Per Hellqvist om IT-säkerhet och sånt

För ett tag sedan publicerade Computer Sweden en artikel om hur enkelt där är att “lura” ett antivirusprogram. För att bevisa sin tes har de som intervjuades i artikeln kompilerat om en känd trojan. Av någon anledning blir man sedan förvånad över att antivirusprogrammen inte larmar för den nya trojanen.

Artikeln beskriver det uppenbara, något som är allmänt känt sedan många år, ja sedan antivirusprogrammen blev till en gång i tiden.

Antivirusprogram är reaktiva och skyddar mot existerande hot, inte mot hot som inte finns. De upptäcker elak kod som antivirusleverantören sett exempelprover på, precis som vaccin skyddar dig mot virus som vaccintillverkaren fått prover på.

Kompilerar man om en kod får man i realiteten ett nytt program. Programmet kanske gör samma saker, ser likadant ut etc, men för antivirusprogrammet är det nytt och kommer inte
att upptäckas utan vidare. Ett antivirusprogram är ett verktyg som hjälper dig att upptäcka elak kod. Det är inget heltäckande skydd och har väldokumenterade brister. Det finns inget skyddsprogram som skyddar mot allt.

Det som gjorts här är precis samma sak som mängder av trojanförfattare gör dagligen. När antivirusprogrammet uppdaterats för att upptäcka deras trojan kompilerar man om det med en annan kompilator för att undgå detektion. När antivirusföretaget får en exempelfil på denna kommer det att upptäckas med nästa uppdatering. För antivirusföretagen är det inte svårare att lägga till skydd mot en trojan som kompilerats med kompilatorA eller kompilator B. Tricket är att antivirusföretage måste få tag på en exempelfil.

Det man gjort i artikeln är alltså att skapa en ny trojan. De har gjort samma sak som trojanförfattare gör dagligen. I säkerhetsbranschen är det helt oetiskt att som säkerhetsföretag faktiskt skapa ett hot. Det är förkastligt och som jag förklarat ovan är det också i realiteten helt meningslöst. Man visar bara på att man inte förstått hur antivirusprogram fungerar.

Hade man frågat oss som arbetar i branschen hade vi kunnat förklara detta för dem.

Man har dock en bra poäng i artikeln. Att installera ett antivirusprogram kan ge en falsk känsla av trygghet. Att bara använda ett antivirusprogram är idag långt ifrån tillräckligt. Det måste kompletteras med t ex en personlig brandvägg och gärna ytterligare andra skyddsmetoder. När vi försöker förmedla detta misstänker alla att vi talar i egen sak. Jag säger bara – läs själva i virusbeskrivningarna hos din favoritleverantör av säkerhetsprodukter. Dra egna slutsatser av det du ser.

Det bästa man kan göra är att utgå från de Best Practices som alltid trummas ut när det gäller IT-säkerhet:
1. Använd ett antivirusprogram och se till att det är påslaget och uppdaterat.
2. Använd en personlig brandvägg och var försiktig med vad du godkänner.
3. Sänd in misstänkta filer till antivirusföretagen för analys. Det är hjälp till självhjälp.
4. Uppdatera ditt operativsystem och dina andra program regelbundet.
5. Ladda bara ned program från officiella siter och klicka inte på allt som kommer i e-post eller liknande.
6. Var uppmärksam och medveten.

Det som är säkerhetsbranschens, ja hela IT branschens stora problem är att nå ut till dem som inte egentligen engagerar sig i sin dator. Man har den för att spela med eller betala räkningar och vill inte hålla på att “trixa och fixa”. Tyvärr är det de som ofta råkar värst ut.

Hur ska man nå ut till dessa? Har du några bra förslag så skriv gärna in dem i kommentarsmöjligheten som finns till denna artikel.

Taggar: Uncategorized

Kommentarer

2 kommentarer to “Antivirusprogram – de är vad de är”

  1. Mikael Karlsson on June 22nd, 2005 17:51

    Skapa ett program där man anger eller låter det upptäcka automatiskt vilka program man skyddar datorn med och låta det uppdatera automatiskt.
    Set it and forget it.

  2. Erik on September 1st, 2005 14:57

    Är det inte ganska typiskt CS att skriva artiklar på detta sätt? Har aldrig läst en (bransch)tidning som innehåller mer vinklade artiklar, sämre research, okunniga författare och sämre språk. Det är tur att man inte behöver betala för den.

Lämna en kommentar

Du måste vara inloggad för att lämna en kommentar.