Nutidens antivirusprodukter forhindrer, at vi får højere sikkerhed på vores computere.
Den software og de metoder, som langt de fleste brugere anvender til at beskytte deres digitale informationer med, er ikke længere god nok, og det er antivirus-producenternes skyld.
Deres forretningsmodel består i, at de skal tjene penge på at sælge sikkerhedsopdateringer. Det medfører, at almindelige brugere hele tiden halter bagefter, hvilket hele tiden holder døren åben for vakse it-kriminelle.
Sikkerhedspioneren Taher Elgamal, der er ophavsmand til Secure Sockets Layer (SSL), der er den altdominerende transportvej for krypterede data på internettet, beskriver situationen på denne måde:
"Det svarer til, at printerproducenterne i dag tjener penge på blæk og ikke printerne. Hvis man opfandt en printer, der ikke benytter blæk, ville denne branche ligeledes kæmpe med næb og klør for at holde fast i sit indtjeningsgrundlag," siger han.
"Det er præcis den situation, vi står overfor på sikkerhedsområdet. De signaturbaserede antivirusprodukter er ikke særlig sikre. Det er der bred enighed om. Ved at bruge analyserende sikkerhedsværktøjer kan man langt bedre finde frem til eksempelvis malware i netværket eller på privatmaskinen."
Pengene trækker mere
"Det er antivirusproducenternes forretningsmodel, der holder udviklingen tilbage," fortalte Taher Elgamal til Computerworld, da han besøgte København i slutningen af marts 2010.
Han forudser dog en langsom, men sikker forandring, i den måde, der bliver tænkt sikkerhed på i fremtiden.
"Der er masser af nye firmaer med nye teknologier på vej. Problemet er, at etablerede firmaer altid vender sig mod de store it-firmaer, når de vælger antivirusprodukt. Det er forståeligt nok, for man er sikker på, at der kommer opdateringer, og at firmaet ikke pludselig går neden om og hjem. Men det er ikke det bedste for sikkerheden."
Signaturer er ikke nok
Det kan lyde paradoksalt, at dem vi sætter til at sikre vores maskiner, faktisk gør dem usikre.
Men Taher Elgamal står langt fra alene med sin kritik.
En anden af skeptikerne over for de signaturbaserede løsninger er Shehzad Ahmad, der er leder af sikkerhedstjenesten DK Cert, Han eksemplificerer problemerne med en konkret sag.
De amerikanske medier havde de store overskrifter fremme, da et botnet ved navn Kneber blev opdaget i starten af året.
"Kneber blev skabt med et af de mest almindelige botnet-programmer kaldet Zeus og kan derfor karakteriseres som et helt almindeligt botnet, der teknisk set ikke adskiller sig fra mængden. Alligevel kunne firmaet NetWitness, der opdagede Kneber, fortælle, at under 10 procent af antivirusprogrammer kunne genkende programmet og stoppe det," fortæller han.
Kneber blev således slet ikke registreret af de signaturbaserede antivirusprogrammer, men blev opdaget via overvågning af datatrafikken på netværket i et firma, der var blevet inficeret.
Shehzad Ahmad beskriver, at der er sket et skift i den måde, som de it-kriminelle angriber på, netop for at undgå at blive fanget af signaturerne.
"I gamle dage havde vi en overskuelig mængde skadelige programmer, der spredte sig i stort tal. I dag har vi i stedet en ekstremt stor mængde forskellige programmer, der hver især er mindre udbredte," fortæller han.
Ukendt trussel
Problemet er, at de signaturbaserede antivirusprogrammer er nødt til at kende en trussel, før de kan beskytte mod den, og det er besværligt når truslen hele tiden skifter karakter.
"Kneber er et eksempel på, at der er brug for andre metoder end signaturgenkendelse, når dagens trojanske heste skal fanges," siger han.
"En mulighed er heuristiske algoritmer, der genkender skadelige programmers typiske opførsel i stedet for deres signatur. En anden mulighed er avanceret netværksovervågning, hvor man analyserer indholdet af de enkelte datapakker, kaldet deep packet inspection," siger Shehzad Ahmad.
Han vurderer, at det således bliver stadig sværere at opdage, når pc'er bliver inficeret.
"Mit råd til virksomheder og organisationer er derfor: Beskyt jer med de værktøjer, der er til rådighed. Og regn så med, at I alligevel bliver ramt. Hav derfor en plan klar for, hvordan I vil sikre, at I opdager en infektion, standser den, genskaber tabte data og forhindrer, at stjålne data kan misbruges, siger han.
Sikkerhedstest bekræfter problem
En af begrundelserne for, at den traditionelle antivirusbeskyttelse ikke er god nok, er, at de it-kriminelle er blevet dygtigere og smartere.
"Når vi kører sikkerhedstest på netværk, er der en faldende tendens til, at antivirusprogrammerne finder den skadelige kode. Derved giver antivirusprogrammerne en falsk tryghed," siger Peter Kruse, der er sikkerhedsekspert hos CSIS.
Han peger ligeledes på, at jo flere trusler, der kommer, jo flere ressourcer hiver antivirusprogrammet ud af maskinerne i netværket på grund af, at der skal afvikles et hav af signaturer til at lokalisere sårbarhederne.
Hjælp fra styresystemet
For at få en bedre beskyttelse skal producenterne i stedet arbejde med at fremstille software, der kigger efter, hvordan koden opfører sig, eksempelvis at et program angriber centrale processer eller deaktiverer funktioner i styresystemet.
"Jeg tror, at man i højere grad skal bygge sikkerhedsteknologi ind i styresystemet. Microsoft har forsøgt med User Account Control. Den løsning var knap så elegant udført, men ideen var god nok," siger Peter Kruse.
"Samtidig kunne det være en god ide at forsyne datapakker med et stempel, der godkender koden. De signerede pakker skal så være knyttet til en leverandør, man kan have tillid til."
Han afviser dog påstanden om, at sikkerhedsbranchens forretningsmodel har været med til at trække sikkerheden i den forkerte retning.
"Konkurrencen er meget hård, og hvis en af producenterne kunne finde på en bedre forretningsmodel, ville de helt sikkert bruge den," vurderer Peter Kruse, der selv har en fortid i antivirus-branchen.
