211service.com
Antivirus-eran är över
För två veckor sedan idag kom datasäkerhetslaboratorier in Iran , Ryssland , och Ungern meddelade upptäckten av Flame, den mest komplexa skadliga programvara som någonsin hittats, enligt Ungerns CrySyS Lab.
I minst två år har Flame kopierat dokument och spelat in ljud, tangenttryckningar, nätverkstrafik och Skype-samtal och tagit skärmdumpar från infekterade datorer. Den informationen skickades vidare till en av flera kommando-och-kontrollservrar som drivs av dess skapare. Under hela den tiden slog ingen säkerhetsprogramvara larm.
Flame är bara den senaste i en rad incidenter som tyder på att konventionell antivirusprogramvara är ett föråldrat sätt att skydda datorer mot skadlig programvara. Flame var ett misslyckande för antivirusindustrin, Mikko Hypponen, grundare och forskningschef för antivirusföretaget F-Secure, skrev förra veckan. Vi borde verkligen ha kunnat göra det bättre. Men det gjorde vi inte. Vi var utanför vår liga, i vårt eget spel.
De program som är nyckeln till datorsäkerhet för både företag, regeringar och konsumenter fungerar som antivirusprogramvaran på konsumentdatorer. Hot upptäcks genom att jämföra koden för program och deras aktivitet mot en databas med signaturer för känd skadlig programvara. Säkerhetsföretag som F-Secure och McAfee undersöker ständigt rapporter om ny skadlig programvara och uppdaterar sina signaturlistor därefter. Resultatet är tänkt att bli en ogenomtränglig mur som håller skurkarna utanför.
Men under de senaste åren har högprofilerade attacker mot inte bara den iranska regeringen utan också USAs regering har skett med hjälp av mjukvara som likt Flame kunde valsa rakt förbi signaturbaserad mjukvara. Många tekniskt sofistikerade amerikanska företag – inklusive Google och datorsäkerhetsföretaget RSA – har blivit föremål för sina företagshemligheter på liknande sätt, om än med billigare skadlig programvara. Mindre företag äventyras rutinmässigt, säger experter.
Vissa experter och företag säger nu att det är dags att sänka antivirusskyddet. Det är fortfarande en integrerad del [av malware-försvar], men det kommer inte att vara det enda, säger Nicolas Christin , en forskare vid Carnegie Mellon University. Vi måste gå bort från att försöka bygga Maginot-linjer som ser skottsäkra ut men som faktiskt är lätta att ta sig runt.
Både Christin och flera ledande säkerhetsstartups arbetar med nya försvarsstrategier för att försvåra attacker och till och med göra det möjligt för de som är måltavla att slå tillbaka.
Branschen har haft fel när de fokuserar på angriparnas verktyg, exploateringen, som är mycket föränderliga, säger Dmitri Alperovitch, teknisk chef och medgrundare av CrowdStrike , en startup i Kalifornien grundad av veteraner från antivirusindustrin som har fått 26 miljoner dollar i investeringsfinansiering. Vi måste fokusera på skytten, inte pistolen – taktiken, de mänskliga delarna av operationen, är minst skalbara.
CrowdStrike är inte redo att offentliggöra detaljer om sin teknologi, men Alperovitch säger att företaget planerar att erbjuda ett slags intelligent varningssystem som kan upptäcka till och med helt nya attacker och spåra deras ursprung.
Den här typen av tillvägagångssätt är möjlig, säger Alperovitch, för även om en angripare lätt skulle kunna justera koden för ett virus som Flame för att undvika antivirusskannrar igen, skulle han eller hon fortfarande ha samma mål: att komma åt och extrahera värdefull data. Företaget säger att dess teknologi kommer att vila på big data, vilket möjligen betyder att den kommer att analysera stora mängder data relaterade till många spår av aktivitet på en kunds system för att ta reda på vilken som kan komma från en infiltratör.
Christin, från Carnegie Mellon, som nyligen har undersökt de ekonomiska motiven och affärsmodellerna för cyberangripare, säger att det är vettigt. De mänskliga kostnaderna för dessa sofistikerade attacker är en av de största, säger han. Att förhindra en attack är inte längre en fråga om att neutralisera en bit kod från ett ensamt geni, utan om att besegra skickliga grupper av människor. Man behöver experter inom sitt område som också kan samarbeta med andra, och de är sällsynta, säger Christin. Försvarsprogram som kan stänga av de vanligaste taktikerna gör det ännu svårare för angripare, säger han.
Andra företag har börjat prata i liknande termer. Det går tillbaka till 80-talets brottsbekämpande slogan: 'Brott lönar sig inte', säger Sumit Agarwal, en av grundarna till Shape Security , en annan start i Kalifornien som nyligen kom ur smygläge. Företaget har 6 miljoner dollar i finansiering från bland annat ex-Google-chefen Eric Schmidt. Agarwals företag håller också tyst om sin teknik, men det syftar till att höja kostnaden för ett cyberangrepp i förhållande till den ekonomiska vinsten, vilket gör det inte värt besväret att utföra.
Ett företag med liknande tillvägagångssätt är Mykonos Software, som utvecklade teknik som hjälper till att skydda webbplatser genom att slösa hackares tid på att förvränga ekonomin i en attack. Mykonos köptes av nätverksföretaget Juniper tidigare i år .
Antivirusföretag har varit snabba med att påpeka att Flame inte var något vanligt datavirus. Det kom från det internationella spionagevärlden med goda resurser. Men sådana cybervapen orsakar sidoskador (Stuxnet-masken riktad mot det iranska kärnkraftsprogrammet infekterade faktiskt uppskattningsvis 100 000 datorer), och funktionerna i deras design antas av kriminella och mindre resurssnåla grupper.
Aldrig har så många miljarder dollar av försvarsteknik flödat till det offentliga, säger Agarwal från Shape Security. Medan den amerikanska militären går till extrema ansträngningar för att förhindra att flygplan eller ubåtar faller i händerna på andra, finns militär malware som Flame eller Stuxnet där ute för alla att inspektera, säger han.
Agarwal och Alperovitch från CrowdStrike säger båda att resultatet är en ny klass av skadlig programvara som används mot amerikanska företag av alla storlekar. Alperovitch säger sig känna till relativt små advokatbyråer som attackeras av större konkurrenter, och miljöteknikföretag med mindre än 100 anställda som har hemligheter som mål.
Alperovitch säger att hans företag kommer att göra det möjligt för offren att slå tillbaka, inom lagens gränser, genom att också identifiera källan till attackerna. Att hacka tillbaka skulle vara olagligt, men det finns åtgärder du kan vidta mot människor som drar nytta av din data som ökar angriparnas affärskostnader, säger han. De inkluderar att be regeringen att ta upp ett ärende med Världshandelsorganisationen, eller att offentliggöra vad som hände för att skämma ut förövarna av industrispionage, säger han.
Forskning av Christin och andra akademiker har visat att det finns chokepoints som skulle kunna möjliggöra relativt enkla rättsliga åtgärder för att neutralisera cyberbrottslighet. Christin och kollegor undersökte bedrägerier som manipulerar sökresultat för att marknadsföra olagliga apotek och drog slutsatsen att de flesta kunde stoppas genom att slå ner på bara en handfull tjänster som omdirigerar besökare från en webbsida till en annan. Och forskare vid University of California, San Diego, visade förra året att inkomster från det mesta av världens skräppost går via bara tre banker. Det mest effektiva ingreppet mot skräppost vore att lägga ner de bankerna, eller införa ny reglering, säger Christin. Dessa komplexa system har ofta koncentrerade punkter som du kan fokusera på och gör det mycket dyrt att utföra dessa attacker.
Men Agarwal varnar för att även vedergällning inom lagen kan vara illa dömd: Föreställ dig att du är ett stort företag och av misstag simmar in på den ryska maffians väg. Du kan skapa ett större problem än du tänkt dig.