12.11.2012
Cybercrime

Antiek antivirussoftware geveld door next generation hacks

By: John T. Knieriem

BlogCybercrime
antiek-antivirussoftware-geveld-door-nex.jpg
antiek-antivirussoftware-geveld-door-nex.jpg

Het nieuwe speeltje van cybercriminelen heet een zero day exploit, in principe weinig meer dan een manier om ergens digitaal door het dakraam aan een touwtje naar binnen te komen, waar de figuurlijke voordeur op slot zit. Het probleem, de bekende antivirusbedrijven weten deze innovatieve hackers niet bij te benen.

Een exploit is een stukje software dat gebruik maakt van een zwakke plek in software. Waardoor bijvoorbeeld een opening ontstaat voor hackers om via de browser Chrome bij een bedrijf, met behulp van een eigen stukje software naar binnen te sluipen. De toevoeging zero day geeft aan dat deze zwakke plek nog niet bekend is, in het geval van bovenstaand voorbeeld bij maker Google… 

De mainstream antivirussoftware werkt signature based, dat wil zeggen, er is een lek gevonden, waarna een antivirusleverancier hier een pleister op plakt. Vervolgens komt er een update van de scanner en een pleister voor het eigen netwerk. Dat kan even duren. Inmiddels zit een hacker al binnen dankzij het zero day exploit. Er wordt door de bekende pakketten niet gekeken naar wat er op dit moment gebeurt in het verkeer op het bedrijfsnetwerk. Je bent als bedrijf minimaal een paar dagen te laat. En in het ergste geval wordt zo’n zwakke plek jarenlang niet ontdekt.

Afwijkend gedrag
De oplossing is het nieuwe Wordfeud-woord van morgen: polymorphic adaptive persistent threats mitigation. Dat is waar beveiliging na het ouderwetse patchen naartoe gaat. Het werkt als het ware als een douanier op Schiphol. Het is lastig om te zeggen op basis waarvan een douanier iemand uit de rij haalt. Het heeft vaak te maken met hoe iemand zich gedraagt en de ervaring van de douanier.

Een oplossing tegen zero day aanvallen werkt ook op basis van ervaring en afwijkend gedrag. De oplossing kijkt naar abnormaal gedrag of verkeer nadat er eerst geleerd is wat normaal gedrag of verkeer is binnen een bedrijf. Abnormaal gedrag wordt herkend, tegen gehouden, nog voor er bekend is dat er ergens een kwetsbare plek is.

Moet je hier angstig van worden? Het komt voor. Er worden ook mensen op straat overvallen. Je moet op sommige plekken als vrouw ’s avonds niet alleen over straat lopen na elf uur. En ook met dit soort cybercriminaliteit is het een geval van risicomanagement. Wat niet wil zeggen dat je het naast het je neer moet leggen. Het inzetten van zero day exploits is echt een clear and present danger om maar eens een CIA-term te gebruiken. Wij zien hier op het netwerk daadwerkelijk pogingen om via achterdeurtjes aanvullende programmatuur op pc’s van onze klanten te installeren. Het is heel concreet en er is nog steeds een groot aantal gebruikers dat hier instinkt.

Oplossingen worden inmiddels mondjesmaat geïntroduceerd, maar het is nog heel beperkt. Daarnaast is de apparatuur om zero day exploits te herkennen en tegen te houden vooral heel duur. Genoeg werk aan de winkel dus.

Share this post