Inleiding

Zoals 14 april al was aangekondigd ben ik (coen) naar Bilbao Spanje gevlogen om daar een bezoek te brengen aan het viruslab van Panda Security. In 3 dagen tijd verzamel ik zoveel mogelijk informatie over Panda, malware, nieuwe technologieën en alles wat erbij komt kijken. Ook gaan we natuurlijk proberen om al jullie ingestuurde vragen te beantwoorden.

De 3 daagse trip begint op woensdag en begint al erg goed, want zoals het hoort was er netjes een business class ticket geboekt voor mij en zat de rest van de Nederlandse pers netjes achterin het vliegtuig tussen het andere economy volk. (Of ik had gewoon geluk dat het vliegtuig vol zat en ik een upgrade heb gekregen). In elk geval kan ik beamen dat businessclass vliegen echt beter is en de blikken van de andere journalisten zijn echt priceless (de stoelen in economy bij Iberia schijnen best krap op elkaar te staan).
Na een dag reizen arriveren we rond de klok van 18:00 in ons hotel.

Op donderdag begint de agenda rond de klok van 9:00 en zijn we een dikke halve dag overgeleverd aan diverse sprekers.

In deze afbeelding zie je Panda Global Protection 2009 en Byte de Techzine Trip Mascotte

De inhoud van deze special
Om te beginnen wat meer informatie over Panda Security.

Techzine heeft recent hun Panda Security 2009 pakket op de pijnbank gelegd en ze werden weliswaar 2e in onze vergelijkende test maar heel veel meer over Panda weten we niet.

Vervolgens wat meer informatie over malware, wat is malware precies, wat valt er wel en niet onder, waarom is er malware en hoe ligt de verdeling tussen de verschillende soorten.

Daarna alles over de technologieën die Panda gebruikt zoals collective intelligence en cloud.

Tot slot hoe de toekomst eruit ziet voor bijvoorbeeld Mac OS, Linux en mobiele telefoons. En een eind conclusie.

Na het lezen van dit artikel heb je een goed beeld hoe de antimalware wereld in elkaar zit en hoe de producten van Panda werken.

Het bedrijf Panda Security

Panda is een internationaal bedrijf en is sinds een paar jaar in handen van meerdere investeringsmaatschappijen en heeft zo’n 1500 mensen in dienst. Panda is dus zeker geen kleine jongen en timmert hard aan de weg om de nummer 1 te worden in security land. Panda is voornamelijk actief in Europa en Amerika. Gezien Panda een Spaans bedrijf is doen ze het uiteraard in Spanje erg goed (30% marktaandeel) daarnaast zijn ze ook actief in Zuid-Amerika, de Verenigde Staten, Australië en in vrijwel heel Europa. Het minst sterk is Panda in Azië waar ze alleen actief zijn in Zuid-Korea en Japan. Panda heeft echter een geheel eigen werkwijze en onderscheidt zich op verschillende fronten van haar concurrenten. Panda is een bedrijf dat zeker mee doet in de top alleen dit qua bekendheid en marktaandeel in bijvoorbeeld Nederland nog niet echt kan uitbuiten.

De CEO van Panda Security

Panda heeft kantoren in 55 landen waar ze actief zijn maar dit is alleen voor de verkoop en de productondersteuning richting de klant. Het hele antimalware- en ontwikkelgebeuren wordt centraal geregeld vanuit Bilbao, Spanje. Andere partijen kiezen ervoor om in elke tijdzone zo’n beetje een kantoor te hebben dat zich bezighoudt met antimalware. Panda heeft gewoon 24 uur per dag 7 dagen in de week mensen op kantoor in Bilbao. Een werkwijze die volgens hun financieel en productief beter werkt dan in verschillende tijdzones actief te zijn. Daarnaast is Panda niet een bedrijf dat met regelmaat overnames doet om nieuwe technologieën binnen te halen zoals bijvoorbeeld een Mcafee doet. Panda heeft een team van zeer toegewijde mensen die zelf de technologieën bedenken en ontwikkelen. Hiervan zijn ook een aantal voorbeelden, Panda is namelijk op verschillende vlakken innovatief geweest in het verleden en kwamen als eerste met diverse functies en technologieën op de markt die in de jaren daarna snel door concurrenten werden overgenomen.

Later in dit artikel ook nog de nieuwste technieken en innovaties van Panda, die door andere antimalwarebedrijven sinds kort zijn gekopieerd of waar deze nog mee bezig zijn. Panda beschikt hier echter al wat langer over en denkt nog steeds een stap voor te lopen op haar concurrenten en willen hiermee dan ook de nummer 1 antimalwarefabrikant worden. Ik moet zeggen op mij kwam het vrij positief over en ik denk dat ze zeker een kans maken. Alleen moeten we niet vergeten dat de andere antimalwarebedrijven ook niet stilzitten.

Malware van vandaag de dag

Malware is er in veel verschillende vormen, hadden we het voorheen altijd over antivirussoftware, dienen we het tegenwoordig eigenlijk te hebben over antimalwaresoftware of gewoon security software. Veel antimalwarepakketten tegenwoordig zijn complete suites met firewall, parental control, spamfilter en malwarescanner. Maar uiteindelijk is het belangrijkste onderdeel de antimalware.

Voor de mensen voor wie het nog niet helemaal duidelijk is: onder malware vallen de volgende items: (bootsector) virussen, Trojans, wormen, rootkits, spyware en adware. Dus eigenlijk alle rommel die ervoor zorgt dat je pc niet goed meer werkt, je dood gegooid wordt met pop-upreclameschermen of in het ergste geval je creditcard / bankgegevens worden gestolen. Onder malware valt niet software die een dikke lek bevat, dit is gewoon een bug (niet goed werkende software). Malware is een samensmelting van de woorden Malicious en Software.

Malware is er zoals bekend in alle soorten en maten en maakt nog steeds een explosieve groei door. Het doel van malware is sinds 2005 ongeveer verandert, voorheen ging het de hackers om bekendheid, vanaf 2005 gingen vele er een business model in zien en werd het doel geld verdienen. De meeste malware van vandaag heeft nu nog maar 1 doel en dat doel is geld verdienen, de meeste malware wordt gebruikt om op een of andere manier gebruikers geld af te troggelen. Zoals gezegd maakt malware een explosieve groei door. Hadden we vroeger hooguit 100 nieuwe malware meldingen per maand. Vandaag de dag detecteert Panda maar liefst 30.000 nieuwe malware varianten. De grootste reden hiervoor is heel simpel, er valt enorm veel geld aan te verdienen. Hierbij wat voorbeelden zodat je een beeld hebt om hoeveel geld het gaat.

  • 1 dollar per FTP account;
  • ICQ nummers 1 tot 10 dollar afhankelijk van het nummer;
  • Rapidshare premium accounts 5 tot 28 dollar per account afhankelijk van de periode;
  • Russische shopping accounts diverse websites 50 dollar per account;
  • 50MB aan Limbo Trojan logs welke e-mail, creditcard en bankgegevens bevatten 30 dollar;
  • Creditcards Visa/Mastercard 1-10 kaarten 2 euro per kaart, 10-100 kaarten 1,50 dollar per kaart;
  • Paspoorten zwart/wit 2 dollar per paspoort, in kleur 5 dollar per paspoort

Zoals je ziet worden er forse bedragen betaald voor dit soort gegevens. Een gemiddeld botnet verdiend dus tienduizenden tot honderdduizenden euro’s per dag aan de verkoop van deze gegevens. Hierdoor is het ook niet erg waarschijnlijk dat malware op korte termijn zal gaan afnemen.

Er wordt wel nauw samengewerkt door alle antimalware bedrijven met bijvoorbeeld de FBI en politiediensten in Europa. Alleen zolang voornamelijk Rusland weinig doet aan dit soort criminelen blijft dat een soort vrijstaat voor hackers. Wat ons betreft een kwestie van tijd tot ook Rusland deze mensen harder gaat aanpakken als de internationale druk toe neemt.

Collective Intelligence

De hele manier van detecteren, opsporen en het beveiligen van computers is op de helling komen te staan. Werd vroeger nog elk stukje malware 1 voor 1 bekeken, ontleed, reversed engineerd, gedocumenteerd en uiteindelijk onschadelijk gemaakt. Vandaag de dag is dat onmogelijk, stel je voor dat Panda en andere security bedrijven elke dag handmatig 30.000 verschillende soorten malware moeten gaan ontleden. Dat is simpelweg niet te doen, daarom is er bij Panda een techniek ontwikkeld die dit automatisch doet, deze techniek maakt gebruik van collective intelligence.

Collective Intelligence betekend dat je meerdere personen of systemen laat samenwerken om een doel te bereiken. Zonder die samenwerking is het bereiken van het doel vrijwel onmogelijk. Bijvoorbeeld een menselijke hersencel is op zichzelf niet zo intelligent, maar als alle hersencellen gaan samenwerken dan is een mens enorm intelligent. Dit systeem past Panda toe op hun malware bestrijding.

Panda doet het momenteel als volgt, ze verzamelen malware van allerlei verschillende bronnen.

Honeypots zijn computers met Windows XP zonder enige service packs en aangesloten op het internet. Deze computers wachten simpelweg totdat ze geïnfecteerd raken met malware, daarna wordt door Panda automatisch de malware bestanden naar het lab gestuurd en wordt het systeem gerestored en begint het proces weer van voor af aan.

Honeymonkeys zijn computers die het internet gebruik simuleren. Ze bezoeken websites en klikken van alles aan. Ze zijn dus actief op zoek naar malware in tegenstelling tot Honeypots.

Online Services, dit zijn online diensten waarmee Panda samenwerkt of die ze zelf uitrollen. Hierbij valt te denken aan gratis online virusscanners. Deze werken vanuit je browsers en stuurt de informatie door naar het Panda lab.

Panda Users, uiteraard heeft Panda in het verleden al een hoop pakketten verkocht. En klanten hebben daarin de mogelijkheid ook bestanden aan te melden bij Panda. Daarnaast zijn er ook versies die rapporten sturen naar Panda over bepaalde bestanden. Hier kom ik dadelijk op terug.

Malicious URLS, iedereen kent ze wel van die leuke urls waar je van alles op kan downloaden maar stiekem malware download. Veel van deze urls komen uit spam e-mails, waarin je naakt foto’s van elke celebrity kan downloaden of andere informatie die populair is en waar mensen op willen klikken. Panda heeft dus systemen die expres op al dat soort urls klikken.

CERT, Computer Emergency Response Teams, dit is in het ene land wat beter geregeld dan in het andere land. In Nederland hebben we www.govcert.nl voor meer informatie www.cert.org.

Antimalware companies zijn simpelweg de concurrenten of concullega’s want zo zien ze elkaar meer. Veel antimalware bedrijven werken actief samen om hun databases zo optimaal mogelijk te houden. Het is niet zo dat ze de bestanden aan elkaar geven met de informatie dit is worm X of trojan Y. Ze geven elkaar simpelweg de bestanden door maar zeggen niet wat het is. Hierdoor komt het dus ook vaak voor dat de namen van malware vaak verschillen per antimalware bedrijf. Ook mooi om te weten is dat ze elkaar ook allemaal goed kennen en op bepaalde security beurzen gezellig met elkaar gaan lunchen.

Goed, je weet nu hoe een antimalware bedrijf aan hun malware komt. Echter blijft het belangrijkste natuurlijk hoe verwerk je die malware. Want met 30.000 nieuwe bestanden per dag moet je dit wel gaan automatiseren het is onmogelijk om het handmatig 1 voor 1 te verwerken. Daarom heeft Panda een systeem ontwikkeld wat alle malware uitpakt, ontleed en onderzoekt. Er wordt gekeken naar wat de malware uniek maakt. Er wordt hierbij gekeken naar de code van de malware, het gedrag van de malware, keywords in de code, de bestandsgrootte van de malware en andere specifieke kenmerken. Op basis van deze informatie wordt er een signature bestand gemaakt van de malware en wordt deze opgeslagen in het Panda systeem. Op basis van deze signatures kan Panda dus vergelijken of een bestand malware is, hoe vaak de malware voorkomt, en of het een variant is op bestaande malware. Panda benoemt een bestand pas tot malware zodra er meerdere identieke signature bestanden zijn, dit om de false positives (een bestand tot malware benoemen terwijl dit niet zo is) tot een minimum te beperken. Gezien het een geautomatiseerd proces is kan het altijd nog mis gaan maar de vooruitgang die recent is geboekt is de verwachting van Panda dat dit tot een absoluut minimum is beperkt.

Cloud Technology

Een cloud is eigenlijk niets meer en niets minder dan een applicatie die het internet nodig heeft om goed te functioneren. Er worden bepaalde gegevens naar de cloud gestuurd waarop de cloud een bruikbaar antwoord geeft. Deze technologie gebruikt Panda voor haar laatste en nieuwe antimalware producten. Deze technologie is door Panda extreem ver door ontwikkeld en Panda is dan ook de eerste die op deze nieuwe manier te werk gaat.

Elk uitvoerbaar bestand op je computer wordt door de Panda software gecontroleerd zodra je het opstart, de software genereert een signature bestand welke wordt verzonden naar de Cloud van Panda. Deze cloud vergelijkt deze signature met zijn database en verteld dan of het malware is of niet. Indien het malware is worden de verwijdering of quarantaine procedures in werking gezet en als het dat niet is wordt het bestand op een whitelist geplaatst. Alle uitvoerbare bestanden op de whitelist hoeven in de toekomst dus niet opnieuw gescand te worden. Dit hele proces gebeurt in een fractie van een seconde, hierdoor ondervind je er vrijwel geen hinder van tijdens het gebruik van je computer.

De signature bestanden zijn enorm kleine tekstbestanden welke dus razendsnel kunnen worden verzonden en weinig dataverkeer kosten. Het originele bestand wordt dus niet meegestuurd dus er is geen sprake van extreem dataverkeer gebruik of misschien zelfs privacy problemen. Zodra je er handmatig voor kiest om een volledige systeemscan te doen is er wel sprake van wat meer dataverkeer. Er worden dan namelijk massaal signatures verstuurd naar de Panda cloud. Panda bundelt deze signatures wel in bundels van 500. Ook heeft Panda ervoor gezorgd dat de cloud draait in meerdere continenten en landen waardoor je altijd een snelle verbinding hebt met de cloud.

Wat nu als je geen verbinding hebt met het internet? Dat was een van de vragen die natuurlijk als eerste werd gesteld. Want bijvoorbeeld mensen die veel onderweg zijn hebben niet altijd de beschikking over internet. Panda voorziet hun antimalware producten nog steeds van signature updates die meerdere malen per dag worden bijgewerkt. Hierdoor is het mogelijk om als er geen verbinding is de bestanden met de lokale signature databases te vergelijken. Echter kost dit meer cpu en geheugen kracht omdat er dan op de eigen pc moet worden vergeleken.

De meeste klachten die mensen hebben over hun antimalware producten is dat ze enorm veel cpu en geheugen kracht nodig hebben. Dit komt omdat er enorm veel malware is en er elke dag meer bij komt. En die signature databases groter en groter worden. Als je alle signatures op je computer zou hebben staan zou je vrijwel niet meer in staat zijn je computer te gebruiken want het duurt dan enorm lang voordat elk bestand is gecontroleerd. Daarom krijg je in zo´n update alleen maar een signature bestand van de actieve malware van dat moment. Het is voor een antimalware bedrijf als Panda namelijk enorm makkelijk om bij te houden welke malware momenteel wel en niet actief is. Je bent dan dus niet meer volledig beschermt maar wel tegen de meest voorkomende malware. Maar indien je bent verbonden met het internet en dus ook met de Panda cloud heb je wel die volledige bescherming.

Panda was de eerste in 2007 die met de cloud technologie kwam, inmiddels zijn we 2 jaar verder en hebben ze dit enorm goed kunnen door ontwikkelen. Als we naar de concurrentie kijken dan zien we dat sinds dit jaar ook Symantec, Mcafee en Trend Micro het idee hebben overgenomen en hun eigen cloud technologie hebben ontwikkeld. Andere schijnen er nog mee bezig te zijn, we zullen het wel zien in de 2010 vergelijking. In elk geval beweerd Panda ook dit jaar weer voor te lopen op haar concurrentie. We wachten met spanning af wat Panda voor ons in petto heeft voor 2010.

De toekomst en de conclusie

De vraag is naar aanleiding van dit bezoek wat we in de toekomst kunnen verwachten. Nou ik denk persoonlijk dat dit wel de toekomst is qua antimalware bescherming. Het feit dat bedrijven als Symantec, Mcafee en Trend Micro het idee hebben overgenomen en hebben gebouwd wil wel iets zeggen. We verwachten dan ook dat de rest snel volgt. We gaan er straks qua performance en bescherming in elk geval enorm op vooruit, dat is iets waar menig gebruiker al jaren op hoopt.

Mac Os en Linux
Een van de veel gestelde vragen was hoe het zit met Mac OS en Linux. Veel mensen vragen zich af of die ook beschermt moeten worden. Het antwoord van Panda hierop is eigenlijk vrij logisch. Gezien de motivatie van de hackers is verandert van bekendheid naar geld verdienen is de logische verwachting dat zodra iets heel populair wordt er ook malware voor komt. De situatie op dit moment is dat windows gewoon nog steeds te dominant is. Mac OS en Linux gebruik stijgen wel maar zijn nog niet echt overtuigend aanwezig. Het is daarom financieel gezien aantrekkelijker malware te maken voor windows dan voor de Mac OS of Linux. De verwachting is dat als Mac OS of Linux zo rond de 15% aan marktaandeel zal hebben dat de eerste malware zal gaan opduiken. Momenteel zijn er al wel wat zakelijke oplossingen voor Linux servers maar deze zijn meer gericht op fileservers en mailservers. Dat deze in staat zijn om windows malware uit emails of storagesystemen te vissen.

Mobile
Voor mobile geldt vrijwel hetzelfde. Zolang er niet een versie is die overtuigend meer aanwezig is dan een andere zal er niet snel malware voor komen. Op mobile gebiedt is de markt nu nog steeds ontzettend verdeeld tussen Symbian, Windows Mobile, iPhone en Android en nog een ander OS. Deze tak heeft nog ontzettend veel verschillende besturingssystemen. Zolang dat zo blijft is de kans op malware klein.

Wat Panda ook wist te vertellen over de toekomst is dat mocht er toch malware komen voor Mac OS, Linux of mobiele telefoons dat ze met dit cloud systeem in staat zijn om vrij snel producten te ontwikkelen voor de besturingssystemen.

Conclusie
Door de daadwerkelijke vergelijking van potentiële malware te verplaatsen naar een cloud en niet meer op de client pc te doen wordt er enorm veel gewonnen op het gebied van performance en beveiliging. Ook heb je volledige bescherming zolang je verbonden bent met het internet en een cloud is altijd up to date omdat die niet afhankelijk is van updates die eerst gedownload moeten worden. Het enige minpunt blijft dus dat je verbonden moet zijn met het internet maar dat is in deze tijd niet meer zo´n enorm probleem.

Techzine wil Panda verder graag bedanken voor deze trip en voor het bijspijkeren van onze (anti)malware kennis!