Antivirus er en forældet teknologi. Det begyndte at blive forældet i samme øjeblik det blev opfundet.
Hvorfor? Fordi det grundlæggende benytter det man kalder blacklisting.
I det følgende vil betegnelsen malware bliver brugt. Det betyder “malicious software” og bruges som fællesbetegnelse for uønskede programmer som virus, spyware, orme, trojanere, rootkits, adware osv. Altså alle de programmer antivirus har til formål at stoppe.
Konceptet bag antivirus-programmer er, at alt som udgangspunkt er tilladt. Processer der kører på computeren, datapakker der sendes og modtages, filer der eksekverer; som udgangspunkt er det hele okay. Et antivirus der kører i baggrunden holder øje med filer på computeren som enten eksekverer (starter) eller arbejder (skriver til en anden fil, eller bliver skrevet til fra en anden fil). Filerne bliver sammenlignet med en liste over kendt malware, en såkaldt blacklist, og hvis antivirusset kan genkende en fil, går det i aktion. Al malware som antivirusset kender fra sin blacklist, bliver effektivt stoppet inden det kan nå at gøre skade.
Problemet er, at når malware er helt nyt, så er det ukendt for antivirus-programmerne. Det er ikke på blacklisten endnu. Først når det har været ude på internettet og har inficeret nogle computere, bliver det kendt af antivirus-producenterne. Der laves nu en signatur på malwaren så den kan genkendes. Denne signatur sendes ud til antivirus-programmerne via de daglige opdateringer, og indgår dermed i programmernes blacklist. Først nu kan malwaren effektivt opdages og stoppes.
Der går naturligvis et stykke tid fra noget malware er sluppet løs på internettet, til denne proces er løbet igennem, og antivirus-programmerne kan stoppe malwaren. I starten var det ikke et stort problem, for mængden af malware var til at overkomme. Men med årene er der kommet langt mere, og med eksplosiv hastighed. Noget malware muterer automatisk, så de signaturer på blacklisten der før kunne opfange det, ikke længere har nogen effekt. Andet malware testes inden det frigives, så hackeren kan være sikker på at hans malware ikke bliver opfanget af antivirus-programmerne. Noget malware benytter kryptering til at undgå detektion osv. Malware spreder sig i dag også langt hurtigere end før i tiden. I det hele taget er malware blevet langt mere avanceret, og det er blevet vanskeligere og vanskeligere for antivirus-producenterne at følge med. Der er nu konstant en stor og fortsat voksende mængde malware i omløb på internettet, som endnu ikke findes på antivirus-programmernes blacklist. Når dét er kommet på blacklisten er der ny malware der endnu ikke er det. Det er skruen uden ende.
Tidsrummet fra malware er sluppet løs på internettet,
til det findes på antivirus-programmernes blacklist, er kritisk.
Her yder signaturbaseret detektion ingen beskyttelse!
Årsagen er som nævnt, at antivirus benytter blacklisting. Som internettet og malware-produktionen har udviklet sig, er blacklisting blevet væsentligt mindre effektivt, og traditionelle antivirus-programmer yder ikke længere den beskyttelse mange gerne vil tro. Og det er der i øvrigt intet nyt i. Denne artikel er fra 2002.
Heldigvis findes der mange forskellige måder man kan sikre en computer på, signaturbaseret antivirus er kun én af dem. Alternative teknologier kunne være virtualisering, sandboxing, patching samt forskellige typer HIPS (Host Intrusion prevention system).
Blandt disse teknologier har jeg valgt at fokusere på de mest effektive, men samtidig mest brugervenlige gratis-programmer på internettet. Nogle er faktisk lige så enkle at anvende som et traditionelt antivirus; det kører i baggrunden og kommer kun frem når der foregår mistænkelig aktivitet på computeren. Andre af programmerne kræver lidt mere af brugeren, men kan til gengæld give en sikkerhed et signaturbaseret antivirus aldrig kan give.
Al risikovurdering er et spørgsmål om at opveje den sikkerhed man opnår, i forhold til den pris man betaler for den. Selv et godt antivirus yder ikke nogen optimal sikkerhed, men det er som regel heller ikke til meget besvær. Derfor giver det stadig mening for de fleste at benytte antivirus. Men hvis den eneste sikkerhed du har på din computer er traditionel signaturbaseret antivirus, så bør du ikke føle dig for sikker.
Via sektionen Generel IT-sikkerhed kan du sikre din PC nemt, gratis, og med sikkerhed svarende til, eller endda væsentligt bedre end, hvad mange har med deres betalte sikkerhedspakker.
.
Relateret læsning:
Verdens værste trojaner snyder antivirus-programmer
AVG opkøber specialist i adfærdsbaseret antivirus
80 procent af ny malware slipper forbi antivirus
CSIS: Antivirus-firmaer kan ikke følge med
Danske Secunia chokeret over antivirus-test
Tiden rinder ud for diskette-alderens antivirus
Antivirus-firmaer taber kampen mod malware og phishing
DK-CERT: Botnet viser problem med antivirus
Opdater dine programmer
Scannere til forfatterne
Antivirus blokerer for sikkerheden på din pc
Advarsel mod raffineret netbanktyv
Ny test: Antivirus-software taber kampen mod hackerne
DK-CERT: Antivirus kan ikke stå alene
Er antivirus spild af penge?
Antivirus-software har ingen chance mod stats-malware
Trick skjuler farlige PDF-filer
Din antivirus snorksover: Blokerer ikke for Java-trussel
Antivirus solutions inadequate in detecting new viruses
Symantec: Antivirus-software alene er ikke nok
McAfee: Sikkerhedsløsninger er ved at tabe kampen mod malware
13 ‘sandheder’ om it-sikkerhed som ikke holder vand
Antivirus is Dead: Long Live Antivirus!
Dur ikke længere: Antivirus er slet ikke godt nok
Skadelige programmer dør hurtigt
158 new malware created EVERY MINUTE
Ineffektiv og gammeldags: Har antivirus overhovedet nogen fremtid?
Security Alert: New Ransomware Campaign Has 0% Detection
GlassRat var skjult i tre år
Sikkerheds-bombe: Så ofte sniger ransomware sig forbi dit antivirus-program
Breaking Antivirus Software
Bypass Antivirus Dynamic Analysis
Hackere snyder antivirusprogrammer på stribe
Microsoft lukker alvorligt hul i antivirus
F-Secure retter kritisk sårbarhed i antivirus-produkter
This Trojan exploits antivirus software to steal your data
New Dridex malware strain avoids antivirus software detection
Legacy AV defenceless against onslaught of evasive malware
Exploiting (Almost) Every Antivirus Software
Eighty percent of new malware defeats antivirus
New Flaws in Top Antivirus Software Could Make Computers More Vulnerable
IceRat evades antivirus by running PHP on Java VM
Malware Can Use This Trick to Bypass Ransomware Defense in Antivirus Solutions
This is how attackers bypass Microsoft’s AMSI anti-malware scanning protection
.
Note: Der er i bloggen set bort fra en længere række sikkerhedsteknologier som antivirus-programmer i dag benytter til, at supplere deres signaturbaserede detektion. Et eksempel er den såkaldt heuristiske detektion, der forsøger at tage højde for svagheden ved signaturbaseret detektion. Den er desværre så mangelfuld, at det ikke ændrer ved budskabet i denne blog. Det samme gør sig generelt gældende for teknologien behaviour blocking/analysis når den er designet til næsten aldrig at give pop-ups, hvilket de betalte sikkerhedspakker lægger stor vægt på for at kunne sælge til flest muligt kunder.
Opdatering – Juli 2014:
Det er over 4 år siden ovenstående blog blev skrevet, og der er sket en del. I dag er det helt trivielt for ny malware at omgå den signaturbaserede detektion som antivirusprogrammer stadig anvender. Til gengæld er de øvrige sikkerhedsteknologier blevet både mere effektive og mere udbredte. De fleste betalte antivirusprogrammer og sikkerhedspakker har i dag nogle andre teknologier såsom behavior blocking eller et whitelisting-system til vurdering af eksekverende filer. Nogle af teknologierne giver en udmærket sikkerhed og kan stoppe en del malware, men det er stadig en kendt sag at andet malware trænger igennem. Budskabet herfra er fortsat, at have begrænset tillid til antivirus-programmer, og kun benytte dem som del af en flerlags-strategi til sikring af computeren. Brugeradfærd og patching (altså at holde sine programmer opdateret) bør ikke overses, og vil man have virkelig høj sikkerhed imod hackere og malware, så kommer man ikke udenom HIPS. Alt dette er beskrevet, og bliver løbende holdt opdateret, i sektionen Generel IT-sikkerhed.