'Antivirussoftware niet opgewassen tegen cybercriminelen'
Hypponen zoekt in een bijdrage aan de website Wired naar een verklaring voor het feit, dat de leveranciers van antivirussoftware de Flame-malware over het hoofd hebben gezien. Flame werd wereldnieuws toen het Iraanse Computer Emergency Respons Team er eerder dit jaar voor begon te waarschuwen. Maar na die waarschuwing vond F-Secure in zijn archieven monsters van de Flame-code uit 2010; collegabedrijven hadden zelfs nog oudere monsters in hun archieven, aldus Hypponen.
Shutterstock
Shutterstock
Beveiligers niet opgewassen tegen inlichtingendiensten, zegt F-Secure
Een spectaculaire misser, dat je twee jaar lang code in huis hebt zonder in die periode tot de conclusie te komen dat het malware is, geeft Hypponen toe. En het was niet de eerste keer. Ook bij Duqu en Stuxnet bleek de beveiligingsindustrie de malware langdurig over het hoofd gezien te hebben. Hypponen zoekt de verklaring daarvoor in de slimme manier waarop de malware in elkaar was gezet, en dan met name in de slimme ontwijkingsmogelijikheden voor antivirussoftware. En dat verbindt hij met de waarschijnlijke bron: westerse inlichtingendiensten. "Antivirusproducten voor de consumentenmarkt kunnen niet beschermen tegen gerichte malware die is ontwikkeld door rijke natiestaten met onmetelijke budgetten. [...] Voor zover we weten hebben de aanvallers hun code getest tegen alle relevante antivirusproducten op de markt om ervoor te zorgen dat hun malware niet werd ontdekt. Ze hebben ongelimiteerd de tijd om hun aanvallen te perfectioneren. Het is geen eerlijke oorlog tussen aanvallers en verdedigers als de aanvalllers toegang hebben tot onze wapens", schrijft Hypponen.
Wat inlichtingendiensten doen, kunnen cybercriminelen ook, stelt Schneier
Met "Daar trap ik niet in" serveert Bruce Schneier op zijn blog deze redenering af. Niet alleen inlichtingendiensten, ook cybercriminelen zullen hun vindingen immers testen met de gekende antivirusoplossingen. En de mogelijkheden om detectie te vermijden worden niet op magische wijze beter als je een groter budget hebt. Het is in dit verband ook veelzeggend dat F-Secure en andere beveiligers wel degelijk stukjes code van Flame ter inspectie hadden verzameld; ze deden er alleen niets mee, constateert Schneier.
Antivirusindustrie ziet malware die zich langzaam verspreid over het hoofd
Volgens Schneier zit het verschil tussen de malware van inlichtingendiensten en van cybercriminelen in het gedrag van de malware. Die van inlichtingendiensten werkt langzaam, en blijft daardoor verborgen. Omdat die malware niet in korte tijd voor veel problemen zorgt, krijgt analyse ervan geen prioriteit: het kan immers net zo goed een incident zijn, of een anomalie. Daarmee is Flame een belangrijke les voor conventionele malwareproducenten: als je ontdekking van je malware wilt vermijden, moet je de verspreidingstechnieken van Flame, Stuxnet en Duqu hanteren. Want de beveiligingsindustrie heeft daar geen antwoord op.
Gerelateerde artikelen
Gerelateerde artikelen
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee