Net iets meer dan 25 jaar is het geleden dat we te maken hadden met het eerste MS DOS-virus Brain, dat verspreid werd door floppy-disks. Je zou haast zeggen dat er niet veel veranderd is in die kwart eeuw als we terugblikken op 2010 waar Aurora en Stuxnet de show stalen en waarbij Stuxnet deels werd verspreid via usb-sticks, uiteindelijk de vervanger van de floppy. Het heeft echter bijna 25 jaar geduurd vooraleer experten het met elkaar eens waren: dit zijn de eerste stukjes malware die je niet in je eentje schrijft, die zeer geavanceerd zijn, waar sterk programmeerwerk achter zit, en bovenal waar het lang geduurd heeft vooraleer deze ontdekt werden. Een spijtige zaak, deze klaarblijkelijke goede programmeurs zouden zich veel beter werpen op het dichten van lekken in bepaalde software. Of is dat te veel gevraagd? Ik kan echter ook niet altijd de beschuldigende vinger opsteken naar de makers van besturingssystemen of software. Het probleem zit gewoon in de mens zelf. Je kan nu eenmaal niets ‘volmaakt’ creëren omdat we zelf niet volmaakt zijn en anders komt wel onze menselijke nieuwsgierigheid of naïviteit roet in het eten gooien. Ook in die Stuxnet-code zaten foutjes trouwens. Ofwel zijn we te naïef (of onwetend) als gebruiker, te nieuwsgierig als hacker of te hebzuchtig als cybercrimineel. Malware en cyberveiligheid anno 2011 lijkt dus meer dan een menselijk element te bevatten. Zou dit misschien komen omdat de meeste criminelen hun zinnen hebben gezet op de it? Volgens mij toont het aan dat we misschien te verstrengeld geraken in de kluwen van de it. Maar een weg terug is er niet. De it-industrie is in die laatste 25 jaar aardig volwassen geworden.
Dat de it-security industrie ook bezig is aan een proces van volwassen worden, blijkt wel uit alle organisaties die inmiddels rondom dit thema in het leven zijn geroepen. Eén van die organisaties is AMTSO (Anti Malware Testing Standards Organization). AMTSO probeert het niveau van anti-malwaretest hoog te houden, door bepaalde vaste methodologieën voor testers te formuleren. Het malware-landschap is door de jaren heen ook steeds groter en ondoorzichtelijker geworden. Voor testers is het ingewikkeld om op de ontwikkelingen in te spelen met realistische testmethodes. Een organisatie als AMTSO wil hen daarin wat houvast geven.
AMTSO is niét, in tegenstelling tot wat soms wordt beweerd, een organisatie die gedreven wordt door de anti-malware producenten. Alle belangrijke test-organen (AV-Test, AV-Compatives, Virus Bulletin, enz) alsmede certificatie organen (ICSALabs, Westcoast Labs, enz) werken samen in AMTSO. Om de objectiveit te waarborgen is er ook een officieel Advisory Board, waarin hoofdzakelijk academici en andere grootheden uit de beveiligingswereld plaats hebben. AMTSO heeft niet als doel om te dicteren hoe er getest moet worden, maar wil via gezamenlijk afgesproken standaarddocumenten bevorderen dat de testen van anti-malware produkten zo realistisch mogelijk worden en dat de uiteindelijke testconclusie logisch voortvloeit uit de resultaten van de test.
Een kwalitatief goede test geeft een goed beeld van de kwaliteit van de securitysuites, en die situatie is voor alle partijen goed, vooral voor de consument en de bedrijven. Het aantal nieuwe malware is nog steeds wel te tellen maar ik kan je garanderen dat elke security vendor een continue malware datastroom te verwerken krijgt waar je zou van wakker liggen als ik je dit in ‘terabytes’ per uur zou aangeven. Dit is één van de redenen waarom huidige testwijzen niet meer dezelfde zijn als die van een paar jaar terug. Deze ontwikkeling is één van de redenen voor het ontstaan van AMTSO. Na de oprichting is er eerst gewerkt aan het beschrijven van de fundamentele principes (te vinden op de AMTSO-website) die met het testen van securityprodukten nagestreefd moeten worden. Ik raad iedereen die wel eens een vergelijkende test van securitysoftware leest, aan om deze eens te bekijken. AMTSO is vanaf dit jaar opengesteld voor iedereen (voor een kleine bijdrage i.v.m. administratiekosten). Iedereen kan en mag nu ook zijn zegje doen binnen de organisatie en ook bijdragen aan de creatie van de standaarden en documenten. Hopelijk leiden de inspanningen van AMTSO in de toekomst tot meer duidelijkheid bij consumenten en bedrijven die hun pc’s en netwerken effectief willen beschermen tegen cybercriminelen.
En over de toekomst gesproken, laat ik er dan toch ook nog wat voorspellingen tegenaan gooien. Er lijken zich duidelijke trends te ontwikkelen. En in onze kristallen bol – die zich tegenwoordig voor een deel in de cloud bevindt – lezen we dat Java één van de doelen van malware zou kunnen zijn. We verwachten daarbij dezelfde problemen als bij Adobe Reader en Flash. Verder zal de botnetactiviteit zeker toenemen en mogelijk zullen de botnet-bendes gaan samenwerken in het verspreiden van malware om zich beter te kunnen wapenen tegen mogelijke politieacties. Doelgerichte aanvallen, gedreven door hacktivisme, cyberspionage of cybersabotage, zullen blijven groeien, maar zullen niet makkelijk terug te vinden zijn op de radar. Het al dan niet bewuste privacyprobleem van de gewone pc-gebruiker en de hoeveelheid van persoonlijke gegevens in de cloud zal de cybercrimineel aansporen om gerichte malware te ontwikkelen voor elke machine, elk bedrijf of elke organisatie in de wereld. Ik ben wel nieuwsgierig naar wat er de komende 25 jaar op malwarevlak staat te gebeuren, want het echte ‘werk’ komt nog of ben ik nu naïef?
Eddy Willems is malware researcher, met meer dan 20 jaar ervaring op zijn actief. Hij is security evangelist bij securityspecialist G Data en is directeur security informatie en pers van EICAR (European Institute for Computer Anti-Virus Research).
EDDY WILLEMS
Fout opgemerkt of meer nieuws? Meld het hier