Spørg Scientariet: Hvordan opdateres antivirusprogrammer?
Vores læser Mads Gudik-Sørensen har spurgt:
Hvordan opdateres antivirusprogrammer? Firmaerne skal jo kende problemet, før løsningen findes.
Fisker de vira tvivlsomme steder på nettet for at få de nyeste typer, eller hvordan gør de?
Leif Jensen, General Manager Nordics hos Kaspersky, svarer:
Kigger vi lidt tilbage i tiden, var det rigtig nemt, for da handlede det om at finde et mønster i en fil, der afslørede en virus. Så havde vi nogle ingeniører siddende, som fandt dette mønster, lagde det i en database, og antivirus blev distribueret flere gange om dagen.
Over de seneste fire-fem år er det blevet meget mere avanceret. Det handler stadig om mønstergenkendelse, men nu taler vi måske over 100.000 forskellige udgaver af aktive vira, og nogle kan være så snedige, at de ændrer sig undervejs, så de ikke bliver detekteret af vores programmer, der leder efter mønstrene.
Arbejdet foregår for det meste maskinelt, hvor nogle algoritmer holder øje med input fra det, vi kalder Kaspersky Security Network. Det består bl.a. af tilbagemeldinger fra brugere, der oplever noget uhensigtsmæssigt på deres computer, og på denne måde fanger vi det meste.
De sidste 5 procent er svære at fange, og her har vi levende mennesker, der sidder og holder styr på det. Hos os har vi et ’viruslab’, hvor vi har ansatte siddende 24 timer i døgnet, der holder øje med trusler og sårbarheder fra softwareleverandører fra Java, Microsoft eller lignende.
Her overvåger vi mistænkelig brugeradfærd på nettet, og det kan f.eks. være diskussionsfora, vi holder øje med. Måske er der nogle her, der sender links rundt. Vi ser også på, om der er mistænkelig omgang med kreditkort og analyserer på nettrafikken hos brugerne for at se, om der er sider, hvor der bliver forsøgt installeret kode. Man kan komme et langt stykke ved at se på adfærd.
Læs også: IT-eksperter: Kriminelle løber med accelererende teknologier
Vi kan desværre ikke fortælle helt præcist, hvordan det foregår, da det er et konkurrenceparameter hos os, men vores viruslab er altid bemandet med 15-20 mennesker rundt om i verden. Vi har labs i Moskva, London og Irland.
Når det så er sagt, så arbejder vi stadig sammen med konkurrenterne, især omkring ransomware (virus, der f.eks. spredes gennem et link i en mail til en virksomhed, red.), som er blevet et stort problem. Her arbejder vi også sammen med politiet, for det er vigtigt at opdage disse ting tidligt, og så må vi sætte viljen til at have tingene for os selv lidt til side.
Der, hvor alle antivirusvirksomheder har svært ved at stille noget op, er over for DDoS-angrebene. 67 procent af alle virksomheder i Danmark har været udsat for denne type ransomware.
Læs også: Sikkerhedsekspert finder på få timer masser af huller i industrisoftware
Vi opdaterer typisk vores programmer en gang i timen, hvor vores algoritmer vil fjerne de stumper kode, der er fremmede i en fil, og herefter genskabe filen til, hvordan den burde se ud. Det er i rigtig mange tilfælde en enkel procedure i dag.
F.eks. kan der være tale om et Word-dokument, hvor der er sat en makro ind, der gør et eller andet. Så løber man filen igennem og fjerner stumpen.
Men ingen er 100 procent beskyttet. Hvor virus før mest kom fra græsrodsbevægelser, er det nu blevet en iskold, kynisk forretningsmodel for hackerne, som forsøger at få penge ud af folk. De er blevet vanvittigt dygtige, så de er svære at opdage.
Brugerne kan dog i høj grad hjælpe sig selv ved at holde deres operativsystem, Java, browser, etc. opdateret, for det gør det sværere for hackerne at udnytte eventuelle sårbarheder.