Når antivirus bliver din fjende: Du har vel en katastrofeplan?

Illustration: leowolfert/Bigstock
Antivirussoftware er stadig nødvendig, selvom den kan vende sig imod dig, sådan som brugere af Panda Securitys software oplevede for nylig.

Er det bedre at klare sig helt uden antivirus end at risikere, at antivirusprogrammet ved en fejl begynder at sætte afgørende systemfiler i karantæne, sådan som det senest er sket for Panda Antivirus? Det spørgsmål rejste sig i debatten på Version2, men rådet fra sikkerhedsbranchen lyder fortsat, at antivirus er det fornuftige valg.

»Falske positiver kan være lige så slemt som den malware, man ikke finder,« siger sikkerhedsekspert Peter Schjøtt fra Symantec til Version2.

Derfor forsøger antivirusfirmaerne at undgå at havne i en situation, hvor der bliver udsendt en signaturfil, som fanger uskyldige filer, sådan som det ser ud til at være sket for Panda Security.

»Det, der tager længst tid, er at teste en ny signatur mod vores clean set,« forklarer Peter Schjøtt.

Antivirusfirmaerne skal for at holde trit med strømmen af malware-varianter udvikle mellem 15 og 20 signaturer hvert sekund, når bølgerne går højt. Derfor forsøger de også at finde signaturer, som virker generelt på bestemte familier af malware og ikke kun en enkelt variant inden for familien.

For at undgå, at sådan en signatur angriber styresystemet eller sig selv, skal det testes grundigt. Eksempelvis skal der ikke bare testes mod godartede styresystemer og applikationer, men også forskellige sprogversioner.

»De fleste antivirusproducenter har på et tidspunkt klokket i det. Men jeg kunne ikke drømme om at køre uden antivirus - ligesom jeg ikke kunne drømme om kun at køre med antivirus,« siger Peter Schjøtt.

Læs også: Pc-panik: Panda antivirus angreb systemfiler - og sig selv

Læs også: Advarsel: Genstart ikke din computer, hvis du har Panda Antivirus

I Panda Securitys tilfælde blev der ved en fejl udsendt en signatur, som fangede blandt andet systemfiler i Windows og også filer, som antivirusprogrammet selv var afhængig af. Filerne blev sat i karantæne, og brugerne risikerede, at deres system ikke kunne starte op, og derfor måtte Panda advare brugerne mod at genstarte, før problemet var løst.

»Det meldte de ud for sent. Det første, man som pc-bruger prøver, når noget ikke virker, er at prøve at genstarte,« siger direktør Kim Gregersen fra IT-Operators til Version2.

Hans firma supporterer blandt andet Pandas sikkerhedssoftware, og i kølvandet på den fejlbehæftede signaturopdatering onsdag måtte hans firma hjælpe cirka en fjerdedel af de brugere, som havde Pandas software installeret.

Omfanget kunne dog have været større, for der gik ifølge Kim Gregersen lang tid, før der kom en officiel udmelding fra Panda Security eller den danske distributør, Virosafe.

»Vi hørte ikke rigtig noget fra hverken Panda eller Virosafe, men da det gik op for os, at det ikke var en virus, men en fejl, fik vi stoppet opdateringen via vores konsol. Det var nok heldigt. Vi skulle hjælpe 75-100 brugere, som var ramt,« siger Kim Gregersen.

Han endte med at lave et script, som gjorde det lettere at udføre den fejlrettelse, som Panda foreslog, og scriptet er blevet hentet mere end 35.000 gange fra IT-Operators hjemmeside.

»Vores kunder har egentlig været rimelig forstående. Men vi har brugt meget arbejdstid på det, så det er jeg lidt træt af,« siger Kim Gregersen.

Den danske distributør, Virosafe, oplyser til Version2, at kunderne ved installation af antivirussoftwaren accepterer, at leverandøren ikke dækker tabt arbejdstid eller defekt udstyr, hvis der opstår fejl i softwaren. Ifølge Virosafe er der tale om standardbetingelser for softwarebranchen.

Antivirussoftware lever i dag i en særlig symbiose eller måske snarere i en konstant brydekamp med styresystemet. For at beskytte effektivt skal moderne antivirus have vide beføjelser og rettigheder, og derfor kan det også gå rigtig galt, når det går galt.

»Det er ikke kun Panda. Alle antivirusleverandører har haft falske positiver, hvor signaturerne ikke har været præcise nok og har fanget legitime filer, og det kan være i Windows eller antivirusprogrammet selv,« siger sikkerhedskonsulent Peter Kruse fra sikkerhedsfirmaet CSIS til Version2.

Selvom det så kan være fristende for folk med stor erfaring inden for, hvordan man kan sikre sig mod malware gennem sin adfærd og ved at opdatere sin software, helt at holde sig fra antivirus, er det ikke tilrådeligt for almindelige brugere.

I stedet er man ifølge Peter Kruse nødt til at være forberedt på, at noget kan gå galt i ens system, uanset hvad der måtte udløse det.

»Det skal være en del af den 'disaster recovery plan', du skal lave for din virksomhed. De her fejl kan opstå fra alle tredjepartsprogrammer eller Windows selv. Men det kan også ske som ransomware, hvor du er nødt til at genetablere det hele, så du er nødt til at have en plan,« siger Peter Kruse.

Antivirus bliver med jævne mellemrum beskyldt for ikke længere at være relevant i forhold til trusselsbilledet anno 2015, og derfor kunne det være fristende at nedprioritere brugen, når nu antivirus kan vende sig mod brugeren.

Men fra branchen lyder det samstemmende, at ja, den traditionelle, signaturbaserede antivirus i sig selv ikke er effektiv til at stoppe nye trusler. Til gengæld er den effektiv til at bremse allerede kendte trusler, hvilket tvinger malware-bagmændene til at skulle mutere deres malware konstant. Og derfor er man også nødt til at beskytte sig med eksempelvis intrusion prevention oven i den almindelige antivirus.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (11)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Peter Jensen

I øvrigt er det første, man som Windows Server-administrator prøver, når noget ikke virker, er at genstarte :-)


Reboot er aldrig det første man gør i et professionelt foretagende for at forsøge at løse en fejl.

Her prøver man i stedet at få identificeret og afhjulpet årsagen til fejlen i det kørende system. Det er vigtigt at få fundet og dokumenteret årsagen til fejlen, så den kan blive løst på korrekt vis og man dermed undgå at den gentager sig eller medfører nye og mere alvorlige fejl og problemer. Reboots som problemløsning er ofte bare som at tisse i bukserne for at holde varmen.

Log ind eller Opret konto for at kommentere