Antivirussoftware laat snelheid prevaleren

11 februari 2011

“Leveranciers zouden hun klanten eerlijk moeten vertellen dat ze moeten kiezen: kies je voor maximale bandbreedte, dan heb je minimale protectie. Maar dat is moeilijk te verkopen. Dus kiezen veel leveranciers ervoor om de prestaties van hun software te promoten. Ze focussen op snelheid en niet op pakkans. Snelheid begrijpen klanten goed en verkoopt dus makkelijker.” Bovendien ergeren veel gebruikers zich aan AV-software die hun systemen trager maken. Soms zetten ze de software daarom maar uit, wat nog altijd gevaarlijker is dan minder goed functionerende AV-programmatuur.

Die verlaging van de belasting op het te beveiligen systeem realiseren AV-makers onder meer door veel functies en beveiligingsregels uit te zetten. Haywood wijst op een testrapport van NSS Labs van eind 2009. Daarin werden de prestaties bekeken van antivirussoftware van IBM, McAfee, Cisco, Tipping Point, StoneSoft, Juniper en Sourcefire. “Alleen IBM en McAfee werkten daarin met fragmentatie, segmentatie, RPC, URL en FTP. De rest gebruikte op zijn minst een van deze technieken niet, terwijl Cisco er geen een van gebruikte en TippingPoint zich beperkte tot segmentatie. Resultaat was dat de AV-software in standaardinstelling tussen de 20 tot 65 procent van de malware detecteerde. Getuned waren de resultaten beter, maar op zijn best 89 procent. De meeste zaten zelfs getuned onder de 40 procent. Wij hebben voor een leverancier getest hoeveel van 51 stuks malware die een paar maanden op de markt was, werd gevonden. Hij herkende er maar twintig van de 51, waarvan nog vijftien puur toevallig. Pas toen de leverancier meer regels toevoegde, was de software 100 procent effectief. Ik heb werkelijk gezien dat een vendor alleen de duizend laatst gevonden stuks malware beveiligde. Want dat scheelde enorm in snelheid. Maar snelheid is echt niet alles.”

Onafhankelijke bevestiging

AV-Comparatives, een onafhankelijke Oostenrijkse tester van AV-software, bevestigt de bevindingen van Haywood. “De meeste leveranciers spelen vals”, zegt Peter Stelzhammer van AV-Comparatives. “Ze zorgen voor een zo laag mogelijke belasting van de systemen door de antivirusengine zo laat mogelijk te laten starten. In boottimetests hebben wij gemeten of malware wel werd herkend in de auto-execute. Slechts drie van de twintig producten checkten dit, terwijl het om bekende malware ging die heel goed herkend had kunnen worden.” AV-Comparatives startte twee jaar geleden met een boottimetest. “Wij zijn gestopt met die test, want vrijwel alle leveranciers kwamen met aanpassingen om maar zo goed mogelijk uit de test te komen, maar die aanpassingen zijn schadelijk voor gebruikers.” AV-Comparatives heeft de leveranciers met zijn bevindingen geconfronteerd. “Zij zeiden dat het er niet toe deed want ‘hierdoor raak je toch niet geïnfecteerd’. Dat is onjuist. Ook zeiden er een paar dat onze testen ‘niet de echte wereld weergaven’. Ik kan u echter verzekeren dat in de wereld van malware heel veel mogelijk is.” Stelzhammer relativeert de risico’s wel enigszins. “Het is niet zo erg als het klinkt. AV-software mist hierdoor gemiddeld 1 procent van de malware. Maar ja, dat kan voor sommige gebruikers al te veel zijn.”

 

Kat en muis

In zijn jaarlijkse Global Harvesting Report constateert de Amerikaanse beveiliger Trustwave dat criminelen voor het stelen van data in 2010 in 76 procent van de gevallen malware gebruikten. Een jaar eerder gebeurde dat nog in 23 procent van de zaken. Tegelijkertijd blijkt antivirussoftware steeds minder goed in staat de malware te detecteren. Volgens de onderzoekers komt dat doordat de malware geavanceerder wordt. De technieken die gebruikt worden, veranderen echter niet. Hackers beperken zich tot het ontwikkelen van steeds nieuwe versies. John Yeo, directeur EMEA van SpiderLabs, het onderzoekslab van Trustwave, gelooft niet dat de kwaliteit van de antivirussoftware slecht is. “Malwaremakers beschikken over veel geld, zeker de grotere. Ze werken bijvoorbeeld in veel gevallen met uitgebreide testbanken. De malware wordt door alle belangrijke AV-software gehaald voordat hij echt wordt uitgebracht. Malware die wordt gedetecteerd is onbruikbaar voor hen. De kwaliteit van malware is daardoor heel hoog. AV-leveranciers moeten daar heel hard tegen werken; het is een voortdurend kat-en-muisspel.”

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Laat de klantenservice je terugbellen!