De code van anti-virussoftware en beveiligingsproducten is een puinhoop en als er niet snel iets verandert kan dit miljarden internetgebruikers in gevaar brengen, zo waarschuwt de bekende beveiligingsexpert en onderzoeker bij Google Tavis Ormandy op zijn eigen weblog.

Ormandy wist de afgelopen maanden in de producten van allerlei bekende anti-virusbedrijven ernstige kwetsbaarheden, ontwerpfouten en logische fouten te vinden. Het ging om AVG, Sophos, ESET, Kaspersky Lab, Avast, Trend Micro, Malwarebytes en Comodo. In het geval van anti-virusbedrijf Comodo vond Ormandy honderden ernstige geheugenlekken. En de problemen van Comodo staan niet op zichzelf. "Hetzelfde geldt voor alle grote beveiligingsaanbieders", aldus de onderzoeker.

Toch werd Comodo recentelijk door Verizon gecertificeerd en kreeg een "Excellence in Information Security Testing" award. De certificering, waarvoor moet worden betaald, houdt in dat de software over functies beschikt om de detectie van malware in en uit te schakelen, alsmede in staat is om "on-demand" malware te detecteren. Dit soort certificeringen zijn volgens Ormandy zinloos, maar toch doen anti-virusbedrijven moeite om ze te halen.

De beveiligingsexpert pleit ervoor om tests ook naar de veiligheid en kwaliteit van de code te laten kijken. "Iets moet snel veranderen. De volgende Slammerworm of Code Red zal zich niet op IIS of MSSQL richten: de veiligheid van Microsoftproducten bevindt zich op een geheel ander niveau dan 10 jaar geleden. Alle grote beveiligingsaanbieders gebruiken oude codebases zonder bewust te zijn van moderne beveiligingsmaatregelen. Het is nog steeds hacken zoals in 1999."