De heilzame werking van virussen

Computervirussen blijven de gemoederen bezighouden. Om de zoveel tijd duikt er weer een nieuwe variant op die erin slaagt zich te nestelen in het systeem van een argeloze gebruiker en vervolgens probeert andere computers te bereiken. Als dat eenmaal lukt kan het zich verspreiden als een bacillenwolk in een wereldwijde niesbui.

Dit voorjaar legde het Sasser-virus talloze systemen plat, van luchtvaartmaatschappijen tot financiële instellingen en informatiediensten. Het had een zwakke plek ontdekt in de Windows systeemsoftware van Microsoft, waarop de meeste computers in de wereld draaien. Microsoft loofde een beloning uit om de maker van het virus op te sporen. Dat bleek een zeventienjarige Duitse scholier te zijn, Sven Jaschan uit het Noord-Duitse dorp Waffensen, van wie later bleek dat hij ook al het even beruchte Netsky-virus had gemaakt. Verontwaardiging alom: schande dat één enkele Duitse puber zo'n ontwrichting weet te veroorzaken. Hij komt voor het gerecht en als het verkeerd afloopt, gaat hij voor vijf jaar de cel in.

Krokodillentranen zijn het, die verontwaardigde geluiden. In de eerste plaats en natuurlijk al helemaal als ze afkomstig zijn van bedrijven als McAfee en Norton, die dankzij de bouwers van virussen serieus geld verdienen met de bestrijding ervan. Zij zijn de farmaceutische industrie van de computerwereld, en hebben pas echt een probleem als er het laatste virus definitief is opgeruimd. Virussen zijn hun bestaansrecht. Gelukkig dat er scholieren zijn die ze maken, anders zouden ze het zelf moeten doen.

Maar ook Microsoft, de ontwikkelaar van het systeem dat zoveel kieren en gaten vertoont dat zeventienjarigen er breekijzers in kunnen zetten, heeft meer aanleiding tot gegeneerd zwijgen dan tot hooghartige vermaningen. Het bedrijf bouwt besturingssystemen waar de ganse wereld van afhankelijk is geworden, deels op grond van vrije keuze maar ook omdat bijna niemand om Microsofts marktdominantie heen kan. Dat brengt toch de verplichting met zich mee, zou je zeggen, dat die systemen zo grondig op hun robuustheid zijn getest dat geen amateur, hoe kien ook, daar schade aan kan berokkenen.

Ook de gebruikers gaan niet vrijuit. De bank, de uitgever of de overheidsinstelling die door een virus wordt platgelegd en jammert over de schade die hij of zij lijdt, heeft óf geen grondige keuze gemaakt óf de risico's op de koop toe genomen. Want het is natuurlijk wel gemakkelijk om met Windows te werken, hoe kwetsbaar het ook moge zijn: er zijn talloze kant-en-klare toepassingen voor op de markt, die je zonder Windows misschien zelf moet ontwikkelen. Wie klaagt over de schade die hij lijdt door een virusaanval, die betaalt er gewoon achteraf de prijs voor dat hij zijn automatiseringsbehoeften snel, gemakkelijk en kort door de bocht heeft willen regelen.

Intussen vervult een computervirus in systemen dezelfde heilzame rol die een biologisch virus bij organismen speelt. Een infectie kan voor mij als persoon schadelijk of fataal zijn in die zin dat het me aan het bed kluistert of mij zelfs het leven kost. Maar wat schadelijk is voor het individu kan een verbetering zijn op het niveau van de soort. Er vindt een veredeling plaats: wat overleeft is resistenter, sterker en beter opgewassen tegen de bedreigingen van een onguur leefmilieu. We kunnen dus wel zeggen dat de kwajongens die de virussen maakten schuldig zijn, en de bouwers en de gebruikers van de voor infectie vatbare systemen nalatig of lui, maar intussen leveren ze met zijn allen op een evolutionaire manier hun bijdrage tot betere, sterkere systemen.

De virusbouwers zijn in zekere zin de kwaliteitsbewakers van de automatiseringswereld. Ze werken op basis van een destructieve testmethode. Dat is in productieomgevingen een volstrekt gangbare werkwijze, volgens het principe `als het breekt was het niet goed'. Een punt van bezwaar is dat ze de tests niet uitvoeren aan het eind van het ontwikkelings- of productieproces bij Microsoft, maar op producten die al geleverd en betaald zijn. Had Microsoft het dan niet zo kunnen regelen dat ze het bedrag dat ze uitloofden om Sven Jaschan in de kraag te grijpen aan hem zelf hadden gegeven als hij nog meer beveiligingslekken in Windows had weten te vinden? Nee, dat werkt niet, want hij had waarschijnlijk niets meer gevonden. Virussen komen tot stand, niet omdat één scholier op jacht is naar kwetsbare plekken, maar omdat het er tienduizenden zijn. Sven Jaschan heeft toevallig twee keer een gat gevonden, maar dat wil niet zeggen dat hij genialer is dan alle anderen. De genialiteit zit in de zwerm van al die computernerds, niet in één individu.

Dit is een apologie voor virussen en hun bouwers. Zolang er computersystemen zijn, zullen er virussen zijn om ze te belagen. Dat is pijnlijk maar nuttig. We zullen dus nog honderden keren worden getroffen door platgelegde systemen. Laten we dan nuchter vaststellen dat er weer een beveiligingslek is gevonden, dat we liever hadden gehad dat het er niet was geweest, maar dat we gelukkig de kans hebben het te repareren nu we weten dat het er is en waar het zit.

Laat het duidelijk zijn dat dit niet een pleidooi is om de destructieve testmethode ook toe te passen op bijvoorbeeld de ramen van bushokjes. Die zijn door hun aard en functie broos en breekbaar, dus wie gaat proberen ze stuk te maken is een vandaal. Computersystemen zijn deel van de publieke infrastructuur van de samenleving en horen solide, schokbestendig en weerbaar te zijn. Wie aantoont waar en hoe ze dat niet zijn, bewijst iedereen een dienst. Dat het een knap bedrag aan schade kost, is zuur voor de bedrijven die ervoor opdraaien, maar alleen zo wordt een kwaliteitsprobleem dringend genoeg om het urgent te repareren.