ANTIVIRUS IST TOT -SCHON WIEDER?

Thomas UhlemannESET Deutschland GmbH

Thomas.Uhlemann@ESET.de

4. MAI 2014DER TAG AN DEM ANTIVIRUS STARB

ANTIVIRUS IST TOT!

Brian Dye - Senior Vice President for Information Security

„… hat gegenüber dem Wall Street Journal kommerzielle Antivirus-Software als ‚tot‘ bezeichnet. ‚Wir sehen Antivirus nicht mehr als gewinnträchtig an‘“

“Symantec wolle sich jetzt auf Schadenbegrenzung konzentrieren und Firmen beim Umgang mit Hacker-Angriffen helfen. Der Schwerpunkt soll sich auf die Analyse nach einem Angriff verlagern, um die Firmennetze so besser abzuhärten. Die Hacker kämen ja ohnehin ins System, Schutzsoftware hälfe nicht.“

Quelle: http://www.heise.de/security/meldung/Symantec-erklaert-Antivirus-Software-fuer-tot-2183311.html

“ANTIVIRUS IST TOT” sagt wer?!

Brian Dye - Senior Vice President for Information Security

„…product management, engineering, support, and operations for Enterprise Vault, Enterprise Vault.cloud, Clearwell, and the Information Fabric initiative.”

“Prior to joining Symantec, he worked in various engineering, program management, and business development roles at Procter and Gamble, E Ink, and Xerox PARC.”

“Brian holds a bachelor’s degree in Chemical Engineering from MIT, and an MBA from Stanford’s Graduate School of Business.”

Source: http://www.symantec.com/about/profile/management/executives/bio.jsp?bioid=brian_dye

“Die Berichte über meinen Tot sindreichlich übertrieben."

- Mark Twain

BLICK ZURÜCK: VIRUS

„…ist ein sich selbst verbreitendes Computerprogramm, welches sich in andere Computerprogramme einschleust und sich damit reproduziert.“

Quelle: http://de.wikipedia.org/wiki/Computervirus

- 1949, John von Neumann, “Theory of self-reproducing automata“

- 1972, Veith Risak, „Selbstreproduzierende Automaten mit minimaler Informationsübertragung”

- Erster Virus in Assembler für Siemens 4004/35

- 1980, Jürgen Kraus, „Selbstreproduktion bei Programmen“- „dass sich bestimmte Programme ähnlich wie biologische Viren

verhalten können”

- 1982, „Elk Cloner“, erster „In-The-Wild Virus“

„VIRUS“ HEUTE

- Viren nur zu 1-3% aller täglichen Bedrohungen- Der Rest sind Würmer, Spyware, Adware, Greyware, Keylogger, Backdoors, Trojaner,

Dropper, Wrapper, Rootkits, …

MALWARE = MALicious softWARE- Moderne OS behindern automatische Replikation/Installation

ANTI“VIRUS“ IST TOT!

- Ein Programm, das ausschließlich Viren erkennt, sollte längst tot sein!

- Ein Programm, dass Malware nur per Hashes und/oder grundlegender Heuristik erkennen kann, ebenfalls

- Obwohl tot, gibt es immer noch „Zombies“ – sogar mit großen Namen…

- Antivirus <> Antimalware

- Antivirus ist tot, lang lebe Antimalware!

ANTI“MALWARE“ HEUTE

ANTIMALWARE HEUTE

#1 Download startet: #2 Inhalt geprüft: #3 Datei-Zugriff/Ausführung:

#4 Datei wirdausgeführt:

Exploit Blocker

prüft auf Anomalien

Erweiterter Speicher-Scanner

prüft Speicher der Datei

Schwachstellen-Scan

prüft Netzwerkverkehr

Advanced Heuristik

führt DNA-Scan durch

ANTIMALWARE HEUTE

#5 Malware “telefoniert” heim:

Botnet-Schutz

inspiziert die Kommunikation

SCHLANGENÖL!!!

SOFORTIGE ERLEICHTERUNG!Und heilt:Kopfschmerzen, Neuralgie, Husten, Erkältung, Schnupfen, Schluckauf, … , Gonorrhö, Dyptherie, ….

SCHLANGENÖL!!!

Üblicher Unsinn:

- Für„OS XY“ gibt es keine Bedrohungen

- The AV-Industrie schreibt die Viren selbst, um das Bedrohungslevel hoch zu halten und so ihr Schlangenöl zu verkaufen

- Malware wird nur von Pizza & Cola Junkiesauf der Jagd nach Trophäen geschrieben

- AV wird immer nur hinterher rennen

DIE SCHLAUE MAUS

Q: What types of security devices/services/techniques legitimately make your life

harder as a blackhat? Any that you think are a complete waste of money?

A: Hmmmm, DDoS protection is a serious knock back, although as many groups

have proven before it’s easy to bypass – e.g. cloudflare resolver before they

changed the protection method (almost bypassable lol). Things that are a waste of

money… Hmm, anti-virus is completely useless — yes it may protect you from

skids using non-FUD files but that’s it. Every botnet that gets sold comes FUD as

default. People do it for free, it’s that easy.

DIE NOCH SCHLAUERERE KATZE

TUT UNS FAST SCHON LEID! ;)

FAZIT

- „Antivirus“ ist tot, leider nicht im Marketing

- Zeitgemäßer Schutz ist möglich durch das „Höherlegen der Hürden“

- Statische Datei-Erkennung ist NICHT zeitgemäß

- Genauso wenig wie statische Vergleiche (virustotal.com) um Aussagen über die Schutzwirkung von Security Programmen zu erhalten

- Ein Sicherheitsgurt wird Ihr Leben nicht bei einem Aufprall mit 200km/h retten können, mit hoher Wahrscheinlichkeit aber in der Masse der anderen Fälle…

www.WeLiveSecurity.de