Beveiligingssoftware: wie controleert de controleurs?

Welke beveiligingsbedrijven zijn te vertrouwen en welke niet? Zoals de douane op luchthavens wel eens te maken krijgt met corrupte ambtenaren, is het ook mogelijk dat een van de vele softwarebeveiligingsbedrijven virussen binnenlaat via de achterdeur. Ik pleit dan ook voor een overkoepelende certificeringsinstantie. Om te beginnen in Europa voor de beveiligingssoftware. Uiteindelijk wereldwijd en voor alle software, inclusief besturingssystemen.

Werken in de softwarebeveiliging begint steeds meer te lijken op een James Bond-avontuur. Wie bespioneert wie? Kunnen we in Europa alleen nog Europese beveiligingssoftware gebruiken? Hebben de Russen de Amerikaanse verkiezingen beïnvloed door gehackte e-mails? Heeft de Amerikaanse veiligheidsdienst NSA de rest van de wereld in gevaar gebracht door een lek in het besturingssysteem Windows te misbruiken?

EICAR

Kortom: welke bedrijven en instanties zijn nog te vertrouwen? Dat dilemma houdt mij al lang bezig. Daarom ben ik ondere andere ook lid van de board van EICAR.(De European Expert Group for IT-Security). EICAR is natuurlijk al langer bekend van een ander initiatief daterend uit de jaren negentig, namelijk de EICAR testfile. Een testbestandje om na te kijken of je beveiligingspakket werkt. Dit is de eerste grensoverschrijdende instantie die certificaten kan afgeven voor de betrouwbaarheid van beveiligingssoftware, het zogenaamde ‘EICAR Thrustworthiness certificate’. Je zou zeggen dat dit een behoorlijk populair certificaat moet zijn. Helaas. Er zijn weinig bedrijven die deze certificatie aanvragen. En dat is jammer. Want als we ooit grip willen krijgen op hackers, malafide security fabrikanten en overheidsdiensten dan is samenwerking en controle van de controleurs noodzakelijk. Ik pleit dan ook voor uitbreiding van de bevoegdheden van EICAR en vooral voor de zichtbaarheid van dit initiatief.

Er moet wat mij betreft uiteindelijk één onafhankelijk instituut komen, waar ontwikkelaars van beveiligingssoftware hun product op betrouwbaarheid kunnen laten testen. Betrouwbaarheid betekent in dit geval dat er geen achterdeurtjes in de producten zitten en dat de producten voldoen aan enkele minimumvereisten, anders kan iedereen op de markt komen met een beveiligingsproduct dat in werkelijkheid niets doet. Dan is voor iedereen meteen duidelijk dat de controleurs van jouw computer betrouwbaar zijn. En dan niet alleen voor Europa. Nee, meteen voor de hele wereld.

Beveiligingssoftware

De ontwikkelingen van de laatste tijd maken duidelijk dat het ook niet kan blijven bij de beveiligingssoftware alleen. Boekhoudsoftware die online malware doorgeeft. Windows dat een achterdeurtje heeft waar de FBI misbruik van maakt. Achterdeurtjes inbouwen ten behoeve van overheden is vragen om problemen, omdat al vaker gebleken is dat ook hackers daar misbruik van maken. Iedereen die bij ons in dienst treedt moet een ethische code ondertekenen om te bevestigen dat we onze klanten op alle mogelijke manieren beschermen.  Iemand die ook maar een moment gedacht heeft aan de creatie van malware of er ooit in aanraking is mee geweest, gaat er ogenblikkelijk uit. G DATA volgt ook strikt de definitie van malware. Alles wat malware is, moet gedetecteerd worden. Dat smoort ook meteen elk overheidsverzoek in de kiem om achterdeurtjes in te bouwen. Trouwens als één beveiligingsbedrijf iets niet detecteert, kan dat een probleem vormen voor de beveiliging in de gehele wereld. Dat is precies ook de reden waarom er zo goed samengewerkt wordt in deze industrie.

Broncode naar AV Comparatives

Als het gaat om certificering wachten veel beveiligingsbedrijven op elkaar omdat er koudwatervrees is om de broncode van hun producten te laten onderzoeken en testen. Is dat onafhankelijke testinstituut wel te vertrouwen? Het lijkt een vicieuze cirkel van wantrouwen op te leveren. G DATA en enkele ander security bedrijven bekijken dit initiatief op dit moment. Het probleem is echter dat er geen wereldwijde instantie is die certificatie kan afdwingen. Ik pleit er dan ook voor om EICAR meer (wettelijke) bevoegdheden en mogelijkheden te geven. Laat ons hopen dat we dit al voor elkaar kunnen krijgen in Europa. Ik ben heel zeker dat de rest van de wereld dan ook wel volgt.

Een onafhankelijk laboratorium dat nu al veel ervaring heeft met het testen van AV-programma’s zou bijvoorbeeld toegang moeten krijgen tot broncodes. EICAR heeft daarom ook nagekeken welke testlaboratoria mogelijkheden hebben om dit te testen en te evalueren. AV Comparatives voldoet aan die vereisten en is één van de eerste goedgekeurde op dit moment. Dit is natuurlijk een belangrijke stap in de evaluatie en de certificatie van de producten. Vervolgens kunnen we op basis van ervaringen in Europa ons inzetten om een wereldwijd instituut te creëren. Dat zou de VN op zich kunnen nemen. Want wat we tot nu toe hebben geleerd van de malware-uitbraken die de laatste tijd uitbreken, is dat ze niet stoppen bij landsgrenzen.

Deze blog is ingezonden door Eddy Willems, Security Evangelist bij G DATA.