Antivirus såå 2007

Enligt Göran Thulin, säkerhetsexpert hos it-jätten Cisco, är innehållsbaserat skydd på väg att bli stort inom it-säkerhet.

– Tidigare har företagen installerat brandväggar och kontrollerat vem som får surfa. Nu blir det mer fokus på på innehållet i trafiken, att analysera på djupet, säger han till Realtid.se.

– Förr var it-skyddet som en dörr som är låst. Har man nyckeln så kommer man in.

Men på en flygplats räcker det inte att man har en biljett. Allt passerar också en metalldetektor.

Samma sak håller på att hända inom it-säkerhet. Det kallas content security och innebär att innehållet kontrolleras på djupet.

Deep Packet Inspection, DPI, är en teknknologi som används av annonsbolag som amerikanska Nebuad och brittiska Phorm för att filtrera innehåll.

– Det är en sådan funktion, säger Göran Thulin.

Var använder Cisco innehållsbaserat skydd?

– I flera produkter. I våra brandväggar, i vårt mejlskydd Ironport och i vårt url-surfskydd så kontrollerar vi skadlig kod och phishing när man surfar. Ett exempel är Dolphins hemsida. Under Superbowl 2007 blev den hackad och började distribuera skadlig kod.

Användare som förut kunnat lita på sajten smittades plötsligt.

– Det är ju en okej sajt i vanliga fall. Då hjälper det inte med svart- och vitlistning.

Merparten av all programkod som skrivs i världen är avsedd att skada, enligt it-säkerthetsföretaget Symantecs årliga Internet Security Threat Report i april.

Av 54.609 olika program som Symantec undersökt i Windows-datorer var 65 procent skadliga.

Symantec tror att andelen skadliga program kommer att fortsätta växa. Då blir det effektivare att hålla reda på betrodda program. Vitlistning av betrodda utgivare kompletterar svartlistning av kända virus.

Symantecs produkt Norton Antivirus använder nu för första gången en lista över betrodda program, antingen från kända tillverkare eller som godkänts av tusentals användare.

Symantec svartlistar fortfarande trojaner och annan skadlig kod. Då gäller det att hänga med.

– I stället för att som förut uppdatera någon gång i veckan uppdaterar vi nu var femte minut. Det dyker upp ungefär 7.500 nya trojaner varje dag, så det vill till att man tar i med hårdhandskarna, säger Symantecs säkerhetsprofil Per Hellqvist till Realtid.se.

Konkurrenten Cisco har gett upp försöken att själva hinna svartlista alla nya virusvarianter.

Cisco använder sedan ett år tillbaka sin egen säkerhetsprodukt för företagskunder. Från början var det uteslutande ett beteendebaserat skydd. Cisco släppte helt sonika in den skadliga koden i datorn. Det viktiga är att se till så att den inte kan göra skada.

– I teorin kan du ha datorn proppfull med virus, men de kan inte göra något, för vi stoppar dem, säger Ciscos säljare Markus Josefsson till Realtid.se.

Tekniken har funnits länge – Spanska Panda började sälja beteendebaserat skydd som komplement redan 2004. Sedan i somras kompletterar Cisco med svartlistning genom att skicka med gratisprogrammet Clam.

Symantec har beteendebaserat skydd sedan ett par år tillbaka.

– När du klickar på en fil tittar vi på vad den gör. Försöker den dölja något? Det görs ett hundratal kontroller, säger Per Hellqvist på Symantec.

Ett beteendebaserat skydd behöver bara hålla reda på ett begränsat antal skadliga beteenden. Ett virus kan försöka skicka en fil eller ett mejl, öppna en port, ändra inställningar i registret, installera något eller tjuvlyssna på tangentbordet med en så kallad keylogger.

– Det täpper till väldigt mycket, men är oerhört krångligt att jobba med. I princip skulle man kunna spärra ner ett system så mycket så att det inte spelar någon roll om användaren klickar på en trojan, säger Per Hellqvist.

Hos Symantec är beteendebaserat skydd ett komplement till andra metoder som svart- och vitlistning, brandväggar, nätverksbaserat skydd där datorerna varnar varandra.

– Jag brukar säga att det är som att jämföra ett ägg med en rödlök, säger Per Hellqvist.

– Ägget har ett hårt skal, men väl igenom är resten mjukt och mysigt. Löken har flera lager. Det ger en mer robust säkerhet.

Cisco rekommenderar också flerskiktsprincipen.

– Det finns ingen silver bullet i branschen som löser allt, säger Ciscos sägerhetsexpert Göran Thulin.

Att betala för svartlistning som enda åtgärd är ”fullkomligt slöseri med pengar” eftersom datorn då förr eller senare kommer att bli smittad ändå, hävdade Ciscos chief security officer John Stewart under en konferens i australien i maj.

Då var han ensam om att säga det, men nu får han medhåll av Raimund Genes, chief technology officer hos Trend Micro, på sajten Zdnet.

Trend Micro erbjuder beteendebaserat skydd som en komponent av flera i paketet Worry-Free Business Security.

Trots att Trend Micro fortfarande säljer en komponent för svartlistning separat, tycker Raimund Genes att det är bättre att välja svartlistning från till exempel AVG – ett gratisalternativ som också Cisco rekommenderar. Men det krävs kunskap och erfarenhet för att kombinera ihop något som håller tätt från gratiskomponenter.

– Om du är ett säkerhetsnörd kan du kombinera en gratis brandvägg med gratis svartlistning och så vidare till ett fungerande skydd. För den vanlige slutanvändaren är det mission impossible. Du behöver ett säkerhetspaket som kombinerar alla dessa komponenter – det får du inte gratis.