Hoe kun je digitale criminaliteit voorkomen?

Anti-virus en Anti-Spyware

Antivirussoftware zijn computerprogramma's die proberen om computervirussen en andere kwaadaardige software (malware) te identificeren, tegen te houden en te verwijderen. Antivirussoftware gebruikt daarvoor typisch twee verschillende technieken:

• Onderzoeken (scannen) van bestanden om te zoeken naar virussen die overeenkomen met de definities uit een lijst van bekende virussen.
• Identificeren van verdacht gedrag door eender welk computerprogramma, wat op een besmetting kan wijzen.

De meeste commerciële antivirussoftware gebruikt beide technieken, met de nadruk op de eerste aanpak.

Methodes voor virusdetectie

viruslijst

In de aanpak met viruslijsten, inspecteert de software een bestand en gebruikt daarbij een lijst van bekende virussen die door de makers van de software zijn geïdentificeerd. Wanneer een stuk code in het bestand overeenkomt met een virus uit de lijst, kan de software één van de volgende acties ondernemen (in volgorde waarin de actie verkozen wordt):

• proberen het bestand te repareren door het virus zelf uit het bestand te verwijderen.
• het bestand in quarantaine plaatsen (zodat het bestand niet meer toegankelijk is voor andere programma's, en het virus zich niet langer kan verspreiden).
• het geïnfecteerde bestand verwijderen.

Opdat deze aanpak op middellange en lange termijn succesvol zou blijven, moeten de virusdefinites regelmatig bijgewerkt worden (meestal online). Wanneer nieuwe virussen "in het wild" geïdentificeerd worden, kunnen gebruikers en technici hun geïnfecteerde bestanden opsturen naar de auteurs van de antivirussoftware, zodat de informatie kan verwerkt worden in toekomstige virusdefinities.

De aanpak met virusdatabases onderzoekt typisch de bestanden wanneer het besturingssysteem deze aanmaakt, opent, sluit of verzendt via e-mail. Op deze manier kan een virus onmiddellijk bij ontvangst herkend worden. Een systeembeheerder kan er ook voor zorgen dat de software op een regelmatig tijdstip alle bestanden op de harde schijf van de gebruiker scant.

Hoewel deze aanpak op een efficiënte manier de uitbraak van een virus kan tegenhouden in de juiste omstandigheden, hebben schrijvers van virussen geprobeerd de software te omzeilen door het schrijven van "oligomorfe", "polymorfe" en meer recent "metamorfe" virussen, die stukken van zichzelf encrypteren of zichzelf op een andere manier aanpassen om zich te camoufleren, zodat ze niet overeenkomen met hun bekende virusdefinities.

Detectie van verdacht gedrag

In tegenstelling tot de vorige methode, probeert deze methode niet om bekende virussen te identificeren; in de plaats daarvan houdt men het gedrag van alle programma's in de gaten. Wanneer bijvoorbeeld een programma probeert gegevens te schrijven naar een ander uitvoerbaar programma, kan de antivirussoftware dit zien als verdacht gedrag, en de gebruiker waarschuwen en om een reactie vragen.

In tegenstelling tot de aanpak met een virusdatabase, kan men zo bescherming bieden tegen splinternieuwe virussen die nog niet in de lijsten voorkomen. Dit zorgt echter ook voor een groot aantal fout-positieven, en gebruikers worden vlug achteloos voor de waarschuwingen. Wanneer een gebruiker elke waarschuwing zomaar wegklikt, heeft de antivirussoftware vanzelfsprekend geen nut meer voor die gebruiker. Dit probleem is enkel erger geworden, aangezien meer ontwerpen van niet kwaadaardige programma's andere .exe-bestanden aanpasten zonder deze fout-positiefkwestie in acht te nemen. Moderne antivirussoftware gebruikt deze techniek daarom steeds minder.

Antivirussoftwarebedrijven

Hier een lijst met antivirussoftwarebedrijven:

• Avira uit Duitsland
• Avast! uit Tsjechië
• BitDefender uit Roemenië
Computer Associates uit de VS
McAfee uit de VS
Symantec makers van NortonAntivirus
AVG
Panda Securityuit Spanje (Voorheen Panda Software)
Norman uit Noorwegen

Er zijn natuurlijk veel meer antivirussoftwarebedrijven voor bijvoorbeel andere operating systems maar dit zijn verreweg de meest bekende.

Firewall

Een firewall (letterlijk vertaald een brandmuur maar ook wel vertaald als vuurmuur) heeft in een computernetwerk en/of op een computer het doel te voorkomen dat ongewenst verkeer van de ene netwerkzone terecht komt in een andere, teneinde de veiligheid in de laatstgenoemde te verhogen. Het beschermde netwerk is vaak een intranet of intern netwerk, en dit wordt beschermd tegen het internet. Het ongewenste verkeer bestaat bijvoorbeeld uit aanvallen van hackers en crackers (krakers), computervirussen, spyware, spam en denial of service attacks.

Types

Hoewel er geen eenduidige categorisering bestaat, kunnen firewalls worden ingedeeld op basis van de volgende criteria:

• of het verkeer wordt gescreend in de netwerklaag (packet filtering firewall), of in de applicatielaag (application layer firewall).
• of de firewall de status van een connectie bewaart (stateful firewall), of niet (stateless firewall).
• of de firewall één computer moet beveiligen tegen een netwerk (personal firewall), of een netwerk (network firewall).

Packet filtering firewall

Een packet filtering firewall grijpt in op de netwerklaag van de TCP/IP protocol stack. Aan de hand van een aantal regels bepaalt de firewall of een IP-pakket wordt doorgelaten of tegengehouden. De aspecten van een pakket die hierbij in beschouwing worden genomen zijn bijvoorbeeld de poort waarvoor het pakket bedoeld is (destination port) of het IP adres waar het pakket vandaan komt. Deze regels worden opgesteld door de beheerder of de producent van de firewall. Een packet filtering firewall houdt enkel rekening met de ip-header van het data pakket. Dit type firewall werkt eenvoudig en snel,maar biedt een minder goede bescherming tegen virussen, spam e.d. Ook mekren gebruikers maar weinig van hun aanwezigheid. Een packet filtering firewall kan bijvoorbeeld al het verkeer naar de telnetpoort verbieden. De firewall verbiedt echter niet dat het protocol van telnet op een andere poort gebruikt wordt.

Application layer firewall

Een application layer firewall grijpt in op de applicatielaag van de TCP/IP protocol stack. Voor elk ondersteund protocol bepaalt een stukje software of pakketjes worden tegengehouden of doorgelaten. Dit stukje software kan uit veel meer bestaan dan een aantal simpele regels. Een application layer firewall kan beter dan een packet filtering firewall beschermen tegen virussen e.d., maar is complexer, omdat elk protocol apart moet worden behandeld. Bovendien kost het bepalen of een pakketje door mag of niet meer resources. Een voorbeeld van een application layer firewall is een mailserver die op de SMTP-poort luistert, en alle spam filtert.

Stateless firewall

Een stateless firewall behandelt elk pakketje op zichzelf, de firewall slaat tussentijds geen informatie op van de connecties die over de firewall lopen. Aangezien dit vrij grote beperkingen met zich meebrengt, zijn de meeste firewalls tegenwoordig stateful.

Stateful firewall

Een stateful firewall houdt wel tussentijdse informatie bij van connecties die over de firewall lopen. Hierdoor is de firewall beter in staat onderscheid te maken tussen pakketjes die wel toegestaan en niet toegestaan mogen worden. Een voorbeeld: het FTP-protocol is zo opgezet dat soms verbindingen op willekeurige poorten nodig zijn. Als een stateless firewall FTP moet toestaan, dan zal daartoe verkeer op alle poorten moeten worden toegestaan. Een stateful firewall kan volstaan met het tijdelijk openen van de poort waarover de FTP sessie plaatsvindt. Tegenwoordige packet filtering firewalls zijn stateful.

Personal firewall

Een personal firewall is een firewall die enkel de computer beschermt waarop deze geïnstalleerd is. De personal firewall kan gebruik maken van verschillende technieken om regels op te bouwen, maar een geavenceerde personal firewall beschikt over een extra mogelijkheid : Men kan regels definiëren op basis van processen. Zo is het mogelijk een regel te maken dat enkel het programma E-MAILPROGRAMMA.EXE toegang geeft om via poort 25 een e-mail te versturen. Zulke regels kunnen voorkomen dat bijvoorbeeld spyware programma's ongewenst mails versturen vanuit de betreffende computer.

Je kunt ook je computer beschermen door gewoon goed na te denken bij wat je doet. Het is slim als je er een gewoonte van maakt om bestanden die je hebt verkregen eerst te scannen. Ook moet je nooit zomaar achteloos bestanden openen waarvan je niet weet wat het is.