- Uproff sikkerhetstest

- Uproff sikkerhetstest

Norman fnyser av strykkarakter i dansk sikkerhetstest. Testvinner Symantec mener på sin side at sårbarhetssøk er fremtiden.

- Testen er rar. Den virker ikke så veldig profesjonelt utført, mener markedsdirektør i Norman, Audun Lødemel.

Normans kom på jumboplass i det danske firmaet Secunias sårbarhetstest av 12 store leverandører av sikkerhetspakker. Null av de 300 fellene som ble lagt opp klarte Normans pakke å fange opp. Lødemel mener testen er villedende.

- Vi vil nok aldri score veldig høyt på en slik test siden vi ikke har patch management som en del av vår pakke. Vi har heller ikke spam-sikring, for eksempel. Vi aldri har sagt vår pakke inkluderer patch managment eller sårbarhetsanalyse, og om vi skal tilby den type teknologi i vår i fremtiden blir et annet spørsmål.

- Faller på egen urmelighet

Han reagerer også på at testen er utført av et firma som selv lever av å selge sikkerhet og at testen ikke er verifisert av tredjepart

- Det er ikke sånn du skal gjennomføre en slik test, det bør være tredjeparts. Vi synes hele testen er merkelig, den sier at hele industrien er like dårlig, sier Lødemel.

- Men deres pakke fanget jo null av sårbarhetene i testen, mens Symantec fanget 21 prosent?

- Symantec har implementert patch management i suiten sin, og det har ikke vi.

Lødemel mener testen faller på egen urimelighet i at det ikke er godt nok dokumentert hvordan testene har foregått.

- Det ser ut som de har streamet sårbarheten gjennom antivitirusmotoren. Det er ikke slik vi tar virus. Hadde viruset gått via for eksempel et eget Word-dokument hadde vi tatt det straks.

Vil ikke kommentere test

Testvinner Symantec vil helst ikke kommentere selve testen, men er enig med Secunia i at fokus på sårbarheter er viktig.

- Det de har gjort i denne testen er det vi har sagt gjennom lengre tid. Å bare basere seg på signaturer i et sikkerhetsprogram er ikke godt nok, du må også søke på de sårbarhetene som er og blir kjent. Det er en ny type teknologi vi har lagt inn i de nyeste programmene. Funksjonaliteten i programvaren gjør også at mistenkelig kode blir videresendt til oss for analyse, sier rådgiver Hans Peter Østrem.

- Vi eier Security Focus hvor vi samler inn informasjon om alle sårbarhetene som kommer og hvor vi har oversikt over sårbarheter i programvare fra 1600 forskjellige leverandører. Basert på informasjon fra databasen kan vi lete etter kode som utnytter sårbarheten i programmet, slik som i testen.

- Men dere tar ikke alle fellene som blir lagt opp i testen?

- Jeg kan ikke kommentere enkelttilfellene, jeg vet ikke hvordan testen er satt opp. Det finnes mange forskjellige typer tester. Men det som muligens er konklusjonen, er at vi kommer noen lunde greit ut i denne testen fordi vi benytter teknologi for å fange ondsinnet kode basert på sårbarheter.

Fortsetter under bildet

SLÅR ET SLAG FOR SÅRBARHETSTEST: Symantec-rådgiver Hans Peter Østrem. (Foto: presse)

Ny trend

Østrem forteller at mens Symantec mottok fem nye virus per dag i år 2000, må selskapet i 2008 håndtere fem nye varianter av ondsinnet kode per minutt.

- Årsaken er at det er mange programmer, og mange som lager ondsinnet kode for å utnytte sårbarheter. Du kan til og med kjøpe programmer for å lage ondsinnet kode.

- Så det blir en trend for virusprogrammer å fange ondsinnet kode basert på sårbarheter?

- Ja, helt klart. Før i tiden var angrep rettet mot operativsystemer. Nå angripes applikasjoner og sårbarheter i disse. Det er mye større utvalg av applikasjoner enn operativsystem, så dette er en trend vi har sett, sier Østrem.

Oppdateringsfokus

Teknologisjef Thomas Kristensen i Secunia mener Norman tar seg litt vel nær av testen.

- Vi kritiserer ikke at de ikke har patch managment. Hele poenget med testen er å understreke at en sikkerhetspakke ikke sikrer deg mot alle sårbarhetene som finnes. Vi ville belyse at folk må oppdatere programvaren sin, til tross for at de har investert penger i sikkerhetsprogrammer, til og med hos Symantec som har sårbarhetsanalyse.

- Dere får også kritikk for at testen ikke er gjennomført eller verifisert av uavhengig tredjepart?

- Vi har aldri hevdet at testen er uavhengig. Vi ønsket bare å sjekke hvordan et system ville kjøre uten oppdaterte programmer, fordi det var relevant for oss. Vår konklusjon er ikke at pakkene overhodet ikke er sikre, de fungerer mot mange trusler, vi ser bare at sikkerhetsprogrammene i seg selv ikke er nok for å beskytte pc-en. Jeg tror leverandørene er klar over at dette er deres svake punkt og at det derfor er essensielt at programvare er oppdatert.

Saken er oppdatert 16. november kl. 11:25 med kommentar fra Kristensen .

Les om: