Achtergrond

100.000 nieuwe virussen per uur in 2017

dinsdag 20 november 2007, 16:13 door Redactie, 9 reacties

Het internet zal nog veel onveiliger worden voordat het beter wordt en mensen die clueless zijn moeten direct stoppen met het doen van online aankopen, aldus David Perry, Eduction Director bij virusbestrijder Trend Micro. We spraken met Perry, die nog herinnerde toen het bedrijf met drie a vijf virussen per maand te maken had. Inmiddels gaat het om 15.000 malware exemplaren per dag en heeft de beveiliger 1000 mensen in het laboratorium werken. Die hebben voorlopig nog werk zat, want Perry voorspelt dat we over tien jaar tijd met 100.000 nieuwe virussen per uur te maken hebben. Specifieke detectie is daarom niet meer geschikt voor het bestrijden van malware, hoewel hij niet verwacht dat signatures voorlopig zullen verdwijnen. Concurrent Panda Software liet laatst nog weten dat het 4000 exemplaren per dag aantreft.

Of alleen professionele criminelen achter de malware zitten weet Perry nog niet zo zeker. "Dat hoor je tegenwoordig overal", maar volgens hem zijn de cybervandalen van weleer nog lang niet verdwenen. Bij elke hackerconferentie ziet hij honderden jongeren die ook willen hacken. Het is alleen dat de professionele computercriminaliteit hen overstemt.

Laptops interessanter dan drugs
Het is echter niet alleen high-tech crime dat de klok slaat, gaat Perry verder. Hij noemt het voorbeeld dat in Californië mensen meer kans lopen om door de eigen familie te worden "aangevallen" dan via het internet. Denk bijvoorbeeld aan een drugsverslaafde neef die iemand z'n identiteit steelt. Ook klassieke criminaliteit heeft door dat er met gestolen identiteiten goed geld te verdienen is. In Los Angeles zijn zelfs bendes actief die hotels en kantoren langsgaan op zoek naar laptops.

Via speciale programmatuur wordt alle persoonlijke informatie verzameld, waarna de machine zelf als een "pindadop" wordt weggegooid. Het verkopen van op laptops gevonden informatie is beter dan het dealen van drugs, aldus Perry. Het is minder gevaarlijk, makkelijk, levert meer op en brengt minder risico's met zich mee. Gestolen gegevens worden vaak via IRC kanalen verkocht.

E-mail stumpers
Als "education director" een titel die zijn vrouw had verzonnen omdat "Director of Public Education" het woord "DOPE" spelde, let Perry veel op het sociale aspect van gebruikers en de dreigingen die daar op inspelen. Nu het internet langzaam aan volwassener wordt, kiezen criminelen voor andere methoden om gebruikers te infecteren. Denk bijvoorbeeld aan iframe aanvallen die de laatste maanden sterk in opkomst zijn. "Via e-mail pak je alleen de stumpers die gisteren op het internet zijn gekomen."

De hoeveelheid informatie die criminelen van gehackte machines verzamelen is volgens de goedlachse Amerikaan zo enorm, dat ze speciale datamining software inzetten om de waardevolle gegevens eruit te halen.

IP-verbondenheid
Aangezien er elke dag meer malware door professionals geschreven wordt, en signatures het niet alleen kunnen bijhouden, zocht Trend naar een andere oplossing, die het vond in de vorm van realtime IP reputatie. Alles wat je doet op het internet heeft 1 ding gemeen. Alles is met elkaar verbonden via een IP-adres. De beveiliger scant daarom de reputatie van een IP-adres.

Aan de hand van een aantal zaken, zoals locatie, bekendheid, hoeveelheid verstuurde e-mail, connectie met andere kwaadaardige IP's blokkeert men een e-mail of website. In totaal worden er elke dag 5 miljard IP-adressen gescand. Perry ziet het als een essentiële aanvulling op signatures, die wel nodig blijven. Hij wil echter niet vertellen wat de punten zijn waarop men controleert, wat volgens de education director niets met security by obscurity te maken heeft. "Dat is alleen als mensen voor een Mac kiezen omdat er minder gebruikers zijn dan bij Windows het geval is."

Na regen...
Perry voorspelt verder dat het huidige internet vervangen wordt en diens opvolger veiliger zal zijn. Toch gaan we eerst een onveilige periode tegemoet, en wordt het alleen maar erger. "Als cultuur plaatsen we alles op het internet, huizen, auto's alles is met het net verbonden. Dat is aantrekkelijk voor criminelen." Het probleem op dit moment, is dat de malware onzichtbaar voor de eindgebruiker is, ze zien het niet. E-maildreigingen zijn zichtbaar, veel hedendaagse malware niet. "Er zal iets ernstigs gebeuren, bijvoorbeeld met een luchtverkeersleiding of een bank die failliet raakt. Misschien lukt het terroristen om ons met een computer bang te maken. Dan zullen mensen eisen dat er een veiliger internet komt."

Om veiliger in de toekomst te zijn ziet Perry vier belangrijke peilers:

Veiligere systemen. Alles moet veiliger gebouwd en ontwikkeld worden, zoals protocollen, software en hardware.
Betere beveiligingssoftware en hardware.
Onderwijzen van gebruikers.
Wetgeving. Overheden en landen maken zich ernstige zorgen over cybercrime. Uitwisselingsproblemen, juridische problemen en veel slachtoffers doen ook geen aangifte. In de VS zijn nu duizenden wetten in ontwikkeling om cybercrime aan te pakken.

Pas als de eindgebruiker beseft dat informatie eigendom is, is de eerste belangrijke stap naar een veiliger internet gezet. "Als je niet weet wat het gevaar is, stop dan direct met online winkelen. Ga zes maanden lang blogs lezen, verdiep je erin. Ik vind het schokkend dat 7% van alle computers op het internet met bots geïnfecteerd is, en 10% van alle sites malware verspreid."

Donderdag een artikel over het plan van Perry om virussen, wormen en spyware een nieuwe naam te geven.

Update: link toegevoegd

Column: This Is Me

Eugene Kaspersky wil internetrijbewijs verplichten

Reacties (9)

20-11-2007, 16:35 door Anoniem

Plaatsen jullie nou daadwerkelijk doodleuk artikelen waarin beweert wordt
dat er per dag 15.000 nieuwe virussen verschijnen ? Het is gewoon te
lachwekkend voor woorden.

20-11-2007, 17:45 door Anoniem

Als het moet kun je er volautomatisch wel meer maken.

Je schrijft gewoon een library met bergen functies voor dezelfde taken. En
dat in meerdere programmeer talen.

Vervolgens laat je 1 hoofdsource de functies random samenstellen
volgens een bepaald geraamte waar je ook meerdere versies van hebt en
hoppa je compileert het automatisch met verschillende compilers

et voila...

Wat theoretisch kan kan ook praktisch.

Tuurlijk zullen er wel een paar gedetecteerd worden op family signature
maar er zal er toch een berg door heen glippen

Korte aanvalsgolven en klaar

Allemaal theorie maar het kan wel degelijk.

20-11-2007, 17:46 door Anoniem

Daarom moeten ze het bij de bron aanpakken. Maar dat gebeurt niet
omdat het niet commercieel genoeg is.

20-11-2007, 23:09 door [Account Verwijderd]

[Verwijderd]

21-11-2007, 07:43 door Anoniem

> In totaal worden er elke dag 5 miljard IP-adressen gescand.

Ik dacht dat de address-space van IPv4 nog niet helemaal was opgebruikt,
en dat heeft maximaal 2^32 is 4.3 miljard adressen.

21-11-2007, 12:28 door Anoniem

"Allemaal theorie maar het kan wel degelijk."

De analyse van de huidige situatie klopt al niet, al kan puur theoretisch
bovenstaande natuurlijk wel. Theoretisch kunnen we morgen ook een
digitale Pearl Harbor hebben waardoor het gehele internet down gaat.

26-11-2007, 17:29 door Sourceror

@ Anoniem over Virussen en libraries

Het gebruik van libraries en virusen in verschillende talen is omslachtig.
Dit kost veel werk voor de maker en ze worden sneller ontdekt
dan dat ze ontwikkeld zijn. De signatures blijven nl identief omdat de
patronen in de bytecode hetzelfde blijven als dezelfde functie wordt
aangeroepen.

Door middel van genetische algoritmen (op binair niveau of bytecode)
kunnen verschillende virussen exponentieel groeien en is iedere mutatie
identiek. Er volgen mututaties op mutaties, die vervolgens ook weer muteren etc.

Het effect van de gecreerde virussen is echter onbetrouwbaar. Je weet
immers niet welk effect ze zullen hebben (groot deel van de mutaties werkt
helemaal niet).
Dit is alleen interessant voor een kwaadwillend persoon omdat het enkele
doel is om schade te berokkenen.

@ Anoniem over 4.3 miljard addressen
Ik denk dat ze het aantal scan acties bedoelen. Een enkel ip addres kan
immers meerdere keren worden gescand.

30-11-2007, 08:18 door Anoniem

/*
k dacht dat de address-space van IPv4 nog niet helemaal was
opgebruikt,
en dat heeft maximaal 2^32 is 4.3 miljard adressen.

*/
Je vergeet de mobieljes :)

02-12-2007, 14:02 door Anoniem

De publieke/internet IPv4 address space heeft zelfs minder
dan 4.3 Miljard beschikbaar, denk aan de gereserveerde en
private ranges. Als je alle private spaces (zoals de
veelvuldige gebruikte 10.0.0.0/8, 172.16.0.0/12 en
192.168.0.0/16 netwerken/adressen die achter NAT e.d. zit,
mee telt, gaat het aantal IP's flink omhoog...

Daarnaast "leeft" er ook nog IPv6...

Ik denk dat 4.3 niet "alles" betreft, maar alleen de
adressen welke gescanned worden. Het aantal adressen wat in
gebruik is zal een veelvoud zijn.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Pick one:

Advertentie

Specialiseer je in Forensisch ICT

Online informatieavond 19 november

Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:

Bachelor Informatica Forensisch ICT (deeltijd)
Master Digital Forensics (vol- en deeltijd)
Module Mobile Forensics
Module Data Analytics

Interesse? Meld je aan!

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

31 reacties

Lees meer