EICAR is geen auto van Apple, maar het Europese instituut voor computer antivirus
research. Als je ze kent, dan ken je ze – hoewel ze veel meer doen – vanwege
één klein bestandje: het EICAR testbestand. Het bestand is slechts 68 bytes
groot en heeft de volgende inhoud:
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
Nou en? Wel, van deze tekens wordt je virusscanner nerveus. Hij denkt
namelijk dat dit een echt virus is. En dat is precies de bedoeling. Een
virusscanner is ook maar gewoon een computerprogramma, en computerprogramma’s
moeten getest worden. En wat wil je dan testen? Je wilt testen of de
virusscanner virussen herkent en daar adequaat op reageert. Het testen van een
virusscanner is echter niet zonder gevaren, want je hebt virussen nodig om te
testen of een virusscanner werkt. Zolang je dat in een geïsoleerde
laboratoriumomgeving doet, hoeft dat geen probleem te zijn. Makers van
virusscanners kunnen zo te werk gaan. Ze hebben uiteraard enorme collecties
echte virussen, die ze op elke nieuwe versie van hun software kunnen loslaten.
Soms wil je buiten die beschermde omgeving testen – dat software in een
lab goed functioneert is mooi, maar in het echt moet zij het ook doen. Het is
echter bezwaarlijk om daarvoor echte computervirussen te gebruiken. En precies
daar springt het EICAR testbestand in de bres. Dat ziet er voor virusscanners
uit als een virus, maar het ís geen virus. Werkt de virusscanner goed, dan
wordt het EICAR-bestand netjes afgevoerd (‘in quarantaine gezet’). Werkt de
virusscanner niet goed, bijvoorbeeld doordat er bij de installatie iets mis
ging of doordat je computer – ondanks je virusscanner – is besmet met een virus
dat je virusscanner heeft uitgezet, dan veroorzaakt de test geen schade. Je
moet je in dat geval alleen realiseren dat het testbestand niet gedetecteerd is en dat er dus iets mis is. En nadat het
probleem verholpen is, doe je er goed aan om een volledige scan uit te voeren,
want wie weet wat de virusscanner nog meer heeft gemist.
Virusscanners werken van oudsher door de bestanden op je computer te
controleren tegen een lijst van ‘vingerafdrukken’ van bekende virussen. Die
lijst van virusdefinities moet zeer regelmatig worden bijgewerkt, omdat er
dagelijks vele nieuwe virussen bij komen (meer dan 350 duizend, zegt AV-TEST). De
meeste virusscanners hebben ook het EICAR testbestand in hun viruslijst staan,
maar er is in ieder geval één ‘dissident’: Malwarebytes. Dat bedrijf vindt dat
het testbestand niets over de effectiviteit van een product zegt en dat het
hele concept van patroon-herkenning sowieso zwaar achterhaald is.
Daar hebben ze niet helemaal ongelijk in. Juist omdat er dagelijks
zoveel nieuwe virussen worden losgelaten, is het up-to-date houden van
viruslijsten een eindeloze klus. Bovendien kun je niet al die virusdefinities
in je viruslijst houden, want dan wordt de lijst te lang en gaat de controle op
je computer te lang duren. Oudere virussen worden dus uit de lijst gehaald,
waardoor je het risico loopt dat zo’n oud virus je computer alsnog besmet.
Gelukkig vertrouwen virusscanners allang niet meer alleen op
viruslijsten. Ze werken ook met heuristische
analyse, waarbij onderzocht wordt of een programma instructies bevat die
verdacht zijn. Dat kan bijvoorbeeld door het programma eerst in een geïsoleerde
omgeving van de computer (een virtuele machine of ‘zandbak’) te laten draaien
en het gedrag te analyseren. Dat levert nog wel eens een false positive op: een onterechte detectie. Eén van de
virusscanners die wij gebruiken, werkt met een reputatiescore, die onder andere
wordt bepaald door de verspreidingsgraad van het onderzochte bestand. In een
organisatie waar veel geprogrammeerd wordt, levert dat veel false positives op,
die het zicht op de werkelijke dreigingen vertroebelt.
Ondanks het onschuldige karakter van hun testbestand vond EICAR het
noodzakelijk om een disclaimer op hun downloadpagina te plaatsen: in paarse
letters wijzen ze elke aansprakelijkheid voor schade aan je computer door hun
bestand, al dan niet in combinatie met je virusscanner, af. En deze blog heb je ook op eigen risico
gelezen.
En in de grote boze buitenwereld …
... deel je waarschijnlijk meer via Instagram dan je dacht.
... heeft de Russische geheime dienst diverse privacy-onvriendelijke
projecten lopen, blijkt uit gegevens die bij een grote hack zijn buitgemaakt.
... is een slim huis een kwetsbaar huis.
... gaat veel geld om in business
email compromise, een vorm van social engineering.
... wordt BEC nog gemakkelijker als je de waakhond aan banden legt.
... is de ondernemersvereniging het bepaald niet eens met het vleugellam
maken van de Fraudehelpdesk.
... voelt de Fraudehelpdesk zelf zich verdrietig en teleurgesteld.
... geeft de EU op de valreep elf vakantietips.
... mag FaceApp niet meer op politietelefoons staan.
... is FaceApp niet echt bruikbaar om een database voor
gezichtsherkenning te bouwen.
... moeten sommige vliegtuigen regelmatig gereboot worden.
... mag je met een particuliere beveiligingscamera ook de openbare weg
filmen, maar je moet je wel aan de regels houden.
... kan ook het internet een hartaanval krijgen.