image

Eugene Kaspersky aan het woord

dinsdag 27 september 2005, 17:06 door Redactie, 4 reacties

De Russische virusbestrijder Kaserspky Lab behoort tot een van de meest gerespecteerde anti-virus oplossingen in de security industrie. Het bedrijf is opgericht door Eugene Kaspersky, die in tegenstelling tot veel andere oprichters van een internationaal anti-virusbedrijf, nog steeds aan het hoofd van de ontwikkelafdeling staat. Eugene is eigenlijk per "toeval" in de anti-virusindustrie belandt. Zijn computer werd in 1989 door een virus geinfecteerd. Hij raakte hierdoor zo gefascineerd dat hij het virus analyseerde. Een paar dagen later kwam een vriend van hem langs met een ander virus. Ook dit stukje malware nam hij onder de loep, en zo begon hij met verzamelen van virussen en het schrijven van verwijdertools.

Eugene Kaspersky was onlangs in Nederland en Security.NL kreeg de gelegenheid om de virusveteraan aan de tand te voelen.

"Spyware bestaat niet"
Hoewel de term spyware niet eens door de industrie is gedefinieerd, is dit wel een van de snelstgroeiende markten. Allerlei aanbieders proberen zowel thuisgebruikers als bedrijven van hun spyware probleem te verlossen. Spyware is alleen maar een marketingnaam voor dreigingen die al tientallen jaren bestaan. "Oude wijn in nieuwe zakken", aldus Eugene. De virusscanners van Kaspersky herkennen dan ook standaard de "spyware" dreiging, en niet onverdienstelijk zoals verschillende tests laten zien.

Dat spyware in korte tijd zo'n hype is geworden komt door de benaming. De term spyware spreekt doorsnee internetgebruikers meer tot de verbeelding dan de term worm of malware.

Vercriminalisering van het internet
Het internet wordt steeds crimineler. Tieners die uit baldigheid virussen en wormen schreven hebben nu plaats gemaakt voor criminelen die via banking trojans, phishing en andere malware vertrouwelijke gegevens achterhalen. Dit heeft ook gevolgen gehad voor het aantal uitbraken. Cybercriminelen hebben geen behoefte aan het infecteren van miljoenen computers omdat ze die toch niet kunnen besturen en de kans op ontdekking daardoor alleen maar groter wordt.

Het aantal uitbraken zou echter ook beperkt worden door steeds sneller reagerende anti-virusaanbieders en politie en justitie die actiever op zoek gaan naar virusschrijvers.

Door de veranderende omstandigheden werken virusschrijvers regelmatig met elkaar samen. Zo worden code en gestolen gegevens uitgewisseld, waardoor er in korte tijd allerlei varianten verschijnen.

Het is echter ook een bittere strijd om de geinfecteerde PC waar soms wel 10 verschillende soorten malware op actief zijn. Om de PC voor zichzelf te houden verwijderen nieuwe virussen aanwezige concurrenten. "Vergelijkbaar met een bende oorlog" aldus Eugene.

"Heuristische virusscanning is niet het antwoord"
Een zwakte van huidige virusscanners is dat ze afhankelijk zijn van signatures. Een virus moet eerst door de anti-virusaanbieders zijn gevonden en geanalyseerd voordat er een update voor verschijnt. In de tussentijd zijn PC's kwetsbaar voor onbekende malware.

Volgens sommige experts is heuristische virusscanning het antwoord. Door naar het gedrag van het systeem te kijken zou men ook onbekende malware meteen stoppen. Kaspersky laat echter weten dat heuristische scanning niet de heilige graal is.

Virusschrijvers beschikken ook over anti-virussoftware en testen hun virussen en malware eerst voordat ze die verspreiden. Wordt hun creatie door de heuristische scanner opgemerkt, dan maken ze aanpassingen zodat dit niet het geval is. Anti-virusaanbieders worden daardoor gedwongen om ook de heuristische detectie aan te passen, waardoor je hetzelfde probleem hebt als met signatures. Heuristische detectie is dan ook geen heilige graal, maar een deel van de oplossing.



Dreigingen van de toekomst
Naast de huidige situatie wierp Eugene ook een blik op de toekomst. Hoewel er in de komende jaren geen schokkende veranderingen staan te wachten, zal de opkomst van smart phones voor een nieuwe dreiging zorgen. Zodra er voldoende smart phones zijn, waarmee gebruikers hun bankzaken kunnen regelen en kunnen e-mailen, zullen virusschrijvers hier zich speciaal op toe leggen. Je hebt zelfs groepen waarvan een gedeelte zich op de PC en een ander gedeelte zich op de smart phone zal richten.

In de nog verdere toekomst zouden zelfs "smart homes" het doelwit van malware auteurs zijn. "Stel je voor dat de koelkast de deur spamt" grapte Kaspersky.

Dichterbij voorspelt men de opkomst van "business worms". Malware speciaal ontwikkeld om grote bedrijfsnetwerken te penetreren en daar vertrouwelijke documenten te stelen.

Waarom zijn er virussen?
"Weg met Windows" en het virusprobleem is opgelost, is een vaak gehoorde opmerking. Niet alleen Windows, maar besturingssystemen in het algemeen zijn van nature onveilig. Ook de architectuur van het internet is onveilig, waardoor we de komende jaren zeker met de huidige virusproblematiek zitten opgescheept. Het is namelijk te duur om op een veiliger alternatief over te stappen.

Windows gebruikers moeten niet denken dat ze in de toekomst beter af zijn. Microsoft mag dan voor Windows Vista allerlei nieuwe security features hebben ontwikkeld, ook dit zijn doekjes voor het bloeden. Aanvallers zullen altijd nieuwe manieren vinden om het besturingssysteem binnen te komen en kwaadaardige acties uit te voeren. Zolang een meerderheid van de gebruikers een bepaald O.S. of browser gebruikt, blijft die groep interessant voor criminelen.

Op de vraag waar virusbescherming begint liet Kaspersky weten dat de eerste stap bestaat uit het beveiligen van de infrastructuur. Desktops, laptops, PDAs, smart phones, file en mailservers, ze moeten allemaal beschermd worden. Regelmatig komt het voor dat men de gateway en omgeving heeft dicht getimmerd, maar dat een besmette laptop het interne netwerk in no-time kan besmetten.

De tweede stap bestaat uit het onderwijzen van de gebruikers. Ondanks alle tools gaat het om een security mindset die moet worden bijgebracht. Mensen moeten weten wat ze wel en niet kunnen doen.



Microsoft op de virusmarkt
Net als veel andere aanbieders is Kaspersky niet echt onder de indruk van Microsoft's beslissing om ook anti-virus aan te bieden. Veel mensen hebben geen vertrouwen in de softwaregigant als het aankomt op beveiliging. Misschien dat Microsoft in de toekomst betrouwbaarder wordt, maar op dit moment heeft men naast een imago probleem ook geen infrastructuur om als volwaardige anti-virusaanbieder te fungeren. "Ze missen de procedures om een effectieve aanbieder te worden, en ik betwijfel of die er ooit zullen komen". Daar komt bij dat het onlangs overgenomen Sybari de scan engine van Kaspersky gebruikt.

Microsoft is niet de enige die de engine van Kaspersky gebruiken, ook de NAVO laat haar netwerken en systemen door de Russische virusbestrijder scannen.

Straffen voor virusschrijvers
De afgelopen maanden zijn er verschillende virusschrijvers en hackers veroordeeld. De strafmaat verschilde nogal. Vooral in Amerika worden virusschrijvers zwaarder veroordeeld. Sven Jaschan, auteur van de Sasser worm, kreeg slechts een paar uur dienstverlening. Volgens Kaspersky moet er, net als met andere overtredingen, per zaak gekeken worden wat de ernst van de misdaad is. In het geval van Sasser werd er wel veel schade veroorzaakt, maar werd dit niet opzettelijk gedaan. Dit rechtvaardigt een lichtere straf aldus Eugene.

Anti-virusaanbieders, justitie en politie moeten beter samenwerken bij de bestrijding van cybercriminelen. Ook initiatieven zoals het beloningsprogramma van Microsoft helpen bij het stoppen van cybercriminelen. Het is belangrijk dat veel virusschrijvers gepakt worden, aangezien dit een preventieve werking op jongere criminelen kan hebben.


Vragen van gebruikers
We kregen verschillende vragen van onze lezers binnen die we aan Eugene gesteld hebben. Een aantal vragen zijn hierboven al aan de orde gekomen, de rest volgt hieronder:

Zmist of Hybris?
Zmist behoort volgens Eugene tot een van de meeste complexe virussen die ooit ontwikkeld zijn. Het virus was zeer moeilijk te vinden, waardoor het erg lastig was om hier bescherming voor te ontwikkelen. De auteur van Zmist lijkt het echter vooral gedaan te hebben als technische uitdaging, aangezien er geen nieuwe varianten van zijn verschenen. Mocht de code in handen van echte criminelen komen, dan zou dit zeer vervelende gevolgen kunnen hebben, aldus Kaspersky.

Welke tegenstanders hebben je voorkeur: cybervandalen of cybercriminelen
Cybercriminelen die alleen geld willen verdienen via spam en zombie computers veroorzaken veel meer schade. Ook verspreiden ze veel meer malware dan cybervandalen, die vaak niet eens weten waarmee ze bezig zijn.

Wat motiveert u om virussen te blijven bestrijden?
Terwijl de rest van zijn collega's op een eiland zitten of ergens anders van hun kapitaal genieten is Eugene nog steeds betrokken bij het bestrijden van virussen. "Ik moet wat te doen hebben, anders word ik gek. Ik kan twee uur op een strand blijven en dan wil ik weg".

Virussen zijn meer wormen en trojans dan echte virussen. Wat zou er gebeuren als er vandaag ineens een echte virus zou optreden die via CD-ROM of via een betaalde download computers zou infecteren? Grote schaal of kleine schaal maakt niet uit, zou men dan nog kennis / capaciteit hebben om hierop te reageren? Is men nog bekend met dat soort virussen?

gecombineerd met

De huidige netwerk structuren zijn ontoereikend en zullen steeds meer naar peer-to-peer architecturen gaan. Hoe spelen de antivirus ontwikkelaars hier op in cq wat is hun visie hierop en de ontwikkeling en verspreiding van bots etc

Of het nu gaat om P2P applicaties of diskettes, het zijn beide media, transportmiddelen, om virussen te verspreiden. Je bekijkt altijd hoe een stuk malware zich gedraagt, en maakt daar dan een oplossing voor. Het is trouwens wel zo dat het aantal infecties via P2P netwerken drastisch is afgenomen.

Reacties (4)
27-09-2005, 23:16 door Bitwiper
Goed om te lezen dat Kasperski geen gouden bergen belooft
met heuristische detectie, en dat de zwakte van het
signature-model onderkend wordt.

Behalve dat malware makers net zolang zullen tunen tot ze
heuristiek omzeild hebben, bevat veel legitieme software ook
internet functionaliteit en is daarmee potentieel verdacht.
Daardoor is het gewoon erg lastig om dergelijke software van
malware te onderscheiden, en in veel gevallen zal heuristiek
de kans op false positives vergroten.

Kreten als "100% detectie van in-the-wild virussen" zijn
misleidend, antivirus producten zijn gewoon niet waterdicht.
Hoewel ze wel de meeste wijd- en/of langdurig verspreide
malware detecteren, bieden ze geen bescherming tegen "vers
spul" of malware welke slechts op kleine schaal verspreid
wordt. Aanvullende maatregelen en waakzaamheid van
gebruikers zijn dan ook zeer gewenst.

> Het is trouwens wel zo dat het aantal infecties via
> P2P netwerken drastisch is afgenomen.

Geen idee of dat zo is, maar er is, als ik me niet vergis,
de laatste jaren wel een flinke toename in IM malware.

Erik van Straten
28-09-2005, 00:00 door rob
Hehe gave foto's.

Ik blijf erbij dat de fout bij de gebruiker ligt. Er is iets principieels fout als je
uberhaupt virusscanners nodig hebt. Je software moet up to date zijn, en je
moet security-bewust bezig zijn met het spul. Want, waar virussen kunnen
komen kunnen ook 'hackers' komen. Ik heb het altijd te dwaas voor woorden
gevonden als ik hoor dat bedrijven niet zonder virusscanner kunnen, dan is
er al iets heel erg mis. Antivirus moet gezien worden als nood-oplossing.
28-09-2005, 16:08 door ruffalo
Door rob
Hehe gave foto's.

Ik blijf erbij dat de fout bij de gebruiker ligt. Er is iets
principieels fout als je
uberhaupt virusscanners nodig hebt. Je software moet up to
date zijn, en je
moet security-bewust bezig zijn met het spul. Want, waar
virussen kunnen
komen kunnen ook 'hackers' komen. Ik heb het altijd te dwaas
voor woorden
gevonden als ik hoor dat bedrijven niet zonder virusscanner
kunnen, dan is
er al iets heel erg mis. Antivirus moet gezien worden als
nood-oplossing.

helemaal mee eens, maar zolang er directieleden zijn die
denken dat het installeren van een virusscanner in een
netwerk 10 minuten duurt. komt het niet goed met de gebruikers.
29-09-2005, 08:29 door movemoor
Door rob
Hehe gave foto's.

Ik blijf erbij dat de fout bij de gebruiker ligt. Er is iets principieels fout als je
uberhaupt virusscanners nodig hebt. Je software moet up to date zijn, en je
moet security-bewust bezig zijn met het spul. Want, waar virussen kunnen
komen kunnen ook 'hackers' komen. Ik heb het altijd te dwaas voor
woorden
gevonden als ik hoor dat bedrijven niet zonder virusscanner kunnen, dan is
er al iets heel erg mis. Antivirus moet gezien worden als nood-oplossing.
Je moet ook kunnen of willen begrijpen dat niet iedereen zo technisch
onderlegt is als jij. Mensen hebben niet altijd door dat iets gevaarlijk is en
regenwoordig zijn sommige aanvallen zo geraffineerd dat dat ook
helemaal niet zo eenvoudig is. Een virusscanner is daar mee één van de
middelen om een computer te beschermen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.