Tiden rinder ud for diskette-alderens antivirus

Signaturbaseret scanning af harddisken forsvinder ikke lige med det samme, men nye teknologier afløser metoden som det primære forsvarsværk for pc'en.

Få ting kan få blodtrykket til at stige hos en pc-bruger som beskeden om, at det er tid til en komplet antivirusscanning af harddisken. Det er ikke så underligt, fordi det kan tage flere timer at scanne en harddisk med en halv million filer.

Det er en metode, som har været brugt siden de første antivirusprogrammer kom på markedet, men som i dag er løbet ind i en mur, der gør metoden ubrugelig i dens oprindelige form.

»Den gang, vi udvekslede data på disketter, som vi tog fra pc til pc, da var den statiske scanning af filer den bedste metode. Men den er ved at være ved enden af dens levetid,« siger produktchef Jerry Egan fra Symantecs Security Response til Version2.dk

Problemet er, at antallet af nye varianter er vokset eksponentielt de seneste år. For 2007 svingede tallene fra 250.000 ifølge F-Secure til 2,2 millioner ifølge Kaspersky Lab alt efter, hvordan de nye varianter bliver opgjort. Og tallene for 2008 ser ud til at følge den samme vækstrate, så der ved udgangen af 2008 vil være dobbelt så mange varianter som ved udgangen af 2007.

Samtidig indeholder den typiske pc langt flere filer, end den typiske pc i 1990'erne, hvor den signaturbaserede harddiskscanning var den mest almindelige form for beskyttelse.

Den udvikling tvinger derfor antivirusfirmaerne til at tænke i nye baner for at undgå, at en scanning kommer til at tage så lang tid, at det går ud over brugerens mulighed for at benytte pc'en.

»Behovet for den komplette scanning er ikke forsvundet, men vi er nået til et trin i udviklingen, hvor metoden ikke længere kan optage ressourcerne på pc'en,« siger produktchef Bob Hansmann fra Trend Micros afdeling for Enterprise Security Solutions til Version2.dk.

Kræver flere lag

Et andet problem er, at mange af truslerne i dag har en kort levetid. Der er tale om varianter, som udsendes i korte byger til et antal ofre via e-mail eller på websteder, hvorefter bagmændene skifter til en ny variant.

»Førhen var trusselsbilledet, at der som regel var én bestemt virus, der var ekstremt udbredt. Så en enkelt signatur kunne beskytte en stor andel af brugerne,« siger Jerry Egan fra Symantec.

Det sker netop for at slippe forbi de signaturer, som antivirusfirmaerne distribuerer til at identificere et ondsindet program, så snart de har opdaget en ny variant.

Derfor er det i dag nødvendigt at sikre virksomhedens pc'er med flere lag af sikkerhed. Det kan være links i e-mails til websteder, hvor sikkerhedssoftwaren først spørger en database om pålideligheden af det websted, der linkes til, før brugeren kan tilgå det.

Eller det kan være firewalls, som analyserer de pakker, der sendes over netværket for eksempelvis at opdage scriptkode fra et websted, som forsøger at udnytte en kendt sårbarhed i et program.

»Lige nu udkæmpes det primære slag ved frontlinjen af de proaktive teknologier,« siger Jerry Egan.

Virus via USB
Det betyder imidlertid ikke, at den komplette scanning er helt uddød. De proaktive teknologier har alle den svaghed, at de kan gøre meget lidt, hvis et ondsindet program er sluppet forbi dem. Enten fordi den konkrete variant ikke blev opdaget, eller fordi den kom ind på systemet uden at bruge netværket.

Det kan eksempelvis ske via USB-lagermedier. Selvom der er tale om en metode, der kan virke gammeldags i lyset af de internetorme, der plagede Windows-brugere i 2004, så er flere af de avancerede trojanske bagdøre i stand til at sprede sig via netværksdrev og eksterne lagermedier.

Samtidig har der også været flere eksempler på hukommelseskort og MP3-afspillere, som er blevet solgt med ondsindede programmer.

»Derfor har jeg stadig brug for noget, der kan beskytte min pc mod de trusler, som ikke er afhængige af internettet,« siger Bob Hansmann fra Trend Micro.

For at overkomme problemet med den eksplosive vækst i antallet af ondsindede programmer er antivirusfirmaerne derfor nødt til at ændre måden, der scannes på.

Selektiv scanning

I de to seneste generationer af sikkerhedspakker har sikkerhedsfirmaerne derfor fokuseret på at reducere ressourceforbruget, så der bruges mindre hukommelse, og processerne kan køre i baggrunden.

På længere sigt er firmaerne imidlertid nødt til at gøre selve scanningen mere selektiv for at yde den nødvendige sidste forsvarsbastion mod de trusler, som slipper forbi de proaktive forsvarsværker.

»Langt størstedelen af de seneste tusindvis af ondsindede programmer fungerer ikke uden en forbindelse til internettet, som kan afsløre dem. Men der er stadig nogle få programmer, som kan gøre skade uden internetforbindelse. Dem skal vi beskytte imod med signaturer,« siger Bob Hansmann.

Trojanske bagdøre i et botnet er afhængige at at kunne kommunikere med hinanden og centrale servere. Den trafik kan opdages af en firewall, så systemadministratoren kan identificere den inficerede pc og skride til handling.

En virus, som krypterer alle dokumenter på pc'en med en stærk algoritme for at bagmanden kan opkræve løsepenge for at udlevere nøglen, vil derimod være et eksempel på en type ondsindet program, hvor en signatur kan være det bedste forsvar.

Sikre filer slipper for scanning

Men det er ikke kun antallet af signaturer, som kan reduceres. Jo færre filer, der skal scannes, jo hurtigere går scanningen. Derfor arbejder sikkerhedsfirmaerne på at indbygge hvidlister over filer på pc'en, som ikke behøver blive scannet.

Det betyder, at antivirusprogrammet holder øje med, om en fil er blevet ændret siden den seneste scanning. Hvis filen ikke er ændret, behøver den ikke blive scannet.

Samtidig kan antivirusprogrammet sende forespørgsler til sikkerhedsfirmaet via internettet for at få en opdateret hvidliste over kendte filer, som ikke skal scannes.

»Størstedelen af filerne på en pc kan udpeges som sikre, og antallet af eksekverbare filer vokser ikke eksponentielt,« siger Jerry Egan fra Symantec.

Selvom de fleste trusler i dag bliver stoppet af firewalls og proaktive foranstaltninger både på klienten og netværket, så anbefaler sikkerhedsfirmaerne stadig, at man foretager en komplet scanning mindst én gang om ugen.

»Selvom det er meget sjældent, at den finder mere end et par cookies, så scanner jeg stadig min egen pc én gang om dagen. Bare i tilfælde af, at der skulle være havnet noget på den, som ikke er blevet fanget,« siger global uddannelseschef David Perry fra Trend Micro til Version2.dk.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (16)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Jarle Knudsen

Kan vi lige tilføje at blandt de mange OSer er det bare EN der slider med vira? (og historisk set altid har gjort).

Eneste konklusion må være at enten er de alle andre godt sikret allerede nu, eller den ene ualmindelig dårlig sikret/lavet.

  • 0
  • 0
#2 Anders Gregersen

Mon ikke det mere har noget at gøre med hvor mange man kan ramme med en enkelt indsats og at uanset hvilket system man benytter er den der sidder ved tastaturet der afgører sikkerhedsniveauet? Linux/MacOS/Etc. er jo ikke sikre hvis man alligevel kører alt som root og blindt installere alt imellem himmel og jord.

  • 0
  • 0
#3 Jarle Knudsen

Taget i betragtning at de færreste *nix/Mac brugere kører med en antivirus eller anden for for beskyttelse, burde de være et væsentlig nemmere mål end ellers.

[EDIT:] Faktisk, kender jeg ikke EN ENESTE der har en ativirus på sin *nix/Mac. Siger det noget? :O)

  • 0
  • 0
#4 Søren Løvborg

Jeg kører ikke med antivirus på min *nix. Jeg kører heller ikke med antivirus på min Windows. Din pointe?

Som it-professionel er jeg i stand til at benytte begge operativsystemer så fornuftigt, at risikoen for at jeg bliver ramt af malware er mindre end risikoen for at blive kørt ned på vej over gaden.

It-kompetencer er altafgørende for ens risiko for virus, operativsystem stort set ligegyldigt.

  • 0
  • 0
#5 Bjarke Walling

It-kompetencer er altafgørende for ens risiko for virus, operativsystem stort set ligegyldigt.

Du har ret i at en it-professionel kan ændre indstillingerne i sit OS, der gør det enten sværere eller nemmere at blive angrebet. Dog synes jeg det er smart med fornuftige standard-indstillinger, som den almindelige bruger alligevel ikke vil tænke over. Nu ved jeg ikke med Windows Vista, men i f.eks. Windows XP kan jeg ikke se hvordan det gavner at man per default logger ind som administrator uden kodeord.

Mvh. Bjarke

  • 0
  • 0
#6 Jarle Knudsen

Nu ved jeg ikke med Windows Vista, men i f.eks. Windows XP kan jeg ikke se hvordan det gavner at man per default logger ind som administrator uden kodeord.

Samme oplevelse med Vista Home leveret med mine Packard-Bell og HP bærbare. Begge gange logget default som administrator uden passord.

Sjovt nok reinstallation fra en DVD fixet problemet.

  • 0
  • 0
#7 Jarle Knudsen

Mon ikke det mere har noget at gøre med hvor mange man kan ramme med en enkelt indsats

Selv om MS IIS er i kraftig undertal i forhold til Apache installationer, er den førstnævnte et klart favorit mål for div. hack og malware. Så her er noget der ikke stemmer.

It-kompetencer er altafgørende for ens risiko for virus, operativsystem stort set ligegyldigt.

Vil det sige at f.eks. MS IIS administratorer er mindre kompetente end tilsvarende Apache administratorer? Lidt af en påstand, spørg du mig O_O

  • 0
  • 0
#8 Jesper Stein Sandal

Påstanden om flere angreb mod IIS end Apache må du godt underbygge med nogle tal. Så vidt jeg kan se, er billedet faktisk lige omvendt, og de to deler stort set markedet.

http://news.netcraft.com/archives/2008/09/30/september_2008_web_server_s...

http://www.zone-h.org/component/option,com_attacks/Itemid,43

Tallet for Apache kan ganske vist være lidt forskruet, fordi Apache i højere grad end IIS bliver brugt til hosting af mange domæner på samme server.

Hacking af webservere har i langt de fleste tilfælde at gøre med webapplikationer og sjældent med det styresystem, der ligger nedenunder. Så statistikken siger intet om, at Linux skulle være mere usikkert end Windows, selvom tallene kunne fortolkes på den måde.

Windows Vista: Det er ikke normalt, at Windows Vista lader dig logge på som administrator uden adgangskode. Og selv hvis du gør, skal du stadig bekræfte afvikling af programmer fra internetzonen ligesom på Mac og Linux.

Styresystemet er i dag irrelevant, når det gælder virus. Det er ret let at skrue et angreb sammen, som vil kunne få en Linux-bruger til at omgå sikkerheden:

Forestil dig, at du modtager en e-mail, som ser ud til at komme fra eksempelvis Adobe. Du bliver indbudt til at deltage i en lukket betatest, fordi du tidligere har downloadet Linux-software fra Adobe.

Du skal bare som root skrive et par linjers kommandoer for at hente koden fra Adobes FTP-server og installere den.

Overbevisende social engineering er det, der er afgørende i dag. Hvorfor bliver Linux og Mac så ikke ramt hyppigere?

Det lette svar er udbredelse. Det lidt mere nøjagtige svar har at gøre med brugerne. Af de tre platforme har Windows traditionelt haft en større andel af nybegyndere, som kan snydes med de gamle tricks.

Den rigtige holdning for Linux og Mac-brugere er derfor, at de bør overveje, om de vil overlade sikkerheden til deres egen dømmekraft, og hvor tærsklen går for, at de kriminelle vil begynde at angribe andre platforme end Windows.

Med flere onlinespil til især Mac kommer vi uden tvivl til at se flere angreb mod den målgruppe.

Jesper Stein Sandal Version2

  • 0
  • 0
#9 Søren Løvborg

Du har ret i at en it-professionel kan ændre indstillingerne i sit OS, der gør det enten sværere eller nemmere at blive angrebet.

Fra Windows XP SP 2 er standardindstillingerne i Windows fint tilstrækkelige. At droppe administrator-rettighedder beskytter alligevel ikke brugerens filer mv.

Der er to måder malware kan nå ind på en computer på:

1) Sikkerhedshuller i software Hvis man sørger for at al software på computeren er opdateret, minimeres dette problem. (Jeg bruger http://secunia.com/vulnerability_scanning/personal/)

2) Social engineering - dvs. sikkerhedshuller i brugere ;-) Det er så her it-kompetencer er essentielle.

Selv om MS IIS er i kraftig undertal i forhold til Apache installationer, er den førstnævnte et klart favorit mål for div. hack og malware. Så her er noget der ikke stemmer.

Vil det sige at f.eks. MS IIS administratorer er mindre kompetente end tilsvarende Apache administratorer? Lidt af en påstand, spørg du mig O_O

Nu snakkede jeg desktop, ikke server, og vil iøvrigt ikke gentage Jespers glimrende kommentar.

  • 0
  • 0
#10 Maciej Szeliga

Du skal bare som root skrive et par linjers kommandoer for at hente koden fra Adobes FTP-server og installere den.

...så ville svaret være at jeg venter til de har en pakke som kan downloades og verificeres, alternativt vil det først blive gjort på en virtuel maskine.

  • 0
  • 0
#11 Stig Johansen

Hacking af webservere har i langt de fleste tilfælde at gøre med webapplikationer og sjældent med det styresystem, der ligger nedenunder.

Enig. Hvis man kigger på de 'probes', der fiser rundt, er det typisk forsøg på remote execution af PHP kode, og koderne er indrettet så de fungerer på både Windows og *nix.

Ok, så er der lige SQL-injection bølgen, der var målrettet mod MS SQLServer.

Hvorfor bliver Linux og Mac så ikke ramt hyppigere?

Ud over argumentet med udbredelse, så vil jeg gætte på, at Linux stadig er for 'nørder', som måske er mere sikkerhedsbeviste end gennemsnittet.

Jeg vil også gætte på, at når/hvis der er 'penge' i angreb på Linux/Mac, så skal det nok komme (angreb).

  • 0
  • 0
#12 Jarle Knudsen

Påstanden om flere angreb mod IIS end Apache må du godt underbygge med nogle tal. Så vidt jeg kan se, er billedet faktisk lige omvendt, og de to deler stort set markedet.

http://news.netcraft.com/archives/2...

http://www.zone-h.org/component/opt...

Tallet for Apache kan ganske vist være lidt forskruet, fordi Apache i højere grad end IIS bliver brugt til hosting af mange domæner på samme server.

Rigtig nok refererede jeg til situationen før 2006. Den ser dog ud til at ændrede sig i mellem tiden :O) Tal er dog klare (taget fra www.zone-h.org Jesper henviste til):

Servers 2007: 306.076 Linux/ 114.137 Windows Det vil sige de ligger ca. 3:1 forhold.

For samme periode blev der foretaget (succesfulde) penetrationer: 319.439 Apache/113.935 ISS,6.0

Det vil sige igen ca. 3:1 forhold. Hvilket man også forventer statistisk set når man taler om populationer i disse størrelser.

Når vi derimod kigger på desktop markedet er det noget der ikke stemmer.

Det siges at MS Windows kører på ca. 90% af alle PC'er - dvs. ca. 10% alternative platforme - altså ca. 9:1 forhold.

Når vi nu kigger på antal malware til de respektive systemer, er der ca. 250.000 (eller 2.2 mill - se artikkelen) vira til Windows, samt. under 1.000 til de øvrige 10%.

I det bedste fald en faktor 250:1 (idet værste fald - 2.200:1 )!

At lægge skylden udelukkende på antal installationer er alt for naivt og holder ikke iom. statistisk set.

IMHO en uheldig kombination af flere faktorer gør Windows til et meget usikkert OS:

  1. Udbredelse.
  2. Mange bruger der reelt er funktionelle IT-analfabeter
  3. Monokultur
  4. Manglende sikkerhed (default admin uden passord, UAC med en enkel "continue"-knapp er til grin!)
  5. ActiveX
  6. Dårlig arkitektur (mange programmer kræver admin rights af diverse grunder)
  7. IE
  8. Andre forslag?

De to første kan man ikke gøre noget ved. Og dersom *nix/MacOS/andet vil side på 90% vil vi også se flere malware til disse platforme, ingen tvivl her.

Men hvorfor har man stadig til gode at se den store flom af malware til alternativer? 10% udgør jo ca. 60-70 millioner PC'er. (helt eksakte tal er velkommen). Vi taler altså ikke om "nogle få" installationer. De 60-70 millioner ubeskyttet maskiner burde være et meget enkelt mål, i mine øjne.

Igen IMHO må det betyde at det er sidste der udgør den kæmpe forskel (250:1 eller 2.200:1) når man egentlig forventer en faktor 9:1 - rent statistisk set for populationer i disse, kæmpe størrelser.

Sjovt nok det er de sidste, Microsoft kunne/kan gøre noget ved, men valgte at undlade sidste mange år! Det er også noget de selv har indrømmet i 2004:

David Aucsmith is Microsoft's security architect, and he came to London this week to ask forgiveness for his company's former sins.

Microsoft admits that it did not think about protecting users from hackers, viruses, worms and other malware. It did not worry about keeping personal data safe, or personal computers secure.

... Yet the world was hardly safe in the early 1990s, at the time Windows 95 was being designed and built by Microsoft's developers, including the great software architect himself, Bill Gates.

There were viruses.

http://news.bbc.co.uk/1/hi/technology/3492922.stm

  • 0
  • 0
#13 Søren Løvborg

Det er nemt nok at fremhæve fortidens synder, men kunne vi fokusere på nutiden?

Microsoft har prioriteret sikkerheden i deres styresystemer i fire år nu, siden lanceringen af Windows XP Service Pack 2.

Jeg har da ondt af de brugere, der stadig sidder med Windows 98, men at klage over fejl i et 10 år gammelt operativsystem er som at klage over at ens mælk er blevet sur efter at have stået en måned på køkkenbordet.

(Jeg bemærker i øvrigt at BBC-artiklen skriver at Microsoft ikke tænkte på at beskytte brugere mod virus dengang Windows 95 blev designet, på trods af at Microsoft inkluderede et antivirusprogram med DOS 6.0 fra 1993, 2½ år før Windows 95 blev lanceret.)

  • 0
  • 0
#14 Søren Løvborg

Det er nemt nok at fremhæve fortidens synder, men kunne vi fokusere på nutiden?

Microsoft har prioriteret sikkerheden i deres styresystemer i fire år nu, siden lanceringen af Windows XP Service Pack 2.

Jeg har da ondt af de brugere, der stadig sidder med Windows 98, men at klage over fejl i et 10 år gammelt operativsystem er som at klage over at ens mælk er blevet sur efter at have stået en måned på køkkenbordet.

(Jeg bemærker i øvrigt at BBC-artiklen skriver at Microsoft ikke tænkte på at beskytte brugere mod virus dengang Windows 95 blev designet, på trods af at Microsoft inkluderede et antivirusprogram med DOS 6.0 fra 1993, 2½ år før Windows 95 blev lanceret.)

  • 0
  • 0
#15 Stig Johansen

Servers 2007: 306.076 Linux/ 114.137 Windows Det vil sige de ligger ca. 3:1 forhold.

Det er nok også værd at bemærke, at zone-h omhandler defacements.

Jeg vil gætte på der ligger langt langt flere (uopdagede) servere, der hoster injection samt phishing sites.

  • 0
  • 0
#16 Jørgen Henningsen

Stig Johansen:

(Jeg bemærker i øvrigt at BBC-artiklen skriver at Microsoft ikke tænkte på at beskytte brugere mod virus dengang Windows 95 blev designet, på trods af at Microsoft inkluderede et antivirusprogram med DOS 6.0 fra 1993, 2½ år før Windows 95 blev lanceret.)

Jeg spekulere på hvornår det går op for MS brugerene at sikkerhed baseret på antivirus SW er som at lappe en si.

  • 0
  • 0
Log ind eller Opret konto for at kommentere