De malware die je wereldwijd het meeste aantreft vandaag de dag is geen flitsende ransomware of enge NSA-implant, maar een oudje: Conficker. De worm krioelt nu al bijna een decennium rond en de reden daarvoor is simpel: hij wordt onvoldoende gedetecteerd. Niet omdat software daar niet toe in staat is - in tegendeel - maar omdat veel pc's nog steeds software of virusdefinities van bijna tien jaar oud draaien.
IT-security en epidemiologie
Als je wel eens Plague Inc hebt gespeeld, weet je dat je een ziekte die uiteindelijk veel schade aanricht het best kunt verspreiden vanuit een dichtbevolkte regio waar de gezondheidszorg niet toereikend is om een nieuwe epidemie snel op te merken. Daarom begin je het beste als je op het virus-level van die game speelt met het verspreiden van een milde verkoudheid in India of China die je vervolgens verder evolueert.
Daar moesten we aan denken toen beveiligingsonderzoeker Simon Edwards op ESET-congres BiTS vertelde over hoe IT-security op bepaalde gebieden lijkt op epidemiologie. Een ziekte verspreidt zich snel in gebieden waar mensen niet en masse zijn ingeënt, vertelt de SElabs-onderzoeker, en hetzelfde geldt voor een malware-epidemie: die verzamelt momentum wanneer systemen niet zijn gepatcht tegen de kwetsbaarheid die wordt benut door de slechte software.
Conficker als mazelen
De kans dat je vandaag de dag tegen een ziekte als mazelen aanloopt is niet zo groot, omdat de ziekte grotendeels is uitgeroeid in onze samenleving. De mensen die de ziekte toch ontwikkelen, vormen geen grote bedreiging voor de volksgezondheid, omdat iedereen met wie ze in contact komen - als het goed is - is ingeënt.
Edwards vergelijkt dat graag met het gevecht tegen malware. De kans dat je vandaag de dag tegen conficker aanloopt is levensgroot, omdat er zoveel systemen zijn die er niet voor gevaccineerd zijn. Zoals McAfee-CTO Raj Samani onlangs verwoordde: "Conficker is het bewijs dat AV nog steeds nodig is." Niet alleen om onszelf te beschermen, maar als iedereen bijgewerkte AV draaide, dan zou Conficker de mazelen van de IT-wereld zijn: zo goed als uitgeroeid in onze samenleving.
Praktische problemen
Als je de conclusie zou bereiken dat we mensen moeten verplichten zich te beschermen, roept dat twee interessante vragen op. Ten eerste: hoe wil je dit praktisch gezien bereiken? Is er een manier te bedenken om pc- en smartphonegebruikers te dwingen om updates te draaien en minimale maatregelen te nemen om besmetting te voorkomen?
Hierna: Over single points of failure en de dreiging van paardenmiddelen.
Je zou kunnen denken aan het afdwingen door bepaalde diensten ontoegankelijk te maken voor gebruikers die verouderde software draaien. Dat levert alleen een hoop legacy-problemen op. Daarom zie je bijvoorbeeld dat met de Nederlandse bankeregels bijvoorbeeld een XP-gebruiker wordt gewaarschuwd als hij of zij een bankierenportal bezoekt, maar niet dat de toegang vervolgens wordt ontzegd.
Dreiging van security-monocultuur
Ten tweede: wie moet het doen? Is dit een taak van de overheid? Het is in de regel een slecht idee gebleken om IT-beslissingen te laten lopen via politici. Beveiligingsbedrijven? Die zou je wegtrekken bij hun primaire taak: het opsporen en onschadelijk maken van malware voor bedrijven. Organisaties als het NCSC die hier simpelweg niet toe zijn uitgerust qua mankracht en zich richten op de vitale sector en niet op consumenten? Een nieuwe toezichthouder die potentiële bureaucratische rompslomp alleen maar vergroot?
Ten derde, en dit is het punt waar SElabs' Edwards uitgebreid bij stilstond, wat gebeurt er als je een security-monocultuur ontwikkelt door gebruikers te dwingen naar een oplossing? Een trend waar beveiligingsleveranciers zich druk over maken, met een uiterst mondige Kaspersky voorop, is de druk van 's werelds grootste OS-producent, Microsoft, om securityproducten te verlaten en de beveiliging van Windows Defender te gebruiken.
Single point of failure
Het idee van een security-monoliet levert een duidelijk praktisch probleem op: je ontwikkelt een standaardconfiguratie waar aanvallers zich op kunnen richten. "Het is alsof je één slot hebt, of één psychologisch profiel, of één douaneprocedure hebt waar alle aanvallen op werken", licht Edwards toe. "Zelfs als die ene oplossing superveilig en perfect is - wat het niet zal zijn - hebben aanvallers één doelsysteem om zich op te richten."
Versplintering met meerdere aanbieders die het allemaal net iets anders doen kan wel eens een goede zaak zijn. Edwards noemt multinationals die zelfs per regio een ander beveiligingsproduct hebben, zodat mocht er een specifieke leverancier falen en splinternieuwe malware niet op tijd opmerken, blijft de impact hopelijk beperkt tot één regio en gaat niet alles onderuit vanwege een single point of failure in de beveiligingsstrategie.
Geen paardenmiddelen a.u.b.
Daarmee komen we uit bij één van Computerworlds security-stokpaardjes: wanneer een wereldwijd incident met ransowmare, IoT, botnets of wat dan ook zich voltrekt, is het zaak dat we alvast een idee hebben hoe we herhaling kunnen voorkomen. Als dienstverlening plat komt te liggen - of erger - dan krijg je paniekvoetbal met als gevolg paardenmiddelen die niet effectief zijn.
Leuk idee, uitvoering totaal onhaalbaar. Lekken zijn er altijd.
De Overheid vindt dat zij de baas is over alles wat op Nederlands grondgebied gebeurt, inclusief het Internet. Er is momenteel geen alternatief voor de Wet.
Kantoor PC's zijn vaak geïsoleerd en krijgen via een proxy toegang tot bepaalde Internet diensten. Particuliere PC's zijn alleen door een modem afgeschermd. Het lijkt me wel een goed idee om thuisgebruikers aan strengere voorschriften te onderwerpen. Zo is er niet eens een soort rijbewijs verplicht om een computer te mogen gebruiken.
Vaccinatie is een leuk idee, maar er zijn geen afdoende anti-malware programma's. MIsschien zou je Windows moeen verbieden.
Kansloos. Er bestaan geen vaccins. Wat wel helpt is afstappen van deze monocultuur, zodat we niet in 1 klap worden weggevaagd door 1 beestje.
Elke monocultuur werkt tegen een goed security pakket. Security doe je dus nooit met een bepaald systeem, maar met een veelheid aan verschillende benaderingen.
Het feit dat er geen enkele serieuze concurrent is voor Windows is natuurlijk ook veelzeggend. Het probleem ligt dus niet alleen bij Windows maar zeker ook bij de concurrentie die er niet in slaagd een gebruiksvriendelijk product op de markt te brengen.
Wel zien we dat nu ook andere systemen belaagd worden en grote security bedreigingen vormen, zoals met name Linux dat oa in Android een grote rol speelt.
Dus van de regen in de drup komen is niet echt een zinvolle oplossing..
Reageer
Preview