DK-CERT: Nye metoder mod trojanske heste

Den store stigning i mængden af trojanske heste gør det nødvendigt for antivirusprodukter at anvende nye metoder til beskyttelse, skriver lederen af DK-CERT, Shehzad Ahmad, i månedens klumme om it-sikkerhed.

4. oktober 2007 kl. 14.00

Shehzad Ahmad Bestyrelsesmedlem i Rådet for Digital Sikkerhed

Twitter
@shehzadahmad

622.500. Så mange forskellige virus, orme, trojanske heste og andre former for skadelige programmer kan Symantecs sikkerhedsprogrammer standse.

212.101. Så mange af dem blev fundet i første halvår 2007.

Med andre ord er over en tredjedel af de aktive trusler kommet til på bare seks måneder. Vi taler om over 1.100 nye varianter af skadelige programmer hver dag.

Det ser ikke godt ud. Og som tallene viser, er der tale om en voldsom stigning.

Årsagen er primært, at de skadelige programmer kommer i et utal af varianter. Bagmændene udsender hele tiden nye versioner, fordi de vil gøre det sværere for antivirusprogrammerne at genkende skurkene.

Signaturer under pres

Tallene ovenfor stammer fra antivirusfirmaet Symantecs seneste halvårsrapport om sikkerheden på internettet. Og tallene udgør en stor udfordring for netop antivirusfirmaerne. Man begynder at sætte spørgsmålstegn ved, om de traditionelle, signaturbaserede antivirusprogrammer kan håndtere truslen.

Et traditionelt antivirusprogram beskytter mod skadelige programmer ved at sammenligne dem med en liste over signaturer. Hvis programmet optræder på listen, bliver det blokeret.

Men med 1.100 nye programmer om dagen, er det ikke realistisk at skulle opdatere og distribuere en signaturliste. Derfor er der brug for nye midler.

Et af dem er heuristisk genkendelse, hvor man i stedet for signaturer prøver at genkende den opførsel, der er typisk for skadelige programmer. For eksempel at de ændrer i registreringsdatabasen eller kommunikerer med servere på internettet.

En anden lovende teknologi handler om at beskytte mod web-baserede trusler. Her lader man en webside afvikle scripts i et beskyttet miljø, før browseren viser den. Hvis den viser sig at lave ulykker, får den ikke lov til at komme over i den rigtige browser.

Denne teknologi har vist sig særdeles effektiv, rapporterer forskerne bag projektet SpyProxy. De udsatte testprogrammet for en række skadelige websider, og det blokerede for dem alle.

DK-CERT (www.cert.dk) er det danske Computer Emergency Response Team. I samarbejde med tilsvarende CERT'er over hele verden indsamler DK-CERT information om internetsikkerhed. DK-CERT udsender advarsler og tager imod anmeldelser af sikkerhedsrelaterede hændelser på internettet.

DK-CERT's leder, Shehzad Ahmad, opdaterer den sidste fredag i hver måned Computerworlds læsere med de seneste tendenser inden for it-sikkerhed.