ESET: Goede balans in antivirus is essentieel

9 juli 2010

Van hieruit levert ESET zijn antivirusprogramma NOD32 en andere IT-securityproducten aan meer dan 140 miljoen gebruikers in ruim 160 landen over de hele wereld.

Hoewel ESET pas een jaar of vijf actief is in Nederland, is het een van de oudste nog actieve leveranciers van antivirussoftware. De oprichters van het bedrijf ontwikkelden de oerversie van NOD32 in 1987, een tijd dat het IJzeren Gordijn nog potdicht zat.

Het begon met een ZX80

Als 10-jarige jongen kreeg ESET-oprichter Miroslav Trnka een boek cadeau over robots en kunstmatige levensvormen. Dat legde de basis voor een levenslange fascinatie voor computers.

Buitenlandse computertijdschriften waren in zijn jeugd in Tsjecho-Slowakije niet te koop, maar de openbare bibliotheek in Bratislava had ze wel. Zijn oog viel daar op een speciaal nummer van Popular Electronics over hobbycomputers. "Ik dacht meteen: Dit wordt heel belangrijk. Vanaf dat moment begon ik van alles te leren over computers." In 1981 kreeg hij van zijn vader, die inmiddels naar Nederland was uitgeweken, zijn eerste computer: een Britse Sinclair ZX80. "Daarmee begon het. Ik was zó fanatiek dat ik overal, zelfs voor arbeiders in fabrieken, presentaties over computers ging geven."

Met hulp van een vriend die over dollars beschikte, kon Trnka zijn eerste pc kopen. Op veel westerse software zat indertijd een handelsembargo, dus die werd vanuit Oostenrijk op diskettes met honderden illegaal gekopieerde programma’s het land binnengesmokkeld. Trnka: "Daarmee kwamen in het voorjaar van 1987 ook de eerste computervirussen Tsjecho-Slowakije binnen. Dat zette ons aan het denken, niet alleen over virusbestrijding maar over beveiliging van computers in het algemeen."

In december 1987 voltooiden Miro Trnka en Peter Pasko de eerste versie van NOD. Commerciële verkoop was pas mogelijk toen Tsjecho-Slowakije niet meer communistisch was. Trnka plaatste zijn eerste advertentie in een lokaal pc-tijdschrift. Prompt begon de telefoon te rinkelen. "Die advertentie betaalde zich nog dezelfde dag terug!", herinnert Trnka zich.

Opvallend is dat ESET net als zijn Russische concurrent Kaspersky kon ontstaan in Oost-Europa, een regio die zeker in de communistische periode sterk achterliep met de productie en het gebruik van personal computers. Door het gebrek aan koopkracht konden maar weinig Oost-Europeanen zich tot voor kort een pc veroorloven. Daar stond het hoge technische opleidingsniveau van de bevolking tegenover, waardoor ondanks de beperkte middelen veel knowhow op het gebied van softwareontwikkeling is opgebouwd. En dat niet alleen in positieve zin; Oost-Europa geldt ook als een gebied waar al vroeg in het pc-tijdperk veel virussen en andere malware vandaan kwamen.

In die context kwam ruim twintig jaar geleden ESET van de grond. Twee jonge programmeurs, Peter Pasko en Miroslav Trnka, ontdekten in 1987 een van de eerste computervirussen ter wereld. Het begrip ‘computervirus’ dateerde overigens al uit 1984. Samen schreven ze een programmaatje om de kwaadaardige software, die ze Vienna (Wenen) doopten, te kunnen detecteren. Daarna dook het ene na het andere virus op, wat Pasko en Trnka op het idee bracht een universeel scanprogramma te ontwikkelen dat zo veel mogelijk virussen zou kunnen bestrijden.

In 1990 kwam de eerste commerciële versie van de Slowaakse virusscanner onder de naam Stopvir op de markt in Oostenrijk. Samen met een wederzijdse vriend richtte het duo in 1992 ESET op met als hoofdkwartier Bratislava in het toenmalige Tsjecho-Slowakije. Eset is de Slowaakse schrijfwijze van Isis, een Egyptische godin die bescherming biedt.

Anno 2010 heeft het bedrijf verkoopkantoren in Tsjechië (Praag), San Diego, Buenos Aires en Singapore en onderzoekscentra in Bratislava en Krakow (Polen). De meeste landen worden bediend via lokale distributeurs, zoals Spicy Lemon in Nederland. ESET telt inmiddels zo’n vijfhonderd medewerkers. Het bedrijf is nog steeds in particuliere handen en heeft nu zes grootaandeelhouders, onder wie de oprichters. Miroslav Trnka is nu chief executive officer (CEO). Het laatst gepubliceerde omzetcijfer, ruim 90 miljoen euro, dateert uit 2008. NOD32 is voornamelijk bekend als beveiligingsproduct voor thuisgebruikers. In feite brengen zakelijke klanten echter meer geld binnen: 37 procent van de omzet is afkomstig van het midden- en kleinbedrijf, 22 procent van grote ondernemingen en de rest van consumenten.

De markt voor IT-beveiliging is, ondanks veel fusies en overnames, nog altijd behoorlijk gefragmenteerd. Een echte ‘shake-out’, die door analisten menigmaal is voorspeld, bleef vooralsnog uit. Vergeleken met grote aanbieders als McAfee, Symantec en Trend Micro zit ESET ergens in de middenmoot. De Slowaken concentreren zich hoofdzakelijk op virusbestrijding en houden zich niet bezig met managed-securitydiensten.

Wat onderscheidt ESET volgens topman Miroslav Trnka van al die anderen? Topman Miroslav Trnka vindt dat maar een lastige vraag. Hij wil geen marketingpraatjes als antwoord geven, reageert hij. “Zeker in onze beginjaren waren wij uniek met een heel goede heuristische analyse. Tegenwoordig bieden meer leveranciers dat. Ons traditionele voordeel is een erg goede balans tussen het gebruik van systeemresources, snelheid en efficiency van de heuristische analyse van malware.”

Trnka erkent dat de markt voor antimalware behoorlijk vol is, al ziet hij geen noodzaak voor een sanering. “Er zijn veel leveranciers met goede producten. Dat geldt zeker voor de top 8-leveranciers”, zegt hij eerlijk. “Het is grotendeels een kwestie van persoonlijke smaak, van je voorkeuren voor een gebruikersinterface, en hoe belangrijk je enerzijds snelheid en anderzijds kwaliteit van de heuristische analyse vindt.”

Als een leverancier te veel features in zijn securityproduct stopt, betaalt de gebruiker de prijs in de vorm van een zwaar beslag op systeemresources. “Je pc wordt log en traag. Bovendien kan de stabiliteit eronder lijden, omdat er veel meer kans ontstaat op conflicten. Je moet een juiste balans zien te vinden”, verklaart Trnka de benadering van zijn bedrijf.

Zo werkt antivirus

Het werk van een virusbestrijder is nooit klaar, legt technisch specialist Jan Balaz uit. Elke dag ontvangen de specialisten in het lab van ESET meer dan 200.000 unieke exemplaren van malware. Ze zijn afkomstig van de pc’s van NOD 32-gebruikers, in feite de ‘voelsprieten’ van het ThreatSense-netwerk van ESET.

Op basis van de analyse van deze samples gaan meermalen per dag updates van de antivirussoftware via internet retour naar eindgebruikers.

1. Virushandtekeningen zijn slechts een onderdeel van een effectieve bestrijding. Ze werken heel snel maar detecteren slechts één specifiek virus.

2. Een stap verder gaan de generieke handtekeningen, waarbij de scanner zoekt naar overeenkomsten met eerder ontdekte malware.

Zo worden ook mutaties van bekende virussen gevonden.

3. Technisch complexer is analyse van programmacode. Het antivirusproduct kijkt of de malware zich verborgen houdt in een met encryptie beveiligde ‘envelop’ en gaat na of zich verdachte systeemfuncties voordoen.

4. Het geavanceerdste onderdeel van een antivirusproduct, emulatie van code, is gericht op de meest complexe malware die detectie tracht te ontlopen. Voor deze analyse is het stap voor stap doorlopen van de code noodzakelijk: een zeer tijdrovend proces. Zo zijn echt complexe dreigingen te ontdekken, aldus Balaz.

 

Een magische technologie waardoor de ene antivirusmaker stukken beter scoort dan al zijn concurrenten, bestaat volgens de topman van ESET niet. “Sommige leveranciers gebruiken vuile trucjes om testers te misleiden, dat wel”, lacht Trnka. “Dat is ook iets waar wij eerlijk over willen zijn tegenover onze klanten en partners. Ik weiger om leugens te vertellen om marketingredenen en ik hou er ook niet van om de concurrentie met woorden aan te vallen.” Om vervolgens te suggereren dat een grote concurrent zich wel van zulke praktijken bedient: “Ik ken Russisch, ik kan interviews lezen.”

Uit vergelijkende tests van min of meer onafhankelijke instanties blijkt keer op keer dat antivirusproducten lang niet alle malware ontdekken. Bovendien kunnen de resultaten onderling en in de tijd sterk fluctueren. Jan Vrabec, werkzaam bij ESET als analist securitytechnologie, turfde de variatie in testuitkomsten in acht Duitse computerbladen begin 2010. Antivirusproducten die in de ene test als beste scoren, staan in andere tests pas op nummer zes of zeven. Dat is Vrabec een doorn in het oog: “Gebruikers raken daardoor in verwarring, want ze weten niet wat ze moeten kiezen.”

Vrabec haalt al wat ouder (2008/2009) onderzoek van AV-Comparatives, een van de meer gezaghebbende testorganisaties, aan waarin NOD32 als koploper in ‘goed uitgebalanceerde bescherming’ prijkt. Uit recent gepubliceerd onderzoek (juni 2010) van AV-Comparatives bleek dat NOD32 Antivirus 4.0 van de nieuwe malware – waarvoor nog geen specifieke handtekening is gedistribueerd – met generieke en heuristische technieken 52 procent wist te detecteren. Daarmee stond ESET samen met F-Secure op een gedeelde vijfde plaats. Zes producten deden het beter dan NOD32, twaalf slechter. AV-Comparitives tekent daarbij aan dat in het totaaloordeel ook het aantal valse positieven moet worden betrokken. Een virusscanner die om de haverklap nodeloos alarm slaat, kan veel irritatie wekken. ESET doet het in dit opzicht erg goed, met zeer weinig valse positieven.

Technisch specialist Miro Majtaz beaamt dat de mate van detectie vroeger hoger lag (in 2007 ontdekte NOD32 nog circa 70 procent) maar noemt een score van 52 procent “nog steeds indrukwekkend”. Hij vindt dat het minstens zo belangrijk om het aantal valse positieven heel laag te houden en stelt dat iedere antivirusoplossing een compromis is.

Bij ESET hechten ze meer waarde aan de onderzoeken van het al sinds 1989 bestaande Britse tijdschrift Virus Bulletin (VB100), omdat de gebruikte methodologie “heel consistent” is. Virus Bulletin zegt onafhankelijk te zijn, al bestaat zijn adviesraad bijna geheel uit vertegenwoordigers van IT-securitybedrijven.

Niet geheel verrassend hebben ze in Bratislava weinig op met gratis security, dat vooral onder consumenten de leveranciers van betaalde producten zoals NOD32 in de weg zit. Pure marketing, betoogt Vrabec, en niet geschikt als echte bescherming tegen infectie met malware. “Ze doen ook niet aan bestrijding van phishing en rootkits. Vrabec: “Microsoft Security Essentials en Avira bieden relatief nog de meeste features, maar zijn eveneens onvolledig, scannen downloads van het web niet en bieden geen gratis ondersteuning.”

Ook topman Trnka is niet bang dat Microsoft met zijn gratis securitysoftware specialisten als ESET de das om zal doen. “Het zou ook niet goed zijn als er nog maar één antivirusproduct was. Alle cybercriminelen zullen zich daar dan op storten en het veel makkelijker krijgen.”

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Laat de klantenservice je terugbellen!