"Flame-virus is oud nieuws"
Volgens sommige beveiligingsexperts is het Flame-virus dat uitgebreid door de media is belicht helemaal niet zo bijzonder, daarnaast was er één virusscanner die de malware wel detecteerde. "Er worden al vele jaren dit soort tools door high-end teams gebruikt", zegt Richard Bejtlich van beveiligingsbedrijf Mandiant. Hij vergelijkt de malware met de spyware die de Duitse overheid liet ontwikkelen om verdachten te bespioneren.
Ook anti-virusbedrijf Webroot stelt dat het virus niet zo complex of verborgen als Stuxnet is, en een relatief eenvoudig te detecteren valt. Virusbestrijder Sophos merkt op dat Kaspersky Lab, dat als eerste met de ontdekking naar buiten kwam, slechts een paar honderd met Flame besmette computers heeft ontdekt. "Dat is niet zoveel", aldus Graham Cluley van Sophos. "Het is vrij onbetekenend als je het vergelijkt met de 600.000 Mac-comptuers die eerder dit jaar met Flashback besmet raakten."
Bluetooth
Inmiddels heeft Kaspersky Lab een nieuwe analyse van Flame online ingezet, inclusief een overzicht van alle modules die de malware gebruikt. Onder andere de veelbesproken Bluetooth-module, waarmee Flame informatie van kwetsbare telefoons en andere Bluetooth-apparaten kan stelen, alsmede een lijst samenstellen van Bluetooth-apparaten in de buurt.
"Volgens mij heb ik dit nog nooit eerder gezien", zegt Alan Woodward, professor informatica aan de Universiteit van Surrey.
Detectie
De malware werd in eerste instantie niet gedetecteerd, toch was er één product dat het gedrag van Flame detecteerde. Het gaat om ECAT, een virusscanner die geen signatures gebruikt om malware te detecteren. Volgens Silicium, dat ECAT ontwikkelt, is Flame helemaal niet zo onzichtbaar. "Het gehele pakket is 20MB groot, zet meerdere verbindingen op en kan 90% of meer van de processor in beslag nemen. Dat is nu niet echt onopgemerkt blijven."
Een test met een Flame-exemplaar toont dat ECAT wel alarm slaat dat er iets mis met de machine is. "Hoe complex Flame ook is, om effectief te zijn en de taken uit te voeren, moet het de staat van het doelwit veranderen en proberen zichzelf te verbergen. Dit gedrag werd door ECAT opgemerkt, ook al miste bijna elke andere beveiligingsoplossing dit", aldus de beveiliger.
maar wederom wat leesvoer over flame is opzich goed nieuws.
Het is vrij verbazingwekkend dat een expert van Sophos geen verschil lijkt te maken tussen generieke aanvallen en gerichte aanvallen. Een gerichte aanval zal zelden 600.000 machines besmetten, maar is daarom niet minder serieus.
Denk aan een aanval waarbij misschien 10 systemen worden besmet, maar waarbij allerlij bedrijfsgeheimen worden geexfiltreerd (blauwdrukken van de Joint Strike Fighter, documenten over onderhandelingen voor concessies van olievelden, en ga zo maar door).
Een gerichte aanval met een laag aantal besmettingen kan gemakkelijk een veel grotere impact hebben dan een generieke aanval met een veel groter aantal besmettingen.
Er wordt dus relatief veel ophef gemaakt over iets dat voor ongeveer 99,999% van de gebruikers geen enkel gevaar oplevert. Sommige "securityspecialisten" grijpen dat aan om te proberen hun boterham te rechtvaardigen, maar dat is dus bijna altijd gebakken lucht. Het staat wel leuk in de pers en ook security.nl zal wel een stijging in bezoekersaantallen te zien geven. De primaire belanghebbende is de pers en een piepkleine groep direct betrokkenen.
Het is volslagen belachelijk te proberen anti-malware leveranciers de schuld te geven van het lang onopgemerkt blijven van de malware in dit geval. Iets dat je nog nooit gezien hebt (ook geen gerelateerde malware) kun je natuurlijk ook niet detecteren. Helderziendheid is ook in de anti-malware industrie een zeldzaamheid.
Het is overigens ook zo dat iedere malware maker van te voren ervoor kan zorgen dat geen enkel bekende anti-malware software het detecteerd op moment van in gebruik nemen. Dat is de paradox van goede anti-malware software. Werkt de anti-malware goed, dan zijn er veel gebruikers, en dan zijn malware schrijvers geneigd het zo te maken dat het niet gedetecteerd wordt, wat leidt tot anti-malware die het schijnbaar niet zo goed doet in retrotests.
Als IT ontwerper kies je dus voor verschillende anti-malware software op de diverse platforms, overweeg je ook minder bekende anti-malware software en kijk je in de selectie ook naar de reactietijd.
Als het voor Silicium niet zo 'moeilijk' was om te detecteren, waarom kon het dan jarenlang ronddolen over computers over de wereld en onopgemerkt blijven?
Beetje raar allemaal.....
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.