Het Tsjechische anti-virusbedrijf AVG is woedend over een recente virusscanner-test, waaruit zou blijken dat het niet de exploit detecteerde waarmee Google werd gehackt. NSS Labs, dat recentelijk nog Internet Explorer 8 als browser met de beste bescherming tegen malware uitriep, wilde nu weten hoe goed virusscanners zijn in het detecteren van de Aurora-exploit. Via deze aanval, die een lek in Internet Explorer 6 misbruikt, wisten hackers toegang tot het netwerk van Google en dertig andere grote bedrijven te krijgen.
De conclusie van het onderzoeksrapport is vernietigend. AVG Internet Security wist als enige de aanval niet te detecteren, twee weken nadat die bekend was gemaakt. Verder faalde 85% van de virusscanners in het detecteren van varianten. "Het is zorgwekkend dat zulke slechte detectie wordt geboden", aldus Vikram Phatak van NSS Labs. Naast AVG werden ook de security suites van ESET, Kaspersky, McAfee, Norton, Sophos en Trend Micro op de pijnbank gelegd. Alleen McAfee wist de variant van de exploit te detecteren.
Vertrouwen
Volgens NSS Labs moeten virusscanners en security suites zich meer op het detecteren van beveiligingslekken richten, in plaats van alleen individuele aanvallen te blokkeren. Verder moeten beveiligingsprogramma's af van een aanpak waarbij men alleen specifieke exploits blokkeert, omdat deze aanpak altijd achter de feiten aanloopt. "Het komt erop neer dat als een beveiligingsprogramma voorkomt dat het lek wordt misbruikt, de malware niet wordt geïnstalleerd." Aangezien de geteste programma's zo slecht presteren, krijgen systeembeheerders het advies om niet op hun "endpoint-oplossing" niet te vertrouwen, maar de Microsoft update voor het Internet Explorer-lek zo snel als mogelijk te installeren.
Twijfelachtig
Bij AVG is men vanzelfsprekend niet over het onderzoek te spreken. De Tsjechische virusbestrijder spreekt zelfs van een twijfelachtig rapport. Naar eigen zeggen zou AVG de exploit wel detecteren. "Dit zijn serieuze beschuldigingen, zeker aangezien onze tests laten zien dat AVG software de Aurora aanvallen wel stopt." Het anti-virusbedrijf nam contact op met NSS Labs om te vragen hoe er was getest, maar dat wilde het onderzoeksbureau niet vertellen, tenzij er betaald werd. "Daarom trekken we hun onderzoeksrapport in twijfel", aldus AVG.
De virusbestrijder besloot de test met de originele exploit nogmaals uit te voeren, maar de security suite herkende die gewoon. Een ander hekel punt is dat NSS Labs niet bekendmaakt hoe het heeft getest en welke varianten het gebruikte. Ook het vragen om geld voor het publiceren van de testmethode zit AVG niet lekker. "Het lijkt erop dat NSS AVG gijzelt en losgeld wil, omdat we de geldigheid van hun beweringen in twijfel trekken", zo laat het anti-virusbedrijf weten.
Bewijs
Na verder telefonisch contact zou zijn gezegd dat AVG de originele exploit wel stopte, maar dat is niet wat er in het rapport staat. Verder zou NSS Labs met een oude versie van AVG Internet Security hebben getest. "Als iemand de pers vertelt dat onze producten niet werken, terwijl wij keihard bewijs hebben dat dit niet zo is, nemen we deze beschuldigingen serieus en verwachten we dat ze bewijs geven om hun bevindingen te staven."
Deze posting is gelocked. Reageren is niet meer mogelijk.