Schuilen voor Armageddon en cyberterreur

“Cyberterroristen willen internet platleggen” blokletterde De Morgen op 23-08. De claim bleek (losjes) gebaseerd op wat Eddy Willems (Data-Alert) zei over de dreiging van W32.SoBig.F. Voorlopig is het zo ver nog niet, maar het zou nog maar een kwestie van tijd zijn vooraleer een virus het internet platlegt, met “catastrofale gevolgen voor zowel de beurs, luchthavens als ziekenhuizen”! Of toch niet?
We leven in angstaanjagende tijden; baardige terroristen bedreigen ieders vredige achtertuin, onbekende long- en andere ziektes liggen op de loer om onze gezondheid en onze medisch-wetenschappelijke zielerust te ondermijnen, .. En daarbovenop blijken onze eigen computers, die interactieve breedband-vensters op het wereldwijde dorp, wapens te zijn in de handen van terroristen en andere hackende misdadigers? Waar is het foutgegaan? Welke God moeten we aanroepen om al dit naderende onheil af te wenden?
Laat ons het melodrama van de onheilsprofeten maar laten voor wat het is om drie eenvoudige vragen te beantwoorden:
1. Kan een virus het Internet echt platgeleggen?
Eigenlijk niet, omdat het internet is gebouwd als een netwerk van onafhankelijke computers, zonder centrale infrastructuur.
Wat een virus wel kan, is bepaalde stukken van dat netwerk platleggen, door ‘de lijnen te overbelasten’ (Denial of Service ofte DoS). In dat geval kunnen delen van het internet onbereikbaar worden en zou het in een extreem geval kunnen dat de de ‘fat pipe’ tussen de USA en Europa dichtslibt. Een probleem, ongetwijfeld, maar het internet blijft wel werken, juist omdat er geen centrale infrastructuur is.
Een virus kan ook, zoals al gebleken is, de mailservers van bedrijven of ISP’s overbelasten. In dat geval valt het mailverkeer van die organisaties -tijdelijk- uit.
Dat virussen of wormen catastrofale gevolgen kunnen hebben voor ziekenhuizen, luchthavens en banken is dan ook maar gedeeltelijk waar: de kans is reëel dat een krachtig virus het mailverkeer of de internetconnectiviteit van zo een organisatie platlegt. Maar dat het functioneren van zo een bedrijf afhangt van zijn verbinding met het internet? Nee, dat is zelden of nooit het geval; voor cruciale verbindingen zal een bank of een luchthaven niet het publieke internet, maar een privé-netwerkverbinding gebruiken, die als het goed is niet enkel afgeschermd is van de boze buitenwereld, maar ook van de potentieel besmette computers van onkundige (of soms kwaadwillige) werknemers.
2. Wie of wat bedreigt mijn vredelievende computer dan?
Er zijn drie types bedreigingen; virussen, wormen en hackers. De eerste categorie probeert een onwetende gebruiker zover te krijgen om het malafide programma (dat meestal via mail wordt verspreid) op te starten. Eenmaal actief, probeert het virus zich in je computer te nestelen en zich verder te verspreiden (via mail naar alle mailadressen uit je adressenboek of naar alle mailadressen die op internetpagina’s staan die in het geheugen van je computer zitten).
Verveelde would-be hackers (en hun geautomatiseerde zelfverspreidende ‘exploits’ die wormen worden genoemd) buiten voornamelijk beveiligings-gaatjes in software uit om binnen te dringen in een computer via één van de vele kanalen (poorten) waarop uw computer luistert naar binnenkomend verkeer. De beveiligingsgaatjes worden over het algemeen door goedmenende (professionele of hobbyende) security-experten gevonden en gemeld aan fabricanten (Microsoft, Apple, …) die een ‘software-pleister’ (patch) uitbrengen om het gaatje te dichten. Die patchen geraken in de praktijk niet echt snel genoeg op uw en mijn computer geinstalleerd. En dan slagen hackers, maar vooral script-kiddies (onkundige indringers die kant en klare programma’s van echte hackers gebruiken om binnen te dringen) en wormen toe.
Zowel virussen als hackers/ wormen installeren regelmatig ‘achterdeurtjes’ om besmette computers later te gebruiken als uitvalsbasis voor spam-mailcampagnes, (DoS-)aanvallen op andere systemen of (dikwijls illegale) bestandsuitwisseling.
3. HELP!?
Panikeer niet, doe er iets aan! Om de risico’s van bovenstaande dreigingen enigszins in te perken, moeten zowel individuen als hun (breedband-)ISP’s en de bedrijven hun verantwoordelijkheid opnemen.
Recept voor particulieren: virusscanner, firewall en patches. Installeer een virusscanner, laat die alle binnenkomende mail controleren en besmette berichten onverbiddelijk verwijderen en haal minstens 1 keer per week (volautomagisch) virusdefintie-updates van uw virusscanner-fabricant binnen. Installeer een firewall die toegang tot uw computer beperkt tot het absoluut noodzakelijke kan beperken (juiste configuratie van deze software is heel belangrijk, vraag rond in uw kennissenkring wie u kan helpen). En ga elke dag (ook dit kan automatisch) na of er nieuwe beveiligings-patches geinstalleerd moeten worden. Wie deze maatregelen in acht neemt, komt al heel ver.
Particulieren als groep zouden ook gebaat zijn bij een grotere diversiteit in de software-biotoop: aangezien meer dan 90% van de computers Microsoft Windows, Microsoft Outlook Express en Microsoft Internet Explorer gebruikt (die onderling dan nog eens sterk geintegreerd zijn), zijn er meer virussen voor dit platform en verspreiden die e-beestjes zich ook enorm snel. Indien 30% van de Windows-gebruikers zou overschakelen op Apple Mac OS X of één van de gebruiksvriendelijker Linux-versies, zouden zij niet enkel meer kans op zielerust voor hun computer maken, maar zouden virussen zich ook minder snel kunnen verspreiden.
Maar ook (bedrijven en) breedband-ISP’s hebben een belangrijke rol te spelen: wormen en virussen verspreiden zich zo snel omdat te weinig van die beestjes worden tegengehouden nog voor ze de computer van de eindgebruiker bereiken en omdat een besmette computer te lang actief kan blijven. Concreet: elke ISP zou op de mailservers een virusscanner hebben moeten staan om zowel inkomende en uitgaande mail te controleren. En om wormen (en hackers) buiten te houden zouden ISP’s een groot aantal poortjes op de computers van hun klanten van buitenuit onbereikbaar moeten maken (verkeer dat als antwoord wordt verstuurd op een ‘vraag’ van de surfer zoals bv. een vraag om webpagina X, kan dan nog perfect binnen, maar uw en mijn computer zijn dan niet meer als ‘server’ bereikbaar om zelf vragen binnen te krijgen). En laat providers, als ze dan toch bezig zijn, de handen in elkaar slaan om automatisch adressen uit te wisselen van computers van waarop automatisch of door een hacker inbraakpogingen gedaan worden, zodat die machines tijdelijk worden afgesloten (naar het voorbeeld van de blocklist op dshield.org)
Een laatste partij die de dreiging van virussen en wormen sterk zou kunnen verminderen, zijn de softwarebouwers en dus in eerste instantie over Microsoft. De verregaande integratie van Internet Explorer in Windows en in Outlook Express maken het bv. mogelijk dat een mail die binnenkomt kan profiteren van een niet gedicht veiligheidsgaatje om een attachment ongezien, zonder gebruikersinteractie, te openen. Door die verregaande integratie is met een oppervlakkige kennis van webprogrammatie en wat opzoekwerk op google heel wat mogelijk (lezen van data op harde schijf van slachtoffers, ontfutselen van wachtwoorden voor logins op websites, ..). Om het simplistisch te stellen: indien Microsoft de gebruiker de kans gaf om mail enkel in niet opgemaakte tekst (geen html, geen richt text) te bekijken, zouden een aantal problemen al van de baan zijn. En indien Microsoft er dan ook nog voor zou zorgen dat attachments altijd in een ‘gevangenis’ worden geopend, waarin ze geen toegang tot de harde schijf of het netwerk hebben, zouden virussen het al heel wat moeilijker hebben om zich te vermenigvuldigen.
Vanzelfsprekend moeten particulieren, ISP’s, bedrijven en softwarehuizen investeren om een aantal van deze maatregelen te bekostigen. Maar om de duivel en andere hackers buiten spel te zetten (en zo voor vrede op aard en uw en mijn computer te zorgen) moet een moderne superman toch iets overhebben, niet?