image

Anti-virusbedrijven zien toekomst somber in

donderdag 17 april 2008, 15:53 door Redactie, 14 reacties

Er verschijnt meer en meer malware die niet door virusscanners wordt gedetecteerd. Laatst liet IBM al weten dat beveiligingsaanbieders in een wapenwedloop zijn verwikkeld die ze niet kunnen winnen en ook anti-virusbedrijven zien de toekomst somber in. Security.NL sprak met een panel van experts, te weten: Roel Schouwenberg, Senior Anti-Virus Researcher van Kaspersky Lab, Righard Zwienenberg, Chief Research Officer bij Norman, Marius van Oers, virusdeskundige van McAfee, Frank Mulder, Technical Support Manager van Panda Security en Tom Welling, beveiligingsspecialist bij Symantec.

"Het lijkt er momenteel niet op dat we aan de winnende kant zijn," geeft Schouwenberg toe. De strijd tegen virusschrijvers kent echter ook z'n kleine succesjes. Zo waren bepaalde arrestaties van cybercriminelen daadwerkelijk merkbaar in het laboratorium van de Russische virusbestrijder. "Helaas komt er aanzienlijk meer malware bij dan er wegvalt." De positieve impact na de arrestatie van sommige computercriminelen is volgens Schouwenberg bewijs dat de sterke arm der wet een zeer belangrijke rol speelt in wat er in de toekomst gaat gebeuren. "De overheden zijn de enige die wat aan de exponentiële groei van het aantal malware kunnen doen, namelijk de makers arresteren. Helaas is dit gemakkelijker gezegd dan gedaan." Hij doelt daarbij op de explosieve groei van de hoeveelheid malware, die in de eerste twee maanden van dit jaar al meer dan een miljoen nieuwe exemplaren betrof.

Ook bij Norman zijn ze niet positief gestemd. "We zien de toekomst somber in wat de hoeveelheid malware betreft. Die zal als het zo door gaat exponentiële proporties gaan aannemen met vele nieuwe ideeën," zegt Zwienenberg. Hij benadrukt de noodzaak om in nieuwe technologieën te investeren. Techniek alleen is niet voldoende gaat van Oers verder. "Belangrijker nog is het gedrag van de gebruiker waarbij deze verantwoord omgaat met het internet en de zaken die hij daar opdoet of sites die hij/zij bezoekt. Voorkomen blijft tenslotte beter dan genezen."

Bewustzijn bij gebruikers blijft een hekel punt. Aan de ene kant betwijfelen experts het nut ervan, tot op zekere hoogte lijkt het ook z'n vruchten af te werpen. Door alle aandacht in de media en door overheidscampagnes, zouden in Nederland maar zeer weinig besmette systemen zijn. Bewustzijn is geen eindoplossing en volgens IBM's Val Rahmani helemaal niet relevant. "De fantasie dat het onderwijzen van gebruikers en anti-virus de problemen van eindgebruikers oplossen moeten we laten gaan. Het is niet aan de consument om zichzelf te beschermen. Het is niet hun probleem, het is ons probleem."

Om de ontwikkelingen in de gaten te houden hebben ze bij Symantec complete teams in dienst die de ondergrondse gemeenschappen monitoren waar inmiddels een levendige handel is ontstaan in persoonsgegevens, bankaccounts, malwaretoolkits en creditcardgegevens. "Deze kennis wordt vervolgens op allerlei manieren weer hergebruikt in nieuwe beveiligingsstrategieën," aldus Welling.

Hij bevestigt het probleem van de wedloop die zich nu voordoet en ziet daarin ook een rol voor de overheid en Europese Commissie."Betere afspraken maken rondom het afhandelen van incidenten en het rapporteren en publiceren van (serieuze) incidenten is wat ons betreft ook niet overbodig. Wij zijn hiervoor aan het lobbyen bij de Europese Commissie en de Nederlandse overheid. Het is een kwestie van tijd denk ik."

Signatures niet veilig

De toekomst is ook voor signatures onzeker en zal door het aantal malware exemplaren mogelijk niet meer bruikbaar zijn. "Op lange termijn zullen signature databases zo groot worden dat het doorzoeken ervan te veel resources gaat vragen. Dus het traditionele signature model zal ooit tot het verleden behoren," zegt Mulder. Schouwenberg is een stuk voorzichtiger. Misschien dat het signature model ooit tot het verleden zal behoren, ik zie het in de nabije toekomst echter niet gebeuren."

Bij Norman zijn ze een stuk zekerder dat signatures een rol blijven spelen. "Het signature model zal nooit tot het verleden behoren aangezien het een goed(koop) aanvullend model is. Wel is het zo dat het signarure model op zich nooit een goede detectie kan waarborgen. Het is allang achterhaald dat viruscanners alleen met ‘bekende handtekeningen’ werken. Het detectiemodel is veel complexer, alleen in de volksmond heet dit nog steeds signatures," laat Zwienenberg weten.

Hij wordt aangevuld door de analist van Kaspersky, die terecht opmerkt dat als signatures er niet meer zijn, alles op behaviour blockers en dergelijke aankomt. "Een machine opschonen wordt dan onmogelijk, een format zou de enige realistische optie zijn. Daarnaast zijn de file infectors weer in opmars waarvoor hetzelfde geldt - disinfectie wordt onmogelijk." Vanwege de aard van de malware acht hij het onwaarschijnlijk dat signatures echt zullen verdwijnen. "Andere technieken zijn niet foutloos. Het zou er uiteindelijk op neerkomen dat ook die meerdere malen per dag bijgewerkt moeten worden. Gezien de complexiteit van zulke systemen denk ik dat je het dan beter bij signatures kan houden, in welke vorm dan ook."

Reacties (14)
17-04-2008, 16:11 door [Account Verwijderd]
[Verwijderd]
17-04-2008, 16:17 door [Account Verwijderd]
[Verwijderd]
17-04-2008, 16:31 door Anoniem
Ik (aan de goede kant) schrijf binnen 10 minuten malware wat door geen
enkel virusscanner herkend wordt en zo zijn er met mij vele duizenden
programmeurs (in hun geval de dark side) die b.v. aan hightech criminaliteit
doen.

Echter inlevingsvermogen weerhoudt mij ervan zo iets publiekelijk
beschikbaar te stellen.

Je moet er toch niet aan denken dat burgers door je software, fysieke en of
financiele hinder gaan ondervinden van je acties?

Je geeft je kind bij wijze van spreke toch ook geen crofty bom om hem op
school uit te testen?

Ik geloof heilig in een maatschappij waarbij IQ en EQ overheerst. Ook al zijn
we niet zover. Het is een stroming die niet meer tegen te houden is.
17-04-2008, 18:52 door Anoniem
Dat is dus de reden waarom er onlangs al alarm geluiden te horen waren dat
we in de toekomst steeds meer naar gesloten systemen gedrongen zullen
worden uit noodzaak, rechtstreeks van de fabrikant geleverd waar de
gebruiker geen enkele controle meer heeft over het systeem wat hij koopt.
Een beetje zoals de huidige spelconsoles.
18-04-2008, 11:23 door Anoniem
Ik roep het al tijden, virus scanners zijn goed voor
compliancy en compliancy is goed voor virusscanner
fabrikanten. Verder houden virusscanners vooral tegen dat
OS leveranciers zich gedwongen zouden gaan voelen zich een
keertje teverdiepen in de literatuur en ontwikkelingen op
hardware gebied om zo tot een virus vrije omgeving te komen.
Virus vrije omgevingen zijn gewoon mogelijk, maar dan moeten
de OS leveranciers eerst het probleem serieus gaan nemen,
DRM overboord gooien en terug grijpen op micro-kernels,
priviledge seperation en capabilities. Zolang er echter een
serieus genomen anti virus industrie bestaat, hebben de OS
leveranciers geen enkele commerciele reden om na te denken
over de mogelijkheden het probleem zelf op te lossen en dan
direct 'structureel' op te lossen.
20-04-2008, 13:06 door [Account Verwijderd]
[Verwijderd]
20-04-2008, 20:18 door PolaMan
Door rookie
Virusvrij zal het nooit worden, want dan verdient er
helemaal niemand nog geld.

Als MS, Mac, Redhat , Suse etc allemaal met een virus vrije
omgeving zou komen, dan betekent dat dankzij compliance
regulering dat virus scanners nog wel een tijdje verkocht
zullen worden, dus ook al zou alles virus vrij zijn zonder
virus scanners, dan zorgt compliance nog wel een hele tijd
voor behoorlijk wat inkomen.
21-04-2008, 21:49 door [Account Verwijderd]
[Verwijderd]
21-04-2008, 23:26 door PolaMan
Door rookie
Door PolaMan
Door rookie
Virusvrij zal het nooit worden, want dan verdient er
helemaal niemand nog geld.

Als MS, Mac, Redhat , Suse etc allemaal met een virus vrije
omgeving zou komen, dan betekent dat dankzij compliance
regulering dat virus scanners nog wel een tijdje verkocht
zullen worden, dus ook al zou alles virus vrij zijn zonder
virus scanners, dan zorgt compliance nog wel een hele tijd
voor behoorlijk wat inkomen.


Nee, want anders was het allang zo geweest.

Probeer de redenering te volgen.

Waarom zou een OS leverancier nu nog in een virusvrij OS
investeren (dus een OS dat ook geen virus scanners nodig
heeft), als de klanten vervolgens toch nog virusscanners en
andere anti malware fud zullen moeten blijven kopen
om aan de idiote compliance regelgeving te kunnen blijven
voldoen.

Het is dus momenteel gewoon zo dat de regelgeving er voor
zorgt dat ondanks dat iedereen weet dat virusscanners het
probleem niet oplossen en als oplossing steers meer
achterhaald worden, virusscanners verplicht zijn voor veel
organisaties, waardoor het zoeken naar een echte oplossing
(zoals b.v. CapDesk heeft aangetoond dat het kan) economisch
niet rendabel meer zal zijn. Regulering die bedoeld was om
e.e.a. veiliger te krijgen zorgt er nu voor dat we vast
zitten aan een onveilige achterhaalde manier van malware
bestreiding.
22-04-2008, 13:17 door [Account Verwijderd]
[Verwijderd]
22-04-2008, 13:40 door Anoniem
Door rookie
De grote politiediensten zijn anders gewoon op de hoogte van
de echte goede computercriminelen, alleen men laat die
lopen, omdat die lui goed zijn voor de economie.

Natuurlijk, maar computercriminelen zijn ook verantwoordelijk voor tsunami's,
9/11, skull & bones en de verwekking van Bin Laden, weet je wel, weet je niet.
22-04-2008, 22:21 door [Account Verwijderd]
[Verwijderd]
22-04-2008, 22:52 door Anoniem
Door rookie

Natuurlijk, maar computercriminelen zijn ook
verantwoordelijk voor tsunami's,
9/11, skull & bones en de verwekking van Bin Laden, weet je
wel, weet je niet.

Je kan er wel de draak mee steken, maar het is gewoon een best wel
bekend feit.
En het is alleen maar goed dat de grote politie diensten deze mentaliteit
hebben, want dat laat de economie draaien.

Over welke criminele activiteiten en welke grote politiediensten heb je het hier,
Rookie?
23-04-2008, 15:21 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.