Online beveiliger Finjan vindt aanpak virusbestrijders 'achterhaald'

Dit verklaart Yuval Ben-Itzhak, cto van Finjan, in een interview met Webwereld. Ben-Itzhak, in 2004 nog door Infoworld.com uitgeroepen tot één van de vijfentwintig meest invloedrijke cto's ter wereld, refereert met zijn uitspraken aan Finjans Web Security Trends Report over het eerste kwartaal van 2007.

Uit het Trends Report blijkt namelijk dat hackers steeds complexere technlogieën gebruiken om hun codes onopgemerkt te verspreiden. Bovendien duiken deze codes steeds vaker op op legitieme sites. Zo constateert Finjan de opkomst van malware in advertenties en in legitieme online-vertaalservices.

Website-eigenaren zijn volgens Ben-Itzhak niet zorgvuldig genoeg in het monitoren van de afkomst van de content op hun site en moeten zich bewuster worden van de risico's.

Ontoereikend

"Hackers schrijven codes steeds meer met het doel om onopgemerkt informatie te stelen", aldus Ben-Itzhak, "en steeds minder om zichtbare schade aan te richten." Volgens de cto van Finjan is de aanpak van antivirusbedrijven niet meer toereikend.

"McAfee en Symantec en andere antivirusbedrijven onderzoeken kwaadaardige codes en brengen dan een nieuwe signature uit die via een update geïnstalleerd wordt. Dit is niet langer voldoende, want ik kan vanavond nog een kwaadaardige code schrijven die ik morgen verspreid", aldus Ben-Ithzak. "Het kwaad is dan al geschied voordat een viruskiller de code opmerkt." Volgens de technische baas van Finjan wordt het signature-model echter nog gebruikt vanwege de inkomsten die het oplevert.

"Finjans Vital Security-producten inspecteren de codes bij het browsen van websites proactief", ligt Ben-Itzhak toe. In twintig miliseconden wordt op de gateway gecontroleerd of websites codes bevatten die kwaadaardige handelingen uitvoeren, zoals het uploaden van bestanden naar je pc. Als er kwaadaardige code wordt aangetroffen, wordt deze geblokkeerd voordat hij zijn werk kan doen."

Volgens Ben-Itzhak is dit een fundamenteel andere aanpak dan die van de concurrentie. "We kijken niet naar de naam van de code of uit welk land ie komt, maar naar hoe jouw instellingen erdoor veranderd worden en blokkeren hem op basis daarvan."

Dynamisch gewijzigde code

Ben-Itzhak demonstreert bevlogen hoe andere antivirus-producten kwaadaardige codes op schijnbaar legitieme websites niet blokkeren, maar de Vital Secrity Web Appliances van Finjan wel. Volgens hem komt dit doordat codes steeds sneller aangepast worden en traditionele virusbestrijders die met patronen en signatures werken die aanpassingen niet tijdig opmerken. De Finjan-technologie controleert de codes echter voordat de website geladen wordt en doorziet de 'obfuscated code', oftewel de dynamisch gewijzigde code.

Bovendien, zo verklaart Ben-Itzhak, laten veel beveiligingsproducten de content van legitieme sites door, terwijl hier ook vaak malware voorkomt. Ben-Itzhak toont aan dat naast de advertenties op legitieme sites en de online-vertaaldiensten ook de cache van zoekmachines gevaarlijk is. "Zoekmachines als Google en MSN bieden de mogelijkheid een opgeslagen versie van een website te bekijken. Omdat deze pagina's op servers van de zoekmachine staan, wordt kwaadaardige code op deze sites niet herkend door traditionele software die url's filtert.

De cto van Finjan zet zijn betoog voor de aanpak van zijn bedrijf kracht bij door een test van het Duitse PC Welt aan te halen, waarin de snelheid onderzocht is waarmee virusbestrijders nieuwe signature-updates kunnen uitvaardigen. Omdat Finjan niet met signatures werkt maar met met een realtime scan van 20 milliseconden, redeneert Ben-Itzhak dat zijn product nieuwe kwaadaardige codes "720.000 keer sneller opspoort dan traditionele antivirus-producten".

De producten van Finjan zijn alleen beschikbaar voor bedrijven en organisaties. In Nederland voert Finjan gesprekken met isp's over het aanbieden van beveiligingsoplossingen op serverniveau. "Zo biedt KPN Webscan aan, dat gebaseerd is op Finjan-technologie", aldus Ben-Itzhak.

Veilig surfen voor consumenten

Wel biedt het bedrijf vanaf volgende week een gratis browser-plugin aan waarmee consumenten de zoekresultaten van Yahoo, Google en MSN kunnen controleren op kwaadaardige code. Ook links in veelgebruikte webmail-diensten en op populaire sites als Myspace en Digg worden gescand. De Secure Browsing-plugin is beschikbaar voor Firefox en Internet Explorer en markeert gevaarlijke links met een rood icoontje. Geïnteresseerden kunnen zich via de website van Finjan registreren, zodat ze een melding ontvangen als de plugin verschijnt.

Tenslotte ziet Ben-Itzhak de populariteit van online audio en video als een volgende melkkoe voor hackers. "Er komen steeds meer kwaadaardige codes voor in audio en video. We werken nu aan technologie om deze codes op te sporen door te kijken naar de byte-distributie van de bestanden." Vervolgens Ben-Itzhak zal de technologie over zo'n twee maanden voltooid zijn.