Is antivirussoftware gevaarlijk?

Sinds eind de jaren negentig duikt hij regelmatig op: de stelling dat antivirus dood is. Of: antivirus werkt niet. In extremere gevallen wordt zelfs gezegd dat antivirussoftware eerder een extra gevaar oplevert voor de pc die juist beschermd moet worden. Het thema blijkt nog steeds ‘hot’. We bespreken de geschiedenis van deze trend en twee recente voorbeelden.

De geschiedenis

Het begon allemaal meer dan 18 jaar geleden toen Dr. Alan Solomon, een gerespecteerd security expert van het gelijknamige bedrijf proclameerde dat antivirussoftware dood was, tijdens een EICAR-conferentie. Het was opmerkelijk en het haalde de media. De nuance die Solomon bij zijn uitspraak aanbracht, ging in de pers echter verloren. In feite wilde hij het punt maken dat het ‘ouderwetse’ antivirus-pakket, dat zich uitsluitend verlaat op het scannen van codes tegen een database met gekende schadelijke codes (virushandtekeningen) uitgegroeid was tot een volwaardig beveiligingspakket en dat de oude benaming niet meer goed aangaf wat er beveiligd werd.

Eddy Willems

Recenter, in 2014, werd de gewraakte uitspraak herhaald door Brian Dye, toen Senior Vice President of Information Security bij Symantec, maar daarna ‘snel’ verdwenen uit de security industrie, tijdens een interview met The Wall Street Journal (1). Verschillende consumenten en ook bedrijven lieten zich overtuigen door de argumenten – die steevast gingen over de ouderwetse, reactieve antivirussoftware en geen rekening hielden met het feit dat antivirussoftware al decennialang óók is uitgerust met allerlei gedragsherkenningstechnieken en andere proactieve detectiemethoden – en kozen voor een andere manier om hun IT te beveiligen. In het geval van consumenten is dat vaak de methode ‘goed updaten en goed opletten’, een tactiek die lang goed kan gaan, totdat de juiste zero-day voorbij komt. Bedrijven, zoals Netflix (2), laten zich verleiden door ‘alternatieve’ beveiligingsbedrijven, die ‘niets’ doen met antivirus-technologie. Als de technologieën van die ‘alternatieve’ beveiligingsproducten dan zeer nauw onder de loep worden genomen, blijkt dat deze gebruik maken van identieke proactieve detectiemethoden die de traditionele (maar uiteraard geëvolueerde) merken ook gebruiken. Het grote verschil zit hem in de naam en de marketing, niet in de oplossingen zelf.

En nu

En dan nu, hoe staat men er anno 2017 tegenover? Behoorlijk negatief, bleek al in de eerste twee maanden van het jaar. In januari schreef Robert O’Callahan, een voormalig ontwikkelaar van Firefox, een blogpost met de titel ‘Schakel je antivirussoftware uit’. In het bericht (3) doet hij de verschillende problemen uit de doeken waarmee ontwikkelaars van browsers te maken krijgen door programmeerfouten in antivirussoftware en legt hij uit dat de software je computer zelfs onveiliger kan maken.

Enkele punten die O’Callahan maakt, zijn absoluut valide. Immers: beveiligingssoftware moet – om zijn werk te kunnen doen – toegang hebben tot alle delen van de pc en het beschikt over veel rechten. Wanneer die rechten kunnen worden overgenomen door een hacker door een programmeerfout in de beveiligingssoftware, ben je ver van huis. Dit levert een dilemma op.

Voor consumenten is het eigenlijk een vals dilemma. Het hacken van een computer door het gericht aanvallen van het beveiligingspakket is een tijdsintensieve klus. Er moet eerst worden geïnventariseerd welk pakket het slachtoffer heeft draaien (er zijn er honderden en op Windows Defender na heeft geen enkel product van een bepaald merk een groot marktaandeel) en bovendien is het belangrijk om te weten welke versie van Windows wordt gebruikt. Zelfs al kan een hacker de aanval automatiseren, dan nog zal hij mazzel moeten hebben dat zijn code, die gemaakt is voor een bepaald product van een specifiek merk antivirussoftware in combinatie met een specifieke Windows-versie, belandt op de pc van iemand die precies die combinatie gebruikt. De kans dat dat lukt is duizenden, zo niet miljoenen malen kleiner dan de kans dat een consument tijdens het surfen in aanraking komt met een gevaarlijk stuk malware. Vanuit een kansberekeningsoogpunt is het uitschakelen van de antivirussoftware dan ook heel onverstandig. Vergelijkbaar met het verwijderen van de sloten op je deuren voor het geval een inbreker over een speciale nepsleutel zal beschikken die uitgerekend op jouw slot past. Nu zegt O’Callahan niet dat je de sloten helemaal moet afschaffen. Maar hij raadt je aan om te kiezen voor een gratis slot -Windows Defender – en verder geen moeite te doen om een goed ander slot te kopen. Dat advies is niet erg verstandig. Juist wat zo’n hacker-aanval op antivirussoftware zo onwaarschijnlijk maakt: de grote diversiteit aan systemen met verschillende beveiligings-pakketten, gaat hiermee verloren. Als iedere Windows-gebruiker kiest voor Windows Defender, zullen er binnen de kortste keren nieuwe zero-days zijn die Windows Defender succesvol kunnen aanvallen of omzeilen. Alle malwareschrijvers zullen dan namelijk al hun tijd daarin steken: altijd prijs.

Voor bedrijven geldt dat beveiliging van het IT-netwerk een lasagne moet zijn met verschillende verdedigingslagen. Met een solide firewall worden de meeste hacker-aanvallen tegengehouden en met een goede network monitoring tool kunnen onregelmatigheden snel worden ontdekt en tegengehouden, om maar even twee willekeurige aanvullende verdedigingslagen te noemen.

Dan het meest recente voorbeeld van antivirussoftware kwaadsprekerij. In februari verscheen een wetenschappelijk artikel (4) van Zakir Durumeric en anderen waarin het ‘breken’ van https door antivirussoftware voor scandoeleinden gehekeld wordt. Uiteraard is het erg onverstandig om versleutelde gegevens te ontsleutelen, daarmee wordt het hele idee van https ondermijnd. Maar doen al die merken die Durumeric daarvan beschuldigt dat ook werkelijk? In elk geval beweert hij ten onrechte dat de software van G DATA zich ook schuldig maakt aan deze zonde. Dat is pertinent onwaar (5). Inmiddels heeft de onderzoeker op Twitter zijn fout erkend en zijn excuses aangeboden. Het is niet uitgesloten dat de onderzoeker een dergelijke fout ook heeft gemaakt bij andere merken.

Noodzakelijk kwaad

Het is nu eenmaal een feit dat iedereen liever zijn geld uitgeeft aan leuke producten. Beveiligingssoftware is een noodzakelijk kwaad, net als je ziektekosten- en inboedelverzekeringen. Niet alleen kost het geld, het zorgt er ook nog eens voor dat er vertragingen in je pc kunnen optreden en het is vaak compleet onduidelijk wat het product nu precies voor je doet. Het feit dat je geen malware-infectie hebt, kan immers aan twee zaken liggen: je software heeft alle malware tegengehouden, of je bent nooit malware tegengekomen. Vanuit dat oogpunt is het negatieve imago van beveiligingssoftware best goed te begrijpen. Maar zolang er elke seconde nieuwe malware de wereld in wordt gestuurd, is het wel degelijk een goed idee om te investeren in een solide beveiligingspakket.

Eddy Willems is Security Evangelist bij G DATA 

Meer lezen:

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *