Flame giver røde ører i antivirus-industrien
Den avancerede malware Flame er et glimrende eksempel på, at ondsindet software sagtens kan smutte mellem fingrene på alverdens antivirus-programmer, hvis bare bagmændene er dygtige nok.
Det mener den finske sikkerhedsekspert fra antivirus-firmaet F-Secure, Mikko Hyppönen, som i et blogindlæg hos teknologimagasinet Wired beskylder antivirus-branchen og sit eget firma for at have spillet fallit.
»Det betyder, at denne malware er sluppet forbi os alle i to år eller mere. Det er en kæmpe fiasko for vores firma, og for antivirus-branchen i sin helhed,« skriver Mikko Hyppönen.
Flame har formentlig eksisteret siden 2010, og den er i familie med de berygtede forgængere Stuxnet og Duqu. Den har primæt hærget i Mellemøsten, og F-Secure har registreret malwaren så langt tilbage som 2010 - dog uden at nogen alarmer er gået hos antivirus-firmaet.
Flame er i topklasse
Herhjemme påpeger F-Secures danske landechef, Michael Dahl, at malware som Flame tilhører en helt anden klasse end andre typer.
»Stuxnet, Duqu og Flame er angreb af en helt anden kaliber. Ressourcerne bag er så umådeligt store, og bagmændene har tid til at forfine deres angreb, så en sammenligning med almindelige varianter af malware vil svare til at sammenligne Real Madrid og et serie 2 hold fra Holbæk,« udtaler han i en pressemeddelelse.
Selvom Flame og lignende malware kan være umulig at fange for antivirus-programmer, betyder det ikke, at programmerne er helt uden virkning, siger landechefen:
»Jeg kan godt forstå, hvis forbrugerne bliver nervøse og tvivler på, om antivirus så overhovedet nytter noget, men her må jeg virkelig understrege, at det gør det! Danskerne bliver angrebet af tusindvis af vira hvert år og er heldigvis uvidende om langt de fleste angreb, fordi deres antivirus software blokerer dem.«
Super-malware giver antivirus industrien baghjul
Efter opdagelsen af den såkaldte super-virus Flame har flere antivirus leverandører konstateret, at de i flere år har ligget inde med eksemplarer af malwaren. Det er en stor fiasko for hele antivirus industrien, påpeger F-Secures Mikko Hyppönen i en kommentar i Wired. Der er dog ingen grund til at miste tiltroen til antivirus software, påpeger F-Secures danske landechef Michael Dahl. Avanceret super-malware udgør heldigvis kun en promille af al den malware, antivirus leverandørerne ser hvert år.
København, d. 7. juni 2012 – F-Secure har haft Flame-trojaneren i systemet siden 2010. Det viser ifølge Chief Research Officer Mikko Hyppönen, at antivirus industrien har fejlet – ikke mindst fordi det ikke er første gang, at uhyre komplekse malware varianter slipper under antivirus firmaernes radarer. Stuxnet og Duqu er andre super-vira, der de seneste år nok er blevet meldt gennem automatiske rapporterings-mekanismer, men som ikke er blevet markeret som noget, der skulle undersøges nærmere, fordi programmerne så harmløse ud. De tre super-vira var alle vedhæftet digitalt signerede komponenter, f.eks. var Flame signeret med falske Microsoft-certifikater, som får programmerne til at ligne troværdige applikationer, og helt uvant havde bagmændene ikke beskyttet deres super-malware med de typiske tricks i form af kompileringsprogrammer (pakkeprogrammer) til at mørklægge det kriminelle forehavende. I stedet var Flame f.eks. forklædt som uskyldig forretningsdatabase applikation med bl.a. SQLite, SSH og LUA biblioteker.
Stuxnet, Duqu og Flame er dog på ingen måde almindelig malware, understreger Hypponen. Der er kraftige indikationer på, at alle tre super-vira er udviklet af en vestlig efterretningstjeneste som en del af hemmelige operationer, der ikke skulle opdages. Og det faktum, at malwaren undgik antivirus leverandørerne, viser, hvor dygtige bagmændene er – men også, at forbrugerrettede antivirus produkter kommer til kort imod målrettet malware udviklet af nationalstater med enorme budgetter.
Ingen grund til at tvivle på antivirus Ifølge F-Secures danske landechef, Michael Dahl, skal de nye opdagelser dog ikke få forbrugerne til at miste troen på, at det er muligt at beskytte sig imod ødelæggende malware. Michael Dahl påpeger, at Stuxnet, Duqu og Flame tilhører Champions League indenfor malware og derfor er en helt anden kaliber end de tusindvis af trojanere, e-mail orme og phishing-mails, som forbrugerne undgår hvert år.
”Jeg kan godt forstå, hvis forbrugerne bliver nervøse og tvivler på, om antivirus så overhovedet nytter noget, men her må jeg virkelig understrege, at det gør det! Danskerne bliver angrebet af tusindvis af vira hvert år og er heldigvis uvidende om langt de fleste angreb, fordi deres antivirus software blokerer dem. Stuxnet, Duqu og Flame er angreb af en helt anden kaliber. Ressourcerne bag er så umådeligt store, og bagmændene har tid til at forfine deres angreb, så en sammenligning med almindelige varianter af malware vil svare til at sammenligne Real Madrid og et serie 2 hold fra Holbæk. De her super-malware varianter er udviklet af bagmænd med penge, tid og kompetencer til først at gå på banen, når de er 100 pct. sikre på, at de vinder kampen i en given periode”, forklarer Michael Dahl.
Det er dog en stor udfordring for antivirus leverandørerne at udvikle våben mod de særligt avancerede angreb fra ressourcestærke nationalstater.
”De her super-vira er enormt komplekse. Bagmændene går rigtigt langt for at undgå at blive stoppet og tester bl.a. deres koder på aktuelle antivirus software på markedet for at undgå, at deres malware bliver blokeret. Det er en noget unfair kamp, når it-kriminelle har adgang til antivirus-industriens våben, og derfor erkender vi også, at der imellem er så avancerede angreb, at vi kommer på bagkant. Men balancen er hårfin, for antivirus software skal opspore alle potentielle angreb, men samtidig ikke give forbrugerne alle mulige falske alarmer. Vi justerer hele tiden denne balance, men det bedste forsvar er en beskyttelse i flere lag, der omfatter aktiv overvågning af trafikken ind og ud af netværket, sortlistning af kendt malware og et sporingssystem, der beskytter mod indtrængning i netværket. Et simpelt antivirus-program er ikke længere nok imod avanceret malware, desværre,” siger Michael Dahl.
Kommentarer (21)
Jeg har kørt uden antivirus længe nu.
Jeg var træt af at jeg hele tiden skulle finde guides der fortalte mig hvilken pakke nu var den billigste i forbrug af resurser.
Med ordentlig backup kan man jo bare reinstallere hvis det skulle gå helt galt og i mellemtiden har jeg fuld udnyttelse af min processor og hukommelse.
-
1 -
10
Jeg har 99% opgivet AV produkterne nu, ihvertfald dem der koster penge eller i det hele taget har en betalt udgave.
Jeg blev/bliver ofte spurgt om råd ifm. AV software og det er simpelthen ikke holdbart for mig at anbefale sådan software når folks computere alligevel bliver inficeret. Godt nok er dem der spørger ofte meget langt fra at være ekspert brugere men det er jo netop dem der har mest brug for dem.
Hvis situationen kræver det, så kan man evt. køre Microsofts egen udgave hvis det er til Windows, eller bruge ClamAV. I det mindste plejer de ikke at reducere computeren til et langsomt-kørende vrag med vildt farvede splashscreens ;)
-
4
-
5
Med ordentlig backup kan man jo bare reinstallere hvis det skulle gå helt galt og i mellemtiden har jeg fuld udnyttelse af min processor og hukommelse.
Men det har du vel så ikke, hvis der ligger noget og kører i baggrunden, som du ikke kan se. Det er ikke alle vira eller trojans, der kaster om sig med farverige skærmbilleder.
Jeg plejer at anbefale Microsofts gratis AV-program, når folk spørger mig.
-
10
-
0
Jeg har kørt uden antivirus i årevis, og ingen infektioner. Men nu klikker jeg da heller ikke på hvad som helst (især ikke i mail), og undgår visse usikre browsere.
Min oplevelser er at mange ser sig som "sikre" når bare de har har et AV produkt med dets påståede sikkerhed, og derfor udsætter sig for mange flere risici. Og selvfølgelig er de pivåbne for at avancerede angreb udnytter usikre vaner.
-
2
-
4
Seriøst.
Jeg er ved at brække mig af grin, hver eneste gang jeg hører en sætning som
"Jeg har ikke kørt med antivirus i flere år, og jeg har aldrig haft virus"
Er i virkelig så retarderede at i ikke tror i har virus, bare fordi i ikke kan mærke det?? - Det er jo det hele pointen bag virusser er i dag - nemlig at man ikke skulle kunne mærke dem.
Men bliv da endlig ved med det - når i så en dag får tømt jeres bankkontoer, så kan i græde jer selv i søvn bagefter..
-
9
-
10
Folk der stoler på antivirus er de nemmeste ofre for virus, disse programmer er jo altid bagud. Folk der piver over konsekvenser af virus, er da ikke dem som kører uden.
-
6
-
5
Jeg kunne altså ikke være mere enig...
Lad os få en elendig bil-analogi på banen!
Kører I så også uden sikkerheds-seler? I kører vel aldrig galt.
Jeg beholder F-Secure OG min sunde fornuft tak. Undskyldningen om at PC'en bliver til at vraltende vrag, den køber jeg ikke. Der er et performance hit som med alt andet, men opgrader nu jeres gamle Pentium 4 processore, right?
-
9
-
4
Hvorfor skulle man køre uden ? M$ Antivirus belaster så lidt, det er gratis, og det popper ikke op med spam.
At man aldrig er 100% sikker ved de fleste der har lidt it kendskab. Men man kan da lig så godt sikre sig mod de 90% !
-
8
-
3
"Jeg har ikke kørt med antivirus i flere år, og jeg har aldrig haft virus" Er i virkelig så retarderede at i ikke tror i har virus, bare fordi i ikke kan mærke det??
Ja NemID er et godt eksempel på det, og her blev både Windows, Mac og Linux inficeret, fordi slutbrugeren gav noget kode lov til fuld adgang til alle brugerens filer.
Der gik iøvrigt længe før noget antivirus-program opdagede NemID's malware, så ikke engang antivirus-programmer skal man stole på.
-
7
-
5
Anekdotal men stadig:
1) Nu holder produkterne selv statistik med antallet af hits de har fundet, og for mig har det stået på et rundt 0 ihvertfald de sidste 4 år. Muligvis en kombination af held og gode vaner? ;)
2) Jeg har ret dårlige erfaringer med at adskillige af de største produkter på markedet er meget invasive og det kan godt mærkes i dagligt brug. Symantec specielt kan være helt håbløst at fjerne igen. Noget af dette er per design for at kunne detektere sofistikeret malware, andet er dårlig kvalitet.
Som Mikko selv påpeger, så er AV produkter næsten per definition altid bagud. Så må man selv afveje risikoen vs omkostningerne. Personligt er min erfaring at de ikke er værd at betale for.
-
5
-
1
...hvordan Flame kan skjule sig så godt for AV producenterne.
-
1
-
0
Er i virkelig så retarderede at i ikke tror i har virus, bare fordi i ikke kan mærke det?? - Det er jo det hele pointen bag virusser er i dag - nemlig at man ikke skulle kunne mærke dem.
Er du virkelig så retarderet, at du tror du ikke har virus, bare fordi du har antivirus? Har du overhovedet overvejet muligheden for fejl i de binary blobs som antivirus er i dag?
Men bliv da endlig ved med det - når i så en dag får tømt jeres bankkontoer, så kan i græde jer selv i søvn bagefter..
Det er en aftale. Men så trøster vi heller ikke dig, når du får tømt din, selvom din antivirus påstod at din maskine var helt ren.
-
5
-
2
Der findes jo alternativer som f.eks.: http://www.cisco.com/en/US/products/sw/secursw/ps5057/index.html
Problemet med den slags security er selvfølgelig at man skal have styr på sine ting ;P
-
0
-
0
Jeg har kørt med Antivirus lige så længe det har eksisteret.
Jeg har også gemt mange af mine gamle HD'er, i mange år tilbage.
Hver eneste gang jeg har taget en 5 - 10 år gammel hd frem, har keg kunnet finde virus på den, når jeg har scannet den i et eksternt kabinet.
Det betyder samtidigt, at jeg har haft uopdaget virus / mallware på de samme diske, i det tidsrum hvor de blev benyttet aktivt.
Der findes ikke nogen sikker antivirus, og der vil aldrig komme til det.
Men helt at undlade antivirus, anser jeg som ren idioti, da man dermed åbner sig for selv det enkleste angreb. Samtidigt deltager man jo aktivt i yderligere spredning, ved ikke at holde sit eget system så rent som muligt.
Antivirus vil altid være et skridt bag efter, det ligger i mekanismen omkring dette " våbenkapløb ", sådan er det bare.
Men det er vigtigt, at f.eks. offentlige systemer, sættes således sammen at der ikke sker nogen egentlig skade, hvis disse systemer kompromiteres.
At sådanne systemer bliver kompromiteret og sandsynligvis allerede har været det gennem længere tid, bør ikke længere være noget der er til diskusion. Det er jo allerede konstateret.
-
3
-
0
Som jeg skrev før, så kan man lige så godt køre et gratis av program, for at minimere angreb, eller for ikke at agere som en bot. Det der faktisk er vigtigere, er at holde ens programmer opdateret, for at fjerne sikkerhedshuller, som kan udnyttes. Der har vi faktisk et dansk firma, som er helt fremme i skoene og har fået kæmpe ros internationalt Secunia.com . De har et gratis produkt Secunia PSI http://secunia.com/vulnerability_scanning/personal/ til private, og kanon produkt til firmaer, med patch server, rapportering og alt hvad der høre til. Prøv det !
-
1
-
0
[quote]Er i virkelig så retarderede at i ikke tror i har virus, bare fordi i ikke kan mærke det?? - Det er jo det hele pointen bag virusser er i dag - nemlig at man ikke skulle kunne mærke dem.
Er du virkelig så retarderet, at du tror du ikke har virus, bare fordi du har antivirus? Har du overhovedet overvejet muligheden for fejl i de binary blobs som antivirus er i dag?
[/quote]
Enig. Prøv at læse "A Bughunters Diary". I den beskriver forfatteren en sårbarhed i et antivirus produkts kernemodul som giver ham fuld adgang til maskinen. Mange tak for det!
Nej, jeg holder mig til Linux, hvor der (jaja...pga. manglende udbredelse) ikke er virus.
-
3
-
0
Hmmm jeg er temmelig glad for at jeg køre Linux lige nu ;)
EDIT: Dog skal det siges at jeg ikke kan lide, at min bank og resten af Danmarks IT-infrastruktur er bygget på Windows Server 2003 :(
-
3
-
1
#Martin Poulsen
Jeg kører skam ikke med antivirus, da jeg kører Linux.
- Og hvis du indirekte siger, at det er bedre at køre uden antivirus, så må du være retard.
-
0
-
3
Tilføj kommentar
