Weerwolven
De rol van ouderwetse AV is kleiner dan voorheen: het houdt vooral oude troep tegen en loopt achter de feiten aan vergeleken met moderne netwerkbeveiliging en middelen als NG-firewalls. Antivirus is één laag, zo legde McAfee-CTO Raj Samani een paar maanden geleden uit. Hij herhaalt in onze gesprekken vaak zijn adagium: "AV is wel degelijk een zilveren kogel, maar niet iedere dreiging is een weerwolf."Ormandy ziet dat dus anders, mede omdat de rol van AV in een beveiligingsoplossing is afgenomen. Zoals hij vorig jaar al eens tweette: "Ik krijg steeds de vraag over welke AV mensen moeten gebruiken. Je mist het punt; AV creëert meer problemen dan het oplost".
Hij heeft geen ongelijk, want onderzoekers vonden de laatste jaren gaten die overname mogelijk maakten in grote namen als AVG, Kaspersky, FireEye, ESET, McAfee (toen Intel Security), TrendMicro, Sophos, Avast, Microsoft en Malwarebytes.
Gat op gat op gat
De nieuwste die hij ontdekte gaat om een kwetsbaarheid in Windows Defender. Deze ontdekte hij door een fuzzer los te laten op het programma om bugs te vinden. Microsoft loste de vervolgens ontdekte geheugenfout op in de nieuwste engine, maar het onderstreept Ormandy's punt dat juist beveiligingssystemen software kwetsbaar maakt. En goed ook, want zulke software isoleert malafide bestanden en omdat te doen heeft het meer rechten in een systeem dan een willekeurige andere applicatie.Er schort wel meer aan software die systemen juist zou moeten beveiligen. Vorig jaar ging Ormandy bijvoorbeeld los op securitysoftware van Comodo, dat een onbeveiligde VNC-applicatie installeerde om systemen op afstand te kunnen analyseren. Dat komt dus in feite neer op het toevoegen van een open deur in het 'beveiligde' systeem, omdat elke aanvaller van diezelfde optie gebruik kan maken om binnen te komen. De onderzoeker vond ook al een brakke browserextensie voor AVG.
Bugvrij bestaat niet
Zijn punt is eigenlijk dat als hij als onderzoeker deze gaten vindt, je er de donder op kunt zeggen dat criminelen dat ook doen. Bugvrije software bestaat niet en slimme mensen ontdekken deze vroeger of later en bouwen een exploit.Kijk ter illustratie eens naar hoe kort het duurt voordat ontwikkelaars een jailbreak hebben gemaakt voor een nieuwe versie van iOS. Dat is in principe niet anders: er wordt een bug gevonden in de software en daar wordt een exploit voor geschreven om de bescherming van Apple te kunnen omzeilen.
AV doodverklaren
Het advies van Ormandy om AV te schrappen is misschien na te leven door bedrijven die een hoop andere securitymiddelen hebben opgetuigd, omdat de software daarmee - in de visie van de beveiliger - gaten introduceert in een anders sterk systeem.Maar geldt dat voor MKB's en consumenten? Omdat deze gebruikers AV niet bijwerken of zelfs niet eens hebben, zitten we nog steeds infecties van versies van Zeus uit 2010, Citadel-trojans uit 2012 en Conficker-varianten uit 2008.
Dat is de vraag die beveiligers dan ook stellen: is het niet onverantwoord om antivirus steeds maar weer dood te verklaren? Ja, het is verre van perfect en ja, het levert bepaalde risico's op, maar is het voor de meeste gebruikers niet beter dan het alternatief? AV is geen totaalbescherming, maar dat beweert ook niemand (meer).
Geen opmerkingen:
Een reactie posten