Computerlek mag niet uitlekken

Wie slaat er alarm als er een ernstig pc-lek wordt gevonden? Zowel Microsoft als de cybercriminelen houden het liever stil.

brandmuur Venderbosch, Roel

Het leek een rustig jaar te worden voor Microsoft, de grootste softwaremaker ter wereld. 2005 was verlopen zonder al te grote veiligheidsproblemen of schadelijke pc-virussen. Totdat het Windows Meta File (beter bekend als het WMF-lek) tijdens de kerstdagen roet in het eten gooide: een probleem in de grafische motor van alle Windows-besturingssystemen, waarmee een hacker met een aangepast WMF-bestand kwaardaardige software op de pc kan installeren. In de week tussen kerst en oud en nieuw werden de eerste exploits al rondgestuurd, bestanden die misbruik maken van de pas ontdekte zwakheid. Deze week schreeuwden ict-nieuwssites en kranten moord en brand, omdat het ernstigste Windows-lek sinds tijden niet meteen door Microsoft opgelost kon worden.

Antivirusbedrijf Kaspersky ontdekte als eerste dat er exploits voor het WMF-lek rondgestuurd werden. Dat was niet moeilijk, zegt Roel Schouwenberg van antivirusbedrijf Kaspersky met gevoel voor understatement: “In feite werd de computer gegijzeld. De boodschap in het bericht luidde dat je pc aangetast was door het WMF-lek. Daar kon je weer vanaf komen door een programma te kopen voor twintig of dertig euro. Natuurlijk alleen te betalen met je creditcard, zodat je dat nummer ook meteen prijsgaf.“

“WMF werd op de valreep het ernstigste beveiligingsprobleem van 2005“ , erkent ook Ruud de Jonge, die voor Microsoft Nederland over beveiliging gaat. Zijn bedrijf kreeg veel kritiek omdat het lang duurde voordat er een patch (oplossing) beschikbaar kwam die pc-gebruikers beschermde tegen de tekortkomingen van het besturingssysteem. ,,We moeten onze patches eerst uitgebreid testen. We kunnen het niet maken om een oplossing uit te brengen die andere problemen veroorzaakt.“

Het WMF-lek werd door hackers gevonden, maar de etiquette onder de veiligheidsexperts vereist dat een nieuw ontdekte zwakheid eerst aan de verantwoordelijke softwareontwerper wordt medegedeeld. Die kan dan een adequate oplossing verzinnen. “Natuurlijk staat het goed dat we als eerste een virus of lek ontdekt hebben. Dat is voor ons uitstekende reclame. Maar we maken niet alleen het lek bekend, ook graag de oplossing erbij - anders schiet je er niets mee op. “Malware (kwaadwillende software) gaat voor marketing' is onze slogan“ , citeert Schouwenberg het handboek voor Kaspersky-medewerkers.

Schouwenberg noemt hackers steevast cybercriminelen. ,,Meer dan tachtig procent van alle virussen die rondgestuurd worden is afkomstig van criminele organisaties. En dat zijn volledige bedrijven, compleet met een management, gehuisvest in een keurig kantoor. In feite werken cybercriminelen net als een normaal security-bedrijf als het onze“, zegt Schouwenberg, “met een researchafdeling die naar lekken in Windows speurt. Alleen werkt de cybercrimineel niet aan een oplossing, maar aan een manier om er geld mee te verdienen.“

Beschouwden hackers zichzelf vroeger nog als digitale kunstenaars die trots zijn op hun werk, de moderne cybercrimineel houdt zich liever op de vlakte. Roel Schouwenberg: “De trend van het afgelopen jaar was dat cybercriminelen probeerden niet op te vallen. Ze opereren het liefst op een laag niveau, net onder het maaiveld. Daar kun je de meeste computers besmetten en dus meer geld verdienen. Zodra een virus of mailworm veel media-aandacht kreeg, zoals de Zotob-worm die onder meer de redacties van CNN en de New York Times platlegde, worden de makers gearresteerd“

Alleen al daarom zou je volgens sommige veiligheidsexperts bij elk nieuw lek alle gebruikers zo snel mogelijk moeten alarmeren. Maar Microsoft is van mening dat zo'n groot alarm juist hackers activeert om nog snel even een exploit te schrijven. Het bedrijf heeft er een bloedhekel aan dat lekken vroeg in de publiciteit komen. “Onze oplossing voor het WMF-lek was net na kerst al klaar, maar elke aanpassing in Windows moet van Microsoft eerst met een uitgebreide regressietest aan de tand gevoeld worden. ,,Het duurt minstens 10 tot 14 dagen voordat zo'n patch 'afgevinkt' kan worden“, zegt De Jonge.

Hij geeft toe dat er bij Microsoft veel gediscussieerd is over de vraag of de WMF-patch niet eerder naar buiten gebracht kon worden. “Ik was daar wel een voorstander van, maar het beleid wordt in Amerika bepaald. We hebben trouwens wel een workaround gepubliceerd, waarmee het lek tijdelijk te dichten was. Maar daardoor werd de functionaliteit van Windows wel aangetast.“ Lange tijd zag het er naar uit dat Microsoft tot 10 januari zou wachten met een update, maar uiteindelijk werd de patch 5 januari vrijgegeven.

De Jonge: “We doen iets fout in onze communicatie, denk ik. Want sommige mensen denken echt dat we al die tijd duimen zitten draaien“, zegt De Jonge. “Dat wordt dan op één Amerikaanse website geschreven, en vervolgens wordt dat via websites ZDNet, Webwereld, Tweakers.net en Nu.nl overgenomen. Terwijl we echt op onze tandjes moeten lopen om het op tijd af te krijgen.“

Vergeleken met de nieuwssites lijkt de officiële site van de Nederlandse overheid, Waarschuwingsdienst.nl, minder snel te waarschuwen voor dreigend virusgevaar. Dat is geen kwestie van traagheid, vinden zowel Kaspersky en Microsoft: “Ze plaatsen de gevaren in het juiste perspectief. Het heeft weinig zin om iets aan de grote klok te hangen als er nog weinig “activiteit' rondom een nieuw lek is. Zolang hackers er niet mee bezig zijn, is het dus niet nodig om computergebruikers te waarschuwen.“

    • Marc Hijink