Veel tests van virusscanners zijn onvolledig en het kiezen van een alternatieve browser is geen oplossing om veilig te kunnen internetten, aldus David Sancho, anti-virusonderzoeker bij Trend Micro. We stelden Sancho verschillende vragen over recente en nieuwe ontwikkelingen op het gebied van virusbestrijding en wanneer we echt slimme virusscanners kunnen verwachten.

Wat denk je van de huidige methoden om anti-virus software te testen. Een recente test van AV-test.org werd hevig door Sophos bekritiseerd, en andere vendors zeggen dat deze tests zich alleen op een klein gedeelte richten, en andere belangrijke zaken vergeten, zoals proactieve bescherming

Sancho: Tests zoals die van AV-test.org richten zich alleen op detectie en niet op de algehele bescherming van de client. Wij denken dat bescherming meer is dan alleen het detecteren van geïnfecteerde bestanden. Vandaag de dag zijn de meeste dreigingen via het web actief en kunnen ze zich allemaal zelf updaten. Door URL blocking en detectie te integreren zorgen we ervoor dat dreigingen geen toegang tot kwaadaardige URL’s krijgen en de gebruiker ze niet downloadt. In onze scanner gebruiken we verder gedragsanalyse. Een test die alleen een deel van de bescherming controleert, test niet de volledige verdediging van een product.

De roep voor heuristische scanning wordt steeds groter, toch gebruiken de meeste AV-oplossingen nog voornamelijk signatures. En als we verder kijken moet ook de heuristiek worden geupdate. Wanneer krijgen we meer geavanceerde en slimmere oplossingen?

Sancho: Het probleem met heuristiek is dat de aanvallers net als wij ook toegang tot de scanners hebben, en hun creaties dus kunnen aanpassen om zo detectie te omzeilen, of er nu heuristieke scanning is of niet. Dit soort detectie moet continu geëvalueerd en aangepast worden om de nieuwste dreigingen te kunnen detecteren. De combinatie van heuristiek en andere methoden, zoals URL reputatie, is volgens ons de beste oplossing.

Recent onderzoek van het Honeynet project laat zien dat je met Firefox veel veiliger bent, omdat er slechts een paar actieve exploits zijn, en de browser een auto update feature heeft. Is het veranderen van browser daarom een effectieve maatregel om infectie te voorkomen? En zouden meer vendors automatisch moeten updaten?

Sancho: Dat is lastig te zeggen. De populairste browser zal altijd het meest worden aangevallen, dus het kiezen van een minder populaire browser betekent dat je later weer moet wisselen. Het beste advies is dan ook het kiezen van een browser die je fijn vindt werken en ervoor zorgen dat die altijd geupdate is. Zonder dit loop je altijd risico, ongeacht welke browser je gebruikt.

De bekende onderzoeker Petko Petkov waarschuwde onlangs voor de veiligheid van Web 2.0, wat er erg donker uitziet. Wat soort dreigingen en problemen verwacht je in de nabije toekomst?

Sancho: Moderne malware gebruikt uitgebreid het web om zich te verspreiden. Vaak gebruikt malware ook het web om zich te updaten. Dit betekent dat anti-virusaanbieders hierop moeten reageren en systemen moeten ontwikkelen die dit voorkomen. Wij gebruiken een URL reputatie systeem dat kwaadaardige webverbindingen kan stoppen. Dit is een belangrijk onderdeel in het stoppen van moderne infecties en gaat goed samen met traditionele detectie en andere nieuw maatregelen, zoals gedragsanalyse.

Veel "bewuste" mensen denken dat ze nooit besmet raken of gephishd worden. Denk je dat het slechts een kwestie van tijd is voordat deze zelfvoldane personen het doelwit worden?

Sancho: De laatste tijd zijn regelmatig legitieme websites die gehackt worden en malware verspreiden. Zelfs "bewuste" mensen kunnen hiervoor vallen, aangezien dit normale websites zijn die ze elke dag gebruiken. Dit betekent dat beveiligingssoftware niet een optie maar een must is, zelfs voor bewuste gebruikers. Dit is tevens een roep om aandacht om het systeem en de browser volledig te patchen en continu te updaten.

Wat voor systeem gebruik je op het werk en in je vrije tijd?
Sancho: Ik gebruik Opera 9.23 als browser op een Windows XP SP2 machine, voor zowel werk als vrije tijd. Als bescherming gebruik ik Trend Micro Officescan 8 voor werk en Trend Micro PC-cillin Internet Security voor thuis.

De laatste tijd zien we veel spam, maar een laag aantal geïnfecteerde e-mails. Twee problemen die hier ten grondslag aan liggen, bots en het SMTP protocol. Hoe kun je dit oplossen?

Sancho: Beide zaken worden veroorzaakt door bots. Het hoge aantal spamberichten is afkomstig van botnets. Als we het bereik van het botnet kunnen beperken, helpt dit zeker in het voorkomen van spam. Natuurlijk helpt het ook als we het SMTP protocol aanpassen en veiliger maken, maar dit is lastig te implementeren en vereist veel werk.

Nog wel een opmerking, het lage aantal geïnfecteerde e-mails houdt geen rekening met het aantal berichten met kwaadaardige links. Deze zijn, ook al bevatten ze geen bijlage, wel kwaadaardig. Dit laat ook het belang van URL blocking zien. Als je deze berichten niet als spam maar als malware beschouwt, krijg je een heel ander plaatje.

Talloze onderzoeken tonen de problemen met flexwerkers en personeel aan. Toch lees je nauwelijks over problemen op de werkvloer. Denk je dat bedrijven hun probleem stilhouden, of lukt het IT-managers met rennen en vliegen om de boel bij elkaar te houden?

Sancho: Beiden zijn een uitdaging om goed te beschermen, en dan met name de mobiele infrastructuur, die natuurlijk continu beweegt. Er zijn echter systemen om ze beide te beschermen. Als de IT manager kennis genoeg heeft, zijn er altijd manieren om het risico op kantoorsystemen en mobiele apparaten te beperken.

Identiteitsdiefstal lijkt voornamelijk een probleem in de VS en Engeland. Denk je dat een klein land als Nederland zal volgen, of zijn we de moeite niet waard?

Sancho: Identiteitsdiefstal is de meest voorkomende manier om geld te stelen op het internet, en omvat alle regio’s. De reden is dat de meeste websites internationaal zijn, zoals eBay en Paypal, en dat hun Europese gebruikers net zoveel risico lopen als de Amerikaanse. Een andere trend is het stelen van logins van online spellen zoals World of WarCraft, waardoor ID-diefstal een risico voor alle landen is.

Banking Trojans zijn een groot probleem. Het sniffen van verkeer voordat het versleuteld wordt, Man in the Middle aanvallen. Moeten banken niet met veiligere oplossingen komen?

Sancho: Ze zijn al bezig met nieuwe oplossingen, maar met de huidige vaart blijven aanvallers ze bezighouden. Phishing aanvallen zijn nu ook in kleinere landen actief, wat zonder twijfel komt door de betere beveiliging van grote instanties, die de afgelopen jaren zelf herhaaldelijk werden aangevallen.

Vind je nog uitdagingen in je werk? Minder aandacht van de media en het publiek voor malware, en criminelen blijven oude technieken gebruiken. Ik kan me voorstellen dat het soms saai wordt?

Sancho: In tegendeel juist, nieuwe malware wordt steeds interessanter, dus het is een uitdaging om in deze veranderende omgeving bij te blijven. Aanvallers zijn criminele organisaties met veel middelen tot hun beschikking, en hun aanvallen worden steeds heftiger. Door de steeds toenemende belangen hebben we geen tijd om ons te vervelen.