211service.com
Antivirusskydd blir socialt
Människor litar ofta på sin vänkrets för stöd. Nu hoppas ett nystartat företag kunna utnyttja dessa sociala kopplingar för att skapa och leverera säkerhetsprogramvara som skyddar användare från datavirus och andra digitala hot.

Riskbedömning: Immunet Protect (ovan) ger uppdateringar om de hot som stoppas av programvaran som fortfarande är under utveckling. Framtida versioner kommer att innehålla information om skadlig programvara som upptäckts på vänners datorer.
På onsdag startar Immunet meddelat dess första produkt, Immunet Protect, ett program som kontrollerar nedladdade filer mot en katalog med skadlig programvara, som virus och trojanska hästar. Företaget ansluter sig till en handfull andra för att omvandla mycket av sina upptäcktsmöjligheter till en tjänst som erbjuds över Internet eller molnet. Ändå är den verkliga skillnaden, säger dess grundare, programvarans förmåga att skydda digitala gemenskaper – de användare som är sammankopplade via sociala nätverk som snabbmeddelanden, Facebook eller Twitter.
Eftersom skadlig programvara färdas snabbt genom meddelanden som skickas till vänner via e-post, snabbmeddelanden och andra sociala tekniker, planerar Immunet att använda samma vägar för att skicka den nödvändiga informationen för att skydda användarna, säger Oliver Friedrichs, VD och grundare av fyra personer fast.
Vi ser en ökning av antalet hot som sprids via sociala nätverk, såväl som attacker på sociala nätverkssajter i allmänhet, säger Friedrichs. Ditt sociala nätverk blir en större attackvektor än det har varit tidigare. Vår strategi är att skydda det sociala nätverket.
Immunets användare kommer att kunna se vem i deras sociala nätverk som är en aktuell användare av tjänsten. Till exempel kan Facebook-användare se vilka av deras vänner som också har installerat Immunet Protect. Tjänsten kommer också att tillåta användare att se om deras vänner har sett en större andel hot än befolkningen av Immunet Protect-användare som helhet.
Tanken är att behandla skadliga program mindre som ett analysproblem – där en fil granskas för att avgöra om den utgör ett hot – och mer som ett datautvinningsproblem, säger Friedrichs. När en ny fil laddas ner till en användares dator skickas information om mer än 100 attribut till Immunets servrar. Om ett hot upptäcks kommer tjänsten att svara på en femtedels sekund; annars tillåts filen köras medan företaget försöker analysera filens attribut.
Det finns så många hot idag att en analytiker inte kan analysera dem alla, så vi använder datautvinningstekniker för att hitta nålarna i höstacken, säger Friedrichs. Vi anser att vår användarbas är ett mycket stort sensornätverk.
Det är ingen hemlighet att nuvarande antivirusprogram har problem med att upptäcka de senaste hoten. Förra veckan släppte antivirusföretaget Panda Security en rapport som visar att 52 procent av skadlig programvara inte ses på mer än 24 timmar, eftersom de cyberbrottslingar som är ansvariga för att sprida programvaran komprimerar och ordnar om den binära koden på ett annat sätt varje dag, en teknik som kallas packning. Möjligheten att ordna om koden har försatt traditionella antivirusföretag i underläge. I en uppsats som publicerades förra året fann datavetare vid University of Michigan att även de bästa antivirusprogrammen bara kunde upptäcka tre fjärdedelar av nypackad skadlig kod. Det tog tre månader för den bästa antivirusmotorn att upptäcka 90 procent av den farliga programvaran.

Säkerhet i siffror: Immunet Protect integreras med Facebook för att tillåta användare att se om deras vänner använder programvaran.
Det finns ingen enkel lösning på problemet, tyvärr, säger Jon Oberheide , en doktorand vid University of Michigan och huvudförfattaren till uppsatsen. Kampen är ganska asymmetrisk, med vågen som tippas kraftigt till angriparens fördel. Vi måste fokusera våra ansträngningar och resurser på tillvägagångssätt som avsevärt kommer att minska denna asymmetri, istället för att fortsätta det oändliga spelet med reaktiv ikapp, som leverantörerna uppenbarligen förlorar.
För att bearbeta och analysera virus snabbare har flera företag gått över till en molnmodell, där skannern – i stället för att sätta en intelligent analysmotor på varje användares dator – är ett dumt program som konverterar varje ny fil till en lista med attribut som sedan skickas till programvaruleverantörens servrar. Dessa servrar analyserar filattributen och avgör om det är skadligt.
Andra antivirusföretag har redan börjat bygga om sina antivirusprogram med molnmodellen. McAfee, Panda och Prevx tillhandahåller redan en viss nivå av automatiserad analys som en onlinetjänst för användare.
Pedro Bustamante, senior forskningsrådgivare hos Panda Security, hävdar att communitydata kan hjälpa antivirusföretag att prioritera sina analysinsatser. Panda ser nästan 50 000 filer om dagen, varav cirka 37 000 är exempel på skadlig kod.
Jag har inte sett en produkt ännu som använder community som en upptäcktsfaktor, säger han. Jag tror att det kan vara ett bra komplement till detektionsteknik men inte en fristående lösning.
Men Immunets tillvägagångssätt sätter företaget i de mycket tidiga stadierna av en molnantiviruslösning, tillägger Bustamante. Det tar lång tid att utveckla dessa tekniker i molnet.
Friedrichs understryker att Immunets tjänst inte är komplett – den är fortfarande under utveckling. Företaget arbetar med att lägga till generiska upptäckter och heuristik för att flagga stora kategorier av hot, vilket borde göra dem lättare att identifiera. Dessutom överväger företaget för närvarande sätt att hantera potentiellt skadliga filer när användarens dator inte är ansluten till internet.