"Flame-virus is oud nieuws"
Volgens sommige beveiligingsexperts is het Flame-virus dat uitgebreid door de media is belicht helemaal niet zo bijzonder, daarnaast was er één virusscanner die de malware wel detecteerde. "Er worden al vele jaren dit soort tools door high-end teams gebruikt", zegt Richard Bejtlich van beveiligingsbedrijf Mandiant. Hij vergelijkt de malware met de spyware die de Duitse overheid liet ontwikkelen om verdachten te bespioneren.
Ook anti-virusbedrijf Webroot stelt dat het virus niet zo complex of verborgen als Stuxnet is, en een relatief eenvoudig te detecteren valt. Virusbestrijder Sophos merkt op dat Kaspersky Lab, dat als eerste met de ontdekking naar buiten kwam, slechts een paar honderd met Flame besmette computers heeft ontdekt. "Dat is niet zoveel", aldus Graham Cluley van Sophos. "Het is vrij onbetekenend als je het vergelijkt met de 600.000 Mac-comptuers die eerder dit jaar met Flashback besmet raakten."
Bluetooth
Inmiddels heeft Kaspersky Lab een nieuwe analyse van Flame online ingezet, inclusief een overzicht van alle modules die de malware gebruikt. Onder andere de veelbesproken Bluetooth-module, waarmee Flame informatie van kwetsbare telefoons en andere Bluetooth-apparaten kan stelen, alsmede een lijst samenstellen van Bluetooth-apparaten in de buurt.
"Volgens mij heb ik dit nog nooit eerder gezien", zegt Alan Woodward, professor informatica aan de Universiteit van Surrey.
Detectie
De malware werd in eerste instantie niet gedetecteerd, toch was er één product dat het gedrag van Flame detecteerde. Het gaat om ECAT, een virusscanner die geen signatures gebruikt om malware te detecteren. Volgens Silicium, dat ECAT ontwikkelt, is Flame helemaal niet zo onzichtbaar. "Het gehele pakket is 20MB groot, zet meerdere verbindingen op en kan 90% of meer van de processor in beslag nemen. Dat is nu niet echt onopgemerkt blijven."
Een test met een Flame-exemplaar toont dat ECAT wel alarm slaat dat er iets mis met de machine is. "Hoe complex Flame ook is, om effectief te zijn en de taken uit te voeren, moet het de staat van het doelwit veranderen en proberen zichzelf te verbergen. Dit gedrag werd door ECAT opgemerkt, ook al miste bijna elke andere beveiligingsoplossing dit", aldus de beveiliger.
maar wederom wat leesvoer over flame is opzich goed nieuws.
Het is vrij verbazingwekkend dat een expert van Sophos geen verschil lijkt te maken tussen generieke aanvallen en gerichte aanvallen. Een gerichte aanval zal zelden 600.000 machines besmetten, maar is daarom niet minder serieus.
Denk aan een aanval waarbij misschien 10 systemen worden besmet, maar waarbij allerlij bedrijfsgeheimen worden geexfiltreerd (blauwdrukken van de Joint Strike Fighter, documenten over onderhandelingen voor concessies van olievelden, en ga zo maar door).
Een gerichte aanval met een laag aantal besmettingen kan gemakkelijk een veel grotere impact hebben dan een generieke aanval met een veel groter aantal besmettingen.
Er wordt dus relatief veel ophef gemaakt over iets dat voor ongeveer 99,999% van de gebruikers geen enkel gevaar oplevert. Sommige "securityspecialisten" grijpen dat aan om te proberen hun boterham te rechtvaardigen, maar dat is dus bijna altijd gebakken lucht. Het staat wel leuk in de pers en ook security.nl zal wel een stijging in bezoekersaantallen te zien geven. De primaire belanghebbende is de pers en een piepkleine groep direct betrokkenen.
Het is volslagen belachelijk te proberen anti-malware leveranciers de schuld te geven van het lang onopgemerkt blijven van de malware in dit geval. Iets dat je nog nooit gezien hebt (ook geen gerelateerde malware) kun je natuurlijk ook niet detecteren. Helderziendheid is ook in de anti-malware industrie een zeldzaamheid.
Het is overigens ook zo dat iedere malware maker van te voren ervoor kan zorgen dat geen enkel bekende anti-malware software het detecteerd op moment van in gebruik nemen. Dat is de paradox van goede anti-malware software. Werkt de anti-malware goed, dan zijn er veel gebruikers, en dan zijn malware schrijvers geneigd het zo te maken dat het niet gedetecteerd wordt, wat leidt tot anti-malware die het schijnbaar niet zo goed doet in retrotests.
Als IT ontwerper kies je dus voor verschillende anti-malware software op de diverse platforms, overweeg je ook minder bekende anti-malware software en kijk je in de selectie ook naar de reactietijd.
Als het voor Silicium niet zo 'moeilijk' was om te detecteren, waarom kon het dan jarenlang ronddolen over computers over de wereld en onopgemerkt blijven?
Beetje raar allemaal.....
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
