image

Zijn virusscanners nog zinvol?

dinsdag 21 juli 2009, 14:41 door Redactie, 10 reacties

Waarom zou je vandaag de dag nog een virusscanner gebruiken, hoe gaat Microsoft van Security Essentials profiteren, wat zijn de gevaren van cloud computing en hoe komt het dat anti-virus software zo vaak achter de feiten aanloopt? Security.nl interviewde Randy Abrams, Directeur “Technische Educatie” bij virusbestrijder ESET, in Nederland bekend vanwege NOD32.

Gratis virusscanners
Bij het kiezen van een virusscanner kijken consumenten niet alleen naar naam, maar ook naar prijs. Verschillende partijen bieden een gratis virusscanner aan, toch verschilt dit per anti-virusbedrijf. Volgens Abrams is dit een verschil in de filosofie over de commerciële aanpak. Het Tsjechische Grisoft heeft met AVG de populairste gratis virusscanner. AVG is afhankelijk van consumenten die in de toekomst hulp nodig hebben. Ze verdienen geld door middel van support of als gebruikers naar de betaalde versie over stappen.

Abrams merkt op dat in het geval van AVG een gratis virusscanner verschillende dingen doet. Zo krijgt een klein bedrijf toch naamsbekendheid onder een grote groep gebruikers, waaronder ook IT'ers die binnen bedrijven de aanschaf van software regelen. Ondanks de grote hoeveelheid gratis gebruikers, zouden er toch genoeg mensen van de gratis naar de betaalde versie over stappen.

Microsoft versterkt Windows met virusscanner
Microsoft gebruikt al de Malicious Software Removal Tool om de grootste malware dreigingen in kaart te brengen en verwijderen, maar met de gratis virusscanner Security Essentials, krijgt het bij miljoenen thuisgebruikers nog een veel gedetailleerdere blik in de keuken. Abrams verwacht dat het de informatie voornamelijk gaat gebruiken om Windows bestendiger tegen aanvallen te maken.

"Microsoft heeft een aantal zeer goede security mensen in dienst." Hij herinnert zich nog hoe twee jaar geleden distributiepartners de softwaregigant belachelijk maakten, net als de meeste mensen. "Lach nu, maar over twee jaar is Microsoft op technisch niveau competitief", zo liet hij toen weten. Volgens Abrams leveren de experts die Microsoft inhuurde goed werk af, althans, wat techniek betreft.

Hij weet zeker dat Microsoft dankzij de "phone home” optie waardevol inzicht krijgt in trends waar thuisgebruikers mee te maken hebben. "Dat is een gigantisch voordeel voor Microsoft. Die kunnen zo zien waar het besturingssysteem het zwaarst wordt getroffen." Een mogelijk succes van de gratis virusscanner kan ook een keerzijde hebben. Het wordt dan een enorm doelwit voor aanvallers. “Kleine anti-virusbedrijven hebben een klein marktaandeel en worden nu al door de professionele cybercriminelen aangevallen.”

Cloud computing vertroebelt
De Amerikaan heeft een duidelijke mening over cloud computing, dat inmiddels tot een ware hype is uitgegroeid. "De cloud is een container met mist die het zicht vertroebelt." Volgens Abrams is het puur marketing als mensen het over ‘in the cloud’ hebben, en vaak de inhoud van de dienst achterwege laten. "Als ik tegen jou zeg, zet je geheime en vertrouwelijke bedrijfsgegevens bij mij op de server, dan zul je zeggen dat dat geen goed idee is. Dus vertel ik dat we je informatie in de cloud bewaren, zonder te zeggen wat ik doe. De cloud is niet goed of slecht, je moet alleen zien wat de technologie is en eventuele gevolgen zijn." Met name bedrijven die denken vertrouwelijke informatie en e-mails beter te kunnen beschermen dan een Google, Yahoo “of andere bedrijven met een geschiedenis van cross-site scripting en andere lekken”, zijn beter af met een andere oplossing.

Steeds meer virusbedrijven zoeken de "cloud" op. "De cloud is het internet", gaat Abrams verder. Hij ziet virusscanners die dingen in de cloud doen dan ook niet als de volgende generatie, maar meer als een evolutie. "We gebruiken het internet al tijden." Abrams verwacht dan ook niet dat de cloud signatures overbodig zal maken. Cloud security zal daarom desktop security niet vervangen, maar alleen aanvullen.

Abrams noemt als voorbeeld de oma van zijn vrouw, die een computer heeft die alleen e-mails kan downloaden en printen. De machine heeft niet eens een beeldscherm. Berichten kan ze alleen ontvangen van mensen die in haar whitelist staan, ze krijgt ook geen spam. "Een veilige oplossing, behalve voor mensen die meer willen." Abrams ziet dan ook geen verschuiving naar het "Thin client model" van de cloud. Daarbij wijst hij op de nadelen als bijvoorbeeld een cloud aanbieder of internetprovider offline zijn of er andere problemen met de verbinding zijn. “Uptime is van verschillende zaken afhankelijk. Zelfs als de ISP een uptime van 99,99 heeft, dan betekent het niet dat het elektriciteitsbedrijf of de website die je wilt bezoeken ook hebben.”

Daarnaast is de cloud een zeer interessant doelwit voor aanvallers, zowel voor het platleggen van dienten via DDoS-aanvallen als het verkrijgen van informatie. Heeft een aanvaller toegang tot de cloud, dan hoeft hij de machines van de slachtoffers niet eens meer te infecteren, aangezien die alle data toch al daar naar toe sturen.” Abrams ziet dan ook geen massale overgang naar de cloud.

Achterlopen virusscanners
Sommige critici zijn van mening dat virusscanners ook met een in the cloud model nog steeds achter de feiten aan blijven lopen. Abrams geeft toe dat het een mooi marketingwoord is, maar merkt op dat ook politie al door de geschiedenis heen achter de criminelen aan loopt. "Je hebt hier met criminele activiteiten te maken. Zij hebben de tijd om hun creatie tegen elke anti-virus oplossing te testen. Ze zullen het altijd weten te verslaan als ze genoeg investeren."

Volgens Abrams lossen we het virus probleem pas op als we de criminaliteit oplossen. Het feit dat mensen zo'n hoog gespannen verwachting van hun virusscanner hebben komt dan ook voornamelijk door de marketingafdeling, zegt Abrams. "Ze geven nooit de werkelijkheid weer. Je kunt een gordel om doen, maar die zorgt er niet voor dat je altijd een auto ongeluk overleeft."

Geen virusscanner - geen internet
Meerlaagse beveiliging is onmisbaar, maar speelt een virusscanner hierin nog een rol? Vanwege false positives en gemiste malware vragen steeds meer mensen zich af waarom ze anti-virus software zouden gebruiken. "Security is risk management. Afhankelijk van hoe slim je bent en wat de waarde is van wat je beschermt en wat de kosten zijn als je het niet beschermt. Het is niet alleen de waarde als iemand anders het in handen krijgt, maar ook wat het voor jou waard is om niet te verliezen.:

De beslissing om wel of geen virusscanner te gebruiken is dan ook een kwestie van risk management. “Als ik airbags in mijn auto heb, draag ik dan geen gordel meer of controleer ik niet of de remmen werken? Het draait allemaal om defense in depth." Hij merkt op dat een aantal mensen die hij goed kent en veel ervaring met beveiliging hebben, geen virusscanner gebruiken. “Ze gebruiken eigenlijk ook niet het internet, omdat ze de risico's begrijpen die ze nemen door geen anti-virus als onderdeel van hun beveiliging te gebruiken.”

In het algemeen beschikken gebruikers niet over voldoende kennis om het web zonder firewall en virusscanner te surfen. Abrams zegt zelf dat hij daarnaast ook zelden internet zonder zijn browser te sandboxen.

Later deze week het tweede deel van het interview met Randy Abrams

Reacties (10)
21-07-2009, 15:43 door Anoniem
Virusscanners zijn m.i. altijd een principieel verkeerde keuze geweest, maar wel lekker winstgevend hé !
21-07-2009, 15:56 door Anoniem
als voorbeeld de oma van zijn vrouw, die een computer heeft die alleen e-mails kan downloaden en printen. De machine heeft niet eens een beeldscherm.

Handig, een bericht terugsturen zit er niet in.
21-07-2009, 16:37 door Anoniem
Ik laat mijn virusscanner voorlopig nog even draaien, maar mijns inziens is het meer een noodoplossing om de fase naar inherent veiligere systemen te overbruggen. Aangezien de gebruiker de zwakste schakel blijft hebben vooral (waarschuwings)hulpmiddelen voor de gebruiker in de toekomst de grootste kans van succes.
21-07-2009, 20:00 door [Account Verwijderd]
[Verwijderd]
22-07-2009, 15:10 door Anoniem
Ik draai windows (al dan niet officieel) , en al jaren (denk inmiddels alweer zo'n 7 jaar) zonder AV , daarentegen scan ik zo nu en dan wel online bij Housecall/Eset/Symantec.
Ben destijds van AV afgestapt , omdat ik het te systeem vertragend vond (had tot dan toe altijd Norton omdat ik daar nooit problemen mee had , buiten dat je systeem zo tergend traag werd).
Na 2002 werd het helemaal erg en was druppel die emmer deed overlopen bereikt (heb toen nog 1 of 2 jaar met de engine van 2002 gewerkt die wel normaal update).
Laatst nog voor iemand Norton Gamers Edition op een PC gezet , en ik moet zeggen (ik heb er over zitten dubben om ook maar weer ens een AV op mijn pc te zetten) ik vond het een hele verbetering t.o.v. da oude Norton die ik kende.
In al die 7 jaar heb ik denk ik in totaal 3 of 4 keer een virus op mijn pc gehad , welke ik of met de hand verwijderde , of er een tool voor downloade (indien de online scan niet in staat was om het te verwijderen) , of wat ook vaak uitkomst heeft geboden is Hirens Boot Cd met allerhande tools (onder andere een rootkit revealer).
Het is wel zo dat de schrijver gelijk heeft als hij zegt : "In het algemeen beschikken gebruikers niet over voldoende kennis om het web zonder firewall en virusscanner te surfen." , ik heb het idee dat iuk weet waar ik mee bzig ben en wat ik doe.
Ik heb wel een firewall (Smoothwall op een oude P3 , vreet wel iets meer stroom dan een router uit de winkel maar ben ohw zo blij met de funkties die er op/in zitten) , denk niet dat ik zonder firewall op internet durf (heb van Spamhaus hele ip block list erin gedrukt dus met meeste botnets/zombies word zowieso geen contact gemaakt (liever een "Pagina niet beschikbaar" dan het risico dat er malwate op pc terrecht komt)).
En in ergste geval kan ik altijd nog image van pc terug zetten zodat ik met een schone pc verder kan , kost een half uurtje.
Dus wat mij betreft voorlipg geen AV meer op pc (ja mischien de Gamers Editite van Norton , heb sinds kort weer een nieuwe pc waar ik me niet echt druk hoef te maken om prestatie nivo).
22-07-2009, 15:34 door Anoniem
Virusscanners zijn nooit zinvol geweest. Het is traag, reactief, en onmogelijk om een bescherming te bieden tegen ieder virus dat er bedacht kan worden.
23-07-2009, 11:35 door [Account Verwijderd]
[Verwijderd]
23-07-2009, 14:50 door Anoniem
Door RvdMeer: Klopt, ik zeg; van elke executable een md5sum maken zodat die files vanuit de kernel worden gemonitoord op correctheid. Als er iets wordt toegevoegd/veranderd aan het bestand is die md5sum anders en is er dus mee geknoeit.

Het zal je misschien verbazen maar er zijn legitieme executables die zichzelf veranderen. Wegens code of data updates.
27-07-2009, 14:11 door peanuty
Door Anoniem: Virusscanners zijn nooit zinvol geweest. Het is traag, reactief, en onmogelijk om een bescherming te bieden tegen ieder virus dat er bedacht kan worden.


Sorry, maar dit is toch nonsens. Tuurlijk zijn ze nodig geweest en hebben ze talloze malen bij talloze thuisgebruikers goed werk verricht. Natuurlijk pakken ze niet alles. Iedere AV kent /herkend andere virussen e.d. DAT zouden ze eens bij allemaal moeten onderbrengen. Maar misschien stuit dát juist bij hen allen op teveel weerstand.
Traag? Dat is een kwestie van het juiste stukje software. Nu hebben de meeste pc's power enough om alle pakketten te draaien.

De eerste reactie op dit artikel gaat weer over winst. Natuurlijk maken die mensen winst. Duuuh,, 2009?
En of dus de AV"s moeten blijven of niet omdat ze erachteraan lopen? Ja hoor, van mij mogen ze blijven. (al zouden ze stinkend rijk worden). Ze helpen altijd de thuisgebruikers.

Groet,
M. de Vries
06-08-2009, 09:43 door Anoniem
Yooo de Vries, je snapt het nog steeds niet hé ouwe kapitalist.
Je hebt namelijk altijd 'een keuze', of je gaat poen opvegen door bescherming te pretenderen, of je helpt een veilig OS te creëren....
Voorbeeld: MS bouwt zut en verdient daar weer flink aan ... door diezelfde zut met andere zut (z.g.) te beschermen

Can (even) U smell the Rat now !?!

"Capitalism is successful because it understands and exploits the fundamental flaw of us humans."
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.