"Volgens Zuk is de 15-jaar oude technologie niet in staat om alles op het netwerk te detecteren en draait niet op mobiele apparaten."

Dat AV niet tegen -alles- werkt wil niet zeggen dat het geen nut heeft. Of weet Zuk soms een oplossing die elke besmetting voorkomt. Verder vraag ik mij af hoe hij bij de stelling komt dat AV software niet draait op mobiele apparaten - en ook waarom hij dat relevant vindt als hij meent dat AV software 'dood' is.

Volgens mij heeft de beste man enige tijd onder een steen geleefd. De meeste vendors hebben een mobiele versie en ook de techniek heeft niet stil gestaan.

Meneer heeft 100% gelijk. Virus definities lopen 'per definitie' altijd achter, en als er zoals vandaag de dag 1000en varianten per dag uitkomen, kom je dus uit op de huidige detectie percentages van 20 tot 25 procent (van lastige dingen als Zeus en SpyEye)
Ik gebruik dan ook al jaren geen virus scanners meer. Mobile AV is al helemaal een lachertje, ik heb er alleen maar false positives uit zien komen maar ondertussen wel je batterij leven door de helft hakken. In praktijk dus gewoon niet bruikbaar. Dingen als IDS en M@D zijn de toekomst (al een tijdje).

Toch heeft hij een punt, dat helaas niet duidelijk in de tekst naar voren komt: schijnveiligheid.

Wanneer je vertrouwt op een virusscanner, ben je eerder geneigd acties uit te voeren die potentieel gevaar opleveren (zoals het openen van een PDF bestand) dan wanneer je zonder beveiliging werkt. Natuurlijk heeft een virusscanner wel nut, maar staar je niet blind.

Mijn advies in deze is dan ook: gebruik _wel_ een virusscanner, maar onderricht de gebruikers hierin dat zij niet 100% moeten vertrouwen op de scanner maar ook hun gezond verstand moeten gebruiken. En zoals de beste man al zei: bij gerichte aanvallen blijft het bijzonder moeilijk om nep van echt te onderscheiden. Wanneer een niet-security.nl-bezoeker een mail krijgt met als (nep-)afzender een goede vriend (van Facebook) met de tekst: "ik heb een leuke foto van jou en mij op het internet geplaatst. Hier staat 'ie: <en dan de link>", dan heb je grote kans dat deze op de link klikt.

@AceHighness
Ik zie thuisgebruikers met hun pc'tje nog niet zo snel een goed geconfigureerde IDS gebruiken :/

Ik maak gebruik van een viruteel station (VMWare) waarin ik mogelijke onveilige bestanden controleer. Mocht het inorde zijn dan breng ik ze naar mijn eigen werkstation.

Realtime protectie van een virusscanner kan wel nut hebben als de verdere software op het systeem, zoals flash, adobe reader (of alternatief daarvan), quicktime etc, niet up to date worden gehouden. Of dat je een oud programma hebt dat nooit meer wordt bijgewerkt door de fabrikant, maar wel bijvoorbeeld pdf's verwerkt. Ook in dat geval blijft het wel een lapmiddel, maar een lapmiddel is misschien beter dan niets.

Als je merkt dat iemand zich zwaar veilig gaat voelen door een virusscanner, dan is het inderdaad foute boel. Realistisch blijven en verkooppraatjes met een korrel zout nemen blijft wel nodig.

Voor mijzelf zijn virusscanners vaak vooral nuttig als operatie tools voor reeds besmette systemen en voor mensen die te maken hebben met het oude programma's probleem.

Dit is ook mijn ervaring en is volledig te beredeneren. Aanvallers manipuleren en testen hun malware op alle actuele virusscanners, en laten deze pas "vrij" als er geen of nauwelijks detectie plaatsvindt.

Pas zodra malware voldoende wijdverspreid is, zullen er antivirus definities voor verschijnen, maar dat kost tijd. Dus is het een kwestie van pech als je op zeer verse malware stuit die wijdverspreid zal worden. Bij een gerichte aanval met een standaard Windows setup (zonder aanvullende hardening maatregelen) ben je bijna kansloos.

Wel is het zo dat thuisgebruikers over het algemeen geen doelwit zijn voor gerichte aanvallen (tenzij de aanvaller daar winst uit verwacht te maken).

Ik raad gebruikers wel aan een virusscanner te installeren. Belangrijk is echter om niet als admin te werken en ervoor te zorgen dat de virusscanner niet kan worden disabled door de malware (soms kan dit door er een wachtwoord op te zetten). Zodra het om wijdverspreide malware gaat is er een goede kans dat je virusscanner die malware in een later stadium alsnog ontdekt. Niet perfect maar beter dan een PC die maanden gecompromitteerd is.

Wat is dat, viruscode?

Meneer Zuk (overigens van WC eend ;) heeft op zich gelijk. ld school AV pakt te weinig en de gebruiker pakt nog minder het zij door onkunde, hebzucht of vermoeidheid (al een paar ik had nog geen koffie dus zat niet op te letten incidenten gehad).

Waar de producten van meneer Zuk naar kijken is waneer (niet of) je iets hebt dan gaat dat dingen doen. Meer shit halen dingen versturen meer rechten proberen te halen (over het netwerk) etc.
Dat gedrag is beter te detekteren dan X5O!P%@AP[4\PZX54(P^)7CnappyC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*. Maar ook daar weet hij al dat 100% nooit haalbaar is. Een moet de eerste zijn.

En het blijft een wapenwedloop.
10 blackhats kopen whitehat spullen
20 spelen net zo lang tot ze er weer door komen
30 do evil
40 update whitehat
50 try 20
60 if tryfail goto 10
;)

Particuliere banksoftware is al menigmaal doelwit geweest. Dat zijn redelijk gerichte aanvallen ;)

Dat geldt, voor zover ik weet, nog niet voor thuisgebruikers (vermoedelijk wel voor MKB, vooral in de USA zijn diverse gevallen gemeld - en zij krijgen niets terug van hun bank). De aanvallers zijn wel steeds bezig om hun malware zo variabel mogelijk te maken zodat 1 unieke versie bij een steeds kleiner wordende groep wordt afgeleverd.

http://www.heise.de/security/meldung/c-t-seziert-Banking-Trojaner-ZeuS-1340719.html meldt dat in de Duitstalige c't, die vandaag verschijnt, een artikel is opgenomen over "obfuscation methods" in de beruchte ZeuS malware: Vertaald: Met behulp van geraffineerde "Verschleierungs-Tools" (wat is daar een goede NL vertaling voor?) verbergen kriminelen hun malware goed voor beveiligingssoftware, staat in de Duitstalige c't nummer 20/11, die vanaf maandag 12 sept 2011 in de winkel ligt (ook in NL trouwens).

De redactie heeft de werking van de uit meer dan 50000 regels bestaande ZeuS sourcedode geanalyseerd en raadt in het bijzonder gebruikers, die van een gratis virusscanner gebruik maken, aan om daarnaast gedrag-analyserende software te installeren.

Met dat laatste wordt software bedoeld die opvallende register benaderingen, netwerkverkeer, schrijven naar ongebruikelijke locaties in het bestandssysteem etc. bewaakt. Het lijkt me beter om dan maar meteen een geïntegreerd product te kopen (vaak aangeduid met "Internet Security" i.p.v. slechts "virusscanner").

Zeer waarschijnlijk volgt er binnenkort een NL vertaling van het bedoelde artikel in de NL versie van c't.

Ik ben het gedeeltelijk eens met deze man.
Eens:
De beste firewall en anti-virus is dan ook de persoon achter die PC. vooral Malware (bedelbrieven etc) en identiteitsdiefstal door gegevens die mensen zelf online zetten zijn problemen waar dit soort programma's je niet tegen beschermen.

Oneens:
Neemt niet weg dat zo'n programma je wel in de basis beschermt zodat je ook nog wat leuke dingen kan doen op je computer. Niemand is constant bezig met de veiligheid. Zeker niet als er meerdere personen gebruik maken van de computer thuis.

Virusscanners werken al enige tijd al met meer dan alleen definities. Maar je merkt het vanzelf wel als je dalijk een infectie hebt waar je u tegen zegt.

Als Nir Zuk bedoelt dat de Anti Virus van Palo Alto dood is, moet ik hem inderdaad gelijk geven. De eigen scanner van Palo Alto detecteerd zo weinig dat je hem beter uit kan zetten ;-)

"Meneer heeft 100% gelijk. Virus definities lopen 'per definitie' altijd achter, en als er zoals vandaag de dag 1000en varianten per dag uitkomen, kom je dus uit op de huidige detectie percentages van 20 tot 25 procent (van lastige dingen als Zeus en SpyEye)"

Bullshit, het overgrote deel van de malware betreft geen 0day malware. Het klopt dat het minder effectief is tegen 0day malware / gerichte aanvallen. Maar dat wil niet zeggen dat je de virusscanner niet nodig hebt om de bulk van de malware te blokkeren die wel allang in de definition files zijn opgenomen.

Één ding maar dat ik ooit van een andere forumlezer heb opgepikt:

"Virusscanners werken het beste in combinatie met gezond verstand."

En vanuit het artikel (David Harley zegt dit)

"Personally (and in principle) I'd rather advocate a sound combination of defensive layers than advocate the substitution of one non-panacea for another, as vendors in other security spaces sometimes seem to. Actually, a modern anti-virus solution is already a compromise between malware-specific and generic detection, but I still wouldn't advocate anti-virus as a sole solution, any more than I would IPS, or whitelisting, or a firewall.”

Ik denk wat Nir Zuk zegt is puur onzin... (of SC Magazin heeft maar een klein gedeelte van zijn stelling aangehaald en de nuancerende gedeeltes ontbreken.

Inderdaad, Nir is de baas van Palo Alto, en wil graag van die bakkies verkopen. Wat hij bedoeld, is dat de cisco firewalls, alles op poort 80 door laten, maar dat zijn firewall dat keurig in de gaten kan houden.

De meeste IDS zijn ook signature based (lees pattern file van AV) of hebben een anomoly detection (lees heuristics in AV)
Gelaagdheid (defense in depth) in je beveiliging is de oplossing inclusief educatie van gebruikers.

De hele wijze van argumenteren van Zuk is twijfelachtig van karakter.

Dat technologie afgeschaft zou moeten worden omdat het 15 jaar oud is is een non-argument. Hoe lang AV technologie bestaat is geen argument voor of tegen afschaffing ervan.

Dat "AV doesn't detect everything" is eveneens een non-argument. Hij komt namelijk niet met een alternatief wat wel alles detecteert (logisch want iets dergelijks bestaat niet). Je moet iets pas afschaffen als er een beter alternatief is.

"AV draait niet op mobiele apparaten"dat is ook een raar argument. Los van het feit of dat statement überhaupt waar is als argument snijdt het geen hout: mijn vaatwasser kan mijn overhemden niet wassen maar is het daarom een nutteloos apparaat? Ik doe AV producten niet de deur uit omdat er ook nog apparaten bestaan waar ze niet op werken.

Met het argument dat AV slecht scoort tegen targeted attacks heeft hij wel een punt, maar geen erg sterk punt. Bouwers van targeted attacks proberen bewust beveilgingsmaatregelen en -producten te omzeilen. Dus elke vervangende maatregel zal last krijgen van hetzelfde verschijnsel.

Ik vrees dat dhr.Nir Zuk gelijk heeft.IKzelf ben ook target van een groep mensen die mij van e.e.a. beschuldigen en die gerichte aanvallen op mijn beide pc's uitvoeren.De huidige antimalware is net als de huifdige firewalls gewoonweg verouderd.Ik vrees dat men internet opnieuw zal moeten uitvinden,met andere,nieuwe devices en vooral andere,betere software.Geen Windows,geen Linux,geen MAC.Ook de beveiliging zal geavanceerder (moeten) worden,andere manieren van detectie,virussen afvangen voordat ze de pc binnenkomen.Ook devices als modems en routers zullen (hun eigen) beveiliging moeten krijgen.

Dan ben ik wel benieuwd waarom meneer Zuk nog anti virus in zijn Palo Alto firewall's heeft. Als hij van mening is dat het toch niet werkt kan hij het beter helemaal niet meer toepassen. In dat geval zou ik zijn uitspraak kunnen waarderen. Nu slaat het helemaal nergens op.

Heuristics in AV != heuristics in IDS
IDS die pattern based is, is voor een admin die testking is

Enneeeh, wazig artikel idd.. Defense in depth is de meest zinnige strategie, user education helaas de grenswaarde

Autogordels helpen niet bij elke botsing. Soms zijn ze zelfs gevaarlijk en daarom moeten we ook nog eens een mes in de auto leggen om ze door te kunnen snijden. Toch zitten ze in elke auto, zijn we verplicht ze te dragen én vinden de meesten van ons dat verstandig.
Antivirus is niet dood. Het helpt niet altijd en is soms onhandig. Toch maar beter wel doen.