http://www.vandalisme.com 

Herbert Blankesteijn, Intermediair 12-3-'98


Internet bevordert niet alleen de verspreiding van computervirussen. Compleet nieuwe soorten destructieve programma's krijgen een kans. Makers van beschermende software profiteren gretig.

 Eind vorig jaar werd op Internet het kwaadaardige programma CussOut ontdekt. Onzichtbaar ingebouwd in een World Wide Web-pagina kon dit programma in de computer van iemand die de betreffende pagina opvroeg, het e-mailprogramma kapen. Het begon dan op eigen initiatief obscene mailtjes te versturen naar iedereen die in het adressenbestand voorkwam.

 CussOut was geen virus. Het vestigde zich niet permanent in een computer en vermenigvuldigde zich ook niet. Het was een ActiveX-module. ActiveX is een methode van Microsoft om Webpagina's te voorzien van meer mogelijkheden dan de gebruikelijke plaatjes, formulieren en klikbare plekken. Met ActiveX kunnen Webpagina's heuse programma's bevatten, zoals een rekenmachine, een animatie of een tekenprogramma. De Websurfer kan zo iets leuks zien of doen, of de prijs van een bestelling uitrekenen, zonder dat daarvoor tussentijds contact met de Website zelf nodig is - een kopie van de pagina mèt het actieve programma is immers tijdelijk in het geheugen van de eigen computer opgeslagen.

 ActiveX is Microsofts antwoord op Java, de computertaal van concurrent Sun die ook voor actieve elementen in Webpagina's wordt gebruikt. Java biedt eveneens mogelijkheden voor misbruik omdat de maker van de Website zich hiermee ook toegang verschaft tot processor, werkgeheugen en harde schijf van de bezoeker. Deze risico's zijn gefundenes fressen voor de makers van anti-virussoftware: deze hebben hun produktenpakket intussen uitgebreid met programma's die beschermen tegen Webpagina's met onvriendelijke Java- of ActiveX-inhoud. In hun persberichten en reclamemateriaal maken ze gretig gebruik van gevallen als dat van CussOut.

 Minder ophef maken ze van de vele canards en hoaxes. Op maandag 8 december 1997 bijvoorbeeld kraakten hackers de voorpagina van de zoekmachine Yahoo!, en plaatsten daar de mededeling dat de eigenlijke kraak al een maand eerder had plaatsgevonden. Er zou een virus in de pagina verstopt zijn geweest en iedereen die Yahoo! sindsdien had bezocht zou het virus in zijn computer hebben. Tenzij meesterkraker Kevin Mitnick voor Kerst uit de gevangenis zou worden vrijgelaten zou het virus op Eerste Kerstdag vernielingen gaan aanrichten. Beveiligingsexperts noemden dit meteen onzin en er is inderdaad niets gebeurd.

 Wat is er op het ogenblik precies mogelijk op het gebied van digitaal vandalisme? Veel meer in ieder geval dan vóór de komst van computernetwerken. Vooral Internet is een uitstekende voedingsbodem voor de dreigingen die er al waren en geeft vaart aan de evolutie van nieuwe.

 Virussen kunnen voorkomen in programma's en in documenten. Een programmavirus besmet programma's. Wordt een besmet programma gestart, dan komt een kopie van het virus in het werkgeheugen van de computer terecht en zal elk programma dat daarna wordt geopend ook besmet worden. Kopieën van deze besmette programma's die vervolgens de wereld worden ingestuurd, op schijven of via Internet, kunnen dan weer andere PC's en hun programmabestanden infecteren. Behalve het verspreiden van kopieën van zichzelf heeft een virus vaak nog een andere taak in het leven, een 'payload'. Dat kan iets relatief onschuldigs zijn, zoals het spelen van een lied (Yankee Doodle), het afbeelden van een boodschap ('Legalize marihuana') of het ondersteboven zetten van het monitorbeeld, of minder grappige zaken als het wissen van de harde schijf.

 Via Internet worden op grote schaal programma's uitgewisseld. Op duizenden Websites kunnen gebruikers programma's downloaden. Vooral grote softwarebedrijven als Microsoft en Netscape zetten veel Megabytes om, en er zijn sites waar shareware (goedkope software van semi-professionele programmeurs) wordt aangeboden. Hobbyïsten laten zich evenmin onbetuigd via hun homepages, en particulieren sturen elkaar programmabestanden vie e-mail en nieuwsgroepen.

 Macrovirussen maken deel uit van documenten. Macro's zijn minuscule programmaatjes die in een tekstverwerker, een spreadsheet of iets dergelijks bepaalde reeksen handelingen automatisch uitvoeren. Macro's zijn bedacht om met één toetsaanslag een hele frase in een document op te nemen; in dit artikel zou het woord 'Internet' daarvoor in aanmerking komen. De mogelijkheden van macro's zijn met de jaren uitgebreid. Zo kunnen ze intussen ook documenten opslaan en wissen. Daarmee zijn de mogelijkheden voor vandalisme geschapen. Een gebruikte macro wordt met het betreffende document mee opgeslagen en kan via tekstverwerker of spreadsheet van document naar document springen.

 Macrovirussen zijn pas sinds kort een probleem. Sinds de komst van netwerken reizen ze veel per e-mail, als attachment. Extra bevorderlijk voor de verspreiding van macrovirussen is dat ze uitwisselbaar zijn tussen verschillende populaire programma's, zoals Word en Excel, en tussen verschillende soorten computers, zoals de PC en de Macintosh.

 Sharefun is zo'n macrovirus. Als een met Sharefun besmet document wordt geopend, zoekt de macro naar het programma Microsoft Mail (wie dat niet heeft hoeft zich dus geen zorgen te maken). Daarin worden drie willekeurige e-mailadressen uit het adressenbestand gehaald. Naar deze adressen gaat een bericht met als tekst "You have GOT to read this!" en een verwijzing naar een kopie van het besmette document, dat als aanhangsel (een attachment) is meegestuurd. Het eigenlijke mailtje lezen kan geen kwaad maar als de ontvanger zich tot openen van het aangehechte document laat verleiden, herhaalt de procedure zich.

 Behalve per mail en via nieuwsgroepen kunnen documenten verspreid worden via het World Wide Web. Zoals het klikken op een bepaalde 'link' het downloaden van een programma tot gevolg kan hebben, zo kan op dezelfde manier een document worden opgeroepen. Overigens krijgt de Websurfer de keus tussen 'Uitvoeren' (wat bij een document betekent het openen in het bijbehorende programma) en 'Opslaan op schijf'. Bij klikken op 'Uitvoeren' zou een besmet programma of document onmiddellijk de computer infecteren. Daarom is opslaan altijd verstandiger. Een verspreidingsmogelijkheid die in april vorig jaar op Internet werd gemeld was die via de Webpagina's zelf: Zulke pagina's kun je bijvoorbeeld ontwerpen met Word en dan opslaan in Html-formaat. Html (Hypertext Markup Language) is de opmaaktaal voor Webpagina's. De aldus gemaakte pagina kan op het World Wide Web worden gezet en kan daarna door anderen worden gekopieerd, bijvoorbeeld omdat het uiterlijk hun bevalt. Gaan zij de gekopieerde pagina op hun computer bewerken in Word, dan kan een eventueel macrovirus op die manier worden overgebracht.

 Opgeslagen bestanden kunnen worden gecontroleerd met een virusscanner, een programma dat besmette bestanden signaleert. Dit vereist discipline bij de gebruiker in twee opzichten: ten eerste moet elk binnengehaald bestand worden gecontroleerd. De bezitter van de computer moet dat zelf doen. Ten tweede moet de virusscanner regelmatig ververst worden. Per maand komen er enkele honderden nieuwe virussen bij, en de kenmerken daarvan moeten in een nieuwe versie van de virusscanner worden opgenomen. Dergelijke updates zijn voor betalende gebruikers van een virusscanner meestal gratis.

 Iemand die alleen maar Webpagina's bekijkt kan dus geen virus oplopen. Zelfs het downloaden en opslaan op de harddisk van Webpagina's, documenten of programma's kan geen kwaad. Alleen het openen respectievelijk starten van zulke bestanden is riskant en dan nog alleen als er geen controle met een virusscanner is uitgevoerd.

 Als er een kwaadaardige Java-applet of ActiveX-module wordt gevonden, wordt dit uiteraard bestreden. Hetzelfde gebeurt als er een theoretische mogelijkheid wordt ontdekt. De gebleken mazen in de software worden namelijk behandeld als bugs, programmeerfouten. De browserprogramma's die de Java- of ActiveX-programmaatjes tot leven laten komen worden meestal zo herschreven dat de hele truc niet meer opgaat. Er wordt dan bij Netscape of Microsoft een gratis patch of reparatiebestand op Internet geplaatst zodat iedere gebruiker de verdedigingsmaatregel kan installeren.

 Behalve CussOut, het aan het begin van dit artikel genoemde voorbeeld, zijn er intussen tegen de 200 kwaadaardige Java-applets en ActiveX-controls bekend. Sommige stelen wachtwoorden en credit card-nummers, of verzamelen informatie over de handel en wandel van de gebruiker op Internet, en zijn daarmee een risico voor de privacy. Andere zitten aan de harde schijf en zijn een veiligheidsrisico. Hoewel Java officieel niet gerechtigd is om iets op de harde schijf te wijzigen, blijken er toch steeds weer mogelijkheden gevonden te kunnen worden door handige kenners. Al worden zulke achterdeurtjes snel dichtgetimmerd, dat lijkt het tempo waarin er nieuwe worden ontdekt niet te drukken.

 Ook andere nieuwe uitvindingen op Internet bieden mogelijkheden tot misbruik. Cookies bijvoorbeeld. Een site op het World Wide Web kan een 'cookie' op de harde schijf van een Internetgebruiker laten schrijven, met daarin wat informatie over de eigenschappen van zijn computer en over de pagina's die hij of zij heeft bezocht. Daarmee kan dezelfde persoon een volgende keer sneller worden bediend (te vergelijken met: 'Hetzelfde meneer Jansen?'). Op zichzelf zijn cookies onschuldige tekstbestanden die evenmin als mailberichten op eigen initiatief activiteiten kunnen ontplooien. Maar in oktober vorig jaar heeft een medewerker van een Californische Internetaanbieder een methode gevonden om met behulp van cookies informatie te verzamelen over het surfpatroon en het gebruik van nieuwsgroepen van individuele gebruikers. Iedereen kan zijn computer zo instellen dat de komst van een cookie geweigerd kan worden, en het is bovendien mogelijk eenmaal weggeschreven cookies met de hand te wissen, maar dat kost tijd en lang niet iedereen doet dat.

 Evenzo is het mogelijk in de browser de ActiveX- en Java-mogelijkheden uit te schakelen (in de 'Opties'). Eventuele leuke toepassingen komen er dan ook niet meer door. In plaats daarvan valt eraan te denken een waakhondprogramma aan te schaffen, van softwarebedrijven als McAfee, Cybermedia, Symantec, Esafe of Finjan. Deze hebben aangepaste virusscanners ontwikkeld die automatisch gedownloade bestanden controleren (zodat de gebruiker dat niet met de hand moet doen), cookies in de gaten houden en de Java- en ActiveX-inhoud van Webpagina's in een soort quarantaine plaatsen om na te gaan of zo'n toepassing geen ongeoorloofde dingen in de zin heeft. Wie zich veilig wil voelen moet dat doen. Maar de makers van deze software weten hun business goed te bevorderen. Waarschijnlijk was het geen toeval dat pal voor het verschijnen van McAfees beschermer WebScanX het bedrijf zelf de ontdekking meldde van CussOut, het vieze mailtjes versturende programma.

 Paranoia over de risico's van Java en ActiveX is niet nodig. Op de gekraakte Yahoo!-homepage had een progamma kunnen staan dat alle bekende beveiligingen omzeilde, maar erg groot was de kans daarop natuurlijk niet. Het aantal bekende gevaarlijke applets of ActiveX-modules is gering. Nog geen tweehonderd vervelende programmaatjes, dat is niets vergeleken met de vele duizenden virussen die er zijn. Ze vermenigvuldigen zich niet (een groot verschil met virussen), de angel is er vaak al uit gehaald door reparatie van een bug, en ze staan maar op een doodenkele Webpagina van de miljoenen die er zijn. Wie echt bang is kan beter Java en ActiveX uitschakelen - zoveel mis je daar niet aan - dan het zoveelste ingewikkelde programma installeren dat permanent actief moet zijn, en dat trouwens wéér een paar honderd gulden kost.

 Wel zijn er nog vreemde verschijnselen op Internet die niet zozeer in een patroon passen. Er zijn het afgelopen jaar verschillende manieren gemeld en weer onmogelijk gemaakt om computers op afstand te laten vastlopen. Kraken is ook nog in: volgens een onderzoek van het Texaanse bureau NetSolve krijgen bedrijven die op Internet handel drijven gemiddeld vijf aanvallen per maand. Volgens het Internet Content Register, een consumentenorganisatie voor Internet, worden particulieren nog wel eens benaderd via e-mail, om vervolgens telefonisch ge-enquèteerd te worden over het aan huis installeren van software, waarbij ze ertoe worden gebracht vragen te beantwoorden over hun huisraad en hun werktijden. Vervolgens krijgen ze inderdaad bezoek, maar dan als ze niet thuis zijn - met braak.

 De meest elegante digitale aanval is die waarbij de eigenaar van een computer angst wordt aangejaagd, en hij zo ver wordt gebracht zelf zijn machine (of andere eigendommen) schade toe te brengen. Een voorbeeld van een waarschuwing tegen een 'virus', ontvangen per e-mail:

 IMPORTANT!!! YOUR COMPUTER IS PROBABLY INFECTED WITH A VIRUS. IN TURN, YOU HAVE SPREAD THIS VIRUS TO FRIENDS, FAMILY, AND CO-WORKERS JUST BY SENDING THEM EMAIL.

( )

You can disinfect your computer directly from the web at http://www.( )

It is CRUCIAL that you send this email to EVERYONE you have sent mail to since September 11. This bug can be squashed ONLY if everyone who has received email from the infected server is notified and downloads the antidote.

 Gewoonlijk zijn de gepresenteerde argumenten in zulke alarmmeldingen onzin, maar is er een beetje kennis of ervaring voor nodig om ze te doorzien. Ironisch is dat nietsvermoedende gebruikers hier juist worden aangezet tot riskant gedrag, namelijk het downloaden van een duister bestand van een onbekende Website. Andere practical jokes verzoeken de telefoon af te sluiten of de credit card weg te gooien. Omdat zulke mededelingen (soms uitsluitend) een oproep tot doorsturen bevatten zijn het in zekere zin ook virussen: ze vermenigvuldigen zich dank zij het doorstuurgedrag van goedgelovige Internetgebruikers. Erg veel schade brengen ze waarschijnlijk niet teweeg, zeker niet als ze zo compromisloos zijn als de volgende:

 If you receive an e-mail message with the subject line "Free Money," DO NOT read the message. DELETE it immediately, UNPLUG your computer, then BURN IT to ASHES in a government-approved toxic waste disposal INCINERATOR.

 Once a computer is infected, it will be TOO LATE. Your computer will begin to emit a vile ODOR. Then it will secrete a foul, milky DISCHARGE. Verily, it shall SCREECH with the tortured, monitor-shattering SCREAM of 1,000 hell-scorched souls, drawing unwanted attention to your cubicle from co-workers and supervisors alike. After violently ripping itself from the wall, your computer will punch through your office window as it STREAKS into the night, HOWLING like a BANSHEE. Once free, it will spend the rest of its days CRUSHING household PETS and MOCKING the POPE.

 Als u een e-mailbericht krijgt met als onderwerp 'Free Money' lees het dan NIET. WIS het, zet de computer UIT en VERBRAND 'm in een goedgekeurde chemische AFVALOVEN.

 Is een computer besmet dan is het TE LAAT. Hij gaat een gore STANK verspreiden. Daarna produceert hij een smerige witte SMURRIE. Waarachtig, hij zal KRIJSEN met de gekwelde, beeldschermversplinterende KREET van duizend zondaars in het vagevuur, met nieuwsgierige blikken van uw collega's en bazen als gevolg. Na zich van de muur te hebben losgerukt WERPT uw computer zich door het raam en verdwijnt in de nacht, JANKEND als een HELLEHOND. Eenmaal vrij vult hij zijn dagen met het PLETTEN van TROETELDIEREN en het BESPOTTEN van de PAUS.


Dit artikel mag worden gedownload, gelezen en zelfs gekopieerd, maar alleen voor eigen gebruik. Vermenigvuldigen met winstoogmerk is niet toegestaan. Copyright Herbert Blankesteijn.