Het klonk als een goed idee: mensenrechtenorganisatie Amnesty International lanceerde onlangs, in samenwerking met andere, kleinere mensenrechtenorganisaties, een antispyware tool met de naam ‘Detekt’. De reden hierachter was helder: in veel landen worden journalisten, bloggers en critici van een bewind door de overheid in de gaten gehouden met behulp van spyware en dat moet stoppen. De mensenrechtenorganisaties hadden er kennelijk weinig vertrouwen in dat commerciële antivirusoplossingen deze taak op zich wilden en/of konden nemen, en besloot zelf een tool te bouwen.
Op zich is die gedachte nog niet zo slecht. We weten dat security-expert Schneier in 2013 al aan verschillende AV-producenten heeft gevraagd of zij meegaan in verzoeken van overheden om bepaalde malware (meestal spyware), die door die staat zelf wordt ingezet voor de ‘staatsveiligheid’ niet te blokkeren. Opvallend is dat de Europese en Aziatische fabrikanten vrij snel lieten weten aan dergelijke verzoeken niet mee te werken. De Amerikaanse bedrijven hielden zich stil. Waarschijnlijk juist die stilte, heeft de argwaan van Amnesty International gewekt. Dus ging men aan het werk.
Op 20 november was de tool klaar voor lancering. Het was groot nieuws, zo ongeveer alle journaals en kranten over de hele wereld hebben over Detekt bericht. De tool, op open source basis, zou de negen bekendste spyware-families herkennen. Op de site waar de tool gedownload kan worden, wordt uitgelegd wat je kunt doen als er een stukje spyware op je pc wordt gevonden door Detekt: verbreek de internetverbinding, haal de pc helemaal leeg, haal er een expert bij die je vertrouwt en overweeg om de pc in zijn geheel weg te doen(!).
Uiteraard waren wij, als security-specialist en AV-fabrikant erg nieuwsgierig naar Detekt. We hebben de tool dan ook direct gedownload en geanalyseerd. Vooraf wisten we al dat het geen perfecte oplossing was tegen spyware, omdat het gaat om een puur reactieve detectie op basis van virushandtekeningen. Dit betekent niet alleen dat een infectie met spyware niet kan worden voorkomen door Detekt (de aanwezigheid van spyware kan uitsluitend worden vastgesteld als de pc er al mee besmet is), maar ook dat iedere aanpassing in de code van de spyware zal leiden tot het omzeilen van detectie. Bovendien zal alle spyware die nog onbekend is, of die nieuw wordt ontwikkeld, niet worden herkend door Detekt.
De ontwikkelaars achter de tool zullen zeer actief moeten zijn om de veranderingen in het spyware-landschap zo snel mogelijk in de tool te verwerken en gebruikers moeten de tool doorlopend updaten. Hoe snel dit proces ook plaatsvindt en hoe hard de ontwikkelaars ook werken, bij een reactief systeem loop je per definitie achter de feiten aan. Een ander duidelijk nadeel van de tool is dat deze alleen spyware kan herkennen, maar deze niet kan verwijderen. Wanneer een besmetting niet kan worden opgelost door de schadelijke code te verwijderen, moet je inderdaad terugvallen op adviezen als ‘pc compleet formatteren en alles opnieuw installeren’ of, nog erger: ‘gooi de computer maar weg’.
Detekt gevoelig voor vals alarm
Na analyse van Detekt werden de experts in het G DATA SecurityLab niet veel vrolijker. Zo werd al snel duidelijk dat de manier waarop Detekt scant de tool zeer gevoelig maakt voor valse alarmen. In de tool staan de stukjes (gevaarlijke) code waarnaar de tool op zoek moet gaat. Wanneer de tool met behulp van de browser Firefox is gedownload, blijft deze informatie nog even in het browsergeheugen op de pc hangen en zo kan het gebeuren dat bij een scan Detekt zegt dat Firefox spyware bevat.
In werkelijkheid vindt Detekt de ‘gevaarlijke’ code in de eigen code van Detekt. Detekt detecteert dus in feite zichzelf. Iets soortgelijks gebeurt met de meeste antivirusproducten. Die scannen een programma dat wordt opgestart automatisch (on access scanning) en laden het programma daarbij in een speciaal stukje van het geheugen van de pc om te controleren op gevaarlijke code. Nadat dat is gedaan, blijft die informatie nog even achter in het geheugen. Wanneer Detekt vervolgens de pc scant, komt hij de gevaarlijke code die verwerkt is in zijn eigen broncode weer tegen in dit stukje van het geheugen en slaat alarm.
Na onze analyse werd ook duidelijk dat de detectie van zeven van de negen spyware-families die oorspronkelijke zouden worden herkend was teruggetrokken, hoogstwaarschijnlijk in verband met de vele valse alarmen die zijn geslagen. Sindsdien zijn er alweer ettelijke updates van de tool verschenen. Dit toont ons aan dat er absoluut goede wil is bij de ontwikkelaars om Detekt zo goed mogelijk te maken. Echter: voor een echt goede tool is een geheel andere structuur nodig, eentje die op proactieve wijze spyware herkent, bijvoorbeeld door naar de code te kijken voordat die het systeem opkomt en het gedrag van een code vooraf te testen, bijvoorbeeld in een sandbox-technologie.
Eigenlijk een beetje zoals goede security-pakketten dat doen. Nee: precies zoals goede security-pakketten dat doen. Als je bang bent voor samenzweringen tussen commerciële aanbieders en overheden, kies dan voor de zekerheid voor een fabrikant die zich plechtig uitspreekt tegen samenwerking met overheden, zoals G DATA. Bijkomend voordeel is dat je dan niet alleen tegen spyware bent beschermd, maar tegen álle online gevaren.
Jan van Haver, country manager Benelux & UK bij G Data Software
