Artikel top billede

Antivirus-software har ingen chance mod stats-malware

F-Secure erkender at man burde have opdaget Flame-trojaneren allerede for to år siden.

De traditionelle antivirus-leverandører har svært ved at opdage og blokere kompleks malware som Stuxnet, Duqu og Flame. Det erkender Mikko Hypponen fra det finske antivirus-firma F-Secure i en kronik, der bliver bragt i Wired.

Efter opdagelsen af den såkaldte super-virus Flame i de seneste dage har F-Secure kigget i sine systemer og fundet ud af, at man har ligget inde med eksemplarer af malwaren lige siden 2010. Den blev meldt gennem automatiske rapporterings-mekanismer, men den blev ikke markeret som noget, der skulle undersøges nærmere.

Hos andre antivirus-firmaer har man også konstateret, at Flame faktisk har været kendt i mindst to år - men man troede altså, at programmet var harmløst.

Det betyder, at Flame har været i stand til at bevæge sig under antivirus-firmaernes radar i lang tid, og det er en stor fiasko for hele antivirus-branchen, mener Hypponen.

Det er ikke første gang. Stuxnet blev først opdaget efter et år, og kun fordi et hviderussisk antivirus-firma blev bedt om at undersøge inficerede computere i Iran. Efterfølgeren Duqu kunne også sprede sig uden at blive opdateret i mere end et år.

"Stuxnet, Duqu og Flame er selvfølgelig ikke almindelig malware. Alle tre er sandsynligvis udviklet af en vestlig efterretnings-tjeneste som en del af hemmelige operationer der ikke skulle opdages. Det faktum at malwaren undgik detektering viser at angriberne har gjort det rigtigt," skriver Hypponen.

De har blandt andet brugt digitalt signerede komponenter, som får programmerne til at se troværdige ud. Microsoft fortæller i en blog, at Flame er signeret med falske Microsoft-certifikater. Det kan være en af forklaringerne på, at det har taget så længe at opdage malwaren.

"Sandheden er, at forbruger-rettede antivirus-produkter ikke kan beskytte mod målrettet malware der er udviklet af store nationalstater med et svulmende budget," konstaterer Hypponen.

Han henviser til, at angriberne har masser af tid til at perfektionere deres angreb og teste dem mod alle antivirus-programmer for at være sikker på, at de ikke bliver opdaget.

"Det er ikke en fair kamp mellem angribere og forsvarere når angriberne har adgang til alle vores våben," siger Hypponen.

For at beskytte mod denne form for angreb kræves en mere kompleks beskyttelse i flere lag, der omfatter aktiv overvågning af trafikken ind og ud af netværket. Et simpelt antivirus-program er ikke nok.

"Flame viser at antivirus-industrien har fejlet. Vi skulle have gjort det bedre. Men det gjorde vi ikke. Vi blev udmanøvreret i vores eget spil," slutter Hypponen.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Hewlett-Packard ApS
Udvikling og salg af software, hardware, konsulentydelser, outsourcing samt service og support.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Computerworld Cloud & AI Festival 2025

Glæd dig til to dage, hvor du kan netværke med over 2.400 it-professionelle, møde mere end 50 it-leverandører og høre indlæg fra +90 talere. Vi sætter fokus på emner som AI; infrastruktur, compliance, sikkerhed og løsninger for både private og offentlige organisationer.

17. september 2025 | Læs mere


IT og OT i harmoni: Sikring uden at gå på kompromis med effektiviteten

IT og OT smelter sammen – men med risiko for dyre fejl. Få metoder til sikker integration med ERP, kundesystemer og produktion. Tilmeld dig og få styr på forskellene og faldgruberne.

24. september 2025 | Læs mere


NIS2: Vi gør status efter tre måneder og lærer af erfaringerne

Vær med, når vi deler oplevelser med implementering af NIS2 og drøfter, hvordan du undgår at gentage erfaringerne fra GDPR – og særligt undgår kostbar overimplementering.

30. september 2025 | Læs mere