоден з протестованих продуктів не отримав максимальний рейтинг, експерти AVLab можуть порекомендувати такі антивіруси:

Arcabit Internet Security - за інноваційний підхід в захисті особистих даних в Інтернеті. Польські розробники застосували нестандартні механізми захисту свого браузера, що дозволило запобігти запуск небажаних процесів під час його роботи.

Comodo Internet Security - за безпечне середовище виконання, яка належним чином захищає транзакції в мережі. Проте, користувачі не повинні забувати про уразливість мобільних пристроїв до MITM-атакам і повинні використовувати VPN і дотримуватися правил безпечного серфінгу при використанні публічних мереж.

Kaspersky Total Security - за комплексний захист, яка гарантує високий рівень безпеки проти модельованих атак і загроз при використанні стандартних налаштувань.

ESET NOD32 Smart Security - за ефективний захист від зараження ARP таблиць. Рішення словацьких розробників продемонструвало високу ефективність захисту даних проти MITM-атак.

З повним звітом ви можете ознайомитися з цим посиланням (Pdf, англійською мовою).

Знайшли друкарську помилку? Виділіть і натисніть Ctrl + Enter