백신 평가로 전세계적으로 인정받는 AV-Comparatives에서 이번달 주제인 "Real-World Protection Test"결과 보고서를 9월 10일 발표했습니다.

 

비트디펜더, 판다 등 제품이 수위를 차지했으며, 표준 위치(?)에 있는 Microsoft도 상당시 높은 성능을 보여 줍니다. 다만, McAfee와 eScan이 부진한 것으로 보입니다.

 

 

 

보다 자세한 내용은 아래 링크를 참고하세요.

 

 

고맙습니다.

reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus
    F-Secure에서 인터넷 보안 제품의 하위(구) 버전을 1년간 무상 사용할 수 있는 라이선스 이벤트가 진행중입니다.

    https://shop.f-secure.com/cgi-bin/dlreg/reg=DE?ID=FSIS11-EU&desid=CHIP-IS11&src=chip12&omc=DE&oml=de&ecid=2569


    이메일을 통해 라이선스 키가 발송되므로, 잘~ 입력해야 합니다. 잠시 기다리면 아래와 같이 라이선스 메일이 옵니다.



    감사합니다.

    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus
      PC에서 동작하는 최초의 바이러스라고 알려져 있는 브레인(Brain) 바이러스의 제작자와의 인터뷰 동영상이 인터넷에 공개되었습니다.

      브레인 바이러스의 제작자는 파키스탄의 Amjad Farooq Alvi, Basit Farooq Alvi 형제로 알려져 있습니다.

      한편, 1986년도에 출현한 브레인 바이러스는 플로피 디스켓을 통해 전파되었습니다.



      인터뷰는 F-Secure의 Mikko Hypponen이 파키스탄을 방문하여 촬영한 것으로 알려지고 있습니다.

      감사합니다.
      reTweet
      Posted by 문스랩닷컴
      blog comments powered by Disqus
        국내 대부분의 컴퓨터 사용자는 마이크로소프트의 윈도우 제품군을 사용할 것이고, 최근에 구입한 컴퓨터라면 윈도우 7을, 좀 오래된 컴퓨터는 윈도우 XP를 사용할 것으로 예상됩니다.

        그런데, 같은 백신이라 하더라도 운영체제 별로 진단율, 편의성, 성능 등이 달라진다면 어떨까요? 이 의문에 대한 자료가 외국 사이트에 올라와 있어 간단히 소개해 봅니다.

        독일에 있는 유명한 바이러스 제품 평가 기관 중의 하나인 AV-Test.org에서는 지난 8월달에 새로운 테스트를 진행했는데, 바로 안티바이러스 제품이 특정한 운영체제에서 동일한 기능을 가지는지에 대한 것이었습니다.

        다만, 안티바이러스 제품이 지원하는 운영체제의 제한과 현실적으로 널리 사용하는 운영체제라는 점을 감안하여 윈도우 7과 윈도우 XP SP2 운영체제만을 평가에 포함시켰습니다.

        각 제품들은 보호 능력(정적 및 동적 악성코드 진단), 치료 능력(감염된 악성코드 제거, 루트킷 제거), 그리고 사용하기 편리한지 알아 보는 편의성(시스템 성능, 오진 등) 이라는 3가지 관점으로 나눠 시행되었습니다.

        그리고, 각 테스트는 가장 최근에 발표된 안티바이러스 제품을 중심으로 구성하였습니다.

        마지막으로 점수 체제는 0부터 6까지 분류하고 점수 단위는 0.5 점로 하였습니다. 따라서, 제품의 총점은 12점이 만점이 됩니다. 평가 결과는 아래와 같습니다.

        <표 1. 평가 결과. 빨간 색으로 표시된 부분은 운영체제별로 차이가 심한 경우를 나타냄>

        대부분의 제품들이 윈도우 7의 점수가 윈도우 XP 점수보다 약간 높았습니다. MSE와 Panda의 경우에는 꽤 많은 점수 차이가 나고 있습니다.

        또한, G-Data, McAfee, PC Tools 제품 등에서는 오히려 윈도우 XP에서의 결과가 더 좋았습니다.

        따라서, 앞으로 안티바이러스 제품을 선택할 때에는 높은 점수를 받는 제품을 선택해야 하는 사항 이외에 자신이 어떤 운영체제를 사용하고 있느냐라는 하나의 추가적인 요소를 고려해야 할 것으로 생각됩니다.

        감사합니다.
        reTweet
        Posted by 문스랩닷컴
        blog comments powered by Disqus
          전세계적으로 바이러스 백신 평가 기관으로 인정받고 있는 AV-Comparatives에서 드디어 모바일 보안 제품에 대한 평가가 이뤄어져 결과가 발표되었습니다.

          2010년 9월에 발표된 보고서는 모바일 보안(Mobile Security)에 대한 부분으로 최근 인기를 얻고 있는 스마트폰에서 사용되는 보안 제품의 성능 및 기능을 검토하였습니다.

          기존에 사용했던 평가 방식에서는 각 항목마다 점수를 부여하고 이를 바탕으로 최종적으로 가장 우수한 제품에는 별 다섯개, 그리고 최하에는 별 하나를 부여하는 방식이었습니다.

          하지만, 이번에 발표된 모바일 시큐리티 평가 보고서에서는 그러한 면을 눈을 씻고서도 찾아 볼 수가 없었습니다.

          그 이유는 바로 스마트폰마다 사용되는 운영체제나 하드웨어가 달라 기능을 객관적으로 구분하여 평가하기 어렵기 때문이라고 밝혔으며, 평가하나 제품은 다음과 같습니다.
          • ESET Mobile Security
          • F-Secure Mobile Security
          • Kaspersky Mobile Security
          • Trend Micro Mobile Security
          위 제품들은 윈도우 모바일 5-6.5까지와 심비안 9.1-9.4를 모두 지원합니다. 한편, F-Secure에서는 안드로이드를 지원하며, 특히 Trend Micro는 안드로이드7을 지원합니다. 마지막으로, Trend Micro는 아이폰에서 동작하는 Trend Micro SmartSurfing이라는 제품도 있습니다.


          먼저 각 제품이 제공하는 특징을 모두 정리하면 다음 표와 같습니다.


          심비안(Symbian) 운영체제를 지원하는 각 제품의 특징은 다음과 같습니다.



          안드로이드, 안드로이드7, 아이폰 운영체제를 지원하는 각 제품의 특징은 다음과 같습니다.

          앞에서도 언급했지만, 각 제품마다 각기 고유한 특징이 있기 때문에 비교하기가 무척 까다롭습니다. 따라서, 자기가 사용하는 운영체제 및 모바일 기기에 따라 어떤 제품을 선택할지 참고하는 용도로 사용하는 것이 좋습니다.

          제품에 대한 보다 자세한 사항은 아래 링크에서 제공하는 PDF 문서를 참고하십시오.

          http://www.av-comparatives.org/images/stories/test/mobile/mobile2010_english.pdf

          감사합니다.

          reTweet
          Posted by 문스랩닷컴
          blog comments powered by Disqus
            스팸 메일(e-mail)은 가장 손쉽게 광고를 할 수 있는 수단으로 이미 우리 곁에 파고들고 있습니다. 하지만, 스팸 차단 시스템이라든지, 언어 상의 장벽(예를 들어, 평범한 한국사람이 영어 메일을 받을 가능성의 거의 0%이므로 영문 메일은 무조건 스팸으로 간주) 때문에 그나마 견디고 있습니다.

            하지만, 스팸을 보내는 광고주 입장에서는 광고 내용이 효과적인지 여부에 대해서 의문을 가지고 있으며, 실제로 스팸의 효과는 1%도 안될 정도입니다.

            최근 SNS 열풍에 힘입어 스팸 업계(!)는 트위터와 페이스북으로 시장을 다각화하고 있습니다.

            먼저 트위터의 경우에는 받은 사람이 언팔로우나 블럭을 하게 되면 그 이후에는 메시지(트윗)을 보낼 수 없기 때문에(보내도 보지 않게 되니) 어느 순간에 갑자기 사용할 수 없게 됩니다.

            따라서, 가장 효과적으로 스팸을 보내는 수단으로 바로 페이스북이 떠오르고 있습니다.


            보안 전문 기업인 F-Secure는 조사를 통해 스팸에 관한 흥미로운 사실을 공개했습니다. 즉, 페이스북에서 보낸 스팸 메시지는 이메일로 보낸 스팸 메시지에 비해 클릭율이 무척 높다는 것으로 클릭하는 링크는 악성코드로 유도하는 URL이 대부분입니다.

            F-Secure 조사 결과 약 40% 정도로 높은 클릭율을 보이고 있으며 이메일 스팸의 경우에는 상대적으로 무척 저조합니다.

            이유는 당연히 친구가 보내는 메일 속에 그러한 내용이 있으리라고는 생각하지 않는 그런 맹점으로 이용한 것으로 친구를 사귈 때 잘 사귀야 한다는 옛말을 다시금 새겨야겠습니다.

            감사합니다.

            출처: http://www.downloadsquad.com/2010/08/26/facebook-spam-infinitely-more-effective-than-email-spam/
            reTweet
            Posted by 문스랩닷컴
            blog comments powered by Disqus
              윈도XP가 지난 7월 중순 경에 기술 지원 및 보안 업데이트에 관한 모든 사항이 종료된 것을 익히 알고 계실 것입니다. 새 소식인데? 라고 말씀하시는 분들은 아래 박스 기사를 참고하십시오.


              가장 대표적인 예를 보더라도, 최근에 발생한 .LNK 관련 취약점에 대한 패치가 윈도XP SP2에서는 쏙~ 빠져있으며, MS 측에서는 SP3로 업그레이드한 후에 보안 패치를 하라고 권고하고 있습니다.

              하지만, 실제 윈도XP SP2를 사용하는 이용자 수는 꽤 많은 것으로 파악되고 있어, 보안상 심각한 문제점을 야기할 수 있다는 가능성이 점쳐지고 있습니다.

              하여튼, 윈도XP SP2를 사용하고 있더라도 약간의 트릭(!)을 써서 최신 보안 업데이트를 적용할 수 있는 방법이 외국에 공개되어 소개합니다.

              참고로, 본 자료를 이용할 때에는 레지스트를 수정하기 때문에, 고의 또는 실수로 잘못하는 경우에는 시스템에 심각한 손상을 가져올 수 있다는 점을 주의해야 하며, 본 자료에 대한 책임은 각자 알아서! 하셔야 합니다.


              보안 기업으로 유명한 F-Secure 상의 보안 전문가인 숀 설리반(Sean Sullivan)은 윈도우 레지스트를 수정하는 방법으로 윈도XP SP2를 SP3로 속이는 방법을 이용하여 .LNK 취약점을 해결하는 보안 업데이트를 설치하는 방법을 블로그에 공개했습니다.

              블로그에 따르면, 윈도우 운영체제가 인식하는 레지스트리 키를 찾아내어 이 값을 변경한 후에 재부팅을 하게 되면 간단히 윈도XP SP3처럼 인식시킬 수 있다고 합니다.

              위치: 'HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Win
              키: CSDVersion
              값: 200 -> 300 으로 변경

              마이크로소프트의 자료에 따르면 CSDVersion 값은 윈도 운영체제에서 최근에 설치된 서비스팩의 버전을 나타냅니다.

              설리반은 윈도XP SP2가 설치된 시스템에서 위에서 언급한 레지스트리 키를 변경하고 난 후에 .LNK 취약점에 관련된 보안 업데이트를 적용하는데 성공했다고 합니다.

              하지만, .LNK 취약점에 관련된 보안 업데이트는 윈도XP SP2를 대상으로 개발되어 제공된 것이 아니기 때문에 차후에 발생하는 취약점에 대해서 이 방법을 통해 모두 해결할 수 있을 것이라고 여겨서는 안된다고 언급했습니다.

              참고로, .LNK 취약점을 패치하고 나서, 해당 악성코드를 감염시켜 본 결과 감염되지 않았다고 합니다.

              감사합니다.

              출처:
              reTweet
              Posted by 문스랩닷컴
              blog comments powered by Disqus
                WHS(Windows Home Server)는 일반인에게 널리 알려져 있는 제품은 아닙니다만, 일부 매니아 층에서 파일 서버 등의 용도로 사용되고 있습니다.

                WHS는 윈도우 2003 R2 운영체제를 기반으로 변형된(MOD) 운영체제로, 거의 윈도우 2003 R2의 기능을 99% 이용할 수 있습니다. 물론, 일부 제한으로 막아 놓은 부분이 있기도 합니다.

                하여튼, WHS 제품에서도 안티 바이러스 제품을 사용할 수 있으며, 현재까지 약 7개 제품이 있습니다. 이 부분에 대해서는 따로 설명할 예정이며, 오늘 소개할 뉴스는 F-Secure에서 제공하는 WHS 제품용 안티 바이러스 제품이 단종될 예정이라고 합니다.



                이러한 내용은 WHS 제품 고객들에게 보낸 메일을 통해 알려져 있으며, 아직 공식적으로 웹사이트 등에서 발표되지는 않았습니다.

                자세한 내용을 살펴 보면,

                F-Secure는 Home Server Security 2009를 2010년 5월 15일까지만 판매합니다. 이 후에는 제품을 더이상 판매하지 않으며, 제품키의 갱신 구매 또한 불가능합니다.

                또한, F-Secure는 이 제품에 대한 추가적인 솔루션을 제공하지 않을 예정입니다.

                다만, 기존에 라이선스를 구매한 사용자들에 대한 지원은 계속될 것입니다.

                그리고, 이 제품에 대한 업데이트는 2011년 5월 15일까지 제공될 예정이며, 그 이후에는 더 이상 제공되지 않습니다.

                F-Secure에서 판매하는 Home Server Security 2009 제품의 단종에 대해 구체적인 사항이 나와 있지 않습니다.

                이 제품을 사용하는 사람들은 라이선스가 만료되기 전까지 다른 제품을 알아봐야 할 것입니다.

                감사합니다.

                출처: http://www.wegotserved.com/2010/08/05/fsecure-withdraw-home-server-security-2009-av-suite/
                reTweet
                Posted by 문스랩닷컴
                blog comments powered by Disqus
                  백신(안티바이러스)의 성능을 논하는데 가장 많이 이용되는 항목이 바로 진단률(Detection Rate)입니다. 권위(!)있는 평가기관에서도 진단율과 오진율(False Positive), 그리고 검사하는 시간 등을 순서를 매기는 중요한 항목으로 배치하고 있습니다.

                  하지만, 사용자가 판단하고자 할 때에 진단율은 저멀리 하늘에 떠 있는 무지개와 같습니다. 보이기는 보이지만, 뜬구름처럼 사용자에게 현실적으로 다가오지 못하기 때문 아닐까 생각됩니다.

                  미국의 버지니아 주에 위치한 정보 보안 업체인 Cyveillance 사는 백신이 새로운 악성 프로그램(Malware)가 출현하고 나서 어느 정도 시점에 이르러야 진단을 하게 되는지 흥미로운 실험을 한 결과를 공개했습니다.

                  현재 악성 프로그램은 하루에 적어도 수천에서 수만개 이상 새롭게 또는 변형되어 출현하고 있으며, 백신 업체에서는 시그내처, 휴리스틱, 클라우드 기반의 기술 등등 다양하면서도 복잡한 기술을 결합하여 악성 프로그램에 대응하는 형국입니다.

                  백신업체에서는 새로운 악성 프로그램이 출현하게 되면, 이에 대한 정보를 습득하고 난 후 일정 기간(1-2일, 위험하지 않을 경우에는 수일 더 추가) 내에 진단할 수 있을 것이라고 생각할 수 있습니다만, 현실을 그렇지 않다는 것을 보여주고 있습니다.


                  이 연구의 목적은 새롭게 출현하는 악성 프로그램에 대해 전통적인 시그내처 방식을 이용하여 진단하는 유명한 안티바이러스 제품이 얼마나 빨리 대응하는 지 알아 보기 위함입니다.

                  이용된 악성 프로그램은 해당 회사가 보유한 기술로 습득한 것으로 2010년 5월 20일부터 22일(3일)간, 약 2억개의 도메인, 1억9천만개의 웹사이트, 8천만개의 블로그, 9만개 이상의 게시판, 수천개의 IRC/채팅방, 수십억 통의 이메일, 짧은 URL 서비스 등에서 수집한 것입니다.

                  다만, 사용된 샘플은 인터넷에서 주로 수집한 것으로 실제 우리가 USB로 감염되거나, 감염된 파일을 다운로드하는 등 현실적인 사용과는 약간 차이가 있을 수 있습니다만, 어느정도 감안하여 이해하시기 바랍니다.

                  <그림 1. 악성 프로그램 출현 후 1일 이내에 진단한 비율>

                  NOD32(38%)이 가장 높은 진단율을 보였으며, McAfee(23%), F-Secure(22%)가 그 뒤를 이었습니다.

                  <그림 2. 시일이 경과하면서 진단율이 증가>


                  <그림 3. 약 30일간 증가되는 진단율>

                  표에서 보듯이 보통 8일 정도 이후가 되어야 진단율이 약 90%정도 이릅니다. 즉, 즉각적인 대응은 솔직이 실망스럽고, 일주일의 시간 후에서야 어느정도 된다는 것입니다. 그런데, 그러는 동안에 새로운 악성 프로그램이 휴가를 가는 것은 아니지 않을까요?

                  마지막으로 악성 프로그램이 출현한 후에 이를 대응 즉, 진단하는데 걸리는 평균 시간은 아래와 같습니다.

                  <그림 4. 악성 코드에 대응하는 데 걸리는 평균 시간>

                  위의 표에서 NOD32는 약 2.2일이 소요되어 1등을 차지했습니다. 그 뒤를 Kaspersky(3.8일) 순서입니다. Sophos, Trend Micro의 경우에는 약간 무척 부진한 상황을 보여 주고 있습니다.


                  지금까지 나온 결과를 보면, 솔직이 실망감이 몰려 들 수 밖에 없습니다.

                  백신 업체에서는 이러한 대량 물량 공세에 효과적으로 대응할 수 있는 기술을 마련해야 할 것으로 보입니다.

                  사용자 측면에서는 백신이 모든 것을 막아 줄 수 있다는 환상을 버리고, 이제 보안은 내 자신이 먼저 지켜야 한다는 생각을 가져야 하며, 보다 안전하게 인터넷을 사용할 수 있는 방법을연구하여 이용해야 할 것입니다.

                  감사합니다.

                  출처: http://www.cyveillance.com/web/docs/WP_MalwareDetectionRates.pdf






                  reTweet
                  Posted by 문스랩닷컴
                  blog comments powered by Disqus
                    최근 제가 작성한 글 중에는 백신(안티바이러스) 제품에 대한 기능 및 성능을 사용자 측면에서 어떻게 판단해야 할 지에 대한 것이 있습니다.

                    이번 글에서는 또하나의 핵심 기능인 DEP와 ASLR에 대해서 알아 보고, 백신과 어떤 상관 관계에 있는지 살펴 보고자 합니다.


                    1. DEP(Data Execution Prevention)

                    윈도우 XP(SP2)에 이르러 보안에 대한 많은 검토가 이뤄지면서 DEP(데이터 실행 방지)라는 기술이 추가되었습니다.

                    DEP은 바이러스와 같은 악성 프로그램이 윈도우의 커널 모드에서 보호하는 메모리에 접근하여 코드를 실행하는 경우에 이를 차단하고 사용자에게 오류로 알려 주는 보안 기능 중 하나입니다.


                    2. ASLR(Address Space Layout Radnomization)

                    윈도우 비스타에서 처음 소개된 보안 기능으로 실행 파일이 메모리에 로드될 때에 ImageBase의 값을 임의로 바꾸는 것으로, 실제 프로세스의 Stack, Heap도 변경됩니다. 제로데이 익스플로잇과 같은 악성 프로그램은 특정한 취약점을 이용하기 위해 고정된 주소를 공격하게 되는데 값이 임의로 바뀌게 되면 공격 자체가 무력화 됩니다.


                    자 이제 검토해야 할 부분은 최신 윈도우 운영체제에서 제공하는 DEP, ASLR을 백신에서 지원을 반드시 해야 하는 것인지 아니면 선택사항으로 봐야할 것인지 검토할 단계입니다.

                    예를 들어, 백신에 특정한 취약점을 가지고 있다면 그리고 이 취약점을 이용하여 공격하는 악성 프로그램이 있다면, 사용자의 대응은 다음과 같을 것입니다.

                    • 취약점을 해결하는 패치가 나올때까지 해당 제품을 사용하지 않고 다른 제품으로 대체
                    • 취약점을 해결하기 전까지 대안이 있는 경우 조치하고 나중에 패치가 발표될 경우 진행

                    하지만, 이러한 조치 방법은 패치가 나와야 한다는 전제조건이 필요합니다. 만약, 패치가 늦게 나오거나, 불가능한 (이럴 일은 없겠지만) 경우에는 꽤 난감할 수 밖에 없습니다.

                    만약 백신이 DEP, ASLR을 지원하는 경우에는 이러한 취약점에 능동적으로 대응할 수 있다는 장점을 가질 수 있습니다.

                    그러면, 국외 백신 제품에서 DEP, ASLR을 지원하는지 살펴보면, 솔직이 실망을 금할 수 밖에 없습니다.

                    Krebson의 블로그에 따르면 AVAST Home Edition, AVG Internet Security, BitDefender Internet Security 2010, ESET Smart Security, F-Secure Internet Security, Norton Internet Security 2010, Panda Internet Security 2010, Trend Micro Internet Securtiy 2010 제품 중에서 일부 제품만이 DEP, ASLR을 지원하는 것으로 알려지고 있습니다.


                    가상화 소프트웨어인 VMWARE 상에서 백신 제품을 설치하고 Process Explorer 프로그램을 이용하여 DEP, ASLR을 확인했습니다.

                    글이 쓰여진 시점에서는 마이크소프트가 제공하는 무료 백신인 MSE(Microsoft Essentials)가 유일하게 DEP, ASLR을 지원했다고 밝히고 있으며, 그외 제품에 대해서는 회사를 상대로 정확한 사항을 파악한 바는 다음과 같습니다.

                    • 어베스트! V5에서는 DEP과 ASLR을 지원(V4.8 미지원)
                    • F-Secure는 지원 예정
                    • Panda는 일부 모듈에서 DEP과 ASLR을 지원
                    • BitDefender는 2011 버전에서 지원 예정
                    • Symantec은 현재 버전에서 DEP는 지원, ASLR은 지원 예정

                    물론, DEP과 ASLR이 문제점을 완벽하게 커버할 수 있는 기능으로 보기는 어렵습니다. 또한, DEP과 ASLR을 우회하는 기술도 이미 널리 알려져 있습니다.

                    하지만, 이 글에서 언급하고자 하는 바는 바로 운영체제에서 애플리케이션의 문제점으로 인해 발생할 수 있는 보안 취약점을 예방하는 기능을 제공하는데, 이러한 기능을 백신에서도 충분히 검토하여 지원해야 하지 않느냐 입니다.

                    아울러, 별도로 테스트는 진행하지 않았지만, 국내 백신 제품에서는 어떠한 결과가 나올지 주목됩니다. 시간적 여유가 된다면 테스트해서 결과를 공개해 볼 요량입니다.

                    감사합니다.








                     

                    reTweet
                    Posted by 문스랩닷컴
                    blog comments powered by Disqus


                      Web Analytics Blogs Directory