Nye metoder mod trojanske heste

Den store stigning i mængden af trojanske heste gør det nødvendigt for antivirusprodukter at anvende nye metoder til beskyttelse, skriver lederen af DK•CERT, Shehzad Ahmad, i denne klumme om it-sikkerhed fra Computerworld Online.

Chefkonsulent Shehzad Ahmad, UNI•C, der leder det danske Computer Emergency Response Team (DK•CERT), skriver hver måned på Computerworld Online om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.

622.500. Så mange forskellige virus, orme, trojanske heste og andre former for skadelige programmer kan Symantecs sikkerhedsprogrammer standse.

 

212.101. Så mange af dem blev fundet i første halvår 2007.

Med andre ord er over en tredjedel af de aktive trusler kommet til på bare seks måneder. Vi taler om over 1.100 nye varianter af skadelige programmer hver dag.

Det ser ikke godt ud. Og som tallene viser, er der tale om en voldsom stigning.

Årsagen er primært, at de skadelige programmer kommer i et utal af varianter. Bagmændene udsender hele tiden nye versioner, fordi de vil gøre det sværere for antivirusprogrammerne at genkende skurkene.

Signaturer under pres
Tallene ovenfor stammer fra antivirusfirmaet Symantecs seneste halvårsrapport om sikkerheden på internettet. Og tallene udgør en stor udfordring for netop antivirusfirmaerne. Man begynder at sætte spørgsmålstegn ved, om de traditionelle, signaturbaserede antivirusprogrammer kan håndtere truslen.

Et traditionelt antivirusprogram beskytter mod skadelige programmer ved at sammenligne dem med en liste over signaturer. Hvis programmet optræder på listen, bliver det blokeret.

Men med 1.100 nye programmer om dagen, er det ikke realistisk at skulle opdatere og distribuere en signaturliste. Derfor er der brug for nye midler.

Et af dem er heuristisk genkendelse, hvor man i stedet for signaturer prøver at genkende den opførsel, der er typisk for skadelige programmer. For eksempel at de ændrer i registreringsdatabasen eller kommunikerer med servere på internettet.

En anden lovende teknologi handler om at beskytte mod web-baserede trusler. Her lader man en webside afvikle scripts i et beskyttet miljø, før browseren viser den. Hvis den viser sig at lave ulykker, får den ikke lov til at komme over i den rigtige browser.

Denne teknologi har vist sig særdeles effektiv, rapporterer forskerne bag projektet SpyProxy. De udsatte testprogrammet for en række skadelige websider, og det blokerede for dem alle.


Oprindelig bragt på Computerworld Online torsdag den 4. oktober 2007

LINKS

Keywords: