‘Android is speeltuin voor malwareschrijvers’
Op de virtualisatiebeurs VMworld in Kopenhagen zat ZDNet even samen met Patrick Dalvinck, hoofd van de Beneluxafdeling van beveiligingsspecialist Trend Micro. We vroegen hem naar de nieuwste trends in malware en hoe het gesteld is met de veiligheid van smartphones en tablets.
ZDNet: Hoeveel malwarestukken ontdekken jullie per dag?
Dalvinck: “Nu zijn dat er gemiddeld zo’n drieduizend per uur. Toen ik in 1994 begon in de beveiligingsbusiness stuurden we nog floppy’s met virusupdates naar onze klanten. Later gingen we elke donderdag updaten. Vandaag zitten we op realtime-updates waar een paar duizend dingen per uur bijkomen.”
Gaat het dan om hetzelfde soort malware als pakweg twee jaar terug?
“De hoeveelheid neemt toe, maar het type verandert ook. Momenteel zien we bijvoorbeeld trage aanvallen. Die zijn zodanig onopvallend dat ze moeilijk te detecteren zijn. De afgelopen maanden zijn die exemplaren in aantal met tweeduizend procent gegroeid.”
[related_article id=”161920″]
De eindgebruiker is doorgaans de zwakste schakel. Geldt dat ook voor deze nieuwe evolutie?
“Zeker, al is het ook voor een deel de technologie. Onze technologie is nu bijvoorbeeld 180 graden omgedraaid, omdat we er vaak van zijn uitgegaan dat de gebruiker weet waar hij op klikt en of die klik veilig is.
"Maar je mag er niet van uitgaan dat de gebruiker weet wat goed en slecht is. Daarom heb je een beveiligingssysteem nodig dat in realtime up-to-date is. Mensen willen trouwens ook geen software waarbij ze telkens moeten herstarten of hun updates moeten installeren.
“Wat we nu veranderd hebben is dat alles in de cloud staat. Alles is gebaseerd op reputatiesoftware, waarbij er nog maar een klein beetje software op je pc of tablet staat. Zo gebruikt de klant een dienst waarvan hij zeker weet dat deze up-to-date is. Surft hij naar een website, dan gaat de beveiliging op je pc eerst vragen aan Trend Micro: ‘is deze website op dit moment veilig?’ Want zulke dingen kunnen tegenwoordig in twee uur tijd veranderen.”
Gaat zo’n controle er niet voor zorgen dat je trager surft, als er telkens moet worden gecontroleerd?
“Die check is eigenlijk een DNS-query, dus in de tijd dat je naar de website gaat, heb je het antwoord. Want snelheid blijft ook belangrijk als je zoiets implementeert.
“Er is nog altijd een lokale component op je toestel. Een agent die daar zijn werk doet, maar die haalt heel veel informatie uit de cloud. De hele handtekeningendatabase zit gewoonlijk in je RAM-geheugen. Door dat in de cloud te zetten kun je dat geheugen voor andere dingen gebruiken.”
Hoe zit het eigenlijk met malware op smartphones en tablets?
“Dat is volop aan de gang. De afgelopen maanden hebben we daar een gigantische toename in gezien. Als je kijkt naar de toestellen van vandaag, dan verwacht ik dat we binnen twintig jaar zelfs niet meer met laptops gaan werken. Er is een enorme versnelling bezig. De golf van consumententoestellen is niet meer te stoppen.
“Een jaar geleden had je veel CIO’s die daar niet aan wilden meedoen, bijvoorbeeld door (privé)smartphones van hun werknemers te verbieden in de bedrijfsomgeving. Vandaag komen ze tot de conclusie dat ze het niet kunnen tegenhouden. Zeker niet als ze nieuwe werknemers willen aantrekken.”
Malware schuift dus mee op naar tablets en smartphones. Maar ook naar iOS? Is Apple nog steeds het zelfverklaarde virusvrije merk?
“Het fabeltje van iOS of Apple is bullshit. Het is een fabel gecreëerd vanuit de optiek dat er amper malware voor Apple werd ontwikkeld. Waarom? Omdat Apple nauwelijks marktaandeel had. Nu is de populariteit van Apple enorm gestegen en daarom is Apple momenteel een veel interessanter platform om malware voor te maken.”
Hoe gebeurt dat dan? De App Store van Apple wordt doorgaans toch strenger gecontroleerd dan de Android Market van Google?
“Het is niet per se gericht op het toestel zelf. Wel zien we dingen verschijnen die je iOS-toestel gebruiken als springplank naar je netwerk. Zo kan je met bepaalde malware op een iPhone toegang krijgen tot het bedrijfsnetwerk om daar te werken.
“Het klopt wel dat iOS veel meer gesloten is dan Android. Android is zo open als wat, dus dat is een speeltuin voor malwareschrijvers, de hemel op aarde. Het is makkelijker om malware voor Android te verspreiden omdat er bij Apple veel meer controle zit op de App Store zelf. Als je een applicatiewinkel bouwt, moet je ervan uitgaan dat er malwareontwikkelaars voor zijn.
“Aan de andere kant kan malwareverspreiding ook op andere manieren. Zelfs als je uitsluitend naar gekende websites gaat, want die kunnen ook gehackt worden. Daarom moet je technologie hebben die gebaseerd is op een reputatieservice. Wie als eerste een geïnfecteerde site bezoekt, heeft dan nog altijd prijs. Maar iedereen die daarna komt, krijgt een waarschuwing. Als die infectie twee uur later wordt beveiligd, dan is die reputatie nadien ook weer hersteld."