De Nederlandse Vereniging van Banken liet laatst weten dat haar leden niets voelen om hun klanten van een virusscanner te voorzien, toch is het straks goed mogelijk dat als je wilt internetbankieren eerst je PC door de bank op malware moet laten scannen. De Spaanse virusbestrijder Panda Security kondigde drie weken geleden aan dat het een speciale virusscanner voor banken heeft ontwikkeld. In het persbericht stond vermeld dat banken ook zonder dat de klant dit weet zijn of haar computer kunnen scannen. Security.NL sprak laatst met verschillende onderzoekers van Panda of we hier inderdaad met "spyware" te maken hebben.

Volgens de beveiliger was het persbericht "ontsnapt" en nog onvolledig. "Panda Security for Internet Transactions" is in principe een kleinere versie van de Nanoscan die het bedrijf al gratis aanbiedt. Gebruikers moeten een ActiveX control voor Internet Explorer of een XPI bestand voor Firefox accepteren, waarna de virusscanner van zo'n 200KB wordt geïnstalleerd. De scanner kijkt alleen wat er in het geheugen draait. Ook kan die alleen maar banking trojans en andere financiële malware herkennen. Hierdoor duurt een scan twee tot vijf seconden, zodat internetbankieders niet lang hoeven te wachten, aldus onderzoeker Luis Corrons. Verschillende banken hebben inmiddels al een pilot met de scanner lopen, hoewel Corrons geen namen wilde noemen. Verder is men ook in gesprek met partijen zoals PayPal. De bank of website kan zelf bepalen wanneer er gescand wordt en hoe vaak. Zo is het mogelijk om tijdens het inloggen te scannen, maar ook tijdens het versturen van de transactie. Op deze manier wordt voorkomen dat malware zichzelf uitschakelt, en wacht totdat de transactie plaatsvindt.

Mocht er tijdens een scan malware worden aangetroffen, dan heeft de bank verschillende opties. Is het bijvoorbeeld een banking Trojan die geen gevaar voor de bank vormt, dan wordt de gebruiker bijvoorbeeld niet gewaarschuwd. Is de malware wel een potentieel gevaar, dan kan men de gebruiker de toegang ontzeggen of hem alleen maar waarschuwen. Voorlopig zouden alle banken de scanner, die over twee weken wordt gelanceerd, alleen vrijwillig aanbieden. Panda ziet het dan ook als een extra dienst naar de klanten toe, en niet iets dat als een dreigmiddel zal worden ingezet.

Het grote probleem voor banken is dat ze niet weten wanneer ze worden aangevallen en een aanval niet kunnen stoppen. Gemiddeld hebben banken twee dagen nodig om een aanval te stoppen, maar er zijn ook aanvallen die soms twee maanden doorgaan. De malware en e-mails worden dan verstuurd uit landen zoals China, waar het een stuk lastiger is om de verantwoordelijke partij "aan te sporen". Een probleem waar virusbestrijders mee te maken hebben is dat er dagelijks zo'n 4000 nieuwe malware exemplaren verschijnen. Hierdoor is het analyseren van malware bijna niet meer te doen.

Panda zegt de oplossing voor de problemen te hebben door alle informatie over malware, aanvallen en wat nog meer in een grote database te verzamelen, genaamd het "collective intelligence". Deze verzameling is veel groter dan een lokale virusscanner kan bevatten. "Geïnstalleerde virusscanners herkennen zo'n 500.000 exemplaren, terwijl de database over 2,5 miljoen exemplaren beschikt", zegt Corons. Een ander nadeel van de steeds groter wordende lokale databases is dat virusscanners steeds meer middelen vragen. Daarom bedacht men een oplossing om meer malware met minder middelen te detecteren. De lokale scanner heeft in dit verhaal geen signatures of heuristieke database meer, maar alleen de scan engine. Hierdoor kan men een zeer kleine virusscanner gebruiken, die al zijn informatie van de servers van Panda haalt. De beveiliger zegt alle processen, bestanden en applicaties te hebben gedocumenteerd, zodat er tijdens een memory scan meteen te zien is of een systeem geïnfecteerd is.

De opzet van Panda klinkt misschien goed, het leent zich ook voor misbruik. Wat als malware op het systeem de communicatie met de Panda server spoofed, of aan de bank laat weten dat het systeem schoon is? Corrons geeft toe dat ze aan alles gedacht hebben, maar dat als het systeem live gaat ze de aanvallen pas goed in kaart kunnen brengen. De beveiliger wil dan ook niet teveel over de zwakke plekken van het systeem vertellen, uit angst dat criminelen dit kunnen gebruiken. Op de vraag of het verbergen van informatie, waar aanvallers vroeger of later toch achter komen, bijdraagt aan de veiligheid, laat Corrons weten dat men alles moet doen om een stapje voor te blijven.

Of Panda de oplossing voor de internetbankieren problematiek heeft gevonden is afwachten. Onling banking is big business en ook andere vendors zullen zich op deze markt richten. Voor banken zou het een goedkopere oplossing kunnen zijn dan het verstrekken van volwaardige virusscanners aan hun klanten. En de klanten? De eerste reacties op Security.NL waren zeer negatief. Toch is een extra check voor consumenten die geen beveiligingsdeskundige zijn best handig, zolang het maar transparant gebeurt.