Nieuws
image

"Heuristiek detectie virusscanners werkt niet"

maandag 2 maart 2009, 12:03 door Redactie, 6 reacties

De heuristieke detectie en gedragsanalyse waar anti-virusbedrijven zo prat op gaan is complete onzin, aldus een stel beveiligers die met hun uitspraak voor grote beroering zorgen. Het gebruik van signatures, waarbij men eerst malware moet vinden en analyseren voordat virusscanners er tegen beschermen, is inmiddels een verloren race. Vanwege de grote hoeveelheid nieuwe exemplaren is er altijd een tijdvenster waarin gebruikers kwetsbaar zijn voordat ze de update binnen krijgen. Als oplossing werden heuristieke detectie en gedragsanalyse geïntroduceerd. Hiermee zou men malware aan verdacht gedrag kunnen herkennen en zo ook zonder signature detecteren.

Volgens critici Amrit Williams, Martin McKeay en Mike Murray is zelfs whitelisting beter dan heuristieke detectie. Aangezien ook de heuristieke detectie regelmatig updates krijgen, noemen ze dit de volgende generatie signatures. "In plaats van het toevoegen aan een signature, voegen ze het toe aan de code." Het probleem met heuristieke detectie is dat de virusscanners zeggen wat wel en niet kan, maar dat binnen bedrijven de wereld vaak niet zwart en wit is, maar grijs. En heuristieke detectie kan slecht met "grijs" omgaan.

Dreiging van Microsoft
Alex Eckelberry, van beveiligingsaanbieder Sunbelt Software, is het niet met de kritiek eens en wijst naar de feiten. Veel van de grote AV-engines leunen namelijk zwaar op generieke en heuristieke detecties. "Wat mij betreft is het enige dat anti-virusbedrijven kunnen doen, het gebruiken van heuristieke detectie en gedragsanalyse. Als je dagelijks meer dan 30.000 malware exemplaren verwerkt, heb je niet veel keuze."

De critici merken verder op dat anti-virusbedrijven niet bang hoeven te zijn voor de gratis virusscanner van Microsoft, aangezien de softwaregigant zelfs patchmanagement en veilig programmeren niet op orde heeft. De uiteindelijke doodsteek voor de AV-industrie is dat als Microsoft met een niet te misbruiken besturingssysteem zou komen, maar dat ziet het trio niet gebeuren.

Reacties (6)
02-03-2009, 12:18 door Karel 1
Ja hoor, over virusbesmettingen in andere OS-en praten we natuurlijk niet. En het enige dat men hoeft te doen, is alle handelingen die niet regulier zijn, te blokkeren. Bijvoorbeeld ongeoorloofd schrijven op de harddisk. Handtekingscannen is al jaren achterhaald, want de meeste virussen kunnen al jaren lang hun handtekening keer op keer veranderen. Dus wat is dan het nut van whitelist?

En wie is dan wel dat "stel beveiligers"? Of mogen we dat niet weten omdat dan duidelijk is dat hier opnieuw de handel en de concurrentie een grote rol speelt?

En dan die critici over de virusscanner van Microsoft. Welke critici? Concurrenten?
02-03-2009, 13:54 door Anoniem
Wat vindt je dan van bedrijven die een 100% SLA geven op bekende en onbekende Virussen/Malware?

Het is blijkbaar dan toch mogelijk? Of is zo een SLA onzin?
02-03-2009, 13:55 door Anoniem
Het is precies andersom. Nogal wat malwareschrijvers (virusschrijvers zijn er bijna niet) schrijven hun malware zodanig dat het niet wordt gedetecteerd door hun favoriete anti-virus producten. Daarmee wordt heuristiek dus een stukje minder werkzaam. Aan de andere kant zijn signatures wel altijd werkzaam, al duurt het even voordat die beschikbaar komen.

mIRC gebaseerde bots zijn redelijk makkelijk heuristisch te detecteren en veel AV producten doen dat dan ook. Hier hebben we niet echt met kundige malwareschrijvers te maken, want dit zijn gewoon scripts die grotendeels of geheel zijn overgenomen van anderen. Verder hebben de malware schrijvers geen interesse meer in hun oude malware, die valt dus wel generiek of heuristisch te detecteren, maar dat is ook achteraf. Het is dan ook een manier om veel te kunnen detecteren met weinig signatures, waardoor de omvang van de update files niet te snel groeit.

Whitelisting als oplossing voor dit niet bestaande probleem is onzin. Door de (security) patches en updates van legitieme software is er ook een signature update probleem, maar dan nog veel erger. Zie maar eens software leveranciers zover te krijgen dat ze hun software ter beschikking stellen aan iedere AV fabrikant voordat ze die distribueren. Dat gaat niet gebeuren en daarmee is whitelisting al gedoemd te falen in de meeste omstandigheden.
02-03-2009, 14:26 door Anoniem
Het probleem met heuristieke detectie is dat de virusscanners zeggen wat wel en niet kan, maar dat binnen bedrijven de wereld vaak niet zwart en wit is, maar grijs.
Inderdaad, hoe weet het systeem nu of wat het baasje (Administrator of root) opdraagt wel goed is voor het systeem? Daarvoor is een soort intelligentie nodig waarover virusscanners blijkbaar (nog) niet beschikken.
Een gewone gebruiker kan, als het goed is, niet overal zomaar schrijven op de harddisk of in de registry. Dat komt eenvoudig door de rechten die daarvoor nodig zijn. Zelfs in Windows is dat zo geregeld.
... over virusbesmettingen in andere OS-en praten we natuurlijk niet.
Keep on dreaming zou ik zeggen! :)
02-03-2009, 21:11 door [Account Verwijderd]
[Verwijderd]
05-03-2009, 17:55 door Anoniem
Windows Vista zou een praktisch waterdicht systeem krijgen waardoor geen enkele applicatie (tenzij uitgevoerd buiten het OS om, bijvoorbeeld via een bootable CD) niet aan de kernel kon komen.

Het was Symantec die dit via de rechter heeft tegengehouden, want dan konden ze hun nieuwe product niet meer goed laten functioneren. Maar hierdoor staat wel de deur open voor een diversiteit aan malware.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure