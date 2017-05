dinsdag 30 mei 2017

Minder nieuwe malware, maar toch gevaarlijker Hoe de verkeerde statistieken een vals gevoel van veiligheid kunnen geven

AV TEST is één van ’s werelds grootste onafhankelijke labs voor het testen van anti-virusproducten, gevestigd in Duitsland. Om beveiligings-software effectief te kunnen testen, heeft het instituut dan ook een overweldigend aantal malware samples in het archief. Elk jaar rapporteert AV TEST hoeveel nieuwe kwaadaardige codes er in het voorafgaande jaar zijn aangetroffen. In 2016 viel dit aantal voor het eerst in de geschiedenis lager uit dan het jaar ervoor. In 2015 ontdekte het lab namelijk 144 miljoen nieuwe malware samples, terwijl er in 2016 “slechts” 127 miljoen werden aangetroffen. Ook in het eerste kwartaal van 2017 lijkt de toename aan nieuwe malware af te nemen volgens de statistieken van AV TEST. Goed nieuws! Of is dit beeld incompleet?

Minder nieuwe malware samples klinkt alsof het de goede kant op gaat. Kunnen we dan nu opgelucht adem halen? Gaat malware langzaam uitsterven en het Internet veiliger worden? Niet als we naar de statistieken kijken. Het G DATA Securitylab stelde in 2016 juist een toename van 32,9% vast ten opzichte van 2015. De methode van G DATA geeft evenwel een genuanceerder en betrouwbaarder beeld van de daadwerkelijke situatie.

Een kleine technische toelichting om dit verschil te duiden is noodzakelijk. We laten echter het jargon achterwege en leggen het uit in simpele taal.

Alle software, waaronder ook virussen en andere malware, bestaat uit code. AV TEST kijkt naar de code van een stukje malware. Als deze niet 100% overeenstemt met de code van een eerder ontdekt stukje malware, dan telt AV TEST het als een nieuwe sample. Dat klinkt als een logische methode om nieuwe malware te tellen. Maar het G DATA SecurityLab denkt daar anders over. Het zit als volgt.

Om een stuk malware als zodanig te kunnen herkennen, wordt een virushandtekening gecreëerd. Een virus-scanner scant elke code die de PC binnenkomt en vergelijkt deze met de kwaadaardige codes die vastgelegd zijn in de virushandtekeningen. Als er een match is, betreft de binnenkomende software kwaadaardige software (malware) en wordt deze tegengehouden. Maar een virus-scanner is niet afgesteld op een 100% match. Als een code sterk overeenkomt met een code die opgeslagen ligt in een virushandtekening, houdt de scanner deze óók tegen.

Meestal worden er tientallen, honderdtallen of soms zelfs duizendtallen varianten van één schadelijke code gemaakt door malware-schrijvers. Dat proces kan worden geautomatiseerd, dus het kost de malware-schrijvers weinig tijd om dit te doen. Maar: het heeft dus nauwelijks effect, omdat er bij de eerste variant die wordt losgelaten op het Internet al een virushandtekening wordt gemaakt door de anti-virusindustrie. Omdat de anti-virusindustrie een sterke samenwerking kent, beschikken alle anti-virusproducten binnen no time over deze virushandtekening en wordt deze malware massaal tegengehouden. Evenals alle varianten van deze malware die daarna nog volgen.

Om deze reden telt G DATA niet nieuwe malware samples, maar nieuwe malware-soorten. Met andere woorden: pas als een stuk schadelijke code niet wordt herkend door bestaande virushandtekeningen, worden ze als een nieuwe soort geteld.

6,83 miljoen nieuwe soorten malware in 2016

Met deze telmethode vonden de experts van G DATA in 2015 6,83 miljoen nieuwe soorten malware (een veel lager aantal dan de 144 miljoen nieuwe malware samples van AV TEST) en in 2016 6,83 miljoen. Een toename van bijna 33% en dus geen afname. In de praktijk betekent dit dat er in 2016 een 33% hogere kans was dat uw PC in aanraking zou komen met een nieuw soort malware, die niet door uw (up-to-date) anti-virus-product zou worden herkend (althans, op basis van de reactieve detectie met virushandtekeningen).

Nagenoeg alle fabrikanten van beveiligings-software bieden in hun pakketten, naast deze ouderwetse reactieve bescherming, ook allerlei proactieve detectiemethoden die nog nooit eerder waargenomen kwaadaardige code kan ontdekken, bijvoorbeeld op basis van het gedrag dat de code teweeg brengt in de PC. In het eerste kwartaal van 2017 ziet G DATA ook nog beslist geen rem op de groei van nieuwe malware-soorten: elke 4,2 seconden kwam er een nieuwe soort malware bij. Dat was een stijging van bijna 73% ten opzichte van het eerste kwartaal van 2016.

Anders dan de cijfers van AV TEST suggereren, wordt er dus zeker niet langzamer gewerkt door malwareschrijvers. Er wordt vooral slimmer gewerkt. Oude codes worden minder “gerecycled”. In plaats daarvan wordt er tijd en moeite gestoken in het creëren van compleet nieuwe kwaadaardige codes. De conclusie dat het Internet dus langzaamaan veiliger wordt is dan ook een heel onterechte.

(Bovenstaande bijdrage kwam tot stand in samenwerking met G DATA Software Belgium B.V.B.A. (Groot-Bijgaarden))

Meer info: 02/808.33.20 of www.gdata.be.