Niet alleen is malware de afgelopen jaren geëvolueerd, ook de ontwikkeling van anti-virus en andere beveiligingssoftware heeft niet stilgestaan. Menig aanbieder pronkt met termen als heuristieke detectie, indringer detectie systemen, proactieve controle en wat niet meer, maar in hoeverre maken deze nieuwe technologieën de virusscanner van vandaag de dag onmisbaar. Zeker als je ziet dat ze nog steeds het oude signature model gebruiken om zich tegen nieuwe dreigingen te wapenen.

Security.NL vroeg het aan een panel van experts, te weten: Roel Schouwenberg, Senior Anti-Virus Researcher van Kaspersky Lab, Righard Zwienenberg, Chief Research Officer bij Norman Data Defense Systems, Marius van Oers, virusdeskundige van McAfee, Frank Mulder, Technical Support Manager van Panda Security, Rik Ferguson, Solutions Architect bij Trend Micro en Tom Welling, beveiligingsspecialist bij Symantec.

Oude wijn in nieuwe zakken

Heuristics is een vaak gehoorde kreet als antwoord op het probleem dat virusscanners nieuwe malware vaak niet herkennen. “De techniek bestond echter tien jaar geleden ook al, alleen zijn de heuristics van nu vele malen complexer dan die van toen,” zegt Schouwenberg. De oorzaak is dat malware vandaag de dag lastiger te detecteren alsmede lastiger te verwijderen is en daar moesten anti-virusbedrijven rekening mee houden.

Zwienenberg ziet een trend die voor veel technieken geldt, en dat is dat scanners steeds beter, sneller en geavanceerder worden. “Als ik nu zou kijken naar de scanner-engines van 5 jaar geleden dan zijn die antiek, maar ook actueel. Alle oude technieken blijven toch gebruikt. Zelfs het ‘simpele’ signature-scannen is nog in gebruik.”

De onderzoeker van Norman ziet ook overeenkomsten met het verleden. “Wat bijna alle nieuwe technieken gemeen hebben is dat ze naar het gedrag van de code kijken. Dat gebeurde vroeger natuurlijk ook al. ThunderByte AntiVirus, waar ik toen bij betrokken was, was de eerste scanner die heuristische capaciteiten had. De scanner ‘keek’ naar de code en zag wat de code mogelijk kon doen. Nadeel was dat als er een hele library met code was mee gelinkt, dan was het mogelijk dat bepaalde functies nooit werden gebruikt, dus kon het zijn dat de formateerroutine die in de code zat nooit werd aangeroepen, waardoor de code niet schadelijk was.

Mulder ziet door het professionaliseren van de malwaremarkt een kat- en muisspel ontstaan van actie en reactie. “Antivirusleveranciers zijn permanent gedwongen nieuwe remedies uit te werken. De scanner van 5 jaar geleden is nog steeds nodig, maar is momenteel slechts één van de vier essentiële stappen in een sluitende beveiliging.” Hij doelt hierbij op proactieve beveiliging, updaten van software en het uitvoeren van audits.

Nieuwe ontwikkelingen

Om de evolutie van malware bij te benen hebben veel anti-virusbedrijven gekozen voor een “anti-aanpak” verklaart Schouwenberg. Denk aan de anti-rootkit, anti-keylogger en anti-phishing produkten. “Ook zijn er componenten zoals een HTTP scanner bijgekomen. Hoewel deze door sommigen als overbodig worden bestempeld, zijn ze de enige manier om bepaalde exploits daadwerkelijk te stoppen.” Dit soort maatregelen zijn hard nodig, want in het geval van de berucht WMF, JPG en ANI exploits komen die binnen via de browser, en zal een on-access scanner de exploit pas detecteren als het te laat is, voegt de analist van Kaspersky Lab toe.

Daarnaast zijn er nu behaviour blockers, die het gedrag van programma's real-time in de gaten houden. Dit is een techniek naast process emulators, die programma's kunnen emuleren en op verdachte acties/code kunnen scannen. Op deze manier hoeft een anti-virus engine de malware niet te detecteren om er toch bescherming tegen te bieden.

Het belang van sandboxing en emulatie is ook bij Norman bekend. “Met Sandboxing wordt de code uitgevoerd door middel van emulatie in een gecontroleerde (virtuele) omgeving. Door die methode hebben inmiddels bijna alle anti-virusleveranciers nieuwere technieken geïntroduceerd, zoals neurale netwerken, advanced heuristics en sandboxing.”

Doordat malware zoveel moeite doet om zich te verbergen, wordt het steeds belangrijker om naar het gedrag van het systeem te kijken. “Begin jaren 90 was een scanner met heuristieke drivers voldoende, tegenwoordig is het aantal nieuwe virussen zo groot dat er meer focus is op behaviour blocking. Een andere focus is op waar te scannen, van traditioneel op de desktop naar scanning “on the wire,” waarmee van Oers het belang van HTTP scanning onderstreept.

Bij Symantec hebben ze nog het volste vertrouwen in het signature model. “Virusherkenning op basis van de oude vertrouwde signatures zal voorlopig echt nog wel blijven bestaan. Natuurlijk kan je allerlei meer geavanceerde (en soms ook wel kinderlijk eenvoudige) technieken gebruiken om malware te herkennen, maar waarom zou je de reeds bekende statische malware niet gewoon op deze manier blijven herkennen? Veel kleinere kans op false-positives en meestal een lagere processorbelasting die hiervoor nodig is.”

Naast technologische ontwikkelingen is de verdere integratie op de client een belangrijke tendens volgens Welling. “Natuurlijk kennen we al allemaal wel de combinaties van firewalls, IDS en antivirus, maar Network Addmission Control, Data Leakage Protection, Backup, Policy & Configuration Auditing, encryptie en sofware-uitrol functionaliteit binnen een client zijn ook sterk in opkomst. “

Het grote voordeel hiervan zou zijn dat een goed gemanagede oplossing een veiligere oplossing is. "Combineer je deze functionaliteiten dan mag je er vanuit gaan, mits deze integratie nuttig is en op de juiste manier gedaan is, dat het managen van zo'n oplossing eenvoudiger is." De aanpak zou zich ook uitbetalen mocht het toch fout gaan. Die kunnen helpen bij het snel “uitdoven” van de aanvallen en zo nodig helpen bij het herstellen van de informatie.

Zijn concullega bij Trend Micro is minder positief over het gebruik van signatures. “Ja veel anti-virus software is nog zeer afhankelijk van op signatures gebaseerde detectie en deze methode is gedoemd te mislukken op de middellange termijn.” Ferguson verwijst naar de cijfers van AV-test.org, dat vorig jaar 5,5 miljoen unieke malware exemplaren aantrof. “De groei van het aantal malware exemplaren vereist eenzelfde groei van herkenningsbestanden bij virusbestrijders. Gegevens het feit dat het mogelijk is om een malware exemplaar opnieuw te versleutelen met een andere seed voor het encryptie algoritme (bijvoorbeeld het IP-adres van de gebruiker of de tijd van de dag). Bij elke download hebben we met een onoverkomelijke uitdaging te maken als we alleen signatures gebruiken.” Ferguson ziet daarom alleen een toekomst voor de traditionele anti-virus oplossing als die van een “op reputatie gebaseerde technologie” wordt voorzien, waarbij het meeste werk “in de cloud” wordt uitgevoerd.

Windows Update niet meer voldoende

Waren het voorheen vaak beveiligingslekken in Windows en Internet Explorer waar computercriminelen misbruik van maakten, vandaag de dag draait het met name om programma’s van derden en 0-day exploits waar geen patch voor beschikbaar is. “Een aantal jaar geleden was het zo dat als men niet naar bepaalde websites surfte, geen bijlagen opende en Windows up to date hield men relatief veilig was.” Die tijd is echter veranderd laat Schouwenberg weten. “Gezien de focus van malware schrijvers voor 0-day exploits en 3rd party programma's is een anti-malware programma belangrijker dan ooit geworden.
Juist omdat er van alles kan gebeuren zonder dat de gebruiker er erg in heeft.”

Schouwenberg doelt op sites die gehackt worden of programma’s die van een backdoor worden voorzien. “Zelfs als security expert hoef je niet zeker van je zaak te zijn, zoals dit voorbeeld aantoont.” De virusonderzoeker merkt terloops op dat ondanks alle nieuwe technologieën, er nog steeds anti-malware producten zijn die alleen een on-demand scanner bevatten.

Noodzakelijk kwaad

De experts prediken voor eigen parochie, ze zijn ervan overtuigd dat anti-virus software nog steeds nodig is. “Een virusscanner is meestal de betrouwbaarste methode voor exacte identificatie met het kleinste risico op valse meldingen,” laat van Oers weten. “Een scanner is zeker nog nodig, alhoewel het nut van een geregelde on-demand scan inmiddels onderuit wordt gehaald door de harddisk fabrikanten: een nieuw systeem met een 500GB of een 1TB harddisk is normaal. Als deze ‘vol’ zit, kan het zijn dat een on-demand scan nog niet is afgelopen terwijl de nieuwe on-demand scan zou moeten starten,” merkt Zwienenberg op.

Volgens Mulder is de noodzaak van een klassieke scanner te vergelijken met een slot op de voordeur. “Tegenwoordig zijn er nieuwe technieken op de markt zoals alarmsystemen, maar het slot blijft uiteraard noodzakelijk. Enkel een juiste mix van verschillende middelen leidt tot een maximaal veiligheidsniveau.”

De onderzoeker van Norman heeft als laatste nog een waarschuwing voor alle gebruikers die anno 2008 nog steeds niet van een virusscanner zijn voorzien. “ Zonder een scanner werken is bijna vragen om moeilijkheden. De toevloed van nieuwe malware is inmiddels zo hoog dat het een kwestie van tijd is voordat je er mee te maken krijgt.”