Traditionele antivirus-oplossingen voldoen niet meer

15 april 2004 - 22:009 minuten leestijdAchtergrondCloud & Infrastructuur
Peter van Ruiten
Peter van Ruiten

De meeste organisaties maken tegenwoordig gebruik van één of meerdere antivirus-oplossingen. Hoe kan het dan dat steeds meer organisaties problemen ondervinden door virusaanvallen, ondanks hun ‘gedegen’ beveiliging met een gerenommeerde antivirus-scanner? De opzet van de traditionele remedies volstaat niet meer.

Eén van de grootste problemen is dat nieuwe virussen niets meer te maken hebben met het oorspronkelijke fenomeen ‘virus’. Technisch gezien mag je niet eens meer spreken van een virus. Het ouderwetse virus bezit namelijk een stukje code dat ervoor zorgt dat andere programma’s met hem in contact komen en vervolgens worden geïnfecteerd. Dit was de manier om ervoor te zorgen dat een virus zich kon verspreiden. Vroeger gebeurde dat vooral middels een besmette diskette, waardoor vervolgens het netwerk geïnfecteerd raakte.
Vandaag de dag is deze techniek niet meer noodzakelijk. Iedere pc beschikt namelijk over genoeg mogelijkheden om virussen te verspreiden. Denk hierbij aan ‘exploits’ (mogelijkheid om gebruik te maken van lekken in computersystemen of servers, of programma’s om binnen te dringen), html-mails, peer-to-peer applicaties als Kazaa en MSN, spam en de ‘normale’ gebruiker. Als it-professional herken en verwijder je bijlagen met dubbele extensies, maar hoe zit het met je gebruikers? Ook al heeft een ‘attachment’ twintig extensies, iedere gebruiker wil en doet uiteindelijk hetzelfde: dubbelklikken met de muis, waardoor het bestand wordt geopend. Traditionele virus-scanners beschermen niet tegen dit soort nieuwe bedreigingen omdat ze niet met hun tijd zijn meegegaan. Daarom beschermen ze organisaties onvoldoende.

Onhaalbaar

Naast de opkomst van nieuwe typen virussen is ook de snelheid waarmee antivirus-leveranciers opwaarderingen beschikbaar moeten stellen onhaalbaar geworden. Wanneer we kijken naar de geschiedenis van het virus zien we dat één van de eerste, Jeruzalem, er ongeveer vijf jaar over heeft gedaan om wereldwijd computers te infecteren. Dankzij internet deed Melissa dit slechts in vijf uur.

Stappenplan
Installeer een router en/of firewall.
Installeer ‘intrusion detection’- en/of ‘content security’ software (http en ftp).
Installeer een ‘content security’ mailserver (smtp).
Installeer een mailspamfilter en gebruik url-filtering.
Installeer beveiliging op de werkstations (desktop en/of notebook).
Dit is één van de belangrijkste problemen van traditionele virusscanners. Het is namelijk onmogelijk om in vijf uur tijd een virus te bemachtigen, een virushandtekening te ontwikkelen, de opwaardering aan te bieden aan de (eind)gebruikers en deze te installeren op alle pc’s en servers waarop een antivirus-scanner is geïnstalleerd. Tegen de tijd dat organisaties alle antivirus-programma’s in de organisatie van een opwaardering hebben voorzien, is er al een mutant of een ander nieuw virus actief en begint het hele ritueel weer opnieuw.
Met traditionele antivirus-software blijft u dus altijd achter de feiten aanrennen. Zelfs wanneer u trouw alle opwaarderingen van uw antivirus-programma installeert, blijft het risico besmet te raken groot. Bovendien is één pc zonder recente opwaardering voldoende om een compleet netwerk te infecteren. Kortom, de snelheid waarmee virussen en wormen zich vandaag de dag verspreiden, vraagt om technieken die dergelijke problemen kunnen voorkomen.

Bij voorbaat

Om organisaties effectief te kunnen beschermen tegen dit soort kwaadaardige programma’s moeten deze zich beveiligen met moderne oplossingen die niet alleen afhankelijk zijn van gedateerde, op opwaarderingen gebaseerde, technieken, maar juist ook een ‘pro-actieve’ manier van detectie kunnen bieden. Het grote verschil met ‘re-actieve’ beveiliging is dat je bij bij voorbaat beveiligen over technieken beschikt om kwaadaardige code te herkennen zonder dat daarvoor een opwaardering nodig is.
Een voorbeeld: steeds meer ‘vandals’ die de laatste tijd verschijnen, gebruiken gaten in software. De schrijvers misbruiken deze gaten om toegang te krijgen tot pc’s, om vervolgens schade aan te brengen op pc’s of binnen netwerken. Traditionele antivirus-softwareleveranciers moeten een ‘handtekening’ van het virus toevoegen aan hun database voordat de software het kan herkennen. Indien een andere virusschrijver ook een virus schrijft en gebruikmaakt van hetzelfde gat, zal iedere antivirus-oplossing een nieuwe opwaardering nodig hebben om vervolgens ook weer dit virus te herkennen. Kortom, een onmogelijke actie die de nodige zorgen oplevert voor de toekomst.
Beveiliging bij voorbaat kijkt in dit geval niet naar de handtekening, maar checkt of er gebruik wordt gemaakt van een specifieke ‘exploit’. Als dat het geval is, blokkeert dit product de data, ongeacht welk virus het is en ongeacht of het vijf maanden of vijf minuten oud is.
Dit is slechts één van de vele manieren van pro-actieve beveiliging. Andere manieren zijn: bepaalde bestandsformaten blokkeren; anti-spam, -spoof, -relay en -bombing functionaliteiten; kwaadaardige scripts detecteren en verwijderen; peer-to-peer programma’s blokkeren; im’s (instant messenger) als MSN en ICQ blokkeren; en ftp-, http- en smtp-tunneling blokkeren (niet ftp-, http- en smtp-verkeer over de respectievelijke poorten 21/80/25 blokkeren).

Vertraging

Hoewel we bij spam nog steeds veelal denken aan ongewenste reclameboodschappen, wordt het in toenemende mate gebruikt voor het verspreiden van vandals. De Win32.Blaster worm is hier een goed voorbeeld van. Voor spam geldt hetzelfde als voor virussen en vandals; een lijst bijhouden met handtekeningen (in dit geval van spam-mailadressen en/of -mailservers) is wederom het paard achter de wagen spannen en biedt geen afdoende oplossing.
De meeste organisaties gebruiken één of meerdere antivirus-pakketten. Opvallend is dat het hier voor 95 procent gaat om antivirus-producten op desktops en mailservers, en dat bijna geen enkele organisatie de traditionele beveiliging inzet voor het controleren van http- (websurfen) en ftp- (down- en upload) verkeer. Dit heeft voornamelijk te maken met slechts één aspect: snelheid. De technologie om http-verkeer te scannen is namelijk proxy-technologie. Dit betekent dat je al het internetverkeer eerst cachet, vervolgens scant en dan pas doorstuurt naar de gebruiker. Voor mailverkeer is dit geen enkel probleem; je weet immers niet wanneer nieuwe mail zal arriveren en merkt niets van de vertraging door het scanproces.
Voor http- en (in mindere mate) ftp-verkeer is dit echter wél een probleem. Op het moment dat je een website bezoekt en vervolgens lang moet wachten voordat deze beschikbaar is, zal dit direct efficiëntieproblemen opleveren. Uit de praktijk blijkt dat de traditionele oplossingen dus niet voldoen, en zeker bij grotere organisaties (meer dan 250 werknemers) zorgen voor veel problemen en ergernis. In de meeste gevallen besluiten de verantwoordelijken dan ook om na evaluatie niet tot aanschaf over te gaan of om de reeds geïnstalleerde software te verwijderen.

Sneller

Traditionele ‘scan-engines’ maken gebruik van een proxy-methodologie. Deze werkt als volgt: eerst moet het volledige bestand binnen zijn op deze virusscanner, dan pas wordt het pakket gescand en, indien schoon bevonden, doorgestuurd naar de eindgebruiker. Hierdoor ontstaat vertraging. Eerst moeten alle ip-pakketten binnen zijn op de virusscanner, en pas na het scannen worden ze opgestuurd naar de eindgebruiker.
Aladdin heeft een technologie ontwikkeld die claimt dat ze http- en ftp-verkeer tien keer sneller scant dan traditionele oplossingen: Nitro Inspection. Deze technologie is geïntegreerd in Esafe, de contentbeveiliging die computergebruikers op een pro-actieve manier beschermt tegen internetgevaren. Voor Html-verkeer bijvoorbeeld wordt het scannen uitgevoerd door een separate scanmodule, die de hoogste prioriteit heeft. Hierdoor beleeft de eindgebruiker het ophalen en bekijken van internetpagina’s ‘realtime’.

Beleid
Zet op de firewall alleen die poorten open die van belang zijn voor zakelijke doeleinden (dus geen pop3-optie waarmee medewerkers hun privé-mail kunnen ophalen).
Blokkeer bij voorbaat bepaalde extensies waarvan bekend is dat deze niet nodig zijn voor zakelijk gebruik.
Scan op bekende ‘exploits’.
Scan al het in- en uitgaande verkeer, dus niet alleen smtp (80 procent van de virusbesmettingen vindt plaats via mailverkeer), maar ook http en ftp (maar liefst 15 tot 20 procent van de virussen komt op deze manier binnen, terwijl organisaties zich hier niet tegen beveiligen).
Zorg voor beveiliging op de desktop (vooral aangesloten notebooks in het netwerk), omdat op deze manier nog steeds vuiligheid het netwerk kan binnenkomen (via floppydrive of cd-rom). Let vooral op wanneer medewerkers hun notebook mee naar huis nemen en daar onbeschermd internet op gaan.
Bij het ophalen van data vanaf internet vindt het datatransport plaats door ip-pakketten. Deze pakketten tezamen vormen weer het uiteindelijke bestand. Stel dat een bestand wordt opgehaald vanaf internet, dan wordt dit bestand in ip-pakketten opgestuurd. Deze pakketten worden gekopieerd en doorgestuurd naar de eindgebruiker, totdat het laatste ip-pakket binnenkomt. Esafe houdt het laatste ip-pakket tegen, vormt uit alle ontvangen ip-pakketten het opgestuurde bestand en scant dit. Als er geen virus of andere bedreiging aanwezig is, wordt ook het laatste ip-pakket doorgestuurd naar de eindgebruiker. Er is dus alleen vertraging bij het laatste ip-pakket, waardoor er voor de gebruiker geen zichtbare vertraging optreedt. Is er wel een virus in het bestand aanwezig, dan dropt Esafe zowel het laatste ip-pakket als de connectie, waardoor de eindgebruiker niet het volledige bestand binnen heeft gekregen. De browser zal dan het niet complete pakket verwijderen van het systeem.

Bangmakerij

Toen het Israëlische Eliashim (nu Aladdin) in 1994 zijn beveiligingsproducten naar de Benelux ging exporteren, stond de markt nog niet open voor beveiligingssoftware. Destijds zagen veel it-professionals niet de noodzaak in van notebook- of netwerkbeveiliging; ze hadden immers Novell met een wachtwoord geïnstalleerd. Toen we in 1997 de pro-actieve antivirus/antispam-oplossing Esafe introduceerden, zeiden de leveranciers van traditionele antivirus-software dat we ‘een markt aan het creëren waren voor een niet bestaand probleem’. Onze visie van acht jaar geleden is nu realiteit geworden. Bij het merendeel van de leveranciers van traditionele antivirus-software ontbreekt een visie. Hun reactieve vorm van techniek en bestrijden is nog altijd dezelfde als vijftien jaar geleden.
Hoe is hun succes te verklaren, nu keer op keer blijkt dat deze oplossingen falen? Hun wieg heeft op het juiste moment op een commercieel betere plaats gestaan (de VS en Groot-Brittannië versus Israël). Hun marktpositie is inmiddels sterk, onder meer door een volop draaiende marketingmachine. Daarnaast regeren zij de markt met angstverhalen. Zo zouden er iedere maand duizenden virussen bijkomen. Het was toen al kul en het is nog steeds onzin. Er zijn een paar duizend virussen ‘in het wild’ in omloop. Al die tienduizenden virussen (volgens sommige antivirus-producenten zeventig- tot negentigduizend) zijn theoretische computervirussen (zoo-virussen) die slechts in labs aanwezig zijn, maar niet in het wild voorkomen. Een virus krijgt de status ‘in het wild’ als er wereldwijd meer dan vijf meldingen zijn. Dit soort bangmakerij leidt tot een onterechte voorstelling van zaken.
Voor eindgebruikers is het veilig om een softwarepakket van een marktleider te kiezen. Het schuilt nu eenmaal makkelijker achter een bekende naam op het moment dat het fout gaat. Toch groeit het aantal grotere organisaties dat niet langer kiest voor een bekende naam of een groot marktaandeel, en dat begrijpt dat een technisch betere oplossing die pro-actief werkt hen veel ellende kan besparen.< BR>
 
Peter van Ruiten, ex-directeur Aladdin Benelux

Meer lezen

Geef een reactie

Footer