De computervirus-epidemie

«Gehackt door de Chinezen»

Sommige computerdeskundigen vinden de consternatie rond het Code Red-virus onterecht en vermoeden dat Amerikaanse overheidsdiensten bewust paniek zaaien. De timing kan geen toeval zijn.

«Daar gaan we weer», schreef Wayne Madsen op 2 augustus in zijn wekelijkse virtuele column. De cyberjournalist en onderzoeker bij het Electronic Privacy Information Center (Epic) in Washington vond de consternatie over de Code Red-computerworm ronduit verdacht. Code Red was volgens hem niet in staat het internet plat te leggen, zoals experts van de Amerikaanse overheid en softwareproducent Microsoft de wereld wilden doen geloven. In plaats van een «elektronisch Pearl Harbor» was er sprake van een «elektronische Rijksdagbrand», een staaltje desinformatie van de FBI en andere overheidsorganen om de publieke opinie te intimideren en meer fondsen en bevoegdheden naar zich toe te trekken. «Goebbels zou er trots op zijn», aldus Madsen.
Afgezien van de doorgeschoten vergelijking met nazi-Duitsland heeft Madsen een punt. Virusuitbraken op het internet zijn zelden zo vernietigend als de Amerikaanse autoriteiten ze afschilderen, en de torenhoge schaderamingen die er steevast op volgen zijn vaak aantoonbaar overdreven. Voor het propagandistisch misbruik zijn heel wat precedenten. Sinds de jaren negentig zijn berichten over echte of gefingeerde computervirussen en cyberaanvallen (denk aan het Michelangelo-virus, het Golfoorlog-virus, Kournikova en ILoveYou) telkens aanleiding geweest voor nieuwe beveiligingsinitiatieven, restrictieve wetgeving en de oprichting van gespecialiseerde controle organen. Een jaar geleden belegde president Clinton in allerijl een conferentie over computerveiligheid naar aanleiding van een virus aanval op een aantal dotcombedrijven, die achteraf het werk bleek te zijn van de zoon van de hoogste computerexpert bij de NSA, de Amerikaanse elektronische spionagedienst.
Ook Code Red kwam voor de genoemde veiligheidsorganen precies op het goede moment. De samenloop van omstandigheden is bijna te mooi om op toeval te berusten. President Bush heeft zojuist een budget van honderd miljard dollar gereserveerd voor zijn raketschild. Voor de beveiliging van ’s lands computernetwerken is maar een kleine twee miljard beschikbaar. Die verhouding is de FBI, CIA, NSA en het nationale computerbeveiligingsbureau NIPC een doorn in het oog. In juni jongstleden vocht NIPC-directeur Ronald Dick voor een hoger budget in de strijd tegen cyber crime, terwijl zijn collega van de CIA, George Tenet, in de Senaat waarschuwde dat duistere krachten in de hele wereld bezig waren elektronische aanvallen op de Verenigde Staten voor te bereiden: nationale legers, guerrillagroepen, criminelen, bedrijven, hackers en haatdragende anti-globaliseerders stonden klaar om de virtuele aanval te openen.
Van de landen die een info war (elektronische oorlog) tegen de Verenigde Staten zouden kunnen ontketenen («We weten met zekerheid dat ze de capaciteit aan het ontwikkelen zijn») noemde hij China en Rusland bij naam. In zijn verklaring benadrukte Tenet dat China het verst ontwikkelde info-war-programma had. Tezelfdertijd maakte Microsoft bekend dat er een lek in zijn programma IIS was geconstateerd; gebruikers konden het lek stoppen door gebruik te maken van een patch (reparatieprogramma) dat de firma gratis op zijn website aanbood. Drie weken later dook Code Red op, een virus dat gebruikmaakt van het genoemde IIS-lek, een virtuele aanval op het Witte Huis ondernam en op veel getroffen websites de tekst «gehackt door de Chinezen» liet verschijnen. En hadden Chinese hackers na het incident met een neergehaald Chinees gevechtsvliegtuig begin dit jaar niet gedreigd dat ze de Amerikaanse economie zouden platleggen? De goedgeoliede paniekmachine in Washington (waartoe ook Microsoft behoort sinds het bedrijf er een volledig geaccrediteerd filiaal bij de NSA op nahoudt) wist er wel raad mee.
De worm was bovendien zo geprogrammeerd dat hij particuliere gebruikers (het gros van de afnemers van Microsoft) buiten schot liet en alleen een overzichtelijke groep webservers van grote bedrijven en de overheid aanviel. En er zijn meer redenen waarom er een luchtje zit aan Code Red, ook al is de maker (zoals in de meeste van zulke gevallen) niet te traceren. Volgens experts is de worm ook nog eens een dom computervirus, om niet te zeggen verdacht dom. Het was erop gericht zo veel mogelijk IIS-servers te infiltreren; zodra het een server was binnengedrongen, zocht het van daaruit toegang tot nieuwe onbeschermde servers. Tot zover functioneerde Code Red redelijk. Maar uiteindelijk moest het met behulp van al die servers een zogenaamde Dos-aanval uitvoeren op de website van het Witte Huis. En daar ging het mis. Een Dos-aanval (denial of service) is een overstroming van een internetadres met data en informatieverzoeken waardoor het stil komt te liggen. De maker van Code Red had in zijn script echter alleen het IP-nummer (zeg maar het internetadres) van het Witte Huis ingevoerd. De aanval kon relatief eenvoudig worden afgeslagen door de website van het Witte Huis een ander adres te geven.
«Dat is echt een stomme fout van de virusbouwer», aldus ex-hacker en beveiligingsexpert Rop Gonggrijp: «Als hij een zogenaamde domain name search had ingebouwd, had het virus alle getroffen computers eerst laten zoeken naar het actuele adres van het Witte Huis om vervolgens daarop de aanval in te zetten. Dan was het Witte Huis inderdaad uit de lucht gehaald.» Een virus dat alleen webservers met IIS-software aantast, is bovendien nooit in staat het internet stil te leggen zoals de Amerikaanse autoriteiten claimden. Daarvoor is zwaarder geschut nodig. Gonggrijp: «Code Red benut maar één lek in IIS-servers met een bepaalde plug-in die alleen standaard draait op Windows 2000. Stel nu eens dat het virus gebruik had gemaakt van tien of vijftien bekende beveiligingslekken in allerlei gangbare softwareprogramma’s. Er is een heel scala van zulke lekken die op het internet frequent voorkomen; ze zijn wijd en zijd bekend omdat ze openbaar worden gemaakt op websites, meestal de sites van beveiligingsbedrijven of producenten. Het effect van Code Red had veel groter kunnen zijn als de worm gebruik had gemaakt van al die lekken, waardoor hij zijn relevante onderdelen had kunnen kopiëren van een Linux-machine naar een Windows 95-machine, vandaar naar een Windows 2000-machine, enzovoort. Voor een slimme scriptschrijver is dat niet zo'n opgave.»
Ook in tactisch opzicht valt er veel te «verbeteren» aan Code Red, aldus beveiligings experts. «Als hij het iets slimmer had aangepakt», zegt een Microsoft-medewerker die anoniem wil blijven, «had de maker ook een Dos-aanval op onze beveiligingswebsite en die van andere virusbestrijders ingebouwd. Dan hadden de getroffen gebruikers geen reparatieprogramma’s kunnen ophalen en was de levensduur van de worm en dus de schade vele malen groter geweest.»
Beveiligingsexpert Ian Brown van de Britse organisatie Privacy International is «verbijsterd» door de naïviteit van Code Red: «Alleen al van dat ene IIS-lek had de maker veel effectiever gebruik kunnen maken. En het script bevat een aantal elementaire fouten waardoor de worm zich veel minder snel verspreidde dan mogelijk was geweest. Je kunt niets bewijzen in zulke gevallen, maar Code Red is de ideale vogelverschrikker die vrijwel niets uitricht en toch de massa van internetgebruikers op de kast jaagt. Ik ben niet zo paranoïde als Madsen om te veronderstellen dat er opzet in het spel is, maar de manier waarop de FBI en het Amerikaanse ministerie van Defensie erop insprongen, doet vermoeden dat ze hun pr-strategie klaar hadden. De FBI heeft net enkele tientallen miljoenen dollars toegezegd gekregen voor het bestrijden van cyber crime en is zeer ontevreden over dat lage bedrag. Bovendien is de hysterie rond Code Red een prachtige opmaat voor de ratificatie van het ontwerpverdrag tegen cyber crime dat de VS, de EU en Japan net hebben afgerond.»
Net als Epic verzet Privacy International zich met hand en tand tegen pogingen van overheden om de vrijheid van informatie, het recht op virtuele privacy en de onschendbaarheid van het elektronisch briefgeheim aan te tasten. «De meeste zogenaamde bedreigingen vallen in de praktijk mee en rechtvaardigen bij lange na niet al die opgeschroefde veiligheidssystemen en nieuwe controlemechanismen», zegt Brown: «De verspreiding van virussen en wormen zou bijvoorbeeld grotendeels kunnen worden voorkomen doordat softwareproducenten worden gedwongen geen knoeiwerk te leveren en onvolwaardige programma’s te verkopen.» Gonggrijp verzet zich tegen de neiging virussen en de mogelijkheden van info warfare te bagatelliseren: «Code Red is wel degelijk de voorbode van gevaarlijker virussen. Kijk eens naar het succesvolle Sircam-virus dat onlangs de kop opstak en dat zich verspreidt via e-mails met een attachment. Als je de scriptfouten in Sircam en Code Red zou elimineren en hun functionaliteit samenvoegen, dan krijg je een veel gevaarlijker virus. Sircam zou op zichzelf al veel vernietigender kunnen zijn dan het nu is. Het verzendt vanaf een getroffen computer telkens één relatief klein bestand naar een serie webadressen. Het is al voldoende die load te vertienvoudigen — dat wil zeggen dat iedereen tienmaal zoveel mails of bytes in zijn mailbox krijgt als nu het geval is — om mailboxen te overladen, servers te overstromen en een groot deel van het dataverkeer stil te leggen.»
Een intelligenter virus zou langdurig en gericht informatiesystemen kunnen verstoren of vernietigen, de infrastructuur van een land uitschakelen en wereldwijd chaos en paniek veroorzaken. Gonggrijp: «Met een beetje fantasie en expertise kun je een worm bedenken om bang van te worden. En tussen nu en drie jaar zullen er genoeg pogingen worden ondernomen door 21-jarige kneuzen met een Linux-bak in de kelder die de publiciteit zoeken. Daar kun je op wachten. De Amerikaanse overheid hoeft geen nep-virusaanvallen op touw te zetten zoals conspiracy-denkers veronderstellen, dat doen hackers in de hele wereld wel uit eigen beweging. Het voornaamste is dat we ons hoofd koel houden en ons niet laten meeslepen door hysterie. En we moeten vooral niet eisen dat overheden, systeembeheerders en providers garant staan voor de computerveiligheid. Mensen moeten leren dat ze voorzichtig moeten zijn met het installeren van bepaalde programma’s, het openen van attachments, enzovoort. Als je die verantwoordelijkheid delegeert aan providers, zoals sommigen in Nederland willen doen, zullen individuele gebruikers zich niet meer bekommeren om hun veiligheid en dan wordt het net juist kwetsbaarder voor virussen en wormen die aan de filters van de providers ontsnappen. Dan komt een wereldwijde elektronische meltdown pas echt binnen bereik.»