image

Anti-virusbedrijven woedend over viruswedstrijd

zaterdag 26 april 2008, 10:08 door Redactie, 22 reacties

Een wedstrijd waarbij deelnemers virussen moeten ontwikkelen om aan te tonen dat op signatures-gebaseerde virusscanners geen bestaansrecht hebben, heeft de woede van anti-virusbedrijven gewekt. Tijdens de 16e Defon die in augustus van dit jaar plaatsvindt, krijgen deelnemers elk een aantal virussen die ze daarna moeten ombouwen om de aanwezige virusscanners te omzeilen. Het team dat alle anti-virus software weet te verslaan zal tot winnaar worden uitgeroepen.

De "Race to Zero" wil met de wedstrijd een aantal belangrijke punten onder de aandacht brengen. Niet alle virusscanners zijn volgens de organisatie gelijk en daarom wil men het kaf van het koren scheiden. Daarnaast zijn de meeste virusscanners die signatures gebruiken eenvoudig te omzeilen.

"De tijd om een bekend malware exemplaar aan te passen om een groot gedeelte van de virusscanners te omzeilen staat niet in verhouding met de kosten van anti-virusbescherming en de schade die ontstaat door het vertrouwen dat mensen erin hebben," aldus de organisatie, die signatures dood heeft verklaard. "Mensen moeten kijken naar heuristieke, statistische en gedraganalyse technieken om nieuwe dreigingen te identificeren."

Helpt criminelen

Volgens Dave Marcus van McAfee is het aanmoedigen van onderzoek waardoor virusschrijvers anti-virus software kunnen omzeilen geen goed idee. "Hoeveel identiteiten en data zullen dankzij deze nieuwe technieken worden gestolen? Beveiligingsonderzoek moet zich richten op het verbeteren van detectie en niet ontwijking." De resultaten van de wedstrijd zal de organisatie niet met anti-virusbedrijven delen.

Bij Trend Micro zien ze de wedstrijd ook niet zitten. "Het zal meer schade dan goed doen," zegt onderzoeker Paul Ferguson. "Het op verantwoorde wijze melden van problemen is één ding, het aanmoedigen van mensen om dit als wedstrijd te doen gaat veel te ver." Anti-virusbedrijven moeten dagelijks al 30.000 malware exemplaren verwerken, er is geen behoefte aan meer exemplaren, zegt Roger Thompson van AVG. "Het is een dom idee."

Reacties (22)
26-04-2008, 10:26 door spatieman
[admin] We leven niet meer in de middeleeuwen...[/admin]
26-04-2008, 11:04 door Anoniem
[...] Anti-virusbedrijven moeten dagelijks al 30.000 malware
exemplaren verwerken, er is geen behoefte aan meer
exemplaren[...]

Als er in een week ruim 200.000 exemplaren verwerkt moeten
worden, dan zullen die 100 die er extra bijkomen het
verschil ook niet maken. Ik heb het idee dat het die
anti-virus bedrijven er alleen maar om te doen is om hun
eigen hachie te beschermen, en dat het vooral niet al te
bekend moet worden dat hun producten geen bescherming bieden
tegen kwalitatief goede tegenstanders, ook al beweren ze
vaak het tegendeel. Het feit dat er iets structureels fout
zit in de door hun geleverde producten en de basis waarop ze
hun producten hebben gebaseerd wordt nu duidelijk gemaakt,
en DAAR zijn ze geen voorstander van. Preken voor eigen
parochie noemen ze zoiets.
26-04-2008, 11:13 door Joey
Kunnen ze de politie er niet op af sturen? Het maken van
malware is immers strafbaar...
26-04-2008, 12:07 door capricornus
geadchte #1: beter in het zonlicht dan in het donker, al
denk ik dat de echte maligne aso's in het donker zullen blijven
gedachte #2: van alles dat we in het zonlicht kunnen zien,
kunnen we ook leren. Wanneer de strategie en de taktiek van
de virusschrijvers verandert, dan moeten de McAfees en
andere Nortons aanpassen. Nu lijkt het wel een oproep om in
het duister te blijven, dan kunnen de
antivirusvenootschappen dat ook, en kunnen ze voor weinig
veel geld blijven vragen van een domgehouden consument.
26-04-2008, 13:23 door Gutsy Gibbon
Beveiligingsonderzoek moet zich richten op het verbeteren
van detectie en niet ontwijking.

De bedoeling van de wedstrijd is de detectie te verbeteren,
zodat ontwijken (bijna) onmogelijk word.
26-04-2008, 13:32 door PolaMan
Virusscanners lossen het verkeerde probleem op, en als
dergelijke acties dat extra onder de aandracht brengen is
dat alleen maar toe te juigen.
Dat virusscaner producenten zich daar met hand en tand tegen
verzetten is te verwachten, het is immers hun brood.

Wat iedereen nu eens onder ogen moet gaan zien is dat het
probleem niet is dat malware versprijd en opgestart wordt,
en we dat kunnen oplossen met virus scanners die de
verspreiding en het starten uit alle macht proberen te
voorkomen, met alle bekende false-positive/false-negative
problemen die we van dat soort oplossingen kennen. Het
probleem is dat ALLE software, malware en goedbedoelende
software draait met veel te veel rechten. Ik heb het dan
voor de duidelijkheid niet over admin vs user rechten, want
dat is irrelevant, maar over het punt dat tetris genoeg
rechten heeft om mijn mailbox te lezen, m'n documenten te
verwijderen etc zonder dat het enige noodzaak heeft voor
zulke rechten. Het 'Principle Of Least Privilege' (POLP) is
het begin van de oplossing van malware, van spam, etc, etc.
Virusscanners zijn geen oplossing tegen malware,
virusscanners zijn een oplossing voor regulatory compliance
die toevallig ook nog een erg ZICHTBAAR deel van de malware
tegen kan houden waardoor een groot aantal mensen zich
daarmee voldoende veilig wanen om er bergen geld naartoe te
gooien, en waardoor OS fabricanten geen urgentie zien voor
het oplossen van het eigenlijke probleem.
26-04-2008, 13:51 door Bitwiper
[url=http://www.news.com/8301-10789_3-9929044-57.html]Dave Marcus van McAfee[/url]
Security research should center around bettering detection not evasion.
Inderdaad, maar er is voldoende bewijs dat dit tot nu toe niet resulteert in een extreem kleine kans dat verse malware wordt gemist (een belangrijk argument om überhaupt AV te draaien, met al haar nadelen).
Zie bijv. deze recente meldingen: [url=http://isc.sans.org/diary.html?storyid=4330]malicious PDF's[/url] en [url=http://www.virustotal.com/analisis/7a22ddc5aac588d069fc59e989b6ad0f]gespamde dagvaarding[/url] (bron: [url=http://isc.sans.org/diary.html?storyid=4289]Federal Subpoena[/url]).

Er raken gewoon teveel computers gecompromitteerd en het is duidelijk dat AntiVirus slechts ten dele helpt. Ik geloof niet dat het mogelijk is dat de AV industrie dit probleem oplost, daarom is het goed dat dit onder de aandacht wordt gebracht.
26-04-2008, 14:04 door Anoniem
Het zou kunnen helpen viruscanners te verbeteren.
Maar of dit echt wat zal uitmaken is echt de vraag.
26-04-2008, 14:42 door Anoniem
Door spatieman
[admin] We leven niet meer in de middeleeuwen...[/admin]

Leuke uitdrukking. Maar ik neem aan dat je dan niet weet dat
de verworvenheden die we tegenwoordig hebben uit diezelfde
Middeleeuwen stammen...
26-04-2008, 14:52 door Nomen Nescio
Door spatieman
[admin] We leven niet meer in de middeleeuwen...[/admin]
DUS moeten we ons niet met strafbare zaken bezig houden. Struikrovers
mogen ook niet meer hun gang gaan. Toch?
26-04-2008, 17:22 door [Account Verwijderd]
[Verwijderd]
26-04-2008, 17:23 door the virusman
Ik vindt dit een prima idee, echter de resultaten moeten wel gedeeld worden.

Als je een goed product maakt hoef je als producent toch niet bang te zijn voor
deze contest.

het wordt weer een heel ander verhaal als de gebruikte methodes bekend
gemaakt worden aan het grote publiek want daar zit echt niemand op te
wachten, ik verheug me al op de uitslag.

Ik zet mijn centen in op Eset, kaspersky en G-Data als diegene die het "beste"
uit de strijd komen, maar mijn verwachting is dat ze allemaal snel zullen
sneuvelen.
26-04-2008, 18:29 door Bitwiper
Door rookie
Maargoed signature based scannen is toch dat de hashes van een bestand worden gecontroleerd?
Nee, er wordt gezocht naar bepaalde byte-reeksen (al dan niet onderbroken), zeg maar patronen. False positives komen daardoor regelmatig voor.

De hash van een exe file wijzigen is trouwens doodeenvoudig. Behalve dat er bytes zijn in de file die je straffeloos kunt wijzigen, kun je het bestand ook langer maken. Doe maar eens het volgende:

copy /b c:windowsnotepad.exe + c:windowsnotepad.exe notepad2.exe
notepad2

Die werkt gewoon (maar is 2x zo lang geworden, en heeft natuurlijk een andere hash).
26-04-2008, 19:53 door PolaMan
Door the virusman
het wordt weer een heel ander verhaal als de gebruikte
methodes bekend
gemaakt worden aan het grote publiek want daar zit echt
niemand op te
wachten,
Als dat hetgene is dat nodig is om het structureel valen van
het virusscanners eindelijk eens goed onder de aandacht te
krijgen, zo de noodzaak voor een ECHTE oplossing duidelijk
te maken, en dus een markt te creeren voor echte
oplossingen, dan zou ik zeggen waarom niet?
De enige echte oplossing moeten we zoeken in het veilig
kunnen DRAAIEN van alle software inclusief malware, niet in
het achterhaalde concept van het proberen te bepalen of een
programma goede bedoelingen heeft.

Door spatieman
We leven niet meer in de middeleeuwen

Om dit concept als metafoor te nemen, de huidige virus
scanners gebruiken veelal perimiter security, vergelijkbaar
met de metalen harnassen uit de middel eeuwen. De dreiging
past echter niet meer op de verdediging, net zoals harnassen
geen verdediging hebben geboden tegen Y-Pestis, maar de
leveranciers proberen ons nog steeds ijzeren harnassen te
verkopen met de belofte dat de nieuwste modellen toch echt
tegen Y-Pestis zullen beschermen.
26-04-2008, 23:14 door Anoniem
Ach...
Je kan ook een OS gebruiken dat nog helemaal geen last heeft
van al dat Virus en andere gedoe, en voorlopig ook niet gaat
krijgen..
Er zijn toch genoeg alternatieven die ook sexy icoontjes
gebruiken!?

Moet je wel 't de wilskracht hebben om de foto van Billy G.
van je nachtkastje te halen en uit de lemming rat_race te
stappen.

Groetjes
*Anna.
27-04-2008, 12:44 door [Account Verwijderd]
[Verwijderd]
27-04-2008, 13:02 door Anoniem
Door Joey
Kunnen ze de politie er niet op af sturen? Het maken van
malware is immers strafbaar...

Dan moeten die uitzuigers van de AV bedrijven eens
fatsoenlijke technieken ontwikkelen ipv te azen op het geld
van de betalende subscribers. Want dat gaat zo lekker met
signatures he?
27-04-2008, 18:54 door Bitwiper
Door rookie
Dus in feite wordt binaire code naar assembler of iets dergelijks vertaald?
Nee, dat zou veel te veel tijd kosten.

Ik vermoed dat de meeste virusscanners zullen beginnen met het bepalen van het bestandstype (executable, MSWord .doc, pdf, jpeg etc.) op basis van kenmerken in het bestand (niet afgaand op de extensie dus).

Bij executables zou het kunnen dat bepaald wordt of er sprake is van compressie (zoals upx, aspack etc.) maar bij recente malware is vaak sprake van gemodificeerde compressiealgoritmes waarbij de virusscanner deze niet uit kan pakken, d.w.z. zonder een deel van de malware in een sandbox-omgeving uit te voeren. Maar dat kost tijd en bij nieuwe malware is de kans op succes niet groot.

Bij executables zal het in de praktijk neerkomen op het zoeken naar reeksen bytes op bepaalde offsets in het bestand. Wat de malwaremakers doen is die bytes variëeren, bijv. door te spelen met de volgorde van instructies of door NOP instructies tussen te voegen (alhoewel ik vermoed dat de meeste scanners daar niet meer in zullen trappen). De wedstrijd van [url=http://www.racetozero.net/]'Race to Zero'[/url] zal, vermoed ik, aantonen hoe eenvoudig dit is (zie de plaatjes op die pagina om te laten zien wat ik bedoel met wijzigen van bytes). Zie ook [url=http://www.theregister.co.uk/2008/03/03/underground_malware_testing/]deze page[/url].

Ook bij 'leesbare' executables blijkt detectie erg lastig, vooral omdat het moeilijk vast te stellen is of het malware of legitieme code betreft, zie bijv. [url=http://isc.sans.org/diary.html?storyid=4234]dit artikel[/url].
Maar dan moet het toch ook mogelijk zijn om 1 virus met een x-aantal verschillende signatures uit te brengen?
Ja, dat gebeurt (in een rap tempo), en dat is precies waarom pattern-based malware-detectie ten dode is opgeschreven. De virusdefinitie files (met patronen) worden steeds groter met als gevolg dat virusscanners meer geheugen in beslag nemen, het scannen van bestanden langer duurt, en de kans op false positives toeneemt, wat ook nog eens verergerd wordt door het toenemend aantal bestanden op een doorsnee PC (zie bijv. [url=http://www.theregister.co.uk/2007/08/03/64bitvista_av_tests/]dit artikel:[/url] 6 van de 20 Vista-64 scanners misten de VB100 certificatie vanwege false positives).
27-04-2008, 22:15 door Ronald van den Heetkamp
Ik heb niet eens een virus scanner, en mijn enige firewall
is m'n goed geconfigureerde router :)
28-04-2008, 09:50 door Eghie
Door PolaMan
Virusscanners lossen het verkeerde probleem op, en als
dergelijke acties dat extra onder de aandracht brengen is
dat alleen maar toe te juigen.
Dat virusscaner producenten zich daar met hand en tand tegen
verzetten is te verwachten, het is immers hun brood.

Wat iedereen nu eens onder ogen moet gaan zien is dat het
probleem niet is dat malware versprijd en opgestart wordt,
en we dat kunnen oplossen met virus scanners die de
verspreiding en het starten uit alle macht proberen te
voorkomen, met alle bekende false-positive/false-negative
problemen die we van dat soort oplossingen kennen. Het
probleem is dat ALLE software, malware en goedbedoelende
software draait met veel te veel rechten. Ik heb het dan
voor de duidelijkheid niet over admin vs user rechten, want
dat is irrelevant, maar over het punt dat tetris genoeg
rechten heeft om mijn mailbox te lezen, m'n documenten te
verwijderen etc zonder dat het enige noodzaak heeft voor
zulke rechten. Het 'Principle Of Least Privilege' (POLP) is
het begin van de oplossing van malware, van spam, etc, etc.
Virusscanners zijn geen oplossing tegen malware,
virusscanners zijn een oplossing voor regulatory compliance
die toevallig ook nog een erg ZICHTBAAR deel van de malware
tegen kan houden waardoor een groot aantal mensen zich
daarmee voldoende veilig wanen om er bergen geld naartoe te
gooien, en waardoor OS fabricanten geen urgentie zien voor
het oplossen van het eigenlijke probleem.
Zijn er, vandaag de dag, al methodes voor om dit goed te
doen, onder Windows?

Ik weet dat je met bijvoorbeeld SandboxIE een eind kunt
komen. En de rechten structuur op Linux (met verschillende
groepen die een gedeelte kunnen), zou ook wel iets helpen.
Op Linux zijn SELinux en AppArmor dan wel goede pakketten om
de software te sandboxen, omdat dit met een whitelist policy
lijst gaat en dit kan met elk pakket. Maar voor Windows is
er. volgens mij, nog helemaal niks wat SELinux kan evenaren.
28-04-2008, 11:35 door Anoniem
"Kunnen ze de politie er niet op af sturen? Het maken van
malware is immers strafbaar..."

Jij hebt liever dat men dit in een achterkamertje doet, zonder publiciteit ?
Zodat er wel dat soort virussen komen, maar er geen informatie omtrent de
manier waarop wordt vrijgegeven ?

Mij lijkt dergelijke security-by-obscurity niet erg handig, en het laatste wat je
moet doen is de politie erop afsturen. Wel zouden antivirus bedrijven
verstandig zijn wanneer ze wat researchers sturen.

PS: Zijn er hier ook mensen die vinden dat de onderzoekers die lekken
aantonen in de OV chipkaart of in het nieuwe Paspoort door de politie
opgepakt moeten worden ?
28-04-2008, 12:52 door Anoniem
Het strafbaar stellen van malware is een leuke - definieer malware maar
eens.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.