Det er et økende gap mellom tidspunktet et gitt eksemplar ondartet kode (virus, orm, osv.) opptrer på internett, og tidspunktet signaturen til samme ondartede kode finner veien til brukernes antivirusprodukter. Dette betyr at det til enhver tid finnes store mengder ondartet kode som ikke kan detekteres og/eller fjernes av antivirusprodukter.
For å tallfeste dette problemet, utførte vi for tre år siden et lite eksperiment sammen med studenter fra NTNU. Vi tok fire PCer, installerte Windows XP med de siste oppdateringene, og installerte antivirusprogramvare på alle maskinene. Deretter koblet vi maskinene til en usikret internettforbindelse (uten brannmur), og begynte så å utøve forskjellige former for risikoadferd; vi koblet maskinene til fildeingsnettverk, vi besøkte tvilsomme nettsider, vi søkte etter piratkopiert programvare, og i tillegg passet vi på å klikke “Yes” på alle former for oppsprettvinduer vi snublet over på vår vei.
Etter to uker med entusiastisk og ukritisk internettbruk, foretok vi et “off-line” søk etter ondartet kode på alle datamaskinene ved å starte dem opp fra en egen CD med oppdatert antivirusprogram. Deretter ble alle maskinene skrudd av for å hvile seg en måned. 3. november 2008 gjentok vi så søket, med oppdaterte virussignaturer. Til vår overraskelse viste det seg at vi nå detekterte 124 unike eksemplarer av ondartet kode som ikke hadde blitt oppdaget for en måned siden!
Vår konklusjon er at våpenkappløpet mellom antivirusbransjen og slemme mennesker som lager ondartet kode er i ferd med å bli vunnet av sistnevnte. Hvis du bedriver risikoadferd på internett, kan ikke et oppdatert antivirusprogram garantere at du ikke blir infisert – sjansene er faktisk vesentlig bedre enn å vinne i lotto. Dette betyr i ytterste konsekvens at vi må finne bedre måter å finne ondartet kode enn å lete etter signaturer.
Mer informasjon om dette temaet finner du i følgende artikler:
Where Only Fools Dare to Tread: An Empirical Study on the Prevalence of Zero-Day Malware
Fools Download Where Angels Fear to Tread
Ta gjerne direkte kontakt hvis du ønsker å lese disse artiklene.