Jagen met honingpot en zandbak

Virusbedrijven strijden met honingpot en zandbak tegen kwaadaardige software. Ze willen sneller reageren op slimmere virussen.

Ergens in een kantoor van anti-virusbedrijf Symantec staat een computer. Het is zo op het oog een normale pc met een internetaansluiting, maar schijn bedriegt. Dankzij een trucje van de beheerder lijkt de computer voor de buitenwereld een geavanceerd netwerk van tientallen pc's. Dat maakt het een aantrekkelijk doelwit voor virusmakers. Geen reden tot paniek voor Symantec. Het antivirusbedrijf gokt juist op de aantrekkingskracht van het `netwerk'. De pc is een `honingpot': hij lokt virussen als beren naar de honing. Het bedrijf bestudeert daarna het gedrag van de beer. ,,Deze techniek is de laatste tijd in opkomst'', zegt T. Welling van Symantec. ,,Het is inderdaad een vorm van uitlokking, maar alleen om meer te weten te komen over nieuwe virussen.''

De honingpot is een van de gereedschappen die antivirusbedrijven gebruiken om virussen te analyseren. Een andere methode is de zandbak. Een virus wordt gecontroleerd tot ontploffing gebracht. Het programma mag uitrazen in een geïsoleerde omgeving, waarbij het nauwkeurig wordt geobserveerd.

Als een computervirus een brandje is, dan is het antivirusbedrijf de brandweer. Of beter gezegd: het bedrijf maakt deel uit van een veelkoppige brandweer. Diverse partijen spelen een rol. Softwaremakers wijzen geregeld op `brandgevaarlijke' plekken in hun producten. Ze leveren pleisters (patches) om de zwakke plekken te dichten. Antivirusbedrijven waarschuwen eveneens voor brandgevaar, maar leveren ook brandblussers. Zij bieden bescherming en geven eerste hulp. Internetaanbieders proberen steeds vaker het vuur al bij de voordeur te doven. Zij filteren e-mail en webverkeer om te voorkomen dat virussen hun klanten bereiken. De overheid op haar beurt geeft brandpreventie. Zij adviseert ministeries en lagere overheden, het midden- en kleinbedrijf en thuisgebruikers. Die zijn vaak de zwakste schakel. Zij moeten zelf hun pc's beveiligen. De antivirusbrandweer komt slechts tot de voordeur.

Bill Gates zei ooit dat de strijd tussen softwaremakers en virusschrijvers altijd een kat- en muisspel blijft. Microsoft benadrukt de laatste tijd wel steeds meer het belang van beveiliging. Het bedrijf heeft recent zelfs een forse beloning uitgeloofd voor de tip die leidt tot aanhouding van de makers van de Blaster- en Sobig.f-wormen. Maar, zegt Gates, volledig foutloze software bestaat niet.

Volgens alle virusbestrijders moeten gebruikers daarom hun eigen verantwoordelijkheid nemen. Beveilig de pc met antivirussoftware en een firewall. Deze zijn te koop in alle soorten en maten. McAfee Security en Norton Antivirus (Symantec) zijn de bekendste merken. Deze Amerikaanse bedrijven leveren computerbeveiliging aan particuliere en zakelijke gebruikers. Ze zijn beide opgericht in de jaren tachtig, rond de tijd dat de eerste computervirussen de kop op staken. Beide boekten vorig jaar een omzet van circa 1 miljard dollar en hebben rond de 4.000 werknemers. McAfee heeft een kantoor in Amsterdam. De Nederlandse vestiging van Symantec zit in Leiden.

Naast de Amerikaanse marktleiders zijn er nog tal van kleinere antivirusbedrijven. Bijvoorbeeld het van oorsprong Russische bedrijf Kaspersky. Deze onderneming heeft kantoren in tien landen, waaronder één in Den Bosch. Kaspersky Benelux werd in 1988 opgericht als Thunderbyte, werd verkocht aan het Noorse Norman, splitste zich af en ging in zee met de Russen. Met goed gevolg: het antiviruspakket van Kaspersky kwam onlangs bij een test door de Consumentenbond als beste uit de bus.

Het werk van deze virusbestrijders valt uiteen in drie fasen: voor, tijdens en na een uitbraak van een nieuw virus. Voor een uitbraak houden experts wereldwijd, 24 uur per dag, 7 dagen per week de veiligheid op het net in de gaten. De grote antivirusbedrijven hebben uitgebreide onderzoeksafdelingen. ,,Wij ontdekken 10 tot 15 nieuwe virussen per dag'', zegt Welling van Symantec. Wanneer een softwarefabrikant een fout in een product meldt, gaat het alarm bij de virusexperts. Zij analyseren het lek en proberen de mogelijke gevaren in kaart te brengen. Duikt er vervolgens een virus op dat de fout benut, dan gaat dat virus zo snel mogelijk op de operatietafel om een tegengif te ontwikkelen. McAfee heeft daar gemiddeld anderhalf uur voor nodig. Daarna wordt de informatie over het nieuwe virus doorgestuurd aan de klanten. Dat gaat meestal automatisch via internet.

Welke gereedschappen gebruiken antivirusbedrijven? De `honingpot' en de `zandbak' spreken wellicht tot de verbeelding, maar de bestrijders zelf verwachten meer van tactieken om kwaadaardige programma's voor te zijn. Ze moeten wel, want virussen zijn tegenwoordig veel sneller dan vroeger. Onderzoekers vestigden onlangs de aandacht op Flash- of Warhol-virussen. Die inspecteren eerst een netwerk, stippelen een route uit en besmetten dan razendsnel heel veel pc's. ,,De snelheid van nieuwe virussen is het grootste gevaar'', zegt onderzoeker D.Emm van McAfee. ,,Daarom leggen we veel nadruk op `slimme' strategieën om virussen sneller te kunnen bestrijden.'' Emm noemt onder meer de heuristische analyse, een techniek waarmee ook Kaspersky zich bezighoudt. Directeur D.Gehéniau van Kaspersky Benelux: ,,Al in 1992 gebruikten wij deze manier om virussen te analyseren.'' Diep in het besturingssysteem controleert de virusscanner alle commando's. Een commando om de harddisk te formatteren is zeer verdacht. Hoe verdachter de acties, hoe groter de kans op een virus.

Emm van McAfee tracht verder generieke virussen te onderscheiden. ,,Wij zoeken families van virussen. Als we de definitie van een virus voldoende abstract maken, dan vangt de huidige scanner het automatisch af.'' Een derde strategie kijkt niet naar de virussen maar naar de zwakheden. Het antivirusprogramma sluit meteen het dakraam; het wacht niet totdat een inbreker er doorkruipt.

Het brandweerkorps van de antivirusbrigade heeft een hoop leden. De rol van de internetaanbieder groeit. Planet Internet, de grootste provider van Nederland, biedt sinds enige tijd een E-mail Virus Scan. Voor 300.000 van de 1,5 miljoen klanten controleert de internetaanbieder in- en uitgaande post. Daarnaast kan Planet e-mail in een eerder stadium blokkeren. ,,Dat hebben we deze zomer gedaan bij de uitbraak van Sobig'', zegt R. Crevecoeur van Planet Technologies, de `technische dienst' van Planet. Bij Blaster blokkeerde men het webverkeer om verdere infecties te voorkomen. ,,Virusbestrijding staat soms haaks op de doelstellingen van de provider: het bieden van onbeperkte toegang.'' KPN heeft recent het eigen Computer Emergency Response Team nieuw leven ingeblazen. Planet Technologies en de afdeling die zakelijke internetdiensten levert houden elkaar op de hoogte van computercriminaliteit. Crevecoeur heeft ook nog tips voor veilig internetten: houd virusscanners actueel, voer patches uit, gebruik een firewall (vooral bij breedband), blijf alert op vreemde foutmeldingen en open geen vreemde bijlagen bij e-mail.

Dat laatste is ook de boodschap van een overheidscampagne die binnenkort van start gaat. Onder het motto `Weet wat je binnenhaalt Laat je niet verleiden' gaat Waarschuwingsdienst.nl, een initiatief van het ministerie van Economische Zaken, pc-gebruikers voorlichten over de gevaren van internet. De dienst wordt uitgevoerd door Govcert, het Computer Emergency Response Team van de overheid. Sinds februari 2003 waarschuwt men via site, e-mail en sms voor nieuwe virussen. Ruim 31.000 mensen ontvangen de waarschuwingen. Voorlichting en advies is de belangrijkste taak van de overheid bij de bestrijding van virussen, zegt programmamanager N. van den Berg van Govcert.nl. ,,De overheid neemt haar verantwoordelijkheid door ons geld te geven.'' Haar dienst heeft een budget van 2,5 miljoen euro per jaar. Veertien mensen (computerexperts, juristen, voorlichters) geven particulieren, MKB en overheden wijze lessen in brandpreventie.