Per Hellqvist om IT-säkerhet och sånt

VB07-loggaTorsdagen började med en, för oss gamlingar, nostalgisk tillbakablick över virusens utveckling. Martin Overton från IBM har som vanligt en stor samling historisk data och statisktik som man kan vända och vrida på hur man vill. Han passade också på att krossa en del (numera) historiska myter om virus som att till exempel DOS-virus kom före Mac-virus, att stordatorer inte kan infekteras (kommer nån ihåg ChristmaExec?) och så vidare.

Därefter kom en än mer akademisk presentation av Dmitry Gryaznov och Joe Telafici från McAfees Avert team. De diskuterade det enorma slöseri med bandbredd och diskyta som uppstår när antivirusföretagen delar med sig av sina virussamlingar på daglig eller månadsbasis. Just nu ligger många av leverantörerna på en databas med virusexemplar som tar upp många terrabyte diskyta. Dessutom blir det en massa merjobb när man ska katalogisera och dubbelkolla allt så att man inte missar nåt, eller dubbeljobbar. De avslutade med en del förslag som bland andra Vesselin Bontchev (alltid full med vassa och insiktsfulla kommentarer) från F-Prot förkastade. “Won’t work” var hans kommentar.
Jag pratade med Joe efteråt och föreslog ett par saker som kanske kunde hjälpa, t ex att lägga in en markör namnet på virusprovet alternativt använda någon programvara som är bra på att hitta dubletter (menade Symantecs Enterprise Vault till exempel) och rensa ut dem. Vi tittade på varandra och skrattade sen gott. Det är nämligen så att säkerhetsleverantörer inte riktigt gillar att köpa varandras produkter. Dels för att alla
tycker att deras egen produkt är bäst men också för att man inte vill ge konkurrenterna en stor bunt pengar. Symantec gör sitt till för att irritera konkurrenterna genom att köpa upp intressant teknologi. Senast var det uppköpet av Altiris som skapar oreda i ledet. Nu verkar det som om alla är ute och letar efter andra produkter som gör ungefär samma sak som de gör. Bara att hitta bra alternativ till Ghost verkar svårt. Jag kan tänka mig att företag som BMC får en del affärer bara för att de inte är Symantec :-) Vi kanske ska be om kickback från företag som säljer teknologier som konkurrerar med företag som vi köper upp.

Efter kafferasten ville uppenbarligen alla lyssna på Andreas Marx från AV-Test.org som diskuterade WildLists vara eller icke vara. WildList är en organisation som samlar in elak kod. Denna samling används sedan bland annat för att testa hur bra antivirusprogrammen är på att upptäcka elak kod som sprids just nu. WildList har i mina ögon fyllt ett syfte tidigare (vilka av alla virus är utdöda idag och vilka sprids fortfarande aktivt), men, återigen i mitt tycke) överlevt sig själv. Idag väller det ut en stor mängd ny elak kod som egentligen bara är designad att överleva i ett par timmar. Det som kommer är nedladdningstrojaner vars enda uppgift är att installera sig på offrets dator och sen ladda ned en massa annat. Den nedladdingstrojanen används förmodligen aldrig igen utan modifieras kontinuerligt av elakingen. Då spelar WildList-noteringen egentligen ingen roll.
Vad jag hörde av de som lyckades få plats var att Vesselin Bontchev, Jimmy Kuo och Nick Fitzgerald tog över showen på slutet och framförde sina åsikter. För er som aldrig varit på VirusBulletin kan jag säga att de brukar göra detta vareviga gång WildList kommer på tal. Döp om, lägg ned, gör om gör rätt var väl deras synpunkter.

Jag fick inte plats där, utan bytte rum och lyssnade på Vipul Sharma från Proofpoint som diskuterade hur man kan skapa bättre kostnadseffektivitet i företagens anti-spamlösningar, men ändå behålla detektionsnivån.

Peter Eicher från Commtouch fick hoppa in efter det att två personer från Sana Security fått förhinder och höll presentationen “The marriage of spam and Malware” och berättar om hur man kan förbättra “zero hour malware detection”. Med andra ord ett varningssystem som larmar när något stort är på gång att börja spridas. Denna presentation är farligt nära reklam, men godtas om tekniken som presenteras anses intressant nog eller
liknande. Jag är inte övertygad om att det som presenterades här är i form av mönsterigenkänning är så mycket bättre än att redan i förväg ha teknologi som är såpass bra att den upptäcker helt nya attacker utan signaturer (t ex heuristiska metoder) eller som i princip måste vänta på ett större utbrott innan den larmar. Men han hade intressant data som visade att flest spamzombies finns i Tyskland, tätt följt av USA och Polen. Varje dag ser
de 343000 aktiva spamzombies. Dessa siffror skiljer sig en del från Symantecs senaste rapport, men oavsett vad så visar allt på att det är mycket elakt som händer därute.
Han hade dock intressant poäng. De har upptäckt att 57% av de bottar (oftast hemdatorer) som skickar spam används också för att skicka ut ny elak kod. Så med andra ord – genom att mer effektivt blockera de IP-adresser som skickar spam kan man få bort ungefär 65% av de som sänder elak kod via e-post. Bra idé tycker jag. Spam vill väl ingen ha. Än mindre elak kod.

Sista passet jag besökte före lunch levererades av Symantecs Josh Harriman från Security Response teamet. Han visade på olika metodologier man kan använda för att upptäcka olika rootkits och hur man kan mäta hur effektivt man rensar bort dem. Hyggligt teknisk presentation, men ändå intressant.

Nu lunch :-)

Taggar: Allmänt, Konferenser

Kommentarer

Lämna en kommentar

Du måste vara inloggad för att lämna en kommentar.