Bedrijven onderschatten nog altijd de malware-markt en denken met een antimalware-product hun beveiliging op orde te hebben. In het gros van de gevallen is het installeren van een antimalware-product niet voldoende.
Uit een onderzoek van Panda Security blijkt dat 72 procent van de bedrijven en 23 procent van de thuisgebruikers die een up-to-date antimalware-product gebruiken toch geïnfecteerd zijn. Zijn de antimalware-producten slecht? Is het wel mogelijk om ons te wapenen tegen alle huidige dreigingen?
Professionalisering
Een van de belangrijkste oorzaken van het feit dat computers, ondanks een up-to-date beveiliging, toch geïnfecteerd raken, is volgens mij de professionalisering van de malware-markt. In plaats van roem is sinds ruim een jaar geld de drijfveer voor malware-schrijvers. Naast dat er geld wordt verdiend met succesvolle banking trojans, worden ook de malware-utilities zelf verkocht; zo koopt men een keylogger voor veertig dollar, kan de prijs van een trojan op lopen tot duizend dollar en kan men voor vijfhonderd dollar gebruikmaken van een dedicated spamserver. Of wilt u liever direct creditcards kopen; twee dollar per kaart en vanaf tien stuks 1,50 dollar per kaart. Alles waar snel, veel geld mee kan worden verdiend, trekt mensen aan die er alles voor over hebben (investeringen in technologie en tijd) om hun doel te bereiken: snel rijk worden! Er zijn volledige businessmodellen onstaan.
Wat doen antimalware leveranciers eraan?
Alle antimalware-leveranciers weten dat de traditionele manier van scanning (op basis van signatures) niet meer voldoende is. Ook de heuristische detectie die midden en eind jaren '90 door de verschillende leveranciers werd geïntroduceerd is niet meer voldoende.
De introductie van een meer proactieve benadering komt bij een enkele leverancier al in 2004, maar de meeste introduceren hun proactieve scanning pas in 2007. Ondanks dat dit een zeer goede aanvulling is op de eerdergenoemde technieken, zal ook deze techniek in de toekomst minder effectief zijn, simpelweg omdat de malware-schrijvers ook hierop zullen reageren. Zij zullen gaan investeren in technologieën die de proactieve scanners zullen omzeilen, simpelweg omdat ze anders minder geld kunnen verdienen. Momenteel kondigen verschillende antimalware-leveranciers alweer nieuwe technologieën aan die een aanvulling zullen vormen op de bestaande of deze (deels) gaan vervangen.
Wat nog meer?
Naast het installeren van een goed antimalware-product met minimaal een proactieve scanning kan men nog andere acties ondernemen die de kans op virusinfecties aanzienlijk kunnen verkleinen. Hierbij valt te denken aan contentfilters voor blokkeren van bijvoorbeeld uitvoerbare bestanden, beperken van rechten van gebruikers (geen usb-apparaten, geen lokale beheerrechten), het filteren of blokkeren van bepaalde website, messaging en peer-to-peer applicaties. Ook het monitoren en updaten van de beveiliging valt hieronder, en zeker het eerste wordt nog wel eens nagelaten. Er zijn nog veel meer maatregelen te bedenken, maar waar het om gaat is dat velen niet verder denken dat het antimalware-pakket wanneer het gaat om malware-bestrijding.
Bedrijven moeten afstappen van het idee 'ik heb een antimalware-pakket geïnstalleerd dus ik kan niet meer geïnfecteerd raken'. Die tijd is allang voorbij! Men moet aanvullende acties nemen.
Waarom nog steeds dweilen aan het einde van de pijpleiding, als kraan nog steeds voluit lekt??
Laten we wel wezen collegas:
Malware heeft nog steeds kans van slagen door een aantal zaken die structureel in deze discussies over het hoofd gezien worden. (bewust of niet)
1. Ontwerpfouten in hardware
– Intel hidden cpu tricks..,
– Intels hidden “Wake on Lan” features.. let maar op gaat komen!
2. Ontwerp fouten in operating systems:
– Xp, Vista, IE8..
– remote code execution patches,
– gesloten windows kernel,
– geen open source win32 api
– rootkits
3. Slecht geprogrammeerde programma’s
– memory leaks,
– heap breaches
– stack manipulations
“Wat doen operating system leveranciers eraan?”
Not a single f***! of de blootgelegde gaten veel te laat en te langzaam patchen. Of word dit bewust over het hoofd gezien om de “antimalware /spyware / antivirus – nice markt te voeden en klanten op te zadelen met nog meer ict kosten?”
Volgens mij worden dit soort lekken bewust geprogrameerd om de “anti virus, spyware, malware industrie” aan het werk te houden.
Leg me anders eens uit waarom er geen anti-virus, spyware, malware scanners INGEBOUWD zitten als je eenoperating system koopt? Of heten dit in security termen “Known Bugs”? of “Undocumentent API features”?
die alleen bekend zijn bij de bouwers van een operatings system en een selecte groep “anti virus, spyware, malware industrie”
Doet me verdacht veel denken aan de 9/11 strategie
– (create! a) Problem
– (wait for public) Reaction
– (Offer a) Solution
en laat ze betalen voor alle 3 bovenstaande zaken.
In het DOS, OS/2, (begin)Linux tijdperk was dit probleem niet zo groot. Toen was alles nog relatief simpel, geen GUI, geen hardware abstraction layers, geen micro-kernels met hidden processes.
“Als je boot waterdicht hebt ontworpen en gebouwd hebt, blijft ie vanzelf drijven , zonder dat je iedere dag hoeft te hozen?!”
Zo niet houden de fabrikanten van hardware, software, besturingsystemen elkaar lekker aan het werk, op/ten kosten van hun klanten.