Ditt säkerhetspaket fungerar inte

Publicerad 2009-09-29 18:35

Har du en ny, uppdaterad säkerhetsmjukvara på din dator? Du vet ett sådant där paket med antivirus, brandvägg, anti-spam, phishing-skydd och annat smått och gott? Då är du troligtvis inte (!) skyddad mot ett stort antal hot. Det är nämligen så att säkerhetsföretagen inte längre har en chans att hänga med i svängarna på den illegala e-marknaden. De erkänner det själva. Men nu kommer en ny teknik som kanske kan ändra på det förhållandet.

Att rubriken på den här artikeln är formulerad som den är beror förstås inte på att ditt säkerhetspaket inte fungerar alls, för det gör det om du har det påslaget och håller det uppdaterat. Du är skyddad mot en mycket stor del av de kända hoten på nätet. Problemet ligger i de ständigt nya hot som kommer från en idag ytterst organiserad e-brottsverksamhet. Det finns idag i praktiken en ren spegling av e-säkerhetsbranschen och det är inga amatörer som sköter ruljansen där. Här kommer en kortfattad beskrivning av problematiken:

De traditionella säkerhetsmjukvarorna baseras på en slags lista som innehåller allt som programmet ska skydda sin värd (din dator) mot. Denna lista uppdateras ständigt, allt eftersom nya hot upptäcks. Detta gör alla säkerhetslösningar mycket bra idag, men tyvärr räcker det inte längre.

Idag kommer många tusen nya hot (virus, maskar, adware, spyware med mera) varje dag. Även om de upptäcks ganska snabbt måste säkerhetsföretagen uppdatera sina databaser, skicka ut informationen till alla sina användare och sedan ska dessa installera dem på sina respektive datorer. Allt det här ska dessutom ske utan att slöa ner användarens utrustning märkbart, för då är risken stor att man stänger av hela programmet. Den ekvationen går inte längre ihop då ökningen av antalet hot inte ser ut att minska framöver, snarare tvärt om.

Du har säkert hört talas om de stora virusutbrott som fanns för 5-10 år sedan. Miljontals maskiner blev infekterade av en enda skadlig kod. Det hör man inte så ofta längre, eller hur? Det beror på att e-brottslingarna radikalt har ändrat sin taktik. Nu är det snarare miljontals olika typer av skadlig kod som var för sig infekterar endast en handfull maskiner. Det totala antalet drabbade enheter är detsamma, men den skadliga koden har större chans att finnas kvar på datorn ifråga under längre tid. Det är nämligen så personerna bakom tjänar pengar.

Några snabba fakta för att visa på magnituden av detta problem: 1. Idag besitter en handfull ”cyberkriminella” mer datorkraft i så kallade botnät (tusentals datorer som kan styras från distans, enkelt uttryckt) än alla världens superdatorer tillsammans. Det visar en rapport från Trend Micro. 2. Antalet nya hot som upptäcktes endast av säkerhetsföretaget Symantec under förra året uppgick till 120 miljoner. 3. Att köpa en komplett identitet, med personbevis, försäkringsuppgifter, inloggningsuppgifter på sociala nätverk, kreditkortsnummer inklusive CVV-kod med mera, kostar idag endast en handfull dollar på den svarta e-marknaden. 4. Kreditkortsuppgifter kan du köpa i bulk, för några eurocent per styck. 5. Du kan handla ”startkit” för ett botnät, en keylogging-funktion (för att läsa av en annan dators tangentnedslag), eller liknande för ett tiotal dollar. 6. Det finns SLA:er (service level agreements) mellan parterna på den illegala marknaden för att köparen ska bli garanterad åtkomst till ett visst botnät för utskick av spam, eller att verktyget du köpt för att skapa en adware inte ska bli blockerat av säkerhetsbranschen under ett visst antal dagar.

På många sätt har det skapats en ytterst effektiv och kraftfull parallell marknad som tyvärr ligger långt före våra politikers agendor, vår lagstiftning, det internationella samarbete och även, uppenbarligen, våra säkerhetsmjukvaror.

Så vad göra? Det senaste året har ett flertal säkerhetsföretag börjat dra nytta av den så kallade cloud computing-tekniken. Istället för att pusha ut virus-definitioner och liknande till alla enskilda datorer, läggs de upp centralt på en serverpark i molnet. Då sparas en hel del tid eftersom samtliga prenumeranter av säkerhetsprogrammet ifråga har tillgång till databasen hela tiden. Inget behöver installeras lokalt för att skyddet ska vara aktivt. Detta löser en del av problemet men egentligen är det konstgjord andning och inte hållbart i längden, eftersom antalet hot växer så snabbt.

Men det kommer ytterligare ny teknik. Under ett säkerhetsevent i London som undertecknad besökte nyligen gjorde Rowan Trollope, Senior Vice President Consumer Products på Symantec, ett uttalande som jag tycker är ganska rakt på sak:

- När journalister testar säkerhetsmjukvaror visar de oftast att vi klarar av att skydda mot nittio-någonting procent av hoten. Det är trevligt att läsa, men det är fel. Det är fel eftersom testerna är omöjliga att genomföra på ett korrekt sätt.

Nu är det så klart bra att dagens mjukvaror skyddar mot en överväldigande majoritet av hoten på nätet, men det stämmer att allt inte går att simulera. Det Rowan Trollope menar är just det faktum att de nyaste hoten utgör det mest svårlösta problemet. Ständiga små justeringar i kodbasen på virus, maskar och dylikt som att checksummorna som matchas mot säkerhetssystemet inte längre stämmer. Under flera år har e-brottslingarna lurat säkerhetssystemen på det här sättet. Men nu kan det kanske bli svårare för dem.

I sin 2010-version av säkerhetssviten Internet Security har Symantec infört en teknik som bygger på ”rykten”. Under tre år har tiotals miljoner användare medvetet och aktivt deltagit i insamlandet av information om vilka program som ligger på deras datorer. Denna kunskapsdatabas har skapat grunden för Quorum, en funktion som vänder på spelplanen, så att säga.

När en applikation (ett program) vill installeras på din dator, kollar säkerhetsmjukvaror ett flertal saker, men det nya i Quorum är detta: Hur många andra personer av de miljontals användarna har just detta program installerat? Är svaret ”under tio” är det alltid en skadlig kod och systemet varnar tydligt för att du inte bör godkänna installationen. Samma sak gäller egentligen även för "under 100".

Det andra som frågas är hur länge programmet/koden har funnits. Är det mindre än en vecka sedan systemet först fick kännedom om just detta program/denna kod, och det inte finns med på listan över kontrollerade och certifierade program, är det med största säkerhet också skadlig kod. Du varnas på samma sätt.

Symantec har testkört det här under en tid och i labbmiljö stoppades 99,75 av alla hot, även de nya som skickades på systemet. Allt enligt företaget själva naturligtvis. Men som Rowan Trollope konstaterade, går det inte att simulera ett internet fullt av uppfinningsrika e-brottslingar. De vet helt krasst inte om det här kommer att fungera i praktiken.

Sedan i fredags den 25:e september finns den här funktionen ute på den kommersiella marknaden. Det återstår att se om säkerhetsföretaget ifråga har lyckats vända de smarta e-kriminellas taktik mot dem själva.

Läs mer om Symantec Internet Security 2010 i vårt test här i Uppsnappat.

Av: Peter Widén