Wie zich ooit al eens afvroeg hoe een bedrijf functioneert achter de façade van het antivirusprogramma, leest hier best verder.

shutterstock_271268744

Tussen cybercriminelen en antivirusbedrijven is er al jarenlang een kat-en-muis-spel bezig. Elke stap die de ene partij zet, wordt door de anderen nauwkeurig in de gaten gehouden. Wij gingen aan twee beveiligingsspecialisten vragen hoe ze aan kop proberen te blijven in die oneindige race.

Het jaar is 1982. Sony lanceert zijn eerste cd-speler, de film E.T. lokt horden mensen naar de bioscoop en Michael Jackson brengt Thriller uit. En in Mt. Lebanon, Pennsylvania, schrijft de vijftienjarige student Rich Skrenta “Elk Cloner”, waarschijnlijk het allereerste computervirus (voor de Apple II in dit geval) dat zich in het wild verspreidt. In de jaren zeventig waren er ook al wel computervirussen, maar die waren gemaakt voor mainframes als de UNIVAC en de DEC-PDP 10 en doken nooit op buiten het computerlab.

 
Skrenta zal het waarschijnlijk zelf niet beseft hebben, maar hij was toen een van de founding fathers van een ondergrondse industrie waar tegenwoordig miljarden dollars in omgaan. Al vlug na de opkomst van de virussen, duiken in de tweede helft van de jaren tachtig ook de eerste antivirusbedrijfjes op. Het is het begin van een wedloop waarvan het eind nog lang niet in zicht is.

Wat is het?

Voor we wat dieper ingaan op de manier waarop antivirusbedrijven werken, is het misschien handig om nog even te recapituleren wat antivirus-software precies doet. Antivirussoftware is software die voortdurend op je pc draait. Dat gebeurt op de achtergrond, zodat je er normaliter weinig tot niks van merkt. Elk programma dat je echter opent op je pc, zal door de software eerst gescand worden.

Het lijkt wel alsof zo’n EXE-bestand meteen openspringt, maar op dat moment heeft je McAfee-, AVG-, Trend Micro- of G-Data-programma het al helemaal nagekeken op alle reeds gekende virussen, wormen, trojaanse paarden en ander digitaal gespuis.Om dat voor mekaar te krijgen, gebruikt de software daarvoor zogeheten “virusdefinities”, een soort omschrijving waarin de “signature” of “handtekening” van het virus staat en waaraan het herkend kan worden. Dat is ook de reden waarom je antivirussoftware heel regelmatig moet geüpdatet worden: om nieuwe virusdefinities binnen te halen.

Verdacht gedrag

Uiteraard bestaat ook de kans dat er al gloednieuwe virussen rondzwerven waarvoor nog geen definitie bestaat. Daarom doet ongeveer elk antiviruspakket ook aan zogenaamde “heuristische analyses”. Daarbij worden bestanden nagekeken op verdacht gedrag, bijvoorbeeld wanneer ze zichzelf onverwacht gaan kopiëren of trachten zichzelf te verbergen. Als dat gebeurt, zal je software ook voor dit soort bestanden alarm slaan.

Natuurlijk zitten virussen tegenwoordig niet alleen meer in uitvoerbare programma’s, maar ook in heel wat andere soorten bestanden, Word-documenten bijvoorbeeld of Excel-rekenbladen of gecompresseerde zip-bestanden. Ook die kunnen door de software gescand worden op onheil.

En dan hebben we het nog niet eens gehad over alle manieren waarop je malware kan oplopen langs je webbrowser, via kwaadaardige downloads, vervalste reclamebanners of besmette Javascript-code bijvoorbeeld. En het kan nog gekker: vorig jaar ontwikkelden onderzoekers van de universiteit van Liverpool een virus dat zichzelf draadloos, via de lucht, kan verspreiden via kwetsbaarheden in Wi-Fi-routers.

Op die manier komt een computervirus dus al aardig in de buurt van een verkoudheidsvirus. Om maar te zeggen: de taak van de virusjagers is er met de jaren niet eenvoudiger op geworden. En dat is iets wat ook Eddy Willems, security evangelist van het Duitse G-Data en Steven Heyde, BeLux Country Manager van Trend Micro beamen. Niet alleen steeg de hoeveelheid malware de laatste jaren explosief, ook de complexiteit van de kwaadaardige software wordt almaar groter.

Eddy Willems, Security Evangelist van G-Data.
Eddy Willems, Security Evangelist van G-Data.

 

Om te beginnen, stellen we de twee heren een misschien wat triviale maar noodzakelijke vraag: op welke manieren komt een antivirusbedrijf eigenlijk aan virussen? Dat blijken er nogal wat te zijn.  “Bij G-Data komen die langs verschillende kanalen binnen”, legt Eddy Willems uit. “We schuimen zelf actief het internet af met een crawler, een soort Google-achtige zoekrobot die enkel en alleen naar kwaadaardig software zoekt. We hebben ook verschillende honeypots geïnstalleerd.

Dat zijn servers waarop geen enkele beveiliging staat en die speciaal bedoeld zijn om malware te trekken, een beetje als honing, inderdaad (lacht). We maken ook gebruik van de website Virus Total, waar mensen verdachte bestanden naar toe kunnen sturen om te laten scannen. Nog een belangrijk kanaal zijn onze eigen klanten die bepaalde rariteiten signaleren aan onze support-diensten. En last but not least: we wisselen ook virussen uit met zo goed als alle andere antivirusbedrijven. Die gaan allemaal in een centrale database waar iedereen toegang toe heeft.”

Die database wordt ook heel goed aangevuld: ongeveer om de twee à drie seconden wordt er een nieuw virus ontdekt, zegt Willems. “De bekende site AV-Test.org heeft het zelfs over drie per seconde, maar zij rekenen wel gelijkaardige varianten en afgeleiden er bij. Maar ook zonder die varianten blijft het een gigantisch cijfer natuurlijk. Dat gaat dus echt over terabytes en terabytes aan data per dag.”

Mee-evolueren met de criminelen

Steven Heyde, Country Manager BeLux Trend Micro
Steven Heyde, Country Manager BeLux Trend Micro

Ook Trend Micro werkt op een gelijkaardige manier, zegt Steven Heyde. Het belang van het werken met “signatures” wordt voor hen ook almaar minder belangrijk, omdat de hoeveelheid virussen zo groot is geworden, dat de handtekeningen ze haast niet meer kunnen bijbenen.

“Als beveiliger moet je op verschillende fronten tegelijk actief zijn”, zegt hij. “Je moet mee-evolueren met de cybercriminelen. Daarom onderhouden we bijvoorbeeld ook nauwe samenwerkingen met telecomoperatoren en bedrijven als Facebook. Door kwaadaardige links te delen met (potentieel) een paar honderd miljoen mensen, kan je natuurlijk heel wat schade aanrichten.”

Zowel G-Data als Trend Micro beschikken wereldwijd over verschillende labo’s waar de virusactiviteiten dag en nacht gemonitord worden. “Dat gaat voor 90% automatisch”, zegt Willems, “maar alles aan machines overlaten, dat lukt niet. Er komt nog heel regelmatig menselijk bij vernuft kijken.” Dat blijkt ook wel uit de personeelsbezettingen van beide bedrijven. Bij G-Data is er ongeveer 480 man aan de slag, ruim een derde daarvan zijn ingenieurs. Trend Micro heeft zelfs 5.500 mensen op de loonlijst staan, daarvan houden er liefst 3.500 zich bezig met research en ontwikkeling.

In de begindagen van de virussen werden ze nog vooral geschreven als een soort sport. Hackers en computerfreaks probeerden elkaar de loef af te steken met zo ingenieus mogelijke stukjes code, puur om de prestige. Virusschrijvers deden dikwijls zelfs hun best om op de geïnfecteerde computers zo weinig mogelijk schade aan te richten.

Die tijden zijn al lang voorbij, zeggen de twee specialisten. “Het is momenteel puur crimineel gedrag”, stelt Heyde. “En het draait maar om één ding: geld. In de cybercriminaliteit gaat ondertussen al meer geld om dan in de drugshandel. Je kan je dus wel voorstellen dat de mensen die er zich mee bezighouden zich door niks of niemand laten afstoppen.”

“Héél, héél af en toe kom je nog wel eens een stuk malware tegen dat voor de sport geschreven is”, zegt ook Willems, “maar dat zijn echt wel uitzonderingen geworden. In 99,9% van de gevallen gaat het om bendes die geld willen verdienen, niet meer en niet minder.”

Tegenwoordig zijn er ook al criminelen die zich gespecialiseerd hebben in het verkopen van malware aan derden, zegt Heyne. “Als klant krijg je als het ware een menu van diensten en software die ter beschikking staat. Wil je een botnet? Dat kost je pakweg twintig dollar per maand. Wil je een server die de controle over andere computers kan overnemen? Zoveel dollar extra. Wil je de zekerheid dat men je niet offline kan halen? Alweer zoveel dollar extra. Wil je nummers van kredietkaarten? Het is allemaal mogelijk. Je kan op voorhand zelfs garanties krijgen over welke viruspakketten de malware kunnen tegenhouden, want ze zullen die zelf op voorhand testen.”

Naast pure criminelen is er trouwens nog een groeiende groep die zich met virussen en malware begint bezig te houden, zegt Willems: overheidsdiensten. “Ik schat dat pakweg 0,05% van wat we aantreffen in het wild, gemaakt is door overheden en naties. In absolute aantallen is dat nog een absolute minderheid, maar dit soort malware slorpt wel heel veel resources op in het analyseproces, omdat de software meestal bijzonder gesofisticeerd in mekaar is gestoken. We zien trouwens ook dat ideeën die eerst door overheden worden gebruikt in hun malware nadien opduiken in software die door criminelen is gemaakt. Zij laten zich daar dus graag door inspireren.”

Als specifiek voorbeeld noemt Willems Uroburos, een stuk malware dat uit Rusland kwam en onder meer werd aangetroffen op servers van het Belgische ministerie van Buitenlandse Zaken. “In Finland zijn we het ook tegengekomen en in nog een paar andere landen ook, maar dat heeft nooit de pers gehaald (lacht).

Uroburos heeft waarschijnlijk vijf jaar lang onder de radar zijn ding kunnen doen, zonder dat iemand het ooit gemerkt heeft. Regin, de beruchte malware waar Belgacom mee besmet was, stond ook al jarenlang op hun servers. Je kan je dus de vraag stellen of er ondertussen al niet nog straffere overheidsmalware uitgekomen is. Eerlijk: de kans is groot, maar we weten het niet.”

Op maat van het slachtoffer

Of een stuk malware door een bende werd gemaakt of een door een overheid die over enorme middelen beschikt, is meestal snel te merken, legt Willems uit. “De techniek van het programmeren steekt er vaak met kop en schouders bovenuit en er worden soms heel ingenieuze en complexe manieren verzonnen om de malware te verspreiden.

P2P-achtige technieken bijvoorbeeld: zelfs als in een bedrijf of organisatie maar één pc aan het internet hangt, is dat vaak al genoeg om een compleet netwerk te besmetten. Je merkt het ook aan het uiteindelijke doel dat het virus heeft. Uroburos was bijvoorbeeld puur toegespitst op het doorcommuniceren van informatie: documenten, bestanden, alles wat werd ingetikt op het toetsenbord, tot zelfs complete Skype-gesprekken toe.”

Die zeer doelgerichte malware die bijna op maat van een bepaalde groep is gefabriceerd, is trouwens nog een trend die almaar duidelijker wordt, zegt Steven Heyde. “Zowat 99% van alle malware die we de afgelopen zes maanden hebben aangetroffen, heeft minder dan tien slachtoffers gemaakt. Dat is dus echt software die helemaal is toegespitst op zeer individuele personen of organisaties.”

Over waar de meeste malware vandaan komt, hoeven Willems en Heyde ook niet lang na te denken. “Oost-Europa, China, India en Brazilië, dat zijn zowat de usual suspects”, zegt Willems. “Dat wil niet zeggen dat er in België en Nederland niks gemaakt wordt, hoor, maar heel vaak komt het toch uit die richting.”

 

Zeker Russische malware is altijd al goed vertegenwoordigd geweest, zegt Heyde. “Het is een land waar heel veel kennis aanwezig is en waar een boel knappe koppen bij mekaar zitten. Het schrijven van kwaadaardige software is voor dat soort mensen vaak ook een aantrekkelijke keuze omdat ze weten dat het risico dat je in de gevangenis vliegt, niet zo geweldig groot is. Bovendien zit je daar met een overheid die van het elektronisch bespioneren van vijanden en niet-bevriende naties een doodnormale praktijk heeft gemaakt. Ook in de “privésector” is die mentaliteit dus doorgesijpeld.”

Ex-hacker zkt. werk

Om af te sluiten willen we nog een hardnekkige mythe controleren bij de twee beveiligingsexperts. Klopt het dat veel personeelsleden van antivirusbedrijven in het verleden ooit hackers en virusschrijvers geweest zijn, zoals je hier en daar wel eens hoort? Ons duo is formeel. “Trend Micro zoekt researchers die een diepe kennis hebben van het malwarelandschap en zelfs van specifieke onderdelen daarvan, industriële SCADA-systemen bijvoorbeeld, maar we huren geen hackers in. Eenmaal je die grens hebt overschreden, ben je ethisch verbrand.

Ook Willems deelt die mening. “Het is absoluut niet onze gewoonte om ex-virusschrijvers of hackers in te huren. Integendeel, tijdens het aanwervingsproces zullen we die zelfs actief eruit proberen te halen. Waar we dan wel personeel vinden? Aan universiteiten uiteraard, maar ook bijvoorbeeld bij concullega’s, er is nogal wat verloop in het wereldje. De skills die een virusschrijver moet hebben, zijn trouwens ook niet volledig de skills die wij zoeken in analisten. Het overlapt wel, maar het is niet 100% hetzelfde. De mensen die bij ons werken, moeten heel secuur en analytisch te werk gaan. Een cybercrimineel beschikt niet alleen over heel andere tools, zijn doelstelling is ook helemaal anders.”

Bij antivirusbedrijven zal een voormalig cybercrimineel dus waarschijnlijk niet aan de bak komen, maar dat wil niet zeggen dat zijn kansen op de regulieren arbeidsmarkt helemaal verkeken zijn. “Bij pure security-bedrijven zie je soms wel dat ze voor bijvoorbeeld penetration testers voormalige hackers inhuren”, zegt Willems. “Dat zijn dan mensen die zogenaamd de klik hebben gemaakt. De lijn is daar dus dunner, maar het lijkt mij vooral ook gevaarlijker.”