Artikel top billede

Antivirus blokerer for sikkerheden på din pc

Antivirusprogrammerne er en barriere for at få en bedre sikkerhed på vores computere, lyder kritik.

Nutidens antivirusprodukter forhindrer, at vi får højere sikkerhed på vores computere.

Den software og de metoder, som langt de fleste brugere anvender til at beskytte deres digitale informationer med, er ikke længere god nok, og det er antivirus-producenternes skyld.

Deres forretningsmodel består i, at de skal tjene penge på at sælge sikkerhedsopdateringer. Det medfører, at almindelige brugere hele tiden halter bagefter, hvilket hele tiden holder døren åben for vakse it-kriminelle.

Sikkerhedspioneren Taher Elgamal, der er ophavsmand til Secure Sockets Layer (SSL), der er den altdominerende transportvej for krypterede data på internettet, beskriver situationen på denne måde:

"Det svarer til, at printerproducenterne i dag tjener penge på blæk og ikke printerne. Hvis man opfandt en printer, der ikke benytter blæk, ville denne branche ligeledes kæmpe med næb og klør for at holde fast i sit indtjeningsgrundlag," siger han.

"Det er præcis den situation, vi står overfor på sikkerhedsområdet. De signaturbaserede antivirusprodukter er ikke særlig sikre. Det er der bred enighed om. Ved at bruge analyserende sikkerhedsværktøjer kan man langt bedre finde frem til eksempelvis malware i netværket eller på privatmaskinen."

Pengene trækker mere

"Det er antivirusproducenternes forretningsmodel, der holder udviklingen tilbage," fortalte Taher Elgamal til Computerworld, da han besøgte København i slutningen af marts 2010.

Han forudser dog en langsom, men sikker forandring, i den måde, der bliver tænkt sikkerhed på i fremtiden.

"Der er masser af nye firmaer med nye teknologier på vej. Problemet er, at etablerede firmaer altid vender sig mod de store it-firmaer, når de vælger antivirusprodukt. Det er forståeligt nok, for man er sikker på, at der kommer opdateringer, og at firmaet ikke pludselig går neden om og hjem. Men det er ikke det bedste for sikkerheden."

Signaturer er ikke nok

Det kan lyde paradoksalt, at dem vi sætter til at sikre vores maskiner, faktisk gør dem usikre.

Men Taher Elgamal står langt fra alene med sin kritik.

En anden af skeptikerne over for de signaturbaserede løsninger er Shehzad Ahmad, der er leder af sikkerhedstjenesten DK Cert, Han eksemplificerer problemerne med en konkret sag.

De amerikanske medier havde de store overskrifter fremme, da et botnet ved navn Kneber blev opdaget i starten af året.

"Kneber blev skabt med et af de mest almindelige botnet-programmer kaldet Zeus og kan derfor karakteriseres som et helt almindeligt botnet, der teknisk set ikke adskiller sig fra mængden. Alligevel kunne firmaet NetWitness, der opdagede Kneber, fortælle, at under 10 procent af antivirusprogrammer kunne genkende programmet og stoppe det," fortæller han.

Kneber blev således slet ikke registreret af de signaturbaserede antivirusprogrammer, men blev opdaget via overvågning af datatrafikken på netværket i et firma, der var blevet inficeret.

Shehzad Ahmad beskriver, at der er sket et skift i den måde, som de it-kriminelle angriber på, netop for at undgå at blive fanget af signaturerne.

"I gamle dage havde vi en overskuelig mængde skadelige programmer, der spredte sig i stort tal. I dag har vi i stedet en ekstremt stor mængde forskellige programmer, der hver især er mindre udbredte," fortæller han.

Ukendt trussel

Problemet er, at de signaturbaserede antivirusprogrammer er nødt til at kende en trussel, før de kan beskytte mod den, og det er besværligt når truslen hele tiden skifter karakter.

"Kneber er et eksempel på, at der er brug for andre metoder end signaturgenkendelse, når dagens trojanske heste skal fanges," siger han.

"En mulighed er heuristiske algoritmer, der genkender skadelige programmers typiske opførsel i stedet for deres signatur. En anden mulighed er avanceret netværksovervågning, hvor man analyserer indholdet af de enkelte datapakker, kaldet deep packet inspection," siger Shehzad Ahmad.

Han vurderer, at det således bliver stadig sværere at opdage, når pc'er bliver inficeret.

"Mit råd til virksomheder og organisationer er derfor: Beskyt jer med de værktøjer, der er til rådighed. Og regn så med, at I alligevel bliver ramt. Hav derfor en plan klar for, hvordan I vil sikre, at I opdager en infektion, standser den, genskaber tabte data og forhindrer, at stjålne data kan misbruges, siger han.

Sikkerhedstest bekræfter problem

En af begrundelserne for, at den traditionelle antivirusbeskyttelse ikke er god nok, er, at de it-kriminelle er blevet dygtigere og smartere.

"Når vi kører sikkerhedstest på netværk, er der en faldende tendens til, at antivirusprogrammerne finder den skadelige kode. Derved giver antivirusprogrammerne en falsk tryghed," siger Peter Kruse, der er sikkerhedsekspert hos CSIS.

Han peger ligeledes på, at jo flere trusler, der kommer, jo flere ressourcer hiver antivirusprogrammet ud af maskinerne i netværket på grund af, at der skal afvikles et hav af signaturer til at lokalisere sårbarhederne.

Hjælp fra styresystemet

For at få en bedre beskyttelse skal producenterne i stedet arbejde med at fremstille software, der kigger efter, hvordan koden opfører sig, eksempelvis at et program angriber centrale processer eller deaktiverer funktioner i styresystemet.

"Jeg tror, at man i højere grad skal bygge sikkerhedsteknologi ind i styresystemet. Microsoft har forsøgt med User Account Control. Den løsning var knap så elegant udført, men ideen var god nok," siger Peter Kruse.

"Samtidig kunne det være en god ide at forsyne datapakker med et stempel, der godkender koden. De signerede pakker skal så være knyttet til en leverandør, man kan have tillid til."

Han afviser dog påstanden om, at sikkerhedsbranchens forretningsmodel har været med til at trække sikkerheden i den forkerte retning.

"Konkurrencen er meget hård, og hvis en af producenterne kunne finde på en bedre forretningsmodel, ville de helt sikkert bruge den," vurderer Peter Kruse, der selv har en fortid i antivirus-branchen.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Jobindex Media A/S
Salg af telemarketing og research for it-branchen, it-kurser og konferencer

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere