211service.com
Het antivirustijdperk is voorbij
Vandaag twee weken geleden, computerbeveiligingslaboratoria in Iran , Rusland , en Hongarije kondigde de ontdekking aan van Flame, de meest complexe malware ooit gevonden, volgens het Hongaarse CrySyS Lab.
Flame kopieert al minstens twee jaar documenten en neemt audio, toetsaanslagen, netwerkverkeer en Skype-oproepen op en maakt screenshots van geïnfecteerde computers. Die informatie werd doorgegeven aan een van de verschillende command-and-control-servers die door de makers ervan werden beheerd. In al die tijd sloeg geen enkele beveiligingssoftware alarm.
Flame is slechts de laatste in een reeks incidenten die suggereren dat conventionele antivirussoftware een ouderwetse manier is om computers te beschermen tegen malware. Flame was een mislukking voor de antivirusindustrie, Mikko Hypponen, de oprichter en chief research officer van antivirusbedrijf F-Secure, schreef vorige week. We hadden echt beter moeten kunnen. Maar dat deden we niet. We waren buiten onze competitie, in ons eigen spel.
De programma's die de hoeksteen zijn van computerbeveiliging voor bedrijven, overheden en consumenten, werken als antivirussoftware op consumenten-pc's. Bedreigingen worden gedetecteerd door de code van softwareprogramma's en hun activiteit te vergelijken met een database met handtekeningen voor bekende malware. Beveiligingsbedrijven zoals F-Secure en McAfee onderzoeken voortdurend rapporten over nieuwe malware en werken hun lijsten met handtekeningen dienovereenkomstig bij. Het resultaat zou een ondoordringbare muur moeten zijn die de slechteriken buiten houdt.
In de afgelopen jaren zijn er echter spraakmakende aanvallen geweest, niet alleen op de Iraanse regering, maar ook op de de regering van de Verenigde Staten hebben plaatsgevonden met behulp van software die, net als Flame, regelrecht langs op handtekeningen gebaseerde software kon walsen. Veel technisch geavanceerde Amerikaanse bedrijven, waaronder Google en het computerbeveiligingsbedrijf RSA, zijn op vergelijkbare manieren het doelwit geweest, zij het met goedkopere malware, voor hun bedrijfsgeheimen. Kleinere bedrijven worden ook routinematig gecompromitteerd, zeggen experts.
Sommige experts en bedrijven zeggen nu dat het tijd is om antivirus-achtige bescherming te verlagen. Het is nog steeds een integraal onderdeel [van malwareverdediging], maar het zal niet het enige zijn, zegt Nicolas Christin , een onderzoeker aan de Carnegie Mellon University. We moeten afstappen van het bouwen van Maginot-lijnen die er kogelvrij uitzien, maar eigenlijk gemakkelijk te omzeilen zijn.
Zowel Christin als verschillende toonaangevende startups op het gebied van beveiliging werken aan nieuwe verdedigingsstrategieën om aanvallen moeilijker te maken en zelfs degenen die het doelwit zijn in staat te stellen terug te vechten.
De industrie heeft het bij het verkeerde eind gehad door zich te concentreren op de tools van de aanvallers, de exploits, die zeer veranderlijk zijn, zegt Dmitri Alperovitch, chief technology officer en medeoprichter van CrowdStrike , een startup in Californië opgericht door veteranen van de antivirusindustrie die $ 26 miljoen aan investeringsfinanciering heeft ontvangen. We moeten ons concentreren op de schutter, niet op het pistool - de tactieken, de menselijke delen van de operatie, zijn het minst schaalbaar.
CrowdStrike is niet klaar om de details van zijn technologie openbaar te maken, maar Alperovitch zegt dat het bedrijf van plan is een soort intelligent waarschuwingssysteem aan te bieden dat zelfs volledig nieuwe aanvallen kan detecteren en hun oorsprong kan traceren.
Dit soort benadering is mogelijk, zegt Alperovitch, omdat, hoewel een aanvaller de code van een virus als Flame gemakkelijk zou kunnen aanpassen om antivirusscanners opnieuw te omzeilen, hij of zij nog steeds hetzelfde doel zou hebben: toegang krijgen tot waardevolle gegevens en deze extraheren. Het bedrijf zegt dat zijn technologie gebaseerd zal zijn op big data, wat mogelijk betekent dat het grote hoeveelheden gegevens zal analyseren die verband houden met vele sporen van activiteit op het systeem van een klant om erachter te komen welke van een infiltrant afkomstig kunnen zijn.
Christin, van Carnegie Mellon, die onlangs de economische motivaties en bedrijfsmodellen van cyberaanvallers heeft onderzocht, zegt dat dit logisch is. De menselijke kosten van deze geavanceerde aanvallen zijn een van de grootste, zegt hij. Een aanval verijdelen is niet langer een kwestie van het neutraliseren van een stuk code van een eenzaam genie, maar van het verslaan van bekwame groepen mensen. Je hebt experts in hun vakgebied nodig die ook met anderen kunnen samenwerken, en die zijn zeldzaam, zegt Christin. Verdedigingssoftware die de meest voorkomende tactieken kan afsluiten, maakt het nog moeilijker voor aanvallers, zegt hij.
Andere bedrijven zijn in soortgelijke bewoordingen begonnen te praten. Het gaat terug op die wetshandhavingsslogan uit de jaren 80: 'Crime loont niet', zegt Sumit Agarwal, medeoprichter van Vormbeveiliging , een andere startup in Californië die onlangs uit de stealth-modus kwam. Het bedrijf heeft $ 6 miljoen aan financiering van onder meer ex-Google-CEO Eric Schmidt. Het bedrijf van Agarwal zwijgt ook over zijn technologie, maar het heeft tot doel de kosten van een cyberaanval te verhogen in verhouding tot de economische opbrengst, waardoor het niet de moeite waard is om het uit te voeren.
Een bedrijf met een vergelijkbare aanpak is Mykonos Software, dat technologie heeft ontwikkeld die websites helpt beschermen door de tijd van hackers te verspillen om de economische aspecten van een aanval te vertekenen. Mykonos is gekocht door netwerkbedrijf Juniper eerder dit jaar .
Antivirusbedrijven hebben er snel op gewezen dat Flame geen gewoon computervirus was. Het kwam uit de goed uitgeruste wereld van internationale spionage. Maar dergelijke cyberwapens veroorzaken bijkomende schade (de Stuxnet-worm die gericht was op het Iraanse nucleaire programma infecteerde in feite naar schatting 100.000 computers), en kenmerken van hun ontwerpen worden overgenomen door criminelen en groepen met minder middelen.
Nooit zijn er zoveel miljarden dollars aan defensietechnologie in het publieke domein gevloeid, zegt Agarwal van Shape Security. Terwijl het Amerikaanse leger tot het uiterste gaat om te voorkomen dat vliegtuigen of onderzeeërs in handen van anderen vallen, is militaire malware zoals Flame of Stuxnet er voor iedereen om te inspecteren, zegt hij.
Agarwal en Alperovitch van CrowdStrike zeggen beide dat het resultaat een nieuwe klasse malware is die wordt gebruikt tegen Amerikaanse bedrijven van elke omvang. Alperovitch beweert te weten van relatief kleine advocatenkantoren die worden aangevallen door grotere concurrenten, en van groene technologiebedrijven met minder dan 100 werknemers die het doelwit zijn van geheimen.
Alperovitch zegt dat zijn bedrijf slachtoffers in staat zal stellen terug te vechten, binnen de grenzen van de wet, door ook de bron van aanvallen te identificeren. Terughacken zou illegaal zijn, maar er zijn maatregelen die je kunt nemen tegen mensen die profiteren van je gegevens die de bedrijfskosten van de aanvallers verhogen, zegt hij. Die omvatten het vragen van de regering om een zaak aan te kaarten bij de Wereldhandelsorganisatie, of het openbaar maken van wat er is gebeurd om de daders van industriële spionage te schande te maken, zegt hij.
Onderzoek door Christin en andere academici heeft aangetoond dat er knelpunten bestaan die relatief eenvoudige juridische stappen mogelijk maken om cybercriminaliteit te neutraliseren. Christin en collega's onderzochten oplichting die zoekresultaten manipuleerde om illegale apotheken te promoten en kwamen tot de conclusie dat de meeste zouden kunnen worden gestopt door slechts een handvol diensten aan banden te leggen die bezoekers van de ene webpagina naar de andere omleiden. En onderzoekers van de Universiteit van Californië, San Diego, toonden vorig jaar aan dat de inkomsten uit de meeste spam in de wereld slechts drie banken passeren. De meest effectieve interventie tegen spam zou zijn om die banken te sluiten of nieuwe regelgeving in te voeren, zegt Christin. Deze complexe systemen hebben vaak geconcentreerde punten waarop je je kunt concentreren en maken het erg duur om deze aanvallen uit te voeren.
Maar Agarwal waarschuwt dat zelfs vergelding binnen de wet ondoordacht kan zijn: stel je voor dat je een groot bedrijf bent en per ongeluk het pad van de Russische maffia in zwemt. Je kunt een groter probleem aanwakkeren dan je bedoeld had.