Het klonk als een goed idee: mensenrechtenorganisatie Amnesty International bracht recent, in samenwerking met andere, kleinere mensenrechtenorganisaties, een antispyware tool op de marktmet de naam Detekt. De reden hierachter was helder: in veel landen worden journalisten, bloggers er critici van het bewind door de overheid in de gaten gehouden met behulp van spyware en dat moet stoppen.
De mensenrechtenorganisaties hadden er kennelijk weinig vertrouwen in dat commerciële antivirusoplossingen deze taak op zich wilden en/of konden nemen, en besloot zelf een tool te bouwen. Op zich is die gedachte nog niet zo slecht. We weten dat security-expert Schneier in 2013 al aan verschillende anti-virus-producenten heeft gevraagd of zij meegaan in verzoeken van overheden om bepaalde malware (meestal spyware), die door die staat zelf wordt ingezet voor de ‘staatsveiligheid’ niet te blokkeren.
Opvallend is dat de Europese en Aziatische fabrikanten vrij snel lieten weten aan dergelijke verzoeken niet mee te werken. De Amerikaanse bedrijven hielden zich stil. Waarschijnlijk juist die stilte, heeft de argwaan van Amnesty International gewekt. Dus ging men aan het werk.
Groot nieuws
Op 20 november was de tool klaar voor lancering. Het was groot nieuws, zo ongeveer alle journaals en kranten over de hele wereld hebben over Detekt bericht. De tool, op open source basis, zou de negen bekendste spyware-families herkennen. Op de site waar de tool gedownload kan worden, wordt uitgelegd wat je kunt doen als er een stukje spyware op je pc wordt gevonden door Detekt: verbreek de internetverbinding, haal de pc helemaal leeg, haal er een expert bij die je vertrouwt en overweeg om de pc in zijn geheel weg te doen(!).
Uiteraard waren wij, als security-specialist en AV-fabrikant erg nieuwsgierig naar Detekt. We hebben de tool dan ook direct gedownload en geanalyseerd. Vooraf wisten we al dat het geen perfecte oplossing was tegen spyware, omdat het gaat om een puur reactieve detectie op basis van virushandtekeningen. Dit betekent niet alleen dat een infectie met spyware niet kan worden voorkomen door Detekt (de aanwezigheid van spyware kan uitsluitend worden vastgesteld als de pc er al mee besmet is), maar ook dat iedere aanpassing in de code van de spyware zal leiden tot het omzeilen van detectie. Bovendien zal alle spyware die nog onbekend is, of die nieuw wordt ontwikkeld, niet worden herkend door Detekt. De ontwikkelaars achter de tool zullen zeer actief moeten zijn om de veranderingen in het spyware-landschap zo snel mogelijk in de tool te verwerken en gebruikers moeten de tool doorlopend updaten.
Hoe snel dit proces ook plaatsvindt en hoe hard de ontwikkelaars ook werken, bij een reactief systeem loop je per definitie achter de feiten aan. Een ander duidelijk nadeel van de tool is dat deze alleen spyware kan herkennen, maar deze niet kan verwijderen. Wanneer een besmetting niet kan worden opgelost door de schadelijke code te verwijderen, moet je inderdaad terugvallen op adviezen als ‘pc compleet formatteren en alles opnieuw installeren’ of, nog erger: ‘gooi de computer maar weg’.
Gevoelig voor valse alarmen
Een grondige analyse van Detekt stemt beveiligingsexperts vrolijker. Zo werd al snel duidelijk dat de manier waarop Detekt scant de tool zeer gevoelig maakt voor valse alarmen. In de tool staan de stukjes (gevaarlijke) code waarnaar de tool op zoek moet gaat. Wanneer de tool met behulp van de browser Firefox is gedownload, blijft deze informatie nog even in het browsergeheugen op de pc hangen en zo kan het gebeuren dat bij een scan Detekt zegt dat Firefox spyware bevat.
In werkelijkheid vindt Detekt de ‘gevaarlijke’ code in de eigen code van Detekt. Detekt detecteert dus in feite zichzelf. Iets soortgelijks gebeurt met de meeste antivirusproducten. Die scannen een programma dat wordt opgestart automatisch (on access scanning) en laden het programma daarbij in een speciaal stukje van het geheugen van de pc om te controleren op gevaarlijke code. Nadat dat is gedaan, blijft die informatie nog even achter in het geheugen. Wanneer Detekt vervolgens de pc scant, komt hij de gevaarlijke code die verwerkt is in zijn eigen broncode weer tegen in dit stukje van het geheugen en slaat alarm.
Ettelijke updates
Na onze analyse werd ook duidelijk dat de detectie van zeven van de negen spyware-families, die oorspronkelijke zouden worden herkend, was teruggetrokken. Hoogstwaarschijnlijk in verband met de vele valse alarmen die zijn geslagen. Sindsdien zijn er alweer ettelijke updates van de tool verschenen. Dit toont ons aan dat er absoluut goede wil is bij de ontwikkelaars om Detekt zo goed mogelijk te maken
Voor een echt goede tool is echter een geheel andere structuur nodig, eentje die op proactieve wijze spyware herkent, bijvoorbeeld door naar de code te kijken voordat die het systeem opkomt en het gedrag van een code vooraf te testen, bijvoorbeeld in een sandbox-technologie. Eigenlijk een beetje zoals goede security-pakketten dat doen. Nee: precies zoals goede security-pakketten dat doen.
Wie bang is voor samenzweringen tussen commerciële aanbieders en overheden, kiest voor de zekerheid voor een fabrikant die zich plechtig uitspreekt tegen samenwerking met overheden. Bijkomend voordeel is dat je dan niet alleen tegen spyware bent beschermd, maar tegen álle online gevaren.
Er bestaat geen bescherming “tegen álle online gevaren”.
Eens Jan. Hoewel het initiatief aimabel en lovenswaardig is, ze je hier de eerste fouten in standaard IT proces alweer opduiken. Geen deugdelijke testfase. Als we dit soort standaard dingen voorgeschoteld krijgen die klaarblijkelijk niet kunnen worden uitgevoerd door…, dan vrees ik met grote vreze voor het overall niveau van IT professionals.
Als dit soort, naar wat ik altijd stel en roep, basale IT kennis word veronachtzaamd dan heeft dit weerslag verderop in het proces. In dit geval gebruik na implementatie.
@Numo Quest
Niet vergeten dit is gratis ter beschikking gesteld, een groep van ITers die samen Detekt gemaakt hebben uit verontwaardiging, dat is toch te prijzen.
Hoewel al weer enkele maand oud vroeg ik me bij het lezen wel af of Jan wel de juiste man is om hier commentaar op te leveren. Het artikel begint er immers mee dat de fabrikanten niet mee wilden werken…. Dus G Data schijnbaar ook niet. Lekker makkelijk achteraf schieten op het initiatief dus terwijl je eigen werkgever niet wilde meewerken.