image

Virusscanners worstelen met kopieerbeveiliging

maandag 10 augustus 2009, 10:23 door Redactie, 11 reacties

Kopieerbeveiliging wordt al lang niet meer alleen gebruikt om misbruik van intellectueel eigendom tegen te gaan, het biedt cybercriminelen de kans om hun wormen, virussen en Trojaanse paarden tegen virusscanners te beschermen, zegt Randy Abrams van anti-virusbedrijf ESET in een interview met Security.nl. De directeur “Technische Educatie” noemt de kopieerbeveiliging die ontwikkelaars kunnen gebruiken als één van de grote problemen waar de AV-industrie op dit moment mee worstelt. De zogeheten packers en obfuscators maken het inspecteren van een bestand zeer lastig. Bijna alle malware die vandaag de dag in omloop is, gebruikt wel een packer of is op een andere manier geobfusceerd. Bij een aantal virusbestrijders heerst dan ook de opinie om alle "beveiligde" bestanden standaard als kwaadaardig te beschouwen. Abrams merkt op dat er manieren zijn om kopieerbeveiliging te doen, maar het uiteindelijk meer kost dan het waard is. "Het wordt altijd gekraakt."

Toen hij nog voor Microsoft werkte kwam er eens een bedrijf langs dat de oplossing tegen illegale software zou hebben. Een CD die niet te kopiëren was. Abrams vroeg hoe hij de beveiligde Master CD kon kopiëren, om die vervolgens naar de fabriek te sturen. "Daar hadden ze niet aan gedacht", zo laat hij weten.

Gigantisch probleem
Bedrijven als Themida, die packers aanbiedt, moeten volgens Abrams zich in de toekomst wel gaan aanpassen als ze met de IT-security industrie willen blijven meespelen. Zoals het gebruik van authenticatie. "Op dit moment is Themida zelf slachtoffer van diefstal van het intellectueel eigendom. Cybercriminelen gebruiken Themida, zonder daarvoor te betalen." De software wordt naast malware ook voor allerlei legitieme programma's gebruikt. Abrams verwacht dat er mogelijk net zoiets gaat gebeuren als met de verspreiders van adware, die tegenwoordig vaak legaal te werk gaan. "Het kan een toekomstig project voor de AV-industrie worden." Door samen te werken met bedrijven die kopieerbeveiliging ontwikkelen, kan men dan tot op zekere hoogte vaststellen of de kopieerbeveiliging legitiem of illegaal wordt gebruikt of dat virusscanners wel door de beveiliging heen kunnen prikken. "Het is een gigantisch probleem."

Sommige anti-virusbedrijven detecteren alles wat met Themida is ingepakt als malware, maar de scheidslijn is niet zo duidelijk te trekken. Het probleem, is dat "onprofessionele testers" vervolgens legitieme bestanden in Themida zullen inpakken, waardoor de virusscanner in kwestie slecht uit de test komt. Daarbij zullen ook eindgebruikers gaan klagen omdat ze bepaalde programma's niet meer kunnen starten.

Piraten
De virusbestrijder heeft zelf ook met piraten te maken. Wereldwijd heeft het 90 miljoen gebruikers. "En ik weet niet of dat allemaal betalende klanten zijn. Ik weet eigenlijk zeker van niet", aldus Abrams. Daarvan bevinden zich er 30 miljoen in China. "Wat gezien het aantal Chinese internetgebruikers nog steeds een klein marktaandeel is."

Op tal van websites zijn illegale versies van alle bekende virusscanners te vinden, die ook nog eens werken en zichzelf kunnen updaten. Van beveiligingssoftware zou je toch verwachten dat software piraten bakzeil halen. "Het doel van de registratie is het om voor eerlijke mensen makkelijk te maken om eerlijk te blijven." Het is kosteneffectief gezien niet haalbaar om de 'bad guys' te verslaan", gaat Abrams verder. "Er zijn veel dingen die je kunt doen, maar dat zorgt er uiteindelijk voor dat je de eerlijke mensen irriteert, wat je ook niet wilt doen. En er is altijd een manier om te omzeilen wat software doet. Ook dat is onderdeel van het bestrijden van misdaad."

Reacties (11)
10-08-2009, 13:59 door spatieman
30 miljoen chinese die een illigale virus scanner gebruiken, die niet werkt omdat alle 30 miljoen machines geinfecteerd zijn.
10-08-2009, 14:18 door Necrowizard
Virus scanners kunnen beveiligde bestanden toch gewoon in een sandbox uitvoeren? Dan kijken wat het doet, en al ziet het dat het beveiligde bestand zich bij autostartup wil toevoegen, dingen wil verwijderen/modificeren, of verbinding probeert te maken met verschillende servers, dan is de kans groot dat het malware is
10-08-2009, 14:25 door colani
Door spatieman: 30 miljoen chinese die een illigale virus scanner gebruiken, die niet werkt omdat alle 30 miljoen machines geinfecteerd zijn.

Waar haal je die wijsheid vandaan?
Er zijn meer dan 300 miljoen chinezen online, dus de stelling dat alle machines geinfecteerd zijn lijkt me wat ver gaan.
10-08-2009, 14:43 door Anoniem
Leg jij mij eens uit hoe die copy beveiging in packers bestand bevind. Heeft u het voornamelijk over computer software, zoals Microsoft Office 2007 en IBM Lotus Notes 8? Ik tref wel eens software aan van Roxio die ook wel gebruik maakt van *.CAB bestanden. (hier in kunnen cybercriminelen hun malware verbergen! Het was een waren sport om met SlySoft CloneCD Need for Speed IV High Stakes kopieren, en lukt mij het niet dan download ik toch gewoon crack!

Het is goed om te weten dat bepaald bestand die als RAR versleuteld zijn onzichtbaar blijven voor virusscanners.
Pas wanneer deze worden uitgepakt is de dreiging van gevaar.

Maar tegenwoordig kan je iets spotgoedkoop kopen in de winkel en waarom dan een kopie maken van iemand anders zijn DVD? Als je vriend een CD of DVD heeft, wat zegt een goed friend dan, kopieren! DVD's en CD''s lokken juist mensen uit om te kopieren. (Het zou beter wezen als we muziek kopen in de winkel en net de toegangs code download en kunnen afspelen met ons radio (Wifi die verbining maakt met internet). Oke de NS wil mensen verplichten met een OV-chipkaart aanmeld en afmelden, maar we zijn toch niet op NS station met Windows bezig? IK wil automatich aanmelden en afmelden wanneer ik station verlaat!

Als illegaal Office 2007 installeerd loop je het risico een verkeerd versie krijgen met malware,
Maar gelukkig ken ik een goed buurjongen en die is een student en beschikt over Microsoft Office12 AIO "All-in-One"
en ook in het Nedelrands. Laatst kocht ik Office 2007 voor thuisgebruiker en studenten voor 70,- euro en mag ik op drie pc's installeren.
10-08-2009, 15:06 door Anoniem
Door Necrowizard: Virus scanners kunnen beveiligde bestanden toch gewoon in een sandbox uitvoeren? Dan kijken wat het doet, en al ziet het dat het beveiligde bestand zich bij autostartup wil toevoegen, dingen wil verwijderen/modificeren, of verbinding probeert te maken met verschillende servers, dan is de kans groot dat het malware is
Sommige virussen worden actief op een bepaalde datum. Verder kunnen legitieme programma's de dingen die je noemt ook doen. Je kan die moeilijk allemaal gaan whitelisten.
10-08-2009, 15:21 door Anoniem
Leg jij mij eens uit hoe die copy beveiging in packers bestand bevind. Heeft u het voornamelijk over computer software, zoals Microsoft Office 2007 en IBM Lotus Notes 8? Ik tref wel eens software aan van Roxio die ook wel gebruik maakt van *.CAB bestanden. (hier in kunnen cybercriminelen hun malware verbergen! Het was een waren sport om met SlySoft CloneCD Need for Speed IV High Stakes kopieren, en lukt mij het niet dan download ik toch gewoon crack!

Het is goed om te weten dat bepaald bestand die als RAR versleuteld zijn onzichtbaar blijven voor virusscanners.
Pas wanneer deze worden uitgepakt is de dreiging van gevaar.

Maar tegenwoordig kan je iets spotgoedkoop kopen in de winkel en waarom dan een kopie maken van iemand anders zijn DVD? Als je vriend een CD of DVD heeft, wat zegt een goed friend dan, kopieren! DVD's en CD''s lokken juist mensen uit om te kopieren. (Het zou beter wezen als we muziek kopen in de winkel en net de toegangs code download en kunnen afspelen met ons radio (Wifi die verbining maakt met internet). Oke de NS wil mensen verplichten met een OV-chipkaart aanmeld en afmelden, maar we zijn toch niet op NS station met Windows bezig? IK wil automatich aanmelden en afmelden wanneer ik station verlaat!

Als illegaal Office 2007 installeerd loop je het risico een verkeerd versie krijgen met malware,
Maar gelukkig ken ik een goed buurjongen en die is een student en beschikt over Microsoft Office12 AIO "All-in-One"
en ook in het Nedelrands. Laatst kocht ik Office 2007 voor thuisgebruiker en studenten voor 70,- euro en mag ik op drie pc's installeren.


AAN BREIN, Ik werd gefinancierd door hollywood en in hun naam doen wij dit werk toch? Kijk je een videotje legaal op youtube of dailymotion en krijg landen censor naamens de copyright. Van deze video is niet beschikbaar in u land names de copyright. Waar zijn we nou mee bezig? We zijn allemaal onbeschoft bezig elkaar de deur tewijzen! Ik heb geen respect voor jullie allemaal op internet, mij betrefd koop ik mijn Muziek en DVD's lekker in de winkel.
Het hele Internet is gewoon KUT!
10-08-2009, 16:59 door colani
Door Anoniem: en lukt mij het niet dan download ik toch gewoon crack!

Als illegaal Office 2007 installeerd loop je het risico een verkeerd versie krijgen met malware,
Maar gelukkig ken ik een goed buurjongen en die is een student en beschikt over Microsoft Office12 AIO "All-in-One"
en ook in het Nedelrands. Laatst kocht ik Office 2007 voor thuisgebruiker en studenten voor 70,- euro en mag ik op drie pc's installeren.

Het hele Internet is gewoon KUT!

Volgens mij heb je het artikel niet echt gelezen, en zoek je gewoon een stok om mee te slaan. Gebruik gewoon open office, of google docs, is allemaal gratis, en MS office binnenkort ook. Maar daar ging het hele artikel niet over.

Door Anoniem: Laatst kocht ik Office 2007 voor thuisgebruiker en studenten voor 70,- euro en mag ik op drie pc's installeren.
En als je geen student bent mag je die al helemaal niet installeren.
10-08-2009, 17:48 door Anoniem
En als ik thuisgebruiker ben mag je die wel gebruiken maar niet voor commerciele doeleinden!
10-08-2009, 17:49 door Anoniem
Door Anoniem:
Door Necrowizard: Virus scanners kunnen beveiligde bestanden toch gewoon in een sandbox uitvoeren? Dan kijken wat het doet, en al ziet het dat het beveiligde bestand zich bij autostartup wil toevoegen, dingen wil verwijderen/modificeren, of verbinding probeert te maken met verschillende servers, dan is de kans groot dat het malware is
Sommige virussen worden actief op een bepaalde datum. Verder kunnen legitieme programma's de dingen die je noemt ook doen. Je kan die moeilijk allemaal gaan whitelisten.


Wat nou als elke keer de datum terug zet op 22 august 2008?
10-08-2009, 18:20 door Ziekheid
Door Anoniem:
~
Oke de NS wil mensen verplichten met een OV-chipkaart aanmeld en afmelden, maar we zijn toch niet op NS station met Windows bezig? IK wil automatich aanmelden en afmelden wanneer ik station verlaat!
~~
Als illegaal Office 2007 installeerd loop je het risico een verkeerd versie krijgen met malware,
Maar gelukkig ken ik een goed buurjongen en die is een student en beschikt over Microsoft Office12 AIO "All-in-One"
en ook in het Nedelrands. Laatst kocht ik Office 2007 voor thuisgebruiker en studenten voor 70,- euro en mag ik op drie pc's installeren.
~~

Zo hey, die is goed in offtopic gaan!
Die risico's vallen allemaal wel mee trouwens, zolang je bij bekende grps blijft is het geen probleem (hier ga ik verder niet op in).


Het is kosteneffectief gezien niet haalbaar om de 'bad guys' te verslaan", gaat Abrams verder. "Er zijn veel dingen die je kunt doen, maar dat zorgt er uiteindelijk voor dat je de eerlijke mensen irriteert, wat je ook niet wilt doen.

Dat valt wel mee geloof ik, Kaspersky is hier aardig in geslaagd.
Wil je deze AV piraten dan zul je voor een hele oude versie moeten gaan (ergens in de 4.X reeks, terwijl ze nu geloof ik bij 7.X zijn) want alles van de nieuwe reeks word binnen een dag geblacklist.

Ik vind het in ieder geval fout dat sommige virusscanners alles wat door een bepaalde packer/obfuscator gegaan is als virus bestempelen, dat is pas echt klantonvriendelijk wanneer mensen legitieme software willen runnen die beveiligd is met bv Themida.
11-08-2009, 12:19 door Anoniem
Geloof dat een virusscanner beter kan werken met white list van plaats een blacklist.
Als je alleen soort software en patch en updates nou in white list zet in je virusscanner.

Iets wat er niet in staat valt direct onder de blacklist. , het is beter dat je iets uitsluit dat kan gebeuren je virus krijgt die zich niet bevind in de database. Als je klanten 100% garantie moet geven kan je beter met white list werken inplaats met blacklist!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.