Nieuws
image

"Schors studenten die virussen maken"

zondag 16 augustus 2009, 13:30 door Redactie, 8 reacties

De Universiteit van Michigan werkt aan een project om virussen ondetecteerbaar te maken, tot grote woede van virusbestrijders die vinden dat de studenten geschorst moeten worden, maar volgens een beveiligingsexpert zijn het de anti-virusbedrijven die hun zaakjes niet op orde hebben. PolyPack is een onderzoeksproject dat de impact van malware packers op moderne virusscanners onderzoekt, en hoe op signatures-gebaseerde producten hier zich op stuk bijten. Gebruikers kunnen malware naar de PolyPack website uploaden, die het vervolgens ondetecteerbaar maakt. De onderzoekers willen zo het gemak aantonen waarmee virusscanners zijn te omzeilen.

"Ik sta perplex door dit zogenaamde academische project. Waarom zou iemand een dienst aanbieden om kwaadaardige bestanden ondetecteerbaar te maken? Het is in ieder geval niet om de internetgemeenschap en anti-virsubedrijven een plezier te doen", zegt Roel Schouwenberg van Kaspersky Lab. Volgens de virusanalist helpt het project alleen cybercriminelen. Hij vraagt zich af of het initiatief met steun van de universiteit is gestart. "Persoonlijk denk ik dat het enige juiste is om de studenten te schorsen. Universiteiten kunnen het maken van malware gewoon niet ondersteunen of toestaan."

Eigen hachje
Het betoog van Schouwenberg krijgt flinke kritiek van beveiligingsexpert David Maynor, die vindt dat de virusbestrijder alleen zijn eigen hachje probeert te redden. "Het laten zien van hoe eenvoudig het is om malware ondetecteerbaar voor verschillende virusscanners te maken, is waarschijnlijk het ergste voor een verkoper van anti-virus software." Maynor denkt aan een Kaspersky verkoper die zijn omzet niet haalde en het PolyPack Project de schuld geeft. Vervolgens wordt een onderzoeker ingeschakeld om de legitimiteit van het project te ontkrachten.

Maynor vindt het een mooi staaltje techniek om een falende technologie te ontkrachten. Via het project kunnen gebruikers zien welke virusscanners falen in de detectie van malware. Grote bedrijven zullen vervolgens geen geld meer uitgeven aan een dure op signatures gebaseerde virusscanner, als ze weten dat die de meeste gaten bevat. "Waarom zou Kaspersky voor dit soort open testen bang zijn?" vraagt Maynor zich af. Volgens hem laat dit project Kaspersky en anderen zien dat op signatures gebaseerde virusscanners alleen de verkoopcijfers kunnen beschermen. "Kun je dit in een iets ander scenario voorstellen, waarbij een werknemer van een sigarettenfabrikant stelt dat onderzoek naar tabak en kanker onethisch is?"

Reacties (8)
16-08-2009, 15:18 door bernd
volgens de pdfjes op de site van polipack https://polypack.eecs.umich.edu/ is de gebruikte techniek (repackagen) al lang beschikbaar voor kwaadwillenden, maar is de door hun ontwikkelde methode tot 250% effectiever in het omzeilen van virusscanners. de antivirustoko's zouden in plaats van commentaar een bijdrage moeten leveren aan het project, zodat ze zelf beter worden in het detecteren van omgebouwde malware. Overigens heb je voor het omzetten van een virus een account nodig op de site, maar een beetje hacker komt daar ongetwijfeld wel doorheen.

Op de website van Polypack staat helaas niet te lezen welke antivirusoplossing het minste last heeft van deze techniek.

Er helpt maar één ding tegen dit soort malware: zorgen dat je zo min mogelijk vatbaar bent voor bugs: niet als admin/root ingelogd zijn, en vaak patchen.
16-08-2009, 17:22 door Anoniem
Dat een universiteit onderzoek doet is natuurlijk normaal. Dat is hun taak en bestaansrecht. Kennis is macht en uiteindelijk zal deze kennis er toe leiden dat malware beter bestreden kan worden. Maar om nou je diensten aan iedereen aan te bieden zonder dat daarbij enige kennis wordt overgedragen lijkt mij niet de bedoeling. Hoe zou dit ergens aan moeten bijdragen?
16-08-2009, 17:25 door Anoniem
Mooie tool, op die manier kan ik eindelijk van een paar false positives afkomen waar AVG weigert iets aan te doen. :)
16-08-2009, 18:00 door spatieman
maar aan de andere kant.
als je weet hoe een virus werkt.
kan je daarom wel de anti virus op in laten spelen door de gegevens naast elkaar te leggen.
16-08-2009, 21:57 door Anoniem
alle virus scanners hebben wel eens vals positives

Bovendien heeft iedere site van antivirus aanbiedes meldingen van prijzen en testen waaruit ze als beste uit de bus kwamen

Het wordt tijd dat een algemeen onafhankelijk overheids orgaan daar iets aan doet, A-squared is 1 vd betere scanners maar geeft een waslijst aan false positives die je dan kan doorsturen, het is altijd opletten geblazen
Avast geeft dat soms ook, alles heeft te maken met hoe hun filosofie is tegenover bepaalde programmas en hun bestanden, bv Kazaa zal steevast door Avast als trojan worden bestempeld omdat het de gedragingen van de gebruiker doorgeeft zonder daar deze over in te lichten.

Eeye (Blink Personal) zeer goed en uitgebreid, komt in geen enkele anti virus test voor

Heel dat wereldje stinkt vanwege het grof geld
16-08-2009, 22:10 door Anoniem
Er helpt maar één ding tegen dit soort malware: zorgen dat je zo min mogelijk vatbaar bent voor bugs: niet als admin/root ingelogd zijn, en vaak patchen.

dat lijkt me meer dan één ding ;)
17-08-2009, 00:02 door Anoniem
Ehm, er is echt geen onderzoek nodig om iets aan te tonen dat er impliciet en gewoon per definitie is. Zielige vertoning van deze jongens.

bernd: je moet malware niet verwarren met kwetsbaarheden. Malware is meestal een gewoon programma.
17-08-2009, 12:02 door MrBil
Hier heb je toch Crypters voor?

Download eEye Blink Personal(gebruik hem zelf ook): http://download.cnet.com/eEye-Blink-Personal-Free-Complete-PC-Security/3000-2239_4-10658343.html?tag=mncol

Voor diegene die wilt weten of zijn huidige Anti Virus-scanner beter functioneert dan die van eEye?
Probeer het uit via http://www.rexswain.com/eicar.html
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure