Virussen zijn niet bang voor techniek

Veel bedrijven en particulieren hebben hun computers en netwerken niet goed beveiligd. Om veilig te surfen moet iedereen zijn verantwoordelijkheid nemen, liefst voordat het virus en de drive-by hacker hun slag hebben geslagen. Dat geldt voor thuisgebruikers en bedrijven, maar ook voor de softwarefabrikant, zoals Microsoft.

Gerard Zonjee geeft de laptop aan zijn passagier en steekt een stekkertje in de pc. Daarmee is de laptop verbonden met een antenne op het dak van zijn auto. Hij opent het programma NetStumbler en zegt: ,,Tijd voor een rondje drive-by-hacken in Castricum.''

Zonjee werkt als beveiligingsexpert bij internetaanbieder HenZ.nl. Desgevraagd probeert hij ook bedrijfsnetwerken te kraken. Nu laat hij zien hoe eenvoudig het is om misbruik te maken van wireless LAN, een populaire draadloze internetverbinding. Veel computergebruikers vervangen hun adsl- of kabelmodem door een exemplaar dat draadloos, via radiosignalen, communiceert met de pc – maar vergeten dat daar extra beveiliging bij hoort. ,,Ze zijn vaak al lang blij dat het werkt,'' zegt Zonjee. ,,Consumenten vinden de beveiliging vaak ingewikkeld.''

De auto draait een straat met nieuwbouwwoningen in. Zonjees laptop piept en er verschijnt een groene stip op het scherm. ,,Ergens binnen een straal van honderd meter bevindt zich nu een draadloos modem. Verschijnt er een sleuteltje, dan is de verbinding beveiligd. Zo niet dan kan iedereen – binnen, maar wij ook hier buiten in de auto – met een laptop en een draadloos modem surfen op kosten van de eigenaar van het modem.''

De drive-by-hacker kan in theorie alles doen wat hij wil. Surfen en mailen, maar ook spam versturen en kinderporno verspreiden. Justitie komt dan niet terecht bij de dader, maar bij de eigenaar van het modem: onder zijn identiteit (het ip-nummer) werden de overtredingen immers gepleegd. Ook kan de inbreker met vrij verkrijgbare software meelezen in verstuurde e-mail en wachtwoorden achterhalen.

Een uurtje rijden en veel gepiep later blijkt dat er van de 115 draadloze modems die in de lucht waren, er 70 niet beveiligd waren. ,,Deze verhouding zie je ook elders in Nederland,'' zegt Zonjee. ,,Twee jaar terug was ongeveer de helft van de netwerken beveiligd, nu is dat flink veel minder.'' Dat geldt volgens Zonjee niet alleen voor particulieren, ,,ook makelaars, scholen en advocaten hebben onveilige verbindingen''.

In maart waarschuwde de Duitse minister van Binnenlandse Zaken Otto Schilly al voor de slechte beveiliging van draadloos internet. De helft van de lokale contactpunten voor draadloos internet (hotspots, die in tegenstelling tot draadloze modems van particulieren wel openbaar zijn) in Duitsland zijn volgens Schilly onvoldoende beschermd tegen inbraken door hackers. ,,De beveiliging van deze systemen ligt ver achter bij de snelle expansie van de technologie,'' waarschuwde de minister tijdens de technologiebeurs Cebit in Hannover. Gerard Zonjee: ,,Particulieren moeten dat tot op zekere hoogte zelf weten, maar bedrijven hebben een grotere verantwoordelijkheid. Zij moeten uiterst zorgvuldig omgaan met de gegevens van hun klanten.''

Te weinig budget is een belangrijk obstakel voor een effectieve beveiliging.Niet specifiek van draadloos internet, maar van computers en netwerken in het algemeen. Dat concludeerde accountant Ernst & Young vorig jaar in zijn jaarlijkse Global Information Security Survey. Ook gebrek aan betrokkenheid en bewustzijn van het hogere management worden genoemd als belemmerende factoren. En organisaties ondernemen vaak pas actie als er iets aan de hand is, bijvoorbeeld als er een lek in een informatiesysteem is geconstateerd of als een concurrent wordt aangevallen. Het Amerikaanse bedrijf ICSA Labs ondervroeg driehonderd beveiligingsdeskundigen uit het midden- en kleinbedrijf. Zij meldden gemiddeld 108 besmettingen per maand, iets meer dan in 2002.

Een actieve benadering van informatiebeveiliging is behalve beter, ook goedkoper dan achteraf reageren, aldus Ernst & Young. Amerikaanse bedrijven die vorig jaar het slachtoffer werden van een virus, besteedden aan het herstellen van pc's en netwerken gemiddeld honderdduizend dollar – een kwart meer dan in 2002. De virusscanners die de meeste ondernemingen gebruiken, reageren niet snel genoeg. ,,Anti-virussoftware is van nature reactief,'' aldus Larry Bridwell van ICSA Labs in een verklaring, ,,Een virus moet eerst worden herkend, vervolgens moet een kuur worden bedacht en die moet naar alle gebruikers worden gestuurd.'' Niemand kan snel genoeg reageren, stelt Bridwell.,,Bedrijven moeten veel pro-actiever worden.''

Virussen en wormen komen steeds vaker voor en verspreiden zich steeds sneller. Bovendien worden kwaadaardige programma's steeds complexer. Dat schrijft anti-virusbedrijf Symantec, bekend van onder meer de Norton-producten, in zijn jaarlijkse Internet Security Threat Report. Een belangrijk beveiligingsprobleem voor bedrijven in het komende jaar is volgens Symantec de stijging van het aantal blended threats, slimme virussen die gebruikmaken van verschillende methoden en technieken om aan te vallen en om zich te vermenigvuldigen. In de laatste zes maanden van 2003 bestond meer dan de helft van de cyberaanvallen uit blended threats. Ze konden meer schade aanrichten dan ooit daarvoor, vanwege hogere verspreidingssnelheden en grotere capaciteit van netwerken. Een van de meest `succesvolle' wormen van het afgelopen jaar, Blaster, maakt misbruik van een lek in een veelgebruikte component van Windows. Bedreigingen die misbruik maken van deze onderdelen verspreiden zich verder dan wormen die zich richten op applicatiesoftware, zoals Internet Explorer of Word. Hierdoor zijn volgens Symantec meer systemen gevoelig voor een cyberaanval. Computercriminelen zoeken volgens Symantec bewust naar vertrouwelijke informatie zoals wachtwoorden en decryptie-sleutels, om gecodeerde gegevens te kraken. Beveiligingsexperts zeggen bovendien sterke aanwijzingen te hebben dat de georganiseerde misdaad zich bezighoudt met de nieuwste hackertrucs. Spammers, mensen die op grote schaal ongevraagde e-mail versturen, zouden virusschrijvers betalen om geïnfecteerde pc's te gebruiken als mailservers.

Hoe moet je je beschermen tegen computercriminelen? Waarom, vragen veel pc-eigenaren zich af, maakt marktleider Microsoft niet gewoon betere, dus minder kwetsbare software? Een manager uit de luchtvaartindustrie zei ooit dat als hij vliegtuigen zou maken zoals pc's en software worden gemaakt, er elke dag duizenden ongelukken zouden plaatsvinden.

,,De zware kritiek op Microsoft is absoluut onterecht,'' zegt Detlef Eckert, de Duitse directeur Europa trustworthy computing van Microsoft in zijn kantoor in Brussel. De voormalige topambtenaar van de Europese Commissie geeft sinds twee jaar leiding aan dit programma, dat Microsoft-producten veiliger moet maken. Microoft besteedt hier een groot deel van zijn onderzoeksbudget van 6 miljard dollar aan. ,,Onze software wórdt veiliger. Ik vind ook niet dat we langzaam reageren op lekken in onze software. Het is beter om zorgvuldig patches (reparatiesoftware, red.) uit te brengen dan te snel. Anders maakt de kuur de patiënt nog zieker in plaats van beter.''

Ook Microsoft-oprichter Bill Gates riep in februari tijdens een conferentie over computerbeveiliging in San Francisco veiligheid maar weer eens uit tot de topprioriteit van zijn bedrijf. Critici wezen meteen meesmuilend op enkele incidenten vorig jaar: Microsoft kreeg te maken met agressieve wormen die het onder meer hadden voorzien op een website van het bedrijf, er was een ernstig lek in Windows en er zwierf een stuk van de geheime broncode van Windows op internet.

,,De nadruk op veiligheid vereist een heel andere manier van denken voor Microsoft,'' zegt Eckert. ,,We moeten er tíjdens het programmeren op letten, niet pas na afloop.'' Zijn eerste prioriteit is het omlaag brengen van het aantal lekken in de software. ,,Voor Windows 2000 Server, een programma voor kantoornetwerken, meldden we in de eerste driehonderd dagen dat het product op de markt was, 38 waarschuwingen. Voor de nieuwe 2003-versie waren dat er nog maar 9.'' Microsoft wil verder patches beter beschikbaar stellen, een beveiligingspaneel inbouwen in Windows (Service Pack 2 bij XP) en gebruikers beter voorlichten. ,,Techniek is slechts een deel van de oplossing voor computerbeveiliging. Wij trainen ook programmeurs en gebruikers.''

Eckert heeft zijn hoop gevestigd op een nieuwe vorm vanbeveiliging die Microsoft ontwikkelt met een aantal partners. Deze Next Generation Secure Computing Base (NGSCB) is een combinatie van hardware en software. Een extra chip op het moederbord van de pc fungeert als `kluis', waarin gegevens als wachtwoorden en creditcardnummers versleuteld worden opgeslagen. Via encryptiesleutels kan vertrouwelijk worden gecommuniceerd met de buitenwereld (vergelijkbaar met de versleutelingstechniek PGP, Pretty Good Privacy).

`De techniek is niet het probleem bij computerbeveiliging,' zegt Bart Vansevenant van het Belgische beveiligingsbedrijf Ubizen. ,,Je kunt nog zo'n fantastische beveiliging hebben, maar als niemand reageert op het alarm dan heb je er niets aan.'' Vansevenant staat in de streng beveiligde, bomvrije bunker van Ubizen, twee etages onder een voormalig fabriekspand van Philips in Leuven. Achter glas staren medewerkers naar drie computerschermen tegelijk. ,,Zij analyseren op afstand het internetverkeer van onze klanten.''

Ubizen werkt onder meer voor ABN Amro, JB Morgan Chase, Fortis en MasterCard en voor het IMF, de Europese Commissie en de NAVO. Voor het midden- en kleinbedrijf en voor particulieren is dit vaak te duur. De medewerkers ondernemen direct actie wanneer klanten worden aangevallen door hackers of virussen. In september 2003 identificeerde Ubizen 250.000 `reële aanvallen'. Hiervan waren 807 incidenten ernstig genoeg om te worden onderzocht door de specialisten van Ubizen; over 112 werd overlegd met de klant, waarna uiteindelijk vijf incidenten overbleven die een concrete bedreiging vormden voor de infrastructuur van de klant.

Bij computerbeveiliging wordt volgens Vansevenant te veel gesproken over producten. ,,Technologie is slechts twintig procent van de beveiligingsoplossing. Het gaat om de procedures, de kennis, de mensen. Heldere afspraken zijn nodig. Hoe repareert men de software? Wanneer moeten medewerkers hun wachtwoorden aanpassen? Wie mag nieuwe programma's installeren? Beveiliging is niet de verantwoordelijkheid van de IT-afdeling, maar van de directie.'' Hij pleit voor een gecentraliseerde en geïntegreerde aanpak van computerbeveiliging. Ubizen en andere grote beveiligers bieden hiervoor zogenoemde managed security services. Samen met de klanten houdt men het internetverkeer in de gaten. Alle inkomende en uitgaande e-mail, elk bezoek aan een website.

Bovendien loopt Justitie volgens hem te veel achter de feiten aan. ,,Een strafrechtelijke aanpak van computercriminelen is niet gemakkelijk vanwege het grensoverschrijdende karakter van hun activiteiten, maar strengere wetten schrikken wel af.'' In Nederland heeft minister Donner (Justitie) begin maart hardere maatregelen aangekondigd tegen computercriminaliteit. Mensen die inbreken in computersystemen moeten een celstraf kunnen krijgen van maximaal een jaar. ,,Bedrijven moeten worden verplicht zich openlijk te committeren aan een bepaald niveau van informatiebeveiliging. In Californië bijvoorbeeld moeten ondernemingen hun klanten inlichten als zij gehacked zijn.''

Lange tijd beschouwden de internetaanbieders in Nederland het beveiligen van pc's als de verantwoordelijkheid van de klant. Sinds vorig jaar bieden de grote providers echter diverse diensten op dit gebied. Wanadoo, na de KPN-providers Planet Internet, Het Net en Xs4all, profileert zich ermee. ,,Wij willen Wanadoo neerzetten als 'veiligheidsprovider','' zegt Bas van Kan, manager netwerk infrastructuur bij Wanadoo. ,,Sinds augustus bieden wij een e-mail-virusscanner en sinds september een antispam-dienst. Er is veel vraag naar beide.'' De nieuwe diensten vereisen extra investeringen van Wanadoo, met name in mensen: dagelijks houden drie tot vier medewerkers de spamfilters actueel.

Bert Dijkshoorn van de Rotterdamse internetaanbieder Luna vraagt zich af hoe ver de verantwoordelijkheid van de provider gaat. ,,Ik zie de internetaanbieder als nutsbedrijf. Een waterleidingbedrijf moet veilig, schoon drinkwater leveren, wij bieden `schoon' internet. De keerzijde is dat dan de vrijheid van consumenten kan afnemen.'' Providers zouden klanten bepaalde vormen van dienstverlening kunnen ontzeggen om hun netwerk gezond te houden. Gebruikers zouden bijvoorbeeld pas toegang tot internet moeten kunnen krijgen als ze de nieuwste patches hebben uitgevoerd.

De gebruiker is en blijft de zwakste schakel in de keten. Daarover zijn de beveiligingsdeskundigen het eens. Hij moet leren om zijn beveiliging actueel te houden. Om niet elke bijlage te openen. En om niet elke sexy techniek meteen te gebruiken. Dat leert een rondje drive-by-hacking in Castricum.