dinsdag 27 juni 2017

AV niet dood ondanks nieuw gat in Windows Defender

Beveiliger Tavis Ormandy maakt zich al tijden druk over antivirussoftware. Zoals we in dit artikeleen tijdje geleden bespraken: antimalware heeft nog wel degelijk nut vandaag de dag - en het simpelste bewijs is de enorme proliferatie van virussen van tien á vijftien jaar oud - maar als de software zelf gaten heeft, heeft een beschermd systeem een kritiek probleem.

Weerwolven

De rol van ouderwetse AV is kleiner dan voorheen: het houdt vooral oude troep tegen en loopt achter de feiten aan vergeleken met moderne netwerkbeveiliging en middelen als NG-firewalls. Antivirus is één laag, zo legde McAfee-CTO Raj Samani een paar maanden geleden uit. Hij herhaalt in onze gesprekken vaak zijn adagium: "AV is wel degelijk een zilveren kogel, maar niet iedere dreiging is een weerwolf."
Ormandy ziet dat dus anders, mede omdat de rol van AV in een beveiligingsoplossing is afgenomen. Zoals hij vorig jaar al eens tweette: "Ik krijg steeds de vraag over welke AV mensen moeten gebruiken. Je mist het punt; AV creëert meer problemen dan het oplost".
Hij heeft geen ongelijk, want onderzoekers vonden de laatste jaren gaten die overname mogelijk maakten in grote namen als AVG, Kaspersky, FireEye, ESET, McAfee (toen Intel Security), TrendMicro, Sophos, Avast, Microsoft en Malwarebytes.

Gat op gat op gat

De nieuwste die hij ontdekte gaat om een kwetsbaarheid in Windows Defender. Deze ontdekte hij door een fuzzer los te laten op het programma om bugs te vinden. Microsoft loste de vervolgens ontdekte geheugenfout op in de nieuwste engine, maar het onderstreept Ormandy's punt dat juist beveiligingssystemen software kwetsbaar maakt. En goed ook, want zulke software isoleert malafide bestanden en omdat te doen heeft het meer rechten in een systeem dan een willekeurige andere applicatie.
Er schort wel meer aan software die systemen juist zou moeten beveiligen. Vorig jaar ging Ormandy bijvoorbeeld los op securitysoftware van Comodo, dat een onbeveiligde VNC-applicatie installeerde om systemen op afstand te kunnen analyseren. Dat komt dus in feite neer op het toevoegen van een open deur in het 'beveiligde' systeem, omdat elke aanvaller van diezelfde optie gebruik kan maken om binnen te komen. De onderzoeker vond ook al een brakke browserextensie voor AVG.

Bugvrij bestaat niet

Zijn punt is eigenlijk dat als hij als onderzoeker deze gaten vindt, je er de donder op kunt zeggen dat criminelen dat ook doen. Bugvrije software bestaat niet en slimme mensen ontdekken deze vroeger of later en bouwen een exploit.
Kijk ter illustratie eens naar hoe kort het duurt voordat ontwikkelaars een jailbreak hebben gemaakt voor een nieuwe versie van iOS. Dat is in principe niet anders: er wordt een bug gevonden in de software en daar wordt een exploit voor geschreven om de bescherming van Apple te kunnen omzeilen.

AV doodverklaren

Het advies van Ormandy om AV te schrappen is misschien na te leven door bedrijven die een hoop andere securitymiddelen hebben opgetuigd, omdat de software daarmee - in de visie van de beveiliger - gaten introduceert in een anders sterk systeem.
Maar geldt dat voor MKB's en consumenten? Omdat deze gebruikers AV niet bijwerken of zelfs niet eens hebben, zitten we nog steeds infecties van versies van Zeus uit 2010, Citadel-trojans uit 2012 en Conficker-varianten uit 2008.
Dat is de vraag die beveiligers dan ook stellen: is het niet onverantwoord om antivirus steeds maar weer dood te verklaren? Ja, het is verre van perfect en ja, het levert bepaalde risico's op, maar is het voor de meeste gebruikers niet beter dan het alternatief? AV is geen totaalbescherming, maar dat beweert ook niemand (meer).

Geen opmerkingen:

Een reactie posten