Virusscanners zonder signatures in 2011
Signatures, de updates die virusscanners nodig hebben om de meeste malware te detecteren, behoort in 2011 tot het verleden, aldus Magnus Kalkuhl van Kaspersky. Over twee a drie jaar heeft namelijk "in-the-cloud security" op signatures-gebaseerde detectie zoals we die nu kennen, volledig vervangen. "De situatie is vergelijkbaar met de autowereld: Op de lange duur zullen elektronische auto's benzine en diesel auto's vervangen, op het moment zijn de meeste auto's die als elektronisch worden geadverteerd, eigenlijk hybrides." Ondanks dat de IT-wereld zich sneller innoveert dan andere industrieën, zal de nieuwe generatie virusscanners pas in 2011 verschijnen, merkt Kalkuhl op.
Door de explosieve groei van malware, zijn anti-virusbedrijven wel gedwongen om alles in de "cloud" te doen, gaat de virusonderzoeker verder. Signatuters zijn essentieel voor het detecteren van malware en een goede signature kan meerdere varianten van een worm, virus of Trojaans paard herkennen. Daarom zijn er ook minder signatures dan er malware is. Hoe meer malware een signature detecteert, des te kleiner de database waarin die zich bevindt. De laatste jaren verschijnt er steeds meer malware, wat voor meer signatures zorgt, meer geheugenverbruik van de computer en meer downloadverkeer, maar ook een vermindering van de scanprestaties.
Prestaties virusscanner
Als voorbeeld gebruikt Kalkuhl de signature-database van Kaspersky zelf, die op dit moment 45MB in omvang is. Als de trend in de rechts getoonde grafiek zich doorzet, betekent dat er binnen drie tot vier jaar een database van meer dan 1000MB nodig is. "Dat is meer geheugen dan waar sommige computers over beschikken, databases van deze omvang zouden geen ruimte voor het besturingssysteem, browser of spelletjes overlaten." Hierdoor zou de machine alleen zichzelf kunnen scannen, maar niet het werk en de spelletjes die op de computer worden gedaan. "En dat is geen bevredigende oplossing."
Het verwijderen van oude signatures, zoals anti-virusbedrijven met MS-DOS malware doen, is geen optie. De cloud, met al zijn voor- en nadelen, is dan ook de enige plek waar ruimte is om alle malware te detecteren. In plaats van lokale signatures, wordt een kwaadaardig bestand of website online gescand. In dit geval maakt de scanner een checksum van het bestand en stuurt die naar de server van het anti-virusbedrijf. Gaat het om een bekende, kwaadaardige checksum, dan wordt de gebruiker gewaarschuwd en het bestand verwijderd of in quarantaine gezet. Dit proces zou de scanprestaties verbeteren en belasting van de computer verminderen, aangezien er niet veel rekenkracht nodig is om de checksum van een bestand te berekenen.
False positives
Andere voordelen zijn het verminderde geheugenverbruik, het scannen gebeurt alleen als de gebruiker een nieuw bestand installeert, en verbeterde responstijden. Er zijn echter ook nadelen, zoals het risico op false positives, het altijd online moeten zijn en de bereikbaarheid van de in-the-cloud servers, die simpelweg altijd moeten werken. Anders zijn klanten onbeschermd. Deze servers vormen daardoor een interessant doelwit voor cybercriminelen. Toch verwacht Kalkuhl dat "in-the-cloud security" straks de standaard is. "Als dit gebeurt, dan zal het internet net zo essentieel voor het dagelijks leven zijn als elektriciteit dat nu is."
Er zijn al lang oplossingen in omloop die geen signatures nodig hebben, dus het is onzin dat deze techniek pas over drie jaar mogelijk is. Probleem zal wel zijn dat Kaspersky geen toegang tot deze technologie heeft.
In the cloud biedt geen nieuwe technologie, ze blijven gewoon signatures gebruiken.
Ze zetten alleen VEEL MEER resources in voor scanning dan een bedrijf of 'n desktop zou kunnen.
Er zijn inmiddels oplossingen die hashes van bestanden the cloud insturen om te kijken of ze voorkomen op een lijst van malicious bestanden. Maar ja hoe zit het dan met je privacy?
Daarnaast, een op maat geschreven attack, of eentje met dynamische encryptie kan nog steeds niet gestopt worden.
In andere woorden, Kaspersky geeft toe dat er NU een probleem is, dat ze niet kunnen oplossen, maar over 3 jaar kunnen ze wel bescherming bieden...
"Andere voordelen zijn het verminderde geheugenverbruik, het scannen gebeurt alleen als de gebruiker een nieuw bestand installeert, en verbeterde responstijden."
Dat heeft helemaal niks met die signatures te maken, nu kan je het als je wilt ook zo instellen.. Echt veilig klinkt het niet..
"Als dit gebeurt, dan zal het internet net zo essentieel voor het dagelijks leven zijn als elektriciteit dat nu is."
Dat is het voor de meeste mensen al :P
Die kunnen helemaal niet "in de cloud" scannen, maar wel besmet worden via removable media (usb sticks, externe hard drives, cd/dvd, ...)
Dit ruikt inderdaad meer naar marketing, maar goed, het is tenslotte ook een bedrijf, laat dat goed begrepen zijn.
- dark
Da's leuk voor stand-alone malware, maar malware die een host nodig heeft, zoals virussen, wordt het al lastiger.
Dan moet er voor iedere geinfecteerd bestand een checksum worden opgeslagen.
Dat verhoogt het aantal checksums aanzienlijk.
Bovendien heb je kans dat er infecties op onbekende bestanden tussendoor glippen.
Ook het real-time scannen kan behoorlijke problemen opleveren.
Malware hoeft alleen de LAN-interface uit te schakelen.
Daarnaast werkt het dus niet als je onderweg bent en geen internetverbinding hebt.
Alhoewel ik het eens ben dat signature based AV-software op z'n retour is, denk ik niet dat we binnen 2 jaar de huidige software volledig vervangen hebben nog een nieuw concept.
Dan moet het nieuwe concept wel minimaal net zo goed werken als de huidige AV-software met signatures doet.
Zelf zie ik meer in whitelisting en behavioural scanning.
Met blacklisting blijf je achter de feiten aanlopen.
Door whitelisting te gebruiken, sta je alleen goedgekeurd software toe.
of eens een dag GEEN internet hebt.
Stel iemand stuurd mij een bestand [ laten we zeggen een klein spelletje ] dit spelletje en van dit spelletje is de checksum bekend,
en niet kwaadaardig. De persoon heeft in dit spelletje een backdoor verstopt, waardoor de checksum niet meer overeen komt, dus
zegt Kaspersky niks, en voer ik het bestand gewoon uit. Dus ik ben gehackt.
Tevens zijn de hackers altijd Kaspersky en andere av vendors een stapte voor, en tevens kun je voor een klein bedrag als zelfs
een backdoor op maat laten maken. Zolang deze niet "in the wild" voorkomt, blijft hij dus unditected.
Ga ik een uurtje of twee googlen, en verzamel ik alle hackers website's en forum, en zorg dat er een soort van Europees verdrag komt om backdoor en trojans, en andere malware op die site's aan te kunnen pakken, dan ben je binnen mum van tijd 90% van alle ellende af. Het in bezit hebben van malware is al strafbaar, dus haal dan gewoon de website's uit de lucht.
De 10% wat overblijft valt dan snel genoeg af, of beloon mensen met het aangeven van website's waar malware op staat.
Het lijkt me niet veel moeite, om zo'n wet er Europees door te krijgen, want iedereen wil een veilige pc, en in een veilig wereld
leven toch.
Neem bijvoorbeeld deze site eens > http://vx.netlux.org/faq.php#whole
Koop een crypter of packer, en je kunt weer een paar duizenden computer infecteren.
Zet e-Mule of Limewire op je pc en deel een mapje met wat geinfecteerd bestanden, en je hebt binnen een paar uur al
flink wat slachtoffers waar je zo op de pc kunt grasduinen. En die site hierboven is maar een van velen die je zo kunt vinden.
Dus maakt een groote datebase met strafbare website's, stuur die eigennaren een brief dat de sit's binnen 14 dagen offline
moet gaan, anders volgt er een fikse rekening.
Als we kinderporno kunnen aanpakken, dan moet het met malware ook kunnen.
Malware mag je niet op je pc hebben of verzamelen, maar je kunt het wel zo downloaden.
Is dit niet de kat op het spek binden dan ?
Weg met al die website's met malware, en het probleem wat nu klauwen met geld kost, lost zich vanzelf op.
Simpel en doeltreffend.
Helaas biedt Hitman Pro (nog) geen bescherming maar de technieken zoals beschreven in het artikel zijn dus al geruime tijd gratis en commercieel beschikbaar.
Helaas biedt Hitman Pro (nog) geen bescherming maar de technieken zoals beschreven in het artikel zijn dus al geruime tijd gratis en commercieel beschikbaar.
Je bedoelt, dat de sofware die in Hitman Pro zit dat doet, ... ?!
sHitman Pro incasseert slechts de complimenten en de centen voor deze overwegend gratis tooltjes van anderen, en maakt een verschrikkelijk zooitje van (o.a.) het register na de-installatie....
sHitman Pro incasseert slechts de complimenten en de centen voor deze overwegend gratis tooltjes van anderen, en maakt een verschrikkelijk zooitje van (o.a.) het register na de-installatie....
Ik merk al dat je Hitman Pro al heel erg lang niet meer hebt bekeken. Slechts de naam is overgenomen door SurfRight B.V. en de genoemde techniek zit in Hitman Pro. Vanaf versie 3.5 wordt er geen gebruik meer gemaakt van tooltjes maar is het 100% eigen software (afgezien van de scanners in-the-cloud). Daarnaast installeert Hitman Pro behalve zichzelf NIETS meer op de PC. Dus dat zooitje van het register waar je het over hebt is allang verleden tijd. Get up-to-date en lees [url=http://files.surfright.nl/productbeschrijving-hitman-pro-35.pdf]dit document[/url] waar e.e.a. uitvoerig in is beschreven.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
