Abonneer je gratis op Techzine!

De universiteit van Michigan heeft een nieuwe manier ontwikkeld waarmee kwaadaardige software door antivirusprogramma’s opgespoord kan worden. Deze techniek maakt gebruik van cloud computing.

Met cloud computing worden services bedoeld die vlekkeloos op het internet draaien. Het is als het waren computeren in de wolken, omdat er lokaal niets tot bijna niets geïnstalleerd hoeft te worden.

Traditionele antivirussoftware is op dit moment geïnstalleerd op miljoenen computers overal ter wereld, echter zijn het volgens de onderzoekers van de Michigan-universiteit vaak vooral de populaire beveiligingsoftware die ineffectief blijkt te zijn. Soms was de detectie van recente bedreigingen zo laag als 35 procent en was er een gemiddelde responsetijd van 48 dagen, iets wat bleek uit onderzoeken van de universiteit van Michigan.

Deze tests zijn onder meer uitgevoerd op: Avast, AVG, BitDefender, ClamAV, CWSandbox, F-Prot, F-Secure, Kaspersky, McAfee, Norman Sandbox, Symantec en Trend Micro. In totaal waren er 7220 malwaremonsters verzameld over een periode van een jaar.

Tevens vonden de onderzoekers meerdere lekken in de zogenaamde beveiligingssoftware. Al deze problemen zouden worden opgelost door CloudAV. De antivirusfunctionaliteit wordt dan verplaatst naar het netwerk en in plaats van slechts één engine worden er veel meer gebruikt.

Elke antivirusengine opereert in een eigen virtuele machine, waardoor het risico van beveiligingslekken geëlimineerd wordt en waardoor het mogelijk is om meerdere antivirussoftware op één pc te gebruiken. Bij traditionele antivirussoftware is dit vaak niet mogelijk vanwege incompatibiliteit met concurrenten. De analyse van een bestand gebeurt parallel door alle engines.

CloudAV is toegankelijk voor elke computer die, of mobiel apparaat dat een simpele softwareagent draait. Elke keer dat een van deze apparaten een nieuw document of programma ontvangt, wordt deze automatisch naar de ‘cloud’ verzonden voor analyse. Het huidige CloudAV-systeem gebruikt engines van 12 verschillende fabrikanten. Om de resultaten sneller weer te geven, worden resultaten van reeds gescande bestanden opgeslagen.

De onderzoekers zien veel potentie voor CloudAV. Vooral mobiele apparaten die niet sterk genoeg zijn om antivirussoftware te draaien kunnen gebruik maken van CloudAV. Echter is het nog maar de vraag of de huidige dreigingen zo’n oplossing rechtvaardigt.

Overigens is het niet de eerste keer dat meerdere engines in één antivirusproduct gebruikt worden. GData gebruikt al vele jaren twee antivirusengines en ook Microsoft Forefront bevat engines van meerdere antivirusfabrikanten. Echter is de manier waarop deze engines gebruikt worden wel nieuw en zijn twaalf engines ook vrij uitzonderlijk.