image

Schneier hekelt missen Flame-virus door virusscanners

woensdag 20 juni 2012, 14:01 door Redactie, 11 reacties

De excuses van de anti-virusindustrie dat het Flame-virus niet door consumenten anti-virusproducten is te detecteren gaat niet op, aldus beveiligingsgoeroe Bruce Schneier. Onlangs stelde Mikko Hypponen van het Finse F-Secure dat het doorsnee virusscanners niet ontwikkeld zijn om militaire malware te stoppen. Hypponenen laat weten dat militaire inlichtingendiensten over meer middelen beschikken om hun malware onzichtbaar voor commercieel beschikbare anti-virusprogramma's te maken.

Schneier is het hier niet mee eens. "Het is niet alleen het leger dat hun malware tegen commerciële beveiligingssoftware test, criminelen doen het ook." Volgens de beveiligingsgoeroe gaat het om een nooit eindigende wapenwedloop tussen aanvaller en verdediger. Iets wat al tientallen jaren gaande is. "De mensen die Flame maakten hadden waarschijnlijk een groter budget dan een grote criminele organisatie, maar hun omzeilingstechnieken zijn niet magisch veel beter."

Verspreiding
Zowel F-Secure als andere anti-virusbedrijven hadden exemplaren van het Flame-virus, maar deden hier niets mee. De bestanden waren via VirusTotal geüpload, maar nooit als verdacht bestempeld. Het grote verschil tussen Flame, Stuxnet en Duqu is dan ook de manier waarop ze zich verspreiden, namelijk stil en stiekem.

"Het was nooit een prioriteit om signatures voor de Flame-exemplaren te schrijven, omdat ze nooit als een probleem werden beschouwd." Conventionele malwaremakers die detectie door virusscanners willen omzeilen moeten de verspreidingstechnieken van Duqu, Stuxnet en Flame dan ook als voorbeeld nemen, merkt Schneier op.

Reacties (11)
20-06-2012, 14:33 door Anoniem
Misschien een goede voor de overheid, een achterdeur met stille toegang tot de signatures van producenten van Anti-virus zodat ze kunnen weghalen wat er niet thuis hoort.
20-06-2012, 15:03 door TorProject
Een virusscanner heeft ook namelijk alleen aan welke virrusen er *gevonden* zijn. Niet welke binaries hij tegen kwam en niet kent!
20-06-2012, 15:19 door [Account Verwijderd]
[Verwijderd]
20-06-2012, 15:29 door [Account Verwijderd]
[Verwijderd]
20-06-2012, 15:32 door Anoniem
Het is makkelijker malware terug te vinden dan malware te ontdekken. Daarin zit de crux en de misverstand bij Scheier. Je kunt nu eenmaal niet alle samples door mensen laten behandelen. Dat kost veel te veel tijd, anti-malware fabrikanten moeten zich dus beperken tot de hoofdzaak. Malware zonder overeenkomst met andere malware en een zeer laag frequentieniveau vallen dus makkelijk door de zeef.
20-06-2012, 22:45 door Eric-Jan H te D
Een virus dat bij 99,999999 % van de computers waarop het beland is niets doet (by design) en zijn payload maar heel incidenteel uitpakt om te kijken of het wel wat moet doen. En dan nog in die 0,000001 % van de gevallen een techniek gebruikt die bij de heuristische virus fighters nog niet bekend was, zal hoogst waarschijnlijk nooit opvallen voor het voor die 0,000001 % te laat is.

Computer melt down. LIGHTS OUT with no bang.

Zeg nu zelf, heb jij al gemerkt dat je inmiddels al maanden functioneert als een voor je eigen computer ongevaarlijke zombie. Een beetje zombie eet misschien wel andere zombies, maar alleen als het een hele domme zombie is zichzelf. En laat zo'n zombie ook nog eens communiceren via een Tor-netwerk waardoor het niet terug te traceren is en jouw computer slechts 1 van de 100 computers op aarde zijn waarop het daadwerkelijk communiceert. Weinig kans dat Eset of F-secure jou waarschuwt dat er iets mis is met je computer.

Oh ja: en dan nog dit. Als chinezen achterdeurtjes in chips kunnen stoppen. Althans niet is uit te sluiten dat ze het doen.

Waar komt jouw antivirus dan vandaan:

Kaspersky Lab is an international group that operates in more than 100 countries worldwide. The company’s headquarters are located in Moscow, Russia, from which it oversees global operations and business development.


of anders ESET dan
Research and development centers in Bratislava (Slovakia), Košice (Slovakia), San Diego (US), Montreal (Canada), Cracow (Poland), Moscow (Russia), Buenos Aires (Argentina), Prague (Czech Republic) and Singapore

Comodo zit in China, Israel en de VS. Pick your choice.

etc, etc.

En dat Tor-netwerk. Daar ben ik ook niet zeker van. Een makkelijker manier voor de overheden om jouw netwerkverkeer door door hen beheerde Tor-nodes te laten vloeien is nauwelijks denkbaar. If you can't beat them, join them. En als dat zo is reken maar dat het nooit naar buiten komt. In tegenstelling tot de normale doodstraf welke in veel landen niet meer gepraktiseerd wordt is "hoogverraad" vaak nog een uitzondering. En reken maar dat de inlichtingenjongens die met dat soort zaken bezig zijn, zich terdege beseffen dat ontsnappen slechts virtueel mogelijk is.

Zo langzamerhand geloof ik dat je meer hebt aan een veilige browser en gezond internet-gedrag. Maar dan nog weet je natuurlijk niet wat Microsoft of Appel in de soep strooit. En Intel heeft een deal met Real VNC, waardoor ze een embeded remote desktop (pre-boot) in sommige high end chips hebben gebakken. Alleen door jouw te bedienen?? Ik durf het je niet te verzekeren.

Tjee, wat staat mijn netwerk toch te knipperen, terwijl ik niets aan het streamen ben. Even Tcpview erop afsturen. Shit, vergeten dat ik uTorrent nog open had staan. En het trayicontje natuurlijk verborgen, anders ziet het er zo rommelig uit. En rommel is niet fijn voor iemand die zo paranoïde is als ik. Of zou het toch....
20-06-2012, 22:51 door Anoniem
Door Anoniem: Het is makkelijker malware terug te vinden dan malware te ontdekken. Daarin zit de crux en de misverstand bij Scheier. Je kunt nu eenmaal niet alle samples door mensen laten behandelen. Dat kost veel te veel tijd, anti-malware fabrikanten moeten zich dus beperken tot de hoofdzaak. Malware zonder overeenkomst met andere malware en een zeer laag frequentieniveau vallen dus makkelijk door de zeef.

Fout. de overheid betaalde microsoft. (Precies zoals er gedaan word met 0days, die worden ook verhandelt aan buitenlande bedrijven enof overheden)

Microsoft gaf kopies van de certificaten, en enkele 0days voor windows systemen.
nu houden ze antivirus bedrijven in de tang om geen remedie te geven, althans (nog niet)..

Overheden en antivirus bedrijven hebben zeer goede en nauwe banden, kijk maar naar het spannende sprookje Anonymous vs Symantec.

't is gewoon een vies politiek spelletje. 't zal waarschijnlijk niet 100% kloppen maar dit is zeker realiteit.
21-06-2012, 04:28 door Anoniem
dus Schneier zegt hier dus mee dat alle anti-virusbedrijven of makers van
dat wij met f secure of overige niet eens beschermt zijn tegen die flame virus ?
f secure noem ik gewoon ff snel op als voorbeeld

en over die militaire gesproken
ik neem aan dat hun gewoon een zwaare encryptie gebruiken ?
en natuurlijk met alle extra toeters

dus uit eindelijk mijn vraag ook meteen is
dan ben je uit eindelijk in deze tijd zeker
alleen goed beschermt met een encryptie ?
of een zwaare encryptie ben het al vergeten maar had toen iets gezien
of overgelezen als je het echt goed wilt hebben

maar zoiets vindt ik zelf persoonlijk ook een beetje verdacht
maar van de andere kant ga je gewoon er van uit
en wat je ook wilt dat je veilig zit

maar zal zelf niet eens weten wat er gebeurt als je in aanraking komt met flame virus
en je hebt een zwaare encryptie op de pc
21-06-2012, 21:02 door johanw
Overheden en antivirus bedrijven hebben zeer goede en nauwe banden, kijk maar naar het spannende sprookje Anonymous vs Symantec.

Niet alleen overheden, als grote bedrijven malwere uitbrengen (Sony bv. die met hun audio CD's rommel met een backdoor installeert op je PC) slaan ze ook geen alarm.
22-06-2012, 09:49 door Anoniem
Door Peter V:
Schneier hekelt missen Flame-virus door virusscanners
Schneier heeft natuurlijk - zo vanaf de zijlijn - makkelijk praten.

Laat hij zelf iets ontwikkelen dat wel een antwoord kan geven op dit soort dreigingen.

Sorry maar als je dit leest:
'Zowel F-Secure als andere anti-virusbedrijven hadden exemplaren van het Flame-virus, maar deden hier niets mee. De bestanden waren via VirusTotal geüpload, maar nooit als verdacht bestempeld. Het grote verschil tussen Flame, Stuxnet en Duqu is dan ook de manier waarop ze zich verspreiden, namelijk stil en stiekem. '

Dan heeft dat gewoon laksheid en niet geld/prio geven aan de juiste projecten.
Als virusmaker wil je toch juist de laatste definities en threats tegen gaan en een kop boven de anderen uitsteke, als je als virusscanner Flame WEL had opgemerkt als enige, weet je hoeveel mensen om zouden stappen naar jouw product?
Juist!

Gemiste kans voor antivirus boeren.
25-06-2012, 10:18 door Mysterio
Door Anoniem:
Door Peter V:
Schneier hekelt missen Flame-virus door virusscanners
Schneier heeft natuurlijk - zo vanaf de zijlijn - makkelijk praten.

Laat hij zelf iets ontwikkelen dat wel een antwoord kan geven op dit soort dreigingen.

Sorry maar als je dit leest:
'Zowel F-Secure als andere anti-virusbedrijven hadden exemplaren van het Flame-virus, maar deden hier niets mee. De bestanden waren via VirusTotal geüpload, maar nooit als verdacht bestempeld. Het grote verschil tussen Flame, Stuxnet en Duqu is dan ook de manier waarop ze zich verspreiden, namelijk stil en stiekem. '

Dan heeft dat gewoon laksheid en niet geld/prio geven aan de juiste projecten.
Als virusmaker wil je toch juist de laatste definities en threats tegen gaan en een kop boven de anderen uitsteke, als je als virusscanner Flame WEL had opgemerkt als enige, weet je hoeveel mensen om zouden stappen naar jouw product?
Juist!

Gemiste kans voor antivirus boeren.
Ik blijf het grappig vinden dat men na het lezen van een aantal nieuwsberichten denkt het volledig verhaal te kennen.

Het probleem is niet het niet kunnen detecteren of het niet willen detecteren, maar eerder het (nog) niet mogen detecteren. Overheden hebben een zeer dikke vinger in de pap. Of dit terecht is kan ik niet bepalen... Ik ben blij dat ik niet alles hoef te weten.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.